L'introduction du RGPD en 2018 a placé les stratégies de destruction et d'effacement des données au premier plan de la réflexion stratégique de l'entreprise. Le risque d'amendes punitives pour non-conformité et responsabilité incombant désormais à l'équipe de direction, pour certaines organisations, le stockage des données est clairement une des priorités depuis plusieurs années.
Connaître le problème et prendre des mesures pragmatiques pour le résoudre sont deux choses différentes. Le problème est que, même aujourd'hui, les organisations ne savent pas toujours où se trouvent leurs données, donc répondre aux demandes d'accès (SAR) des informations personnelles peut être un processus compliqué, long et coûteux. En vertu de l'article 17 du RGPD, les organisations doivent être en mesure de prouver qu'elles peuvent effacer les données de manière permanente et adéquate.
N'oubliez pas que la suppression de données ou le reformatage de supports magnétiques (y compris les disques durs et les bandes) ne suffit pas pour garantir que les mauvaises données personnelles ne résident pas quelque part dans l'entreprise. Lorsqu'une organisation supprime des données de n'importe quel type de support, la récupération est possible, même lorsque le matériel est endommagé par une inondation ou un incendie.
Heureusement, il existe de nombreuses solutions logicielles qui nettoient complètement les appareils afin qu'ils puissent être réutilisés, revendus ou recyclés en toute sécurité. Certaines solutions n'effacent que des fichiers spécifiques et ciblés, des solutions d'effacement plus permanentes, telle que la démagnétisation, rend le support magnétique complètement illisible (et inutilisable).
Une autre source importante d'incertitude concerne les disques physiques, qui ont tendance à être recyclés et réutilisés par des entreprises cherchant à limiter les coûts de stockage. Sans utiliser les bons outils et logiciels d'effacement des données, les entreprises ne peuvent pas être sûres à 100% de la destruction des données sensibles de leurs médias.
Dans une enquête auprès de 2000 consommateurs britanniques, nous avons constaté que de nombreux utilisateurs ne sont pas conscients des dangers que représente l’absence de sauvegarde des données ou le recyclage approprié de leurs appareils. Plus d'un répondant sur 10 (11%) admet ne pas savoir si les données sont définitivement supprimées lorsqu'il recycle ou jette de vieux téléphones portables, tablettes ou ordinateurs.
Seulement 32% ont déclaré avoir régulièrement sauvegardé les données sur leurs appareils électroniques, laissant 68% risquer la perte d'informations personnelles et beaucoup plus laissant des données sur leur appareil lorsqu'elles sont perdues, endommagées, revendues ou éliminées.
Le monde a vu une prolifération de gadgets, des smartphones aux iPads en passant par les assistants numériques activés par la voix, les téléviseurs et les réfrigérateurs qui peuvent tout enregistrer et transmettre des données. Les capteurs industriels et les caméras de vidéosurveillance aident également à produire des données si volumineuses et complexes qu'une nouvelle approche est nécessaire pour stocker, sécuriser et effacer à la demande des individus.
Les experts en informatique judiciaire peuvent utiliser des données dans le cadre d’une affaire pénale. Par exemple des procureurs ont constaté que les données Fitbit d’une femme assassinée ne correspondaient pas à l’alibi de son mari. À partir des emplacements suivis par le support Fitbit et le moniteur d'activité, les enquêteurs ont pu produire une chronologie montrant qu'elle n'était pas là où son mari avait dit qu'elle était au moment de son meurtre.
L'affaire sert à démontrer qu'un expert en informatique judiciaire déterminé sera en mesure de récupérer les données de presque tous les appareils, à presque toutes les étapes de délabrement. Nos nombreuses études au fil des ans sur les appareils jetés ou recyclés montrent qu'un manque de réflexion est souvent appliqué, laissant les individus et les organisations pour lesquels ils travaillent sous un niveau de risque sévère.
L'introduction de la législation GDPR signifie que les entreprises des secteurs privé et public doivent prouver qu'elles effacent les données conformément aux lignes directrices et montrer qu'elles sont pleinement responsables du suivi, de l'examen et de l'évaluation des procédures de traitement pertinentes.
Toutes les organisations doivent montrer leur volonté de minimiser le traitement des données et la conservation inutile ainsi que de montrer qu'elles intègrent des garanties pour toutes les activités liées aux données.
La mise en place d'une politique d'effacement de bout en bout présente plusieurs avantages commerciaux, ceux-ci inclus:
Pour de nombreuses organisations, le RGPD a été une excellente raison d'appliquer la gestion des meilleures pratiques à leurs stratégies de stockage de données. Malheureusement, certaines organisations sont toujours dans la confusion concernant les pratiques sécurisées d'effacement des données, ce qui entraîne la fuite de données personnelles sensibles.
Contacter un spécialiste de l'effacement tel qu'Ontrack garantira que votre organisation dispose de protocoles de destruction de données rigoureux. Sans ces protocoles, votre entreprise pourrait encourir de lourdes amendes et nuire à sa réputation.
Pour plus d'informations, rendez-vous sur