Phonecheck
Blog

Guide pour l'établissement de la politique de destruction des données de votre entreprise

politique-de-destruction-des-données

Les murmures concernant les violations ou les fuites de données peuvent susciter l'inquiétude de la plupart des dirigeants d'entreprise en raison des conséquences financières et juridiques qu'elles entraînent. La mise en place d'une politique de destruction des données pour votre entreprise est cruciale compte tenu du fait que les progrès technologiques ont entraîné une augmentation du nombre de cyberacteurs malveillants. 

Selon un récent rapport d'IBM sur les violations de données à l'échelle mondiale impliquant 17 secteurs d'activité dans 17 pays et régions, le coût moyen d'une violation de données est estimé à 4,24 millions de dollars. Le coût moyen s'élève à 9,05 millions de dollars pour les seuls États-Unis, de loin le pays le plus cher. La conclusion est que l'indulgence dans le traitement des données de votre entreprise vous coûtera plus cher que ce qu'il faut pour empêcher que des informations sensibles ne tombent entre les mains de pirates informatiques malveillants.

Heureusement, la mise en place d'une politique efficace de destruction des données est l'une des approches les moins coûteuses et les plus efficaces pour protéger votre entreprise. Vous vous demandez peut-être ce qu'est une politique de destruction des données et comment elle contribue à protéger les données d'une entreprise. Notre guide répond à ces questions et aborde d'autres sujets que vous souhaiteriez connaître pour assurer la sécurité des données de votre entreprise. 

Qu'est-ce que la destruction des données ?

La destruction des données englobe toutes les mesures prises par une entreprise pour éliminer les données sensibles contenues dans les dispositifs de stockage numérique. Les dispositifs de stockage peuvent être des téléphones, des disques durs, des photocopieurs, des ordinateurs portables, des lecteurs à état solide (SSD), des bandes magnétiques et d'autres équipements électroniques pouvant stocker des données. Pour les entreprises, la destruction des données va au-delà de la simple suppression des fichiers et des dossiers. 

Lorsque vous supprimez un fichier ou un dossier, vous supprimez uniquement le chemin menant à son emplacement sur le périphérique de stockage. Bien que vous ne puissiez pas accéder facilement aux fichiers sans un logiciel spécialisé, les fichiers supprimés restent sur vos disques jusqu'à ce que de nouveaux fichiers les écrasent. Une personne mieux informée sur le plan numérique peut rapidement récupérer et utiliser à mauvais escient des informations sur votre entreprise, vos clients et vos employés.

Par conséquent, la destruction des données doit être exhaustive afin d'empêcher toute forme de récupération. Pour garantir la permanence des données, les entreprises emploient généralement une variété de techniques de destruction avancées telles que la démagnétisation, l'effacement des données, l'écrasement, le déchiquetage et la destruction physique des supports de stockage.

Pour plus de clarté, la destruction des données diffère de l'assainissement des données. Alors que les deux procédures impliquent l'élimination correcte des données sensibles, l'assainissement des données tente de donner la priorité à la réutilisation du dispositif de stockage des données. Les dispositifs de stockage sur support magnétique favorisent l'assainissement des données afin d'empêcher la rétention des données tout en conservant le dispositif de stockage suffisamment bon pour être réutilisé. 

Lois sur la destruction des données 

Les politiques de destruction des données et leur mise en œuvre font l'objet d'une information, d'un suivi étroit et d'une application de la loi pour toutes les entreprises des États-Unis. Par exemple, l'incinération des disques durs suit les directives de l'Institut national des normes et de la technologie (NIST).

En fait, la procédure de destruction de la plupart des industries américaines suit les normes d'assainissement des médias établies par le ministère de la défense. Les entreprises doivent connaître les actes suivants pour rester dans le cadre légal.

  • La loi sur la protection de la vie privée de 1974 : Cette loi souligne la responsabilité d'une entreprise de protéger le droit à la vie privée de ses clients. Par conséquent, une entreprise est tenue de garantir la confidentialité des informations de ses clients. La loi couvre également la responsabilité des agences gouvernementales d'être délibérées dans la protection des informations privées qui leur sont confiées, même dans le processus d'utilisation de ces informations. La loi a été étendue aux informations privées telles que les antécédents médicaux, les transactions financières, les antécédents professionnels et les données biométriques.
  • La loi de 2003 sur les transactions de crédit équitables et précises (Fair and Accurate Credit Transactions Act, FACTA) : La FACTA reprend les détails de la loi sur la protection de la vie privée, notamment en ce qui concerne les informations personnelles identifiables (PII). Le ministère de la sécurité intérieure (DHS) définit les IPI comme "toute information permettant de déduire directement ou indirectement l'identité d'une personne, y compris toute information liée ou pouvant être liée à cette personne, que celle-ci soit un citoyen américain, un résident permanent légal, un visiteur aux États-Unis, un employé ou un contractant du ministère". La FACTA précise qu'une entreprise est toujours responsable de la confidentialité des informations relatives à ses clients et de leur protection contre des mains autorisées. L'entreprise doit s'acquitter de cette obligation même lorsqu'elle élimine des informations.
  • Loi Gramm-Leach-Bliley (GLBA) : Il s'agit de la loi de modernisation financière adoptée en 1999. Elle oblige les entreprises (en particulier les sociétés financières) à informer leurs clients de la manière dont elles ont l'intention d'utiliser ou de partager leurs informations financières privées.
  • La loi sur la sécurité sociale de 1934 : Cette loi énonce les informations interdites que les entreprises ne peuvent jamais révéler à un tiers. Les informations protégées par cette loi commencent par le numéro de sécurité sociale du client. La violation de ces informations est passible de sanctions, que l'entreprise les ait volontairement communiquées ou qu'elle les ait divulguées par négligence.

En outre, les États disposent de lois régissant la destruction des données. La loi de la Commission fédérale du commerce (FTC) et la loi HIPAA (Health Insurance Portability and Accountability) sont des lois plus récentes qui protègent les entreprises et les organisations d'informations nominatives.

Qu'est-ce qu'une politique de destruction des données ?

Les progrès des technologies de l'information ont eu un impact significatif sur le fonctionnement des entreprises. Les entreprises doivent donc mettre en place des politiques ou des procédures de sécurité adéquates pour traiter les informations personnelles identifiables (IPI) de leurs clients. 

Une politique de destruction des données est un protocole mis en place par une entreprise pour supprimer entièrement et en toute sécurité les données de ses dispositifs de stockage. L'idée est d'empêcher toute utilisation abusive ou tout accès non autorisé à des informations privées en raison d'une suppression inefficace. Une politique efficace se prémunit contre toute forme de rétention de données et garantit l'assainissement, l'effacement ou l'élimination complète des données confidentielles. 

Quels types de données doivent être détruits ? 

Les entreprises doivent détruire les éléments suivants pour protéger les données de leurs clients, conformément aux lois en vigueur sur la destruction des données :

  • Cartes d'identité
  • Relevés bancaires
  • Factures de cartes de crédit
  • Chèques annulés
  • Contrats
  • Budgets
  • Rapports internes
  • Applications
  • Évaluations
  • Liste des clients
  • Formulaires de contact client
  • Dispositifs de stockage de l'entreprise à la retraite
  • Dossiers des employés
  • États financiers
  • Rapports médicaux

Raisons pour lesquelles votre entreprise a besoin d'une politique de destruction des données

L'adoption d'une approche proactive de la protection des données des clients et des employés par le biais d'une destruction efficace des données est bénéfique à bien des égards pour une entreprise.

Tout d'abord, une politique complète de destruction des données protège votre entreprise contre les violations de données et l'accès non autorisé aux informations de l'entreprise. Le cadre structurel fournit un modèle qui guide la destruction de différents types de données à partir de différents dispositifs, ce qui rend le processus facile et approfondi.

En outre, une politique de destruction des données renforce la confiance de vos clients. Elle leur permet de traiter avec vous en toute tranquillité d'esprit, en éliminant les hésitations et les objections dans votre processus de vente. 

En outre, la mise en place d'une politique de destruction des données permet à votre entreprise d'éviter d'enfreindre par négligence les lois locales ou fédérales. 

Les éléments essentiels d'une politique de destruction des données

Toute politique de destruction des données doit commencer par une structure complète qui définit les rôles et les responsabilités. La politique de destruction des données doit être structurée de manière à refléter les besoins et les circonstances de votre entreprise. Passons en revue quelques-uns des éléments essentiels à inclure dans votre politique.

Déclaration de politique générale 

Il est préférable de commencer la destruction des données en présentant votre politique ou votre déclaration de politique, le numéro de la politique et le titre. 

Votre déclaration de politique générale doit comprendre

  • Pourquoi une politique de prévention des données est-elle nécessaire ?
  • Introduction aux autres composantes de la politique
  • Parties responsables de l'élaboration de la politique
  • Rôles des différents services par rapport à la politique
  • Détails sur la date d'entrée en vigueur de la politique
  • Lignes directrices pour la mise en œuvre de la politique de destruction des données
  • Normes de mesure des résultats de la politique

Objectif 

Ensuite, votre politique de destruction des données doit expliquer pourquoi l'entreprise doit en créer une. L'objectif doit clarifier le contexte, l'importance et les conséquences associées à la destruction des données. Il serait préférable que vous essayiez également d'énumérer les avantages des politiques pour les différentes parties prenantes.

Champ d'application 

Le champ d'application doit détailler l'étendue et les limites de la politique. Il permet de définir les départements ou activités concernés et la manière dont vous espérez que la politique façonnera l'entreprise. Il serait préférable que vous abordiez également les départements, les employés et les activités qui seront affectés par la politique, y compris leurs rôles et leurs responsabilités, ainsi que les considérations qui les concernent.

Déclarations de procédure 

La déclaration de procédure doit fournir des détails spécifiques sur les protocoles à mettre en œuvre dans le cadre du processus de destruction des données. 

Il doit comprendre les éléments suivants :

  • Relation entre toutes les parties responsables du processus de destruction des données
  • Outils et ressources fournis par l'entreprise pour la destruction des données
  • Application étape par étape de la procédure de destruction
  • Où et comment communiquer les détails des activités de destruction des données

Application de la loi 

Il ne suffit pas d'élaborer et de communiquer votre politique de destruction des données. Vous devez inclure un protocole de responsabilité pour vous assurer que la politique est strictement respectée. L'application de la politique doit commencer par une politique de révision et de mise à jour.

Vous devez inclure une définition appropriée pour mesurer les résultats de la politique. En outre, les conséquences du non-respect de la politique doivent être clairement énoncées, de même qu'un système de suivi et d'évaluation.

Assurez-vous que les données de votre entreprise sont en sécurité grâce à Phonecheck

Une politique de destruction des données protège les données de votre entreprise contre tout accès non autorisé ou toute violation par des acteurs malveillants. Cela contribue à une image de marque positive et à la confiance des clients. Cependant, la plupart des entreprises ne savent pas comment détruire efficacement leurs données. C'est là que le Phonecheck intervient.

Vous pouvez éviter des problèmes cachés coûteux en achetant un rapport d'historique sur Phonecheck pour le prix d'une tasse de café. Notre logiciel d'entreprise standard garantit que les données sensibles de l'entreprise sont effacées des divers dispositifs de stockage avant d'être vendues ou éliminées. Vous pouvez alors mener vos activités en toute confiance en sachant que vos informations sensibles sont en sécurité.

Articles connexes

Certifiez vos appareils à grande échelle avec Phonecheck

Diagnostics, effacement des données et rapports sur l'historique des appareils : la plateforme de référence pour les entreprises spécialisées dans la vente d'appareils d'occasion.

Demander une démo