Pourquoi l'effacement des données reste important pour le RGPD

jeudi 20 février 2020 by Mikey Anderson

hard-drive-opened

L'introduction du RGPD en 2018 a placé les stratégies de destruction et d'effacement des données au premier plan de la réflexion stratégique de l'entreprise. Le risque d'amendes punitives pour non-conformité et responsabilité incombant désormais à l'équipe de direction, pour certaines organisations, le stockage des données est clairement une des priorités depuis plusieurs années.

L'introduction du RGPD en 2018 a placé les stratégies de destruction et d'effacement des données au premier plan de la réflexion stratégique de l'entreprise. Le risque d'amendes punitives pour non-conformité et responsabilité incombant désormais à l'équipe de direction, pour certaines organisations, le stockage des données est clairement une des priorités depuis plusieurs années.

Connaître le problème et prendre des mesures pragmatiques pour le résoudre sont deux choses différentes. Le problème est que, même aujourd'hui, les organisations ne savent pas toujours où se trouvent leurs données, donc répondre aux demandes d'accès (SAR) des informations personnelles peut être un processus compliqué, long et coûteux. En vertu de l'article 17 du RGPD, les organisations doivent être en mesure de prouver qu'elles peuvent effacer les données de manière permanente et adéquate.

Comment effacer les données correctement

N'oubliez pas que la suppression de données ou le reformatage de supports magnétiques (y compris les disques durs et les bandes) ne suffit pas pour garantir que les mauvaises données personnelles ne résident pas quelque part dans l'entreprise. Lorsqu'une organisation supprime des données de n'importe quel type de support, la récupération est possible, même lorsque le matériel est endommagé par une inondation ou un incendie.

Heureusement, il existe de nombreuses solutions logicielles qui nettoient complètement les appareils afin qu'ils puissent être réutilisés, revendus ou recyclés en toute sécurité. Certaines solutions n'effacent que des fichiers spécifiques et ciblés, des solutions d'effacement plus permanentes, telle que la démagnétisation, rend le support magnétique complètement illisible (et inutilisable).

Le risque des disques physiques

Une autre source importante d'incertitude concerne les disques physiques, qui ont tendance à être recyclés et réutilisés par des entreprises cherchant à limiter les coûts de stockage. Sans utiliser les bons outils et logiciels d'effacement des données, les entreprises ne peuvent pas être sûres à 100% de la destruction des données sensibles de leurs médias.

Les utilisateurs ignorent les risques

Dans une enquête auprès de 2000 consommateurs britanniques, nous avons constaté que de nombreux utilisateurs ne sont pas conscients des dangers que représente l’absence de sauvegarde des données ou le recyclage approprié de leurs appareils. Plus d'un répondant sur 10 (11%) admet ne pas savoir si les données sont définitivement supprimées lorsqu'il recycle ou jette de vieux téléphones portables, tablettes ou ordinateurs.

Seulement 32% ont déclaré avoir régulièrement sauvegardé les données sur leurs appareils électroniques, laissant 68% risquer la perte d'informations personnelles et beaucoup plus laissant des données sur leur appareil lorsqu'elles sont perdues, endommagées, revendues ou éliminées.

Enquêtes Forensique

Le monde a vu une prolifération de gadgets, des smartphones aux iPads en passant par les assistants numériques activés par la voix, les téléviseurs et les réfrigérateurs qui peuvent tout enregistrer et transmettre des données. Les capteurs industriels et les caméras de vidéosurveillance aident également à produire des données si volumineuses et complexes qu'une nouvelle approche est nécessaire pour stocker, sécuriser et effacer à la demande des individus.

Les experts en informatique judiciaire peuvent utiliser des données dans le cadre d’une affaire pénale. Par exemple des procureurs ont constaté que les données Fitbit d’une femme assassinée ne correspondaient pas à l’alibi de son mari. À partir des emplacements suivis par le support Fitbit et le moniteur d'activité, les enquêteurs ont pu produire une chronologie montrant qu'elle n'était pas là où son mari avait dit qu'elle était au moment de son meurtre.

L'affaire sert à démontrer qu'un expert en informatique judiciaire déterminé sera en mesure de récupérer les données de presque tous les appareils, à presque toutes les étapes de délabrement. Nos nombreuses études au fil des ans sur les appareils jetés ou recyclés montrent qu'un manque de réflexion est souvent appliqué, laissant les individus et les organisations pour lesquels ils travaillent sous un niveau de risque sévère.

L'effet GDPR

L'introduction de la législation GDPR signifie que les entreprises des secteurs privé et public doivent prouver qu'elles effacent les données conformément aux lignes directrices et montrer qu'elles sont pleinement responsables du suivi, de l'examen et de l'évaluation des procédures de traitement pertinentes.

Toutes les organisations doivent montrer leur volonté de minimiser le traitement des données et la conservation inutile ainsi que de montrer qu'elles intègrent des garanties pour toutes les activités liées aux données.

La mise en place d'une politique d'effacement de bout en bout présente plusieurs avantages commerciaux, ceux-ci inclus:

  • Coût - Le stockage des données, physiques et virtuelles, coûte cher. La possibilité d'effacer les données en toute sécurité permet aux entreprises de recycler et de réutiliser les supports de stockage sans craindre de placer par inadvertance des données sensibles entre les mains d'autrui.
  • Sécurité - Les organisations comprennent souvent mal les différences entre la suppression et l'effacement. Les entreprises doivent comprendre que la suppression n'est pas permanente, alors que l'effacement l'est.
  • Rester à jour - L'accent mis sur la conservation et l'effacement des données n'est pas nouveau (PCI DSS, ISO 270001), mais à mesure que le monde devient de plus en plus dépendant des données, les sentiments d'une réglementation plus ciblée sont appliqués au monde entier. Le RGPD couvre des aspects essentiels comme la mondialisation ou les développements technologiques modernes, tels que Facebook, Twitter, Google+ et d'autres plateformes de médias sociaux. La législation englobe de nouvelles façons de communiquer à l'ère numérique - et les informations ultérieures générées par notre interaction avec elle.

Pour de nombreuses organisations, le RGPD a été une excellente raison d'appliquer la gestion des meilleures pratiques à leurs stratégies de stockage de données. Malheureusement, certaines organisations sont toujours dans la confusion concernant les pratiques sécurisées d'effacement des données, ce qui entraîne la fuite de données personnelles sensibles.

Contacter un spécialiste de l'effacement tel qu'Ontrack garantira que votre organisation dispose de protocoles de destruction de données rigoureux. Sans ces protocoles, votre entreprise pourrait encourir de lourdes amendes et nuire à sa réputation.