Pourquoi toute entreprise devrait avoir une politique de destruction des données archivées

Par où commencer ?

Prenons un cas hypothétique. Imaginons qu'un ancien client d'une société de conseil financier soit poursuivi pour falsification d'archives financières portant sur une période de dix ans. Le prévenu a supprimé les documents en question depuis longtemps, mais l'enquête judiciaire a permis de déterminer que la société de conseil financier possédait encore des copies des documents concernés. Du simple fait de ne pas avoir supprimé des documents dont elle n'avait plus besoin, la société se retrouve impliquée dans un procès.

Pour gérer raisonnablement son programme de conservation et de destruction, il faut d'abord comprendre quels documents doivent être conservées, que ce soit pour respecter une réglementation ou pour des questions d'ordre interne. Les réglementations varient en fonction des secteurs et des autorités de contrôle. Ainsi, le CSP (Code de la santé publique) requiert que le dossier médical dans les établissements de santé publics et privés soit conservé pendant 20 ans à partir du dernier passage dans l'établissement par le patient (Article R. 1112-7 du Code de la santé publique), tandis qu'un contrat d'habitation our d'automoblile ne doit être conservé que 2 ans à compter de la fin du contrat. Il existe naturellement des exceptions aux règles : il convient donc de consulter vos juristes maison avant d'établir vos règles de conservation en interne.

Tant qu'elles restent utiles et qu'il est nécessaire de les conserver, les données doivent faire l'objet d'une gestion appropriée. Il faut étiqueter tous documents en fonction de leur période de conservation prévue. Les documents à conserver indéfiniment devraient être archivés et stockés dans un environnement sécurisé, ou bien numérisés puis détruits. Il doit être possible de repérer et récupérer rapidement chaque document : il est rare qu'un auditeur montre beaucoup de patience à ce sujet.

Assurer soi-même l'archivage et la conservation de ses documents est une initiative à la fois coûteuse et risquée. Peu de sociétés possèdent les compétences nécessaires à cet effet en interne. Une armoire de stockage d'archives occupe beaucoup d'espace et ne propose aucune protection contre la détérioration des documents, le feu ou les dégâts des eaux. Les données concernées peuvent également se retrouver compromises par les actions de collaborateurs en interne, que ce soit volontaire ou non. D'après le Ponemon Institute, c'est l'origine de la majorité des violations de données en entreprise. Si on prend en compte la main d'œuvre impliquée, l'espace utilisé et les coûts d'entretien nécessaires, on constate que l'externalisation des archives papier dans un lieu sécurisé hors site revient souvent moins cher que de les conserver dans ses propres installations.

Une armoire de stockage d'archives occupe beaucoup d'espace et ne propose aucune protection contre la détérioration des documents, le feu ou les dégâts des eaux. Les données concernées peuvent également se retrouver compromises par les actions de collaborateurs en interne, que ce soit volontaire ou non. D'après le Ponemon Institute, c'est l'origine de la majorité des violations de données en entreprise

Une stratégie adaptée

Pour détruire des documents sensibles, il faut faire appel à des spécialistes du domaine. Il ne suffit pas de les passer dans un destructeur de documents pour assurer leur destruction complète, sans compter que cela coûte aussi bien du temps que de l'argent. Une société spécialisée dans la destruction de documents possèdera les équipements nécessaires et bénéficiera d'économies d'échelle suffisantes pour garantir une destruction complète à un coût par document peu élevé.

En ce qui concerne les archives électroniques, le processus de destruction est encore plus complexe. Il ne suffit pas de placer un fichier dans la poubelle pour le supprimer : cette opération permet uniquement d'effacer les indicateurs utilisés par l'ordinateur pour le retrouver. Pour supprimer totalement un document, il faut utiliser un logiciel d'effacement de données ou détruire physiquement l'appareil de stockage. Dans le cas des archives stockées sur CD ou DVD, la destruction physique est l'unique moyen raisonnable de les effacer. Une société de gestion des archives et des informations emploie les meilleures technologies à cet effet, y compris des équipements qui permettent de réduire littéralement les disques durs en poudre.

Que les documents soient en papier ou conservés sur disque sous format numérique, leur destruction devrait toujours être accompagné de la fourniture d'un certificat. Ce document constitue une protection utile dans le cadre d'une enquête judiciaire, parce qu'il permet de prouver que les documents concernés ne sont plus en votre possession.

Qu'on le veuille ou non, les archives en papier sont encore là pour longtemps. Disposer d'un processus de stockage et déchiquetage fiable, vérifiable et respectueux de l'environnement permet de gagner du temps, de l'argent et de s'épargner bien des embarras. Demandez au gouvernement australien ce qu'il en pense.