A l'occasion de la Journée européenne de la protection des données, vendredi 28 janvier 2011, l'iunstitut Work Research s'este penché pour Iron Mountain sur les pratiques dans les entreprises de taille moyenne. Les conclusions de l'étude montrent l’existence d’un écart important entre l’état d’esprit des décideurs en entreprise et les comportements dans la pratique, en particulier dans les organisations de taille moyenne.

Pour améliorer le niveau de sécurité des données dans les entreprises, voici la check-list des cinq questions à se poser pour les entreprises et cinq pour leurs employés :

Photo : © Shutterstock

Cinq questions que les entreprises doivent se poser :

1. Mes informations physiques et mes données sont-elles archivées en toute sécurité ?
Dans l’idéal, les informations doivent être stockées sur un autre site, à l’abri des fuites accidentelles et des sinistres (incendie, dégât des eaux, cambriolage). Si l’entreprise préfère les conserver sur son site, elle doit passer régulièrement en revue son dispositif de sécurité physique, ce qui peut poser des problèmes particuliers aux PME. Pour nombre d’entre elles, mieux vaut sans doute s’adresser à un tiers de confiance pour le stockage, la gestion et la destruction des données en conformité avec une législation de plus en plus complexe et stricte.

2. Suis-je conscient des périodes de conservation légale qui s'appliquent à mes données? Les entreprises doivent adhérer à une multitude de réglementations européennes, nationales et professionnelles en matière de maintenance et de conservation des documents. Déterminer quels documents doivent être conservés et pour combien de temps permet d’être en règle et élimine le risque de détruire des pièces trop tôt, de ne pas être en mesure de les produire tout en évitant de garder tout et n’importe quoi.

3. Ai-je une stratégie techniquement solide pour récupérer les données après un sinistre?
Que ce soit suite à une effraction, une panne de serveur, une inondation ou un incendie, une perte irrémédiable de données peut menacer l'existence d'une entreprise. Les organisations doivent donc développer une stratégie fiable de reprise d’activité. Cela peut impliquer, par exemple, stocker les données du serveur sur des bandes conservées dans un centre d'archivage externe. De plus en plus de petites et moyennes entreprises découvrent également les possibilités offertes par le Cloud pour sauvegarder leurs informations.

4. Votre entreprise dispose-t-elle d’une politique de sécurité ?
L’accès aux informations sensibles doit être minutieusement réglé et nécessite donc une politique particulière qui couvre tous les aspects, par exemple la sécurité dans les échanges de dossiers avec un prestataire de services externe, la sauvegarde et le chiffrement des informations ou encore l’authentification des salariés. Cela vaut également pour les informations sorties du site, par exemple par des collaborateurs travaillant à domicile. Le stockage, l’archivage, la gestion et la restauration des informations doivent être sécurisées. La méthode consistant à empiler des cartons dans des armoires ou sous des escaliers ne satisfait pas à ces critères.

5. Mon personnel reçoit-il régulièrement des informations concernant la politique de sécurité de l’entreprise et le traitement des données sensibles?
Une fuite ou perte résultant d’un acte de malveillance, d’un manque d’efficacité ou d’une erreur humaine peut exposer clients et fournisseurs à des risques de vol d’identité et de fraude, et rendre l’entreprise vulnérable. Les employés qui manipulent les informations doivent avoir reçu la formation adéquate et être conscients des exigences de l’entreprise en matière de sécurité. L’ensemble doit s’appuyer sur des procédures de traitement et de stockage des données communiquées clairement dans toute l’entreprise.

Cinq questions que les employés devraient se poser :

1. Sais-je comment accéder à toutes les données dont j’ai besoin pour mon travail ? Selon l'AIIM (Association for Information and Image Management), 72% des entreprises considèrent qu’il est plus difficile de trouver des informations qu'elles possèdent que des informations qu'elles n'ont pas. Un mauvais classement des données peut impacter l'efficacité au travail et augmenter le risque de perte.

2. Suis-je au courant des restrictions qui s'appliquent au transfert des données auxquelles j’ai accès?
Les employés doivent être conscients de la responsabilité qui leur incombe en matière de gestion des données sensibles. Il est donc important pour tous d’être informés de ce qui peut être communiqué et de ce qui est confidentiel.

3. Suis-je au courant des politiques de ma société en matière de protection des données?
Pour être efficace, la politique de sécurité doit être transmise aux employés.

4. Est-ce que je traite les données sensibles avec diligence sur mon lieu de travail?
Avec les clés USB, les smartphones ou le succès des réseaux sociaux, l'ère du numérique impose de nouvelles exigences de rigueur .

5. Y a-t-il matière à amélioration concernant la protection des données ?
Les employés ont, eux aussi, toute légitimité à remettre les politiques de sécurité en question. Des collègues vigilants peuvent découvrir des vulnérabilités potentielles et ainsi soutenir de manière proactive leurs employeurs dans l'optimisation de la politique de protection des données.

L’enquête sur les tendances en matière de gestion de l’information a été réalisée pour Iron Mountain par Work Research, un institut de recherche indépendant basé au Royaume-Uni. Elle a été menée auprès de 900 décideurs dans six pays : France, Royaume-Uni, Espagne, Allemagne, Pays-Bas et Hongrie. Les entreprises concernées étaient de taille moyenne, avec un effectif variant de 25 à 2500 employés. L’étude a couvert les principaux aspects de la gestion de l'information, y compris la gestion des données, des documents papier, la dématérialisation, l’indexation et la destruction sécurisée.