Faire le tri | KPMG | CA
close
Share with your friends
vortex

Faire le tri

Faire le tri

Le monde moderne croule sous les données. Des zettaoctets d'informations sont produits chaque année, et on estime que ce volume s'élèvera à 55 zettaoctets d'ici 2020[1] (pour donner une idée, un zettaoctet équivaut à 44 billions de gigaoctets).​

La croissance fulgurante du volume de données n'est pas l'unique problème : c'est plutôt la hausse des coûts et des risques liés à la gestion sécuritaire de ces données qui pousse de nombreuses organisations à réexaminer les données qu'elles possèdent réellement (souvent dans une fiducie pour le compte d'un client, d'un employé ou d'un tiers), celles qui valent la peine d'être conservées et celles qui ne font qu'occuper de l'espace et sont susceptibles d'engager la responsabilité de la société. Bien que seule une fraction des données détenues par la plupart des organisations revêtent une réelle valeur commerciale, juridique ou historique, la quantité de données à prendre en compte est colossale.

« De nos jours, les organisations recueillent, organisent et conservent tellement de données qu'une puissance informatique et une main-d'œuvre accrues sont nécessaires pour gérer ces données de façon à mettre à profit leur valeur », affirme Nicole Godin, directrice du groupe Enquêtes technologiques de KPMG au Canada. « Il en résulte que les organisations examinent franchement ce dont elles ont vraiment besoin, ce qu'elles possèdent réellement et ce dont elles peuvent se débarrasser. »

Assurément, même si la valeur des données ne peut être contestée, il ne faut pas négliger les coûts et les risques liés au stockage de chacun des éléments de données disponibles pour une période indéterminée. Un volume important de données va de pair avec la possibilité accrue de fuites ou de vols; de même, la conservation à outrance de données confidentielles ou autrement sensibles expose les organisations à des responsabilités juridiques et à une atteinte à leur réputation.

Les arguments appuyant la suppression légitime​

Qu'elles servent à orienter les stratégies d'entreprise, à identifier les segments de la clientèle ou à prédire les tendances des marchés, il n'y a aucun doute : les données sont un actif essentiel de l'entreprise. Toutefois, alors qu'à une époque, on pouvait soutenir que chaque octet compte, ce n'est désormais plus le cas si les risques liés à la conservation des données excèdent leur valeur pour l'organisation.

Pour gérer les ressources et atténuer les risques, les organisations doivent déterminer quelles informations (liées à l'exploitation, aux clients, aux fournisseurs, etc.) revêtent une réelle valeur pour leurs services, quelles informations doivent être conservées, quelles sont les exigences légales et réglementaires qui s'appliquent en matière de rétention et de conservation, et quelles données peuvent être supprimées de façon permanente sans que des répercussions soient subies ultérieurement.

C'est là que la suppression légitime fait son entrée, processus adopté par un nombre croissant d'organisations, alors qu'évoluent les lois sur la protection de la vie privée, les obligations juridiques et les attentes des clients en matière de collecte de données.

« Plusieurs raisons expliquent pourquoi les organisations se livrent à cet exercice, notamment le coût total faramineux de la conservation des données», soutient Nicole Godin. « Étant donné qu'autant d'informations sont recueillies et stockées par les entreprises, ajoute-t-elle, il devient de plus en plus difficile pour les dirigeants de trouver les données dont ils ont besoin au moment où ils en ont besoin. Le prix de l'extraction d'une certaine valeur de ces données ne cesse d'augmenter, tout comme les risques entourant la conservation de données inutiles ou sensibles qui sont soit inexactes, soit désuètes. »

« En outre, ajoute-t-elle, la réduction du volume de données stockées est pertinente du point de vue de la sécurité : plus le contenu à gérer est volumineux, plus il est probable qu'il fasse l'objet de fuites ou devienne la cible de cybermenaces. »

Conserver la valeur, éliminer le risque​

La plupart des organisations possèdent un sous-ensemble de données qui doivent être mises en suspens pour des raisons juridiques conformément à la réglementation et aux engagements pris à l'égard des clients. La suppression légitime a pour objectif à la fois d'identifier ces données et de mettre en place des contrôles pour les garder en sûreté, facilement accessibles et à l'abri de la suppression. Ce faisant, les organisations peuvent répondre rapidement aux demandes concernant ces données en cas de litige, d'enquête ou de vérification, et se protègent efficacement des sanctions pécuniaires ou d'autres répercussions.

« Si on demande à une organisation de fournir un élément de preuve et qu'elle ne s'est pas livrée au processus de suppression légitime, elle sera tenue de passer au crible un important volume de données en peu de temps pour localiser ce qu'il lui est précisément demandé de produire dans ce vaste sous-ensemble de données », indique Nicole Godin. « Une quantité considérable de ressources et d'efforts sont nécessaires à cette fin, surtout si l'organisation est tenue d'examiner des copies multiples, des versions papier, d'anciens systèmes, des sauvegardes, des archives, le contenu du nuage, des appareils mobiles, etc. »

Si l'organisation n'est pas en mesure de présenter les données demandées, ou si elle n'est pas en mesure de le faire en temps opportun, les tribunaux pourraient tirer une conclusion défavorable selon laquelle les données auraient été favorables à l'autre partie, ou selon laquelle cet élément de preuve ne peut être cité sur un sujet donné.

Lâcher prise​

Les règles de conservation des données existent depuis des années. Une préoccupation croissante concernant la protection d'informations personnelles et hautement sensibles a toutefois contraint les organismes de réglementation à se pencher plus attentivement sur les contrôles et les règles régissant la conservation, la suppression et la reconstitution de ces données de grande valeur.

Par conséquent, compte tenu de la législation relative à la protection de la vie privée et des attentes plus strictes à l'égard de la manipulation des données des consommateurs, on comprend pourquoi la conservation des renseignements personnels devient un handicap pour de nombreux clients qui les conserveraient beaucoup plus longtemps que le cas de figure pour lequel le consentement avait été donné en premier lieu. Voilà pourquoi le processus de suppression légitime consiste en partie à classer les renseignements personnels et à disposer de ceux dont la conservation n'a fait l'objet d'aucun consentement ou qui ne sont plus pertinents et sont devenus un boulet pour cause de conservation excessive.

Établir une stratégie de suppression légitime

En appliquant une stratégie de suppression légitime, les organisations peuvent déterminer quelles données ont de la valeur et celles qui ne peuvent pas être détruites. D'une organisation à l'autre, plusieurs facteurs peuvent faire varier les détails de cette stratégie (secteur, segments de clientèle, obligations réglementaires, etc.), mais la base reste la même.​

Madame Godin affirme que les organisations doivent d'abord et avant tout avoir l'appui de toutes leurs parties prenantes si elles souhaitent mettre leur plan à exécution : « Nous avons tous peur de nous débarrasser de données, et c'est tout à fait normal. Nous vivons dans une économie du savoir où on nous a sans cesse rappelé quelle était la valeur des données; se libérer du besoin de tout conserver est donc le premier grand obstacle à ce processus. »

Après la mobilisation, l'étape suivante consiste à déterminer le propriétaire légitime des données au sein d'une organisation, que ce soit les consommateurs, les fournisseurs, les services informatiques, juridiques ou de la gestion des risques, des partenaires tiers ou l'organisation en tant que telle.

« Il peut s'agir d'un exercice nébuleux, mais il est essentiel pour établir une stratégie visant à déterminer ce qui doit être conservé et qui doit prendre part à ce volet du processus », soutient Nicole Godin, qui ajoute qu'il est tout aussi important d'identifier et de mettre en place un cadre de responsabilisation concernant les propriétaires légitimes des données. « À ce chapitre, un service de conformité juridique peut s'avérer utile pour confirmer la propension au risque juridique pour ce qui est des exigences et des besoins de l'organisation en matière de conservation des données. »

Ce n'est qu'une fois la stratégie établie et les rôles définis que les organisations peuvent aller de l'avant avec la « tâche » de la suppression des données, laquelle nécessite le recours à des outils pour séparer les données de valeur juridique, opérationnelle ou historique des informations stockées ou sauvegardées qui sont inexactes, désuètes ou non essentielles.

« C'est à cette étape que les organisations peuvent mettre à profit des outils d'exploration de données et des programmes d'analyse pour plonger dans leurs données, dresser le portrait de tous les sous-ensembles d'informations et identifier celles dont elles peuvent disposer », explique madame Godin. Elle ajoute qu'il s'agit également de l'étape à laquelle elles peuvent commencer à établir des contrôles adéquats pour supprimer dorénavant ces mêmes informations, par exemple, des programmes de gestion documentaire qui établissent des règles spécifiques quant à ce qui doit être conservé et ce qui peut être détruit automatiquement.

Pleins feux sur les données​

Tous s'entendent pour dire que les données fiables et en ordre comptent parmi les actifs les plus précieux d'une entreprise. Toutefois, l'augmentation de la quantité de données disponibles devrait susciter des discussions quant à savoir lesquelles de ces informations l'entreprise doit conserver et lesquelles elle peut détruire de façon sûre.

« En fin de compte, conclut Nicole Godin, de nombreuses organisations recueillent des données dont elles n'ont pas besoin ou dont elles ne savent que faire. Ces données entraînent des coûts et exposent l'organisation à un certain nombre de risques. En conséquence, alors que de plus en plus de données s'accumulent, la nécessité de concevoir une stratégie de suppression légitime s'impose, ce qui permettra à la fois de libérer des ressources et d'optimiser la valeur de ce que l'entreprise décide (et est tenue) de conserver. »

[1] Data Age 2025, étude de la firme IDC commanditée par Seagate, avril 2017.