Alors que le compte à rebours est en marche pour se mettre en conformité avec le nouveau règlement général sur la protection des données de l’UE, Iron Mountain prévient les PME des risques qu’elles encourent faute de règles de rétention appropriées pour leurs archives.
41% des PME de l’UE s’exposent au risque d’infraction aux futures lois sur la protection des données, rien qu’en décidant de tout conserver « au cas où ».
L’impact du nouveau règlement général sur la protection des données de l’UE ou GDPR (General Data Protection Regulation) risque de surprendre les 4 entreprises de taille moyenne sur 10 (entre 250 et 2500 salariés) en Europe, qui conservent indifféremment toutes leurs archives, sans appliquer les directives de rétention officielles.
C’est sur ce point que le spécialiste des services de conservation et de gestion de l’information, Iron Mountain (NYSE: IRM) attire leur attention.
Lors d’une étude réalisée avec PwC, Iron Mountain a découvert qu’une PME sur dix (11%) dans l’UE, archive ses informations sans tenir compte des recommandations de conditions de rétention et de protection des données, ce qui complique, voire rend impossible, l’identification des informations sensibles qu’il n’est pas légal de conserver indéfiniment.
89% des entreprises conservent tout et pourtant les durées de conservation diffèrent
Il ressort de l’étude que la plupart des entreprises conservent l’information pour pouvoir éventuellement la valoriser à l’avenir (89%) ou comme un filet de sécurité dans l’actuel contexte réglementaire qui devient de plus en plus complexe (87%). Beaucoup (42%) procèdent de la sorte pour s’assurer de pouvoir donner suite aux demandes d'investigation électronique (e-discovery).
Mais l’Article 23 du nouveau règlement GDPR prévoit que les durées de rétention de tous types d’information (des e-mails aux messages instantanés, aux propositions et contrats) doivent être établies à compter de leur date de création.
Ainsi, une approche non structurée de la rétention des archives peut exposer les entreprises à des risques, avec à la clé des sanctions potentiellement très lourdes. Le défaut de conformité à la nouvelle législation pourrait entraîner des pénalités d’au maximum 4% du chiffre d’affaires annuel mondial ou jusqu’à 20 millions d’euros, prenant en compte le montant le plus élevé.
55% des entreprises laissent leur salariés décider seuls de conserver ou pas un email
Des entreprises dépourvues de règles et processus ou qui n’informent pas correctement leurs salariés sur les directives à appliquer, prennent le risque que ceux-ci fassent comme bon leur semble. Une étude mondiale réalisée par l’AIIM, communauté mondiale représentative des professionnels de l'information, a démontré que plus de la moitié (55%) des entreprises interrogées dans le monde, laissent leurs salariés décider seuls d’enregistrer ou de supprimer les e-mails, si bien que de nombreuses entreprises ignorent, ou sont dans l’incapacité de prouver, si des informations sensibles ont bien été supprimées conformément aux réglementations.
« Il est compliqué, pour de nombreuses entreprises européennes, de savoir quelles informations conserver et pour quelle durée, étant donné que différentes règles s’appliquent à différents types d’information dans différents pays. Il est aussi risqué de conserver des archives trop longtemps, comme des données personnelles ou des candidatures non retenues à un poste, que de décider de les détruire trop tôt, comme dans le cas d’échanges par e-mail ou de dossiers médicaux qui peuvent être exigés dans le cadre de poursuites. Sans surprise, bon nombre d’entreprises préfèrent tout conserver. Mais cette pratique ne peut plus durer, surtout dans le cas d’informations personnelles. Dès 2018, les entreprises vont devoir prouver que chaque information qu’elles créent, est assortie d’une date de fin de vie. Les entreprises de toute taille vont donc devoir faire le point et savoir ce qu’elles détiennent, où se trouvent exactement les informations et combien de temps elles sont autorisées à les conserver. Nous recommandons aux entreprises de s’adjoindre les conseils d’experts », déclare Arnaud Revert, président directeur général d’Iron Mountain France.
Les entreprises les plus anciennes sont plutôt celles qui conservent tout
Iron Mountain et PwC ont découvert que les entreprises de plus de dix ans sont celles qui ont le plus tendance à amasser les données (57%) et qu’à l’inverse les entreprises en activité depuis moins de dix ans recherchent plus volontiers les conseils d’experts pour les aider à se mettre en conformité avec les règles de rétention : un peu plus d’un tiers (35%) reconnaissent solliciter des conseils juridiques et agir en conséquence, tandis que 29% confient la gestion de leurs règles de rétention à une tierce partie.