Politique de conservation et d’élimination des données

La Politique de conservation des données et d’élimination des données (P14) établit des exigences complètes pour la conservation et l’élimination sécurisée de toutes les données de l’organisation tout au long de leur cycle de vie, afin d’assurer la conformité, de réduire les risques et de soutenir l’efficacité opérationnelle. Cette politique s’applique à l’échelle de l’organisation et couvre chaque actif informationnel physique et numérique détenu, traité ou conservé par l’entreprise, y compris ceux gérés par des prestataires tiers de services, des filiales et des partenaires d’externalisation. Les actifs couverts vont des fichiers numériques, bases de données, courriels et systèmes de sauvegarde, aux dossiers papier et au matériel mis hors service. L’objectif principal de la politique P14 est de définir des contrôles stricts sur la durée de conservation des données en fonction des besoins légaux, réglementaires et opérationnels, et de garantir leur suppression permanente et sécurisée lorsqu’elles ne sont plus nécessaires. En imposant des calendriers de conservation des données clairs et des procédures d’élimination rigoureuses, la politique soutient les exigences d’ISO/IEC 27001:2022, permet une gestion des enregistrements traçable et protège la confidentialité, l’intégrité et la disponibilité des données. Elle aide également l’organisation à prévenir l’accumulation inutile de données susceptible d’entraîner des violations de la vie privée, des inefficacités ou une augmentation du risque métier. Les rôles et responsabilités sont clairement définis dans la politique : la Direction générale approuve et supervise la conformité ; le Responsable de la sécurité des systèmes d’information (RSSI) en est le propriétaire, définit et surveille la mise en œuvre de la politique ; le DPO conseille sur la protection des données et valide les pratiques de traitement des données à caractère personnel ; et les propriétaires de l’information s’assurent que les calendriers sont justifiés et autorisés. Les équipes informatiques sont responsables de la mise en œuvre des contrôles techniques, tandis que tous les employés, sous-traitants et tiers concernés sont tenus de suivre les instructions de conservation et d’élimination. Les fournisseurs externalisés et les prestataires cloud doivent respecter les clauses de sécurité contractuelles et fournir des éléments probants d’audit d’élimination sur demande. Les exigences de gouvernance imposent la création et la tenue d’un calendrier maître de conservation des données (MDRS), revu au moins une fois par an, ainsi que l’approbation des méthodes d’élimination et des certificats pour toutes les données arrivées à échéance. La politique impose des durées de conservation fondées sur la classification, rattachées aux besoins métier et aux bases légales, et interdit explicitement la conservation indéfinie, orpheline ou non approuvée des données. Des dispositions spécifiques traitent de la conservation des sauvegardes et des archives, en assurant l’alignement avec les objectifs de reprise après sinistre et le support de l’effacement des données sur demande conformément au RGPD ou à d’autres lois sur la protection des données. Les contrôles d’élimination sont appliqués conformément à NIST SP 800-88 ou à des normes équivalentes, en imposant des méthodes de destruction irréversibles et documentées pour les supports numériques et papier. Les procédures de conservation pour litige prévalent sur les calendriers de suppression normaux en cas de contentieux ou d’enquête, et toute exception à la conservation planifiée requiert une appréciation des risques et une validation par la direction. Les activités de mise en application et de conformité incluent des audits périodiques, des contrôles de conformité, la notification des incidents de violation et des sanctions disciplinaires si nécessaire. La politique prévoit également une formation continue de sensibilisation du personnel et invoque la Politique de réponse aux incidents (P30) en cas de violation ou d’incident d’élimination. En revoyant et en mettant à jour la politique périodiquement, et en synchronisant les documents liés tels que la Politique de contrôle d’accès et les politiques de gestion des actifs, l’organisation garantit une approche défendable, efficace et alignée sur la réglementation de la gouvernance du cycle de vie des données.