Accueil Dématérialisation GDPR : 41 % des PME européennes en infraction en conservant toutes...

GDPR : 41 % des PME européennes en infraction en conservant toutes les informations

Alors que le compte à rebours est en marche pour se mettre en conformité avec le nouveau règlement général sur la protection des données de l’UE (GDPR), les entreprises semblent perdues avec la conservation des données  : que faut-il garder, combien de temps, ou supprimer ? Dans le doute, elles ont tendance à tout garder…

La nouvelle réglementation générale européenne de protection des données, qui change la façon dont les entreprises peuvent collecter, utiliser et transférer les données personnelles, va s’appliquer en 2018. En cas de non conformité à la nouvelle législation, l’entreprise pourrait payer de lourdes pénalités, d’au maximum 4% du chiffre d’affaires annuel mondial ou jusqu’à 20 millions d’euros.

Une étude PwC/Iron Mountain montre qu’une PME sur dix (11%) dans l’UE archive ses informations sans tenir compte des recommandations de conditions de rétention et de protection des données, ce qui complique, voire rend impossible, l’identification des informations sensibles qu’il n’est pas légal de conserver indéfiniment. 89% des entreprises conservent tout, alors que les durées de conservation diffèrent selon les données. La plupart des entreprises conservent l’information pour pouvoir éventuellement la valoriser à l’avenir (89%) ou comme un filet de sécurité dans l’actuel contexte réglementaire qui devient de plus en plus complexe (87%). Beaucoup (42%) procèdent de la sorte pour s’assurer de pouvoir donner suite aux demandes d’investigation électronique (e-discovery). Mais l’Article 23 du nouveau règlement GDPR prévoit que les durées de rétention de tous types d’information (des e-mails aux messages instantanés, propositions et contrats) doivent être établies à compter de leur date de création. Par ailleurs, 55% des entreprises laissent leur salariés décider seuls de conserver ou pas un email. si bien que de nombreuses entreprises ignorent, ou sont dans l’incapacité de prouver si des informations sensibles ont bien été supprimées conformément aux réglementations.

4 PME européennes sur 10 n’appliquent pas les directives

4 entreprises de taille moyenne sur 10 (entre 250 et 2 500 salariés) en Europe conservent indifféremment toutes leurs archives, sans appliquer les directives de rétention officielles. Les entreprises de plus de dix ans sont celles qui ont le plus tendance à amasser les données (57%). A l’inverse les entreprises en activité depuis moins de dix ans recherchent plus volontiers les conseils d’experts pour les aider à se mettre en conformité avec les règles de rétention : un peu plus d’un tiers (35%) reconnaissent solliciter des conseils juridiques et agir en conséquence, tandis que 29% confient la gestion de leurs règles de rétention à une tierce partie.  » Il est compliqué, pour de nombreuses entreprises européennes, de savoir quelles informations conserver et pour quelle durée, étant donné que différentes règles s’appliquent à différents types d’information dans différents pays. Il est aussi risqué de conserver des archives trop longtemps, comme des données personnelles ou des candidatures non retenues à un poste, que de décider de les détruire trop tôt, comme dans le cas d’échanges par e-mail ou de dossiers médicaux qui peuvent être exigés dans le cadre de poursuites, soutient Arnaud Revert, président directeur général d’Iron Mountain France. Sans surprise, bon nombre d’entreprises préfèrent tout conserver. Mais cette pratique ne peut plus durer, surtout dans le cas d’informations personnelles. Dès 2018, les entreprises vont devoir prouver que chaque information qu’elles créent, est assortie d’une date de fin de vie. Et Arnaud Revert de conclure que « les entreprises de toute taille vont donc devoir faire le point et savoir ce qu’elles détiennent, où se trouvent exactement les informations et combien de temps elles sont autorisées à les conserver « ,