Tendances mondiales en contexte : Discussion sur les réglementations internationales en matière de conservation à long terme des données

La conformité en matière de conservation des données est un défi, quel que soit le secteur d'activité. Simplifiez et rationalisez votre gestion des données tout en améliorant la conformité réglementaire

Durée de conservation des données— parfois également appelée conservation des dossiers — désigne le stockage et la conservation des données et des dossiers pendant une certaine période afin de répondre aux exigences commerciales, d'audit et de conformité. Qu'il s'agisse de tenir des dossiers financiers précis, de se conformer aux réglementations, de reprendre ses activités après sinistre ou d'alimenter les moteurs d'analyse, les entreprises dépendent de politiques de conservation des données solides pour fonctionner de manière optimale.

Le respect des politiques de conservation des données démontre que votre entreprise traite les données conformément aux normes et aux lois du secteur. Sans conservation des données, votre entreprise risque de stocker trop (ou trop peu) d'informations pendant trop longtemps (ou pas assez longtemps).

Dans ce guide, nous discutons des trois principales catégories d’exigences en matière de conservation des données : les réglementations gouvernementales, les normes internationales et les réglementations sectorielles.

Pourquoi la conservation des données est-elle essentielle pour protéger vos données ?

La conservation des données est essentielle pour protéger les intérêts de votre entreprise et de vos clients. Les données d'entreprise contiennent souvent des informations très précieuses en cas de litige. Une structure complète de conservation des données peut permettre à votre entreprise d'économiser des frais juridiques importants et du temps en cas d'audit réglementaire, de problèmes fiscaux, de problèmes de personnel ou d'action en justice des consommateurs.

En outre, des stratégies efficaces de conservation des données permettent aux entreprises d'offrir un meilleur service client. L'utilisation de données d'archives pour générer des rapports permet d'identifier les tendances et de développer des processus commerciaux stratégiques. La conservation des données ne consiste donc pas seulement à préserver les enregistrements, mais également à établir une ressource pour la planification future.

Avec augmenté confidentialité des données À l’échelle mondiale, les réglementations relatives aux données sont devenues plus strictes et plus complexes. Bien que les lois sur les données varient selon les pays et les secteurs d’activité, les directives de base sur la conservation des données exigent que les entreprises décrivent les données qu’elles collectent, les raisons pour lesquelles elles les collectent, l’endroit où elles sont conservées et la durée de conservation.

Réglementation gouvernementale sur la conservation des données

Les lois sur la conservation des données varient considérablement d’un pays à l’autre, et même au sein d’un même pays, avec une intensité variable. Par exemple, en raison du système fédéral des États-Unis, les lois peuvent varier d’un État à l’autre. D’un autre côté, l’Union européenne, en tant qu’organisme supranational, définit certains des protocoles de données les plus stricts au monde. L’« effet Bruxelles », dans lequel les réglementations de l’UE provoquent un effet domino dans le monde entier, peut amener les entreprises basées ailleurs à continuer de respecter les règles de l’UE. Cela met en évidence une ligne directrice essentielle concernant la conservation des données : assurez-vous de respecter les normes de chaque pays dans lequel vous opérez.

Jetons un œil à quelques acteurs majeurs la conservation des données règlements.

États-Unis

Les exploitants d’entreprises doivent être conscients des lois fédérales et étatiques applicables telles que :

• Bank Secrecy Act (BSA de)
• Loi fédérale sur la gestion de la sécurité de l'information (FISMA)
• Loi sur la Commission fédérale du commerce (Loi FTC)
• Loi sur les normes de travail équitables (FLSA)
• Health Insurance Portability and Accountability Act (HIPAA)
• Internal Revenue Service (IRS)

La loi sur les enregistrements de transactions en communication électronique exige également que les fournisseurs de services conservent tous les enregistrements pendant 90 jours et les présentent si une entité gouvernementale le demande.

Suisse

Les exigences en matière de conservation des données en Suisse sont définies par plusieurs codes et ordonnances. Il s'agit notamment de la loi sur la protection des données, du code pénal, de la loi sur la taxe sur la valeur ajoutée et de l'ordonnance sur la comptabilité commerciale et la conservation des données.

Les lois sur la conservation des données exigent que les entreprises (y compris les sociétés dissoutes) conservent les données pendant 10 ans. Il existe une exigence de conservation de 20 ans pour les dossiers liés aux actifs immobiliers ayant des implications en matière de TVA.

Les numéros de téléphone mobile, les emplacements et les informations d'identification des appareils sont des données que les opérateurs mobiles doivent conserver pendant six mois. De même, les fournisseurs de services doivent conserver les données de courrier électronique, notamment les types de connexion, les identifiants, l'identification de l'utilisateur, le titre de l'e-mail et les adresses IP.

Union européenne

Le RGPD (Règlement général sur la protection des données) de l'UE met l'accent sur la destruction des données personnelles après la fin d'une période de consentement plutôt que sur l'imposition d'une période de conservation standard. La réglementation sur les données s'applique à toutes les transactions effectuées dans l'UE.

Les institutions ou les entreprises ne peuvent conserver les données personnelles permettant d'identifier une personne plus longtemps que nécessaire pour la finalité initiale de la collecte. Des exceptions existent dans le cas de données conservées à des fins scientifiques, historiques ou d'intérêt public ; les données anonymisées peuvent également être conservées indéfiniment.

Les informations collectées, utilisées ou stockées doivent être explicitement communiquées à la personne concernée. Selon le RGPD, toutes les organisations doivent également élaborer une politique de conservation des données détaillant leur processus de gestion des données personnelles. Les amendes en cas de violation peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, plus une éventuelle indemnisation du client pour les dommages.

Australie

En Australie, les politiques de conservation des données sont principalement axées sur les télécommunications à des fins de sécurité nationale et d'enquêtes criminelles. La réglementation australienne exige que les fournisseurs de services mobiles conservent les métadonnées pendant deux ans, notamment les informations sur le titulaire du compte, le type de communication, la durée, la localisation et les services de télécommunication.

En raison du développement des technologies et de l’évolution des modèles commerciaux, les entreprises de télécommunications ne conservent plus les données suffisamment longtemps. Le manque de données et la conservation inégale des données ont sérieusement entravé les enquêtes criminelles. De nouvelles lois ont donc été mises en place en 2017, avec des subventions disponibles pour aider les fournisseurs de services de télécommunications éligibles à se conformer aux réglementations en matière de conservation des données.

Normes internationales pour la conservation des données

L'ISO/CEI est un comité technique mixte qui normalise les normes relatives aux technologies de l'information et de la communication à l'échelle internationale. Les critères de réglementation des catégories de technologies de l'information et de la communication suivantes sont essentiels pour déterminer votre politique et vos stratégies de conservation des données.

ISO / IEC 27040

Les aspects de sécurité des informations des systèmes et infrastructures de stockage de données ont été négligés en raison d'une connaissance limitée de la technologie de stockage et d'une compréhension limitée des risques inhérents et des concepts de sécurité de base. Cette norme fournit des conseils techniques détaillés sur les techniques de stockage et de sécurité pour atténuer les violations de données, les modifications de configuration, le vol et autres abus de données et ainsi améliorer la protection de la conservation des données.

ISO 9001

La norme de qualité ISO 9001 porte sur la maintenance et la conservation des documents et des archives. Selon la norme, un document décrit ce que doit être fait. Comme cela peut changer, les documents sont conservés. Les enregistrements indiquent ce qui a été fait. Comme cela ne peut pas changer, ils sont conservés.

La norme définit les exigences de contrôle de ces informations, notamment le type de données, les approbations de révision des documents, la distribution des informations et le traitement des documents obsolètes.

ISO 17068: 2017

Cette norme concerne le référentiel tiers de confiance (TTPR) pour les documents numériques. Les exigences précisent les conditions auxquelles doivent satisfaire les services de conservation de données autorisés pour protéger de manière fiable les documents numériques en tant que source de preuve pendant les périodes de conservation prévues par la loi. Les réglementations s'appliquent aussi bien aux secteurs public que privé.

ISO / IEC 27001

La norme ISO/CEI 27001 se concentre sur la gestion de la sécurité de l'information pour répondre spécifiquement aux défis de la cybersécurité. Elle fournit un cadre pour la mise en œuvre d'un système de gestion de la sécurité de l'information afin de garantir la confidentialité et l'intégrité de toutes les données de l'entreprise pendant la période de conservation des données. Cela comprend les informations financières et relatives aux employés, la propriété intellectuelle et les données gérées par des tiers.

La norme comprend des lignes directrices pour les organisations afin de :

• Améliorer la résilience face aux cybermenaces
• Fournir un cadre de stockage de données géré de manière centralisée
• Répondre aux menaces de sécurité
• Protéger la confidentialité, la disponibilité et l'intégrité des données

Bien que non obligatoire, la certification aux normes ISO/CEI profite grandement aux organisations en rationalisant la conservation et la gestion des données, ainsi qu'en garantissant aux clients qu'ils répondent à certains critères de traitement des données.

Réglementation sectorielle concernant la conservation des données

Les secteurs d'activité ont des besoins différents en matière de données et, par conséquent, ils varient dans leur manière de collecter et de gérer les informations sensibles. Bien qu'un large éventail de directives sur le traitement des données s'applique à la plupart des secteurs d'activité, il existe également des réglementations sur les données qui s'appliquent très spécifiquement aux institutions financières, de santé et pharmaceutiques.

Norme de sécurité des données du secteur des cartes de paiement (PCI-DSS)

Les normes de sécurité PCI sont des exigences techniques et opérationnelles visant à sécuriser les données des titulaires de cartes de débit et de crédit contre le vol et la fraude. Ces normes s'appliquent à toute personne ou entreprise qui stocke, traite ou transmet des données de titulaires de cartes. La norme PCI-DSS comprend des réglementations pour les applications et les appareils utilisés dans le traitement des transactions.

Les journaux d'audit, la gestion des journaux et la conservation des journaux sont tous des aspects clés des exigences de la norme. Les journaux d'audit doivent être conservés pendant au moins 12 mois. D'autres bonnes pratiques pour maintenir la conformité et sécuriser les données stockées incluent l'installation de pare-feu, le chiffrement de bout en bout et les logiciels antivirus, ainsi qu'une surveillance stricte des accès.

La Californie Confidentialité des consommateurs Loi (CCPA)

La CCPA concerne les entreprises qui exercent leurs activités en Californie. Plus précisément, elle s'applique à celles qui ont un chiffre d'affaires annuel brut de 25 millions de dollars ou plus, qui traitent les informations personnelles de plus de 100,000 50 résidents californiens, ou à celles dont au moins XNUMX % des revenus proviennent de la vente des informations personnelles des résidents.

La CCPA donne aux consommateurs le contrôle sur les informations collectées par les entreprises, notamment en leur permettant de refuser le partage d'informations personnelles et de supprimer les données collectées. Elle donne également aux consommateurs le droit légal de savoir quelles informations une entreprise collecte et de limiter l'utilisation de ces informations collectées.

Loi Sarbanes-Oxley (SOX)

La loi SOX concerne l'enregistrement et la déclaration des activités financières des entreprises afin d'éviter les scandales comptables et les pertes financières des investisseurs. La loi s'applique à toute société cotée en bourse aux États-Unis.

La loi SOX exige la conservation des documents d'audit et de contrôle pendant sept ans après la conclusion de l'audit ou de la vérification. Dans certains cas, la loi exige la conservation permanente des dossiers.

Un système interne de sécurité des données et un contrôle des dossiers financiers sont essentiels pour garantir l'exactitude des rapports financiers. La loi exige qu'un auditeur indépendant vérifie l'exactitude des informations, notamment la solidité de la structure financière interne de l'entreprise.

Health Insurance Portability and Accountability Act (HIPAA)

Cette loi ne concerne pas exclusivement les dossiers médicaux, mais établit également des règles de conservation des données pour divers autres documents liés à la HIPAA relatifs aux entités couvertes et aux partenaires commerciaux. Il est important que, même si vous ne traitez pas spécifiquement de dossiers médicaux, vous vérifiiez si les données que vous capturez peuvent relever de la juridiction de la HIPAA.

La réglementation HIPAA exige que les entités couvertes et les partenaires commerciaux conservent la documentation spécifiée pendant au moins six ans. Le Bureau des droits civils (OCR) du ministère de la Santé et des Services sociaux (HHS) peut demander des documents à tout moment lors d'un audit d'une entité couverte ou d'un partenaire commercial.

Tenue de registres dans l'industrie agroalimentaire (FDA)

Selon l'endroit où les entreprises du secteur agroalimentaire opèrent dans la chaîne d'approvisionnement, elles peuvent être légalement tenues d'enregistrer, de conserver et de conserver des documents prouvant les pratiques appropriées du secteur. La documentation peut concerner :

• Secteur Industriel & Fabrication
• En cours
• Manutention et emballage
• Distribution et détention
• Réception et fournisseurs
• Acheteurs
• Activités internes

Ces enregistrements facilitent la traçabilité en cas d’irrégularités et de problèmes de sécurité alimentaire.

Conservation des documents dans l'industrie pharmaceutique

Les sociétés pharmaceutiques sont légalement tenues de conserver et de conserver la documentation relative à la fabrication, au traitement, au conditionnement, aux activités internes, à la distribution et aux acheteurs de chaque lot. Cela permet de suivre les lots en cas d'irrégularités.

Ces enregistrements de production, de contrôle et de distribution des lots doivent être conservés pendant au moins un an après la date d'expiration du lot. La période de conservation des données pour les médicaments en vente libre (OTC) sans date d'expiration est de trois ans après la distribution du lot.

La durée de conservation recommandée pour les essais cliniques et les lots de démonstration correspond au cycle de vie plus un an. Le cycle de vie fait référence à l'ensemble du processus, depuis les exigences des utilisateurs et la conception jusqu'à la réalisation, la qualification et la maintenance. Les dossiers de formation doivent être conservés pendant sept ans.

Simplifiez la conformité en matière de conservation des données avec SOLIX

Maintenir la conformité en matière de conservation des données peut être un défi, quel que soit votre secteur d'activité. Mais disposer de la bonne solution de gestion des données peut améliorer considérablement la conformité et l'accessibilité des données.

SOLIXCloud est une plateforme multi-cloud qui collecte, gère et régit la conservation des données d'entreprise. La plateforme est sécurisée, conforme et rentable. Grâce à des contrôles automatisés basés sur les rôles, vous pouvez restreindre l'accès aux données aux parties autorisées et mettre les données à la disposition des employés et des professionnels du droit concernés, où qu'ils se trouvent et à tout moment.

Contactez-nous aujourd'hui pour découvrir comment vous pouvez simplifier et rationaliser votre gestion des données, tout en réduisant les coûts et en améliorant la conformité aux réglementations en matière de conservation des données.