Débutons cet article par décrire ce qu’est le Records Management (aussi Data Management, gestion du cycle de vie et de l’archivage des données en français) : il s’agit du processus complet de gestion des données utilisées par les différents métiers, de leur création à leur suppression. Toutes les entreprises n’ont pas un département dédié au Records Management, et encore moins une politique de Records Management, mais toutes mettent déjà certains de ses principes en pratique. En effet, disposer de procédures décrivant quelles données doivent être sauvegardées, où elles doivent l’être et comment, revient à faire du Records Management. Ainsi, une entreprise fournissant des services financiers devra répondre à de fortes contraintes réglementaires concernant les traces des transactions effectuées ; de même une société manipulant des données personnelles doit être capable de maîtriser complètement ces données et d’imputer les actions qui peuvent leur être associées.
Pourquoi le sujet du Records Management nous intéresse-t-il si particulièrement ? Il a grandement gagné en importance ces deux dernières années avec la publication du RGPD (Règlement général sur la protection des données, ou GDPR en anglais). Ce règlement est en réalité une opportunité pour les entreprises de transformer un sujet de conformité en un indéniable atout métier qui doit être traité aux niveaux les plus stratégiques.
Avoir une cartographie des données de l’entreprise, détaillant leurs lieux de stockage, les finalités des traitements associés et les processus auxquels elles sont associées permettra d’améliorer les résultats opérationnels et sera l’une des clés pour améliorer la performance des entreprises.
La première étape de la formalisation du Records Management passe bien évidement la mise en conformité au RGPD. Les actions menées apporteront de la clarté aux métiers sur leurs activités, de l’information sur ce qui doit être protégé au département traitant de la Sécurité, de l’information aux clients sur le traitement de leurs données. Ces derniers n’en seront que plus satisfaits dans un contexte où la transparence et le contrôle de l’information relatif à leurs données sont des facteurs clés de la confiance accordée à l’entreprise et de sa valeur perçue.
Cette cartographie des données sera alors un vecteur pour la réduction des coûts de stockage et de sécurité de l’information. En effet, les informations essentielles et critiques devant être maintenues et protégées seront clairement identifiées et différenciées de celles qui ne le sont pas et ne nécessiteront pas de mécanismes de protection onéreux.
Par où commencer ? Il n’est pas nécessaire de faire appel à une armée d’experts en Records Management pour atteindre les objectifs fixés. Il s’avère que les métiers et leurs employés, ayant acquis un précieux savoir au fil des années sur le fonctionnement de l’entreprise, ses traitements et processus seront les plus grands atouts dans la définition du Records Management.
Trois étapes sont nécessaires pour définir et implémenter une stratégie de Records Management (ou Data Management) pour les entreprises :
- Créer une politique de Records Management
- Créer un registre des applications et et des partenaires en usage au sein de l’entreprise (registre pouvant être basé sur le catalogue de services)
- Implémenter la politique de Records Management sur les applications et services identifiés afin de gagner en efficacité et faire des économies
La politique de Records Management
Chaque métier a des raisons différentes (légales, réglementaires, opérationnelles, etc.) de conserver des archives et ces données. Par exemple, un service client pourrait avoir la nécessité d’enregistrer les conversations téléphoniques à des fins de qualité ou de formation, de la même manière que dans un contexte de transaction financière elle devra enregistrer les conversations téléphoniques de ses employés, pour être en conformité avec la réglementation (MiFID).
La politique de Records Management devra donc couvrir l’ensemble de ces besoins.
Chaque entité se doit d’être en mesure de préciser les types de données traitées, ainsi que les caractéristiques de son stockage, afin que la politique puisse être construite efficacement suite à des entretiens ciblés avec des responsables métiers expérimentés.
Une fois l’inventaire des différents types d’archivages obtenus, il conviendra de peser les différents impératifs (légaux, réglementaires et opérationnels) pour déterminer la période de rétention adéquate pour chacun des types d’archivages :
- La réglementation impose habituellement une durée minimale (par exemple, l’enregistrement audio des conversations est de 5 ans minimum avec MiFID II) ;
- La législation fixe de son côté une durée de rétention minimale ou maximale (par exemple, la CNIL demande de ne pas conserver les données personnelles plus longtemps que le temps nécessaire au traitement).
La politique de Records Management doit ainsi contenir le type des données archivées, les durées et raisons de rétention.
Le registre des applications et des partenaires
Une fois la politique de Records Management définie, la prochaine étape sera de la décliner sur les différents Systèmes d’Information de l’entreprise. Pour cela, la première brique de cette implémentation sera la construction d’une vue descendante (top-down en anglais) de l’ensemble des applications en service, via une consultation globale des équipes IT, RH, métiers et de sourcing. La revue de ces applications par les équipes Sécurité et de Direction sera alors nécessaire pour deux raisons :
- Vérifier que cette liste est cohérente avec les applications ajoutées dans le radar des équipes Sécurité suite aux demandes des utilisateurs ;
- Donner de la visibilité sur le Shadow IT en usage.
Cette liste finalisée et revue sera alors un ciment solide pour l’implémentation de la politique de Records Management de l’entreprise. L’organisation pourra ainsi tirer parti de la complétude de cette liste pour échanger régulièrement avec les équipes IT, RH, métiers et de sourcing, permettant de réduire le risque de perte de données au travers d’applications ou de partenaires non supervisés.
Il sera par la suite nécessaire de cartographier les systèmes d’information avec les différents types d’archives, leurs impératifs et leurs caractéristiques de rétention afin de pouvoir implémenter la politique de Records Management.
Implémentation de la politique de Records Management
Avoir défini sa politique de Records Management, la cartographie des archives dans le SI n’aura été qu’un exercice de conformité réglementaire si elle n’est pas appliquée par la suite. C’est effectivement l’implémentation de la politique qui apportera toute la valeur ajoutée en termes de performance et d’économies pour l’organisation.
Un exemple parlant est celui des sauvegardes de restauration. Il est possible de définir comme seule finalité pour ces sauvegardes la restauration des données perdues en cas d’incident majeur sur le réseau de l’entreprise. Dans ce cas, il faudra alors décrire dans la politique que la durée de rétention est d’une semaine pour les sauvegardes journalières, pas plus d’un mois pour les sauvegardes hebdomadaires, pas plus d’un an pour les sauvegardes mensuelles, etc. Mettre en place ce type de politique permettra d’économiser énormément d’espace de stockage et apportera de la clarté sur la gestion des sauvegardes aux équipes opérationnelles. Evidemment, il faut en parallèle ségréguer les enregistrements devant rester sauvegardés plus longuement pour des raisons opérationnelles, réglementaires et légales.
Les entreprises n’ayant pas défini de politique de Records Management auront des difficultés à valider les périodes de rétention pour les différents traitements. Elles auront également tendance à définir des périodes de rétention trop longues générant des coûts inutiles et induisant potentiellement un risque légal pour l’entreprise. Pour reprendre l’exemple des sauvegardes de restauration, si ces données sont stockées sans protection (chiffrement par exemple) et volées alors qu’elles n’avaient plus d’intérêt pour leur finalité initiale de restauration, elles seront exploitables par un tiers malveillant et leur divulgation implique divers risques pour l’entreprise.
Une fois l’implémentation de la politique de Records Management lancée, il est recommandé de revoir les diverses stratégies de l’entreprise liées à celle-ci : Sécurité de l’information, juridique, conformité, métier, etc. afin de les aligner et de les compléter grâce à cette nouvelle connaissance sur les données et traitements de l’entreprise. Des bénéfices additionnels pourront en être tirés au-delà du domaine du Records Management : concentration de la sécurité de l’information sur les données sensibles, identification des traitements les plus à risque pour l’entreprise afin de les sécuriser, d’en identifier une alternative moins sensible, voire de les interrompre en cas de fort impact potentiel dû à un manque de conformité.
Les gains que l’entreprise peut espérer d’une stratégie de Records Management claire et formalisée sont maintenant plus évidents : conformité avec les réglementations et lois sur la protection des données, meilleure performance opérationnelle, et actions de sécurité de l’information mieux ciblées. Afin de maximiser ces bénéfices, il est important d’intégrer le juridique, la conformité, la sécurité de l’information et la stratégie métier dans cette initiative : ils créeront les synergies nécessaires à la réussite du projet.