Lors d’une étude réalisée avec PwC[i], Iron Mountain a découvert qu’une PME sur dix (11%) dans l’UE, archive ses informations sans tenir compte des recommandations de conditions de rétention et de protection des données, ce qui complique, voire rend impossible, l’identification des informations sensibles qu’il n’est pas légal de conserver indéfiniment.

89% des entreprises conservent tout et pourtant les durées de conservation diffèrent

Il ressort de l’étude que la plupart des entreprises conservent l’information pour pouvoir éventuellement la valoriser à l’avenir (89%) ou comme un filet de sécurité dans l’actuel contexte réglementaire qui devient de plus en plus complexe (87%). Beaucoup (42%) procèdent de la sorte pour s’assurer de pouvoir donner suite aux demandes d’investigation électronique (e-discovery).

Mais l’Article 23 du nouveau règlement GDPR prévoit que les durées de rétention de tous types d’information (des e-mails aux messages instantanés, aux propositions et contrats) doivent être établies à compter de leur date de création.

Ainsi, une approche non structurée de la rétention des archives peut exposer les entreprises à des risques, avec à la clé des sanctions potentiellement très lourdes. Le défaut de conformité à la nouvelle législation pourrait entraîner des pénalités d’au maximum 4% du chiffre d’affaires annuel mondial ou jusqu’à 20 millions d’euros, prenant en compte le montant le plus élevé.

55% des entreprises laissent leur salariés décider seuls de conserver ou pas un email

Des entreprises dépourvues de règles et processus ou qui n’informent pas correctement leurs salariés sur les directives à appliquer, prennent le risque que ceux-ci fassent comme bon leur semble. Une étude mondiale réalisée par l’AIIM[ii], communauté mondiale représentative des professionnels de l’information, a démontré que plus de la moitié (55%) des entreprises interrogées dans le monde, laissent leurs salariés décider seuls d’enregistrer ou de supprimer les e-mails, si bien que de nombreuses entreprises ignorent, ou sont dans l’incapacité de prouver, si des informations sensibles ont bien été supprimées conformément aux réglementations.

« Il est compliqué, pour de nombreuses entreprises européennes, de savoir quelles informations conserver et pour quelle durée, étant donné que différentes règles s’appliquent à différents types d’information dans différents pays. Il est aussi risqué de conserver des archives trop longtemps, comme des données personnelles ou des candidatures non retenues à un poste, que de décider de les détruire trop tôt, comme dans le cas d’échanges par e-mail ou de dossiers médicaux qui peuvent être exigés dans le cadre de poursuites. Sans surprise, bon nombre d’entreprises préfèrent tout conserver. Mais cette pratique ne peut plus durer, surtout dans le cas d’informations personnelles. Dès 2018, les entreprises vont devoir prouver que chaque information qu’elles créent, est assortie d’une date de fin de vie. Les entreprises de toute taille vont donc devoir faire le point et savoir ce qu’elles détiennent, où se trouvent exactement les informations et combien de temps elles sont autorisées à les conserver. Nous recommandons aux entreprises de s’adjoindre les conseils d’experts », déclare Arnaud Revert, président directeur général d’Iron Mountain France.

Les entreprises les plus anciennes sont plutôt celles qui conservent tout

Iron Mountain et PwC ont découvert[iii] que les entreprises de plus de dix ans sont celles qui ont le plus tendance à amasser les données (57%) et qu’à l’inverse les entreprises en activité depuis moins de dix ans recherchent plus volontiers les conseils d’experts pour les aider à se mettre en conformité avec les règles de rétention : un peu plus d’un tiers (35%) reconnaissent solliciter des conseils juridiques et agir en conséquence, tandis que 29% confient la gestion de leurs règles de rétention à une tierce partie.

[i] PwC et Iron Mountain, Beyond Good Intentions, http://www.ironmountain.co.uk/Knowledge-Center/Reference-Library/View-by-Document-Type/White-Papers-Briefs/1/2014-PwC-Reports.aspx

[ii] Rapport 2013 “AIM Industry Watch : Information Governance – records, risks and retention in the litigation age”

[iii] PwC et Iron Mountain, Beyond Awareness : the Growing Urgency for Data Management in the European Mid-market, disponible ici : http://ironmountain.co.uk/Risk-Management/ .