A moins de faire partie des rares entreprises qui savent ce qu'elles font en matière de Big data, l'accumulation compulsive de données est une bombe à retardement pour les entreprises. Cet article explore les (nouvelles) exigences légales en matière de conservation de données à caractère personnel et analyse les impacts organisationnels concrets que celles-ci représentent pour les responsables de traitement. Afin de ne pas laisser le brave lecteur sur sa faim, des solutions pratiques sont également abordées.
Lorsqu'il s'agit d'évoquer la durée de conservation des données, le constat est toujours le même: Depuis l'avènement de l'informatique dans les entreprises, ces dernières gardent toutes leurs données ad æternam. En effet, rares sont celles qui disposent d'une politique d'archivage et encore plus rares sont celles qui peuvent se vanter de l'appliquer. Pour faire simple; on préfère investir dans les capacités de stockage plutôt que dans l'archivage. Cela semble moins cher, mais à y regarder à deux fois, le calcul n'est pas bon.
C'est grave docteur ?
L'accumulation compulsive d'objets inutiles et sans valeur est une maladie connue; il s'agit de la syllogomanie. Les symptômes sont les suivants:
Besoin de conserver des objets;
Impossibilité de faire du tri;
Les objets finissent par envahir totalement l'espace de vie, compromettant l'hygiène de la personne atteinte et créant des risques d'incendie ou liés à l'apparition de nuisibles.
La comparaison avec les pratiques de nos entreprises en matière de conservation de données est assez criante:
Besoin de conserver toutes les données accessibles en permanence:
Refus des utilisateurs de faire du tri (pensez à votre boîte mail...)
Les données sont partout, obsolètes, redondantes, triviales compromettant la visibilité et donc le pilotage des systèmes d'information, créant des risques de pertes de données et favorisant les cyber attaques.
Alors oui, c'est grave. Les conséquences sont lourdes comme nous le verrons ci-dessous. Ce d'autant plus que le patient (les entreprises) est souvent dans le déni et qu'il s'agit d'abord de lui faire prendre conscience du problème.
Conséquences légales
Au détour de la nouvelle Loi sur la Protection des Données (nLPD) ainsi que du désormais célèbre Règlement Général sur la Protection des Données (RGPD), on constate que les législateurs font de la durée de conservation des données personnelles en thème suffisamment récurrent pour qu'il apparaisse dans de nombreux articles:
Tout d'abord, et ce n'est pas nouveau, en tant que principe fondamental relatif au traitement: les données doivent être exactes et conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD art 5 al.1 let. d, e) ou, en droit suisse, les données sont détruites ou anonymisées dès qu'elles ne sont plus nécessaires au regard des finalités du traitement (nLPD art 6 al.4)
En tant que principe de protection dès la conception et par défaut, de par le concept de minimisation des données (RGPD art.25 al.1 et nLPD art 7 al.3) ainsi que sur la mise en oeuvre de mesures techniques et organisationnelles permettant d'assurer la protection du traitement, notamment en regard de la durée de conservation et limitation des accès (RGPD art.25 al.2).
En matière de devoir de transparence incombant au responsable de traitement puisque la durée de conservation est une information à fournir aux personnes concernées (RGPD art.13 al.2, nLPD art. 25 al.2).
En regard de l'obligation de tenir un registre de traitement dans lequel doit figurer la durée de conservation des différentes catégories de données ou, lorsque ce n'est pas possible, les critères pour déterminer leur durée de conservation (RGPD art.30 al.1, nLPD art.12 al.2 e)
Enfin, dans les mesures de sécurité sur la notion des droits d'accès, d'intégrité et de disponibilité des données traitées (RGPD art.32)
On le voit, de nombreux articles de lois permettent aux autorités de surveillance de sanctionner les entreprises qui ne tiendrait pas compte de la durée de conservation dans leurs processus de traitement des données. Ce que la CNIL ne s'est du reste pas gênée de faire en infligeant des amendes conséquentes à des entreprises fautives, assorties de surcroit de délais très courts pour se mettre en conformité. (Sanction de 1,75 mio d’euros contre AG2R LA MONDIALE,)
Conséquences pratiques
En préambule, il est à noter que si les conséquences légales susmentionnées concernent uniquement le traitement de données personnelles, le reste de cet article est valable pour tout type de données présentant une certaine valeur (propriété intellectuelle, états financiers, données stratégiques, etc...)
D'un point de vue très opérationnel, le fait de conserver toutes les données "en live" conduit à une explosion du volume de stockage, des plages de sauvegardes toujours plus longues, une augmentation des coûts matériels (serveurs + bandes et/ou disques), une perte de visibilité sur le contenu des systèmes et une augmentation de l'exposition aux cyber risques. Certes, il est toujours possible d'épurer de temps à autre les serveurs de fichiers en transférant en masse des données sur des supports de moindre performance et donc plus avantageux, mais ce n'est pas adresser le fond du problème.
Sauvegarde vs archivage électronique
L'expérience nous montre qu'il n'est pas inutile de rappeler la différence entre les notions de sauvegarde et d'archivage électronique: La sauvegarde a pour but de restaurer des données, une application voire un système dans son entièreté selon une stratégie définie en termes de quantité de données pouvant être perdues (RPO - recovery point objective) et de délai d'indisponibilité du système concerné par un incident (RTO - Recovery Time Objective). La sauvegarde vise donc la disponibilité des données et des systèmes, et non pas la durée de conservation de chaque catégories de données.
L'archivage électronique est une notion plus large liée à la gouvernance de l'information. C'est un *ensemble d'actions, d'outils et méthodes pour réunir, identifier, sélectionner, classer, détruire et conserver des contenus électroniques, sur un support sécurisé dans le but des les exploiter et de les rendre accessibles dans le temps, que ce soit à titre de preuve [...] ou informatif*. [Source]
En d'autres termes, la notion d'archivage électronique se base sur le cycle de vie de l'information, alors que les sauvegardes permettent de reconstituer des systèmes à un moment donné. Il faut donc arrêter de penser que la question de durée de conservation des données est réglée par le simple fait que l'entreprise réalise des sauvegardes quotidiennes... Si cela est la plupart du temps clair pour les informaticiens, ce n'est souvent pas le cas des fonctions métiers.
Alors que faire (docteur) ?
La bonne nouvelle est que, si intelligemment implémentées, les mesures nécessaires pour atteindre la conformité légale profitent à l'amélioration globale de la gouvernance de l'information, quelque soit la nature des données traitées.
La Suisse en général, et les entreprises en particulier, sont à la traine en matière de transformation numérique. Les exigences de conformité imposées par le RGPD et la nLPD sont en fait une opportunité à saisir pour améliorer notre cyber résilience.
A l'évidence, le sujet mérite bien plus qu'un post sur un blog pour être correctement traité. Mon propos est de mettre en évidence que la simple exigence de définition d'une durée de conservation des données personnelles requiert dans les faits un niveau de maturité à ce jour inaccessible pour la plupart des entreprises. Par l'accumulation compulsive de données sans véritable gouvernance, elles ont en effet perdu la visibilité sur le contenu de leurs systèmes informatiques. Il est temps de reprendre la main. Comment ? Voici quelques mesures concrètes qui devraient faire partie de tout programme de privacy management.
Il y a deux manières d'élaborer un registre de traitement:
Soit on en fait un exercice alibi, c'est à dire un document juridiquement correct mais opérationnellement inexploitable, consistant en un classeur répertoriant des fiches de traitement pompées d'un modèle trouvé sur internet. Statique et répondant au seul objectif de conformité, il est voué à disparaître dans les deux à trois ans.
Soit on en fait un outil complémentaire du pilotage du système d'information (SI) en réalisant un inventaire à haut niveau des catégories de données traitées (data mapping) et en profitant d'identifier les métiers qui les utilisent, les applications qui les contiennent ainsi que les systèmes qui les supportent. Cette cartographie à quatre niveaux (métiers, applications, systèmes, data) saura trouver l'intérêt de nombreuse parties prenantes dans l'entreprise car elle redonne de la visibilité sur le SI, révèle les flux de données entre les systèmes, facilite la gestion des changements et identifie l'impact des évolutions.
Si l'on considère les risques légaux mentionnés plus haut, le choix de la seconde variante devrait aller de soi étant le seul à réunir des mesures de sécurité techniques et opérationnelles. OK, c’est plus facile à dire qu’à faire, mais vous pouvez toujours demander l’aide de spécialistes. Le data mapping sert donc de base à la réalisation du registre de traitement. La plus grande difficulté de cet exercice consiste à trouver le bon niveau de granularité de l'analyse, suffisamment précis pour identifier les catégories de données essentielles mais pas trop détaillé non plus afin de ne pas pénaliser les tâches de maintien et mises à jour du data mapping.
Un conseil à ce stade: viser le "good enough",
il sera toujours possible d'améliorer le résultat par la suite.
Chaque catégorie de données a son propre cycle de vie. C'est celui-ci qui doit permettre de définir la durée de conservation des données.
Les deux premières phases consistent à l'utilisation courante des données. Concrètement, les données sont accessibles dans l'environnement de travail immédiat par les personnes chargées de traiter les données. A noter que l'introduction de la notion de classification de l'information (sujet d'un prochain article) dès le début du cycle de vie permet d'identifier les données de valeur et leur apporter ainsi une protection adéquate.
La phase d'archivage concerne les données qui ne doivent plus être traitées (= dossier clos) mais qui présentent encore un certain intérêt à être conservées, soit à des fins de traitement ultérieur (règlement d'un contentieux par exemple), soit pour remplir une obligation légale. Une consultation ponctuelle par des personnes habilitées rests possible.
Au delà de l'archivage, les données doivent être détruites ou anonymisées.
Il appartient au responsable de traitement de définir la durée de conservation. Pour y parvenir, il doit soit se conformer à des exigences légales définies (par exemple la comptabilité commerciale doit être conservée 10 ans), soit se baser sur la finalité du traitement et identifier ses besoins opérationnels. A noter que dans certains métiers, des référentiels existent en matière de préconisations de conservation de données.
Reste ensuite à documenter ces choix dans le registre de traitement et les mettre en application dans les faits. Différentes technologies sont disponibles à un coût raisonnable pour mettre en œuvre cette gouvernance de l'information. Concrètement, celles-ci permettent d'analyser les données non structurées, nettoyer les données obsolètes ou redondantes, indexer ce qui doit l'être selon le data modèle défini et apporter les actions nécessaires en matière d'archivage au fil du temps.
Conclusion
L'archivage est une mesure de sécurité extrêmement pertinente car elle permet de :
Réduire l'espace de stockage (ce qui en soit permet déjà de financer le projet de mise en conformité légale..), les temps et les coûts des sauvegardes.
Regagner de la visibilité sur le contenu de son système d’information, d’où un gain d’efficacité des utilisateurs qui perdent moins de temps à chercher le bon document.
Améliorer la qualité des données, ce qui permet aux utilisateurs d’avoir une meilleure confiance dans la pertinence de l’information traitée.
Réduire la surface d’exposition aux cyber attaques et permettre une allocation plus pertinente des mesures de sécurité fortes sur les données de valeur.
S. Droxler
Ressources complémentaires
EDPB Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, ch 52 + 75
Guide pratique "Les durées de conservation" / CNIL / Direction Générale des Patrimoines / Juillet 2020