lun, 06/05/2013 - 15:17
En principe, la rétention documentaire devrait être une étape simple du plan de gestion des informations : vous déterminez les données que vous souhaitez ou devez conserver, vous les archivez en lieu sûr et les détruisez conformément aux directives nationales. Mais il n’en est rien ! Par Marc Delhaie, Président-Directeur Général d’Iron Mountain France.
Car les réglementations européennes de rétention documentaire sont multiples et complexes. Elles prescrivent des durées de conservation variables selon le type d’information, de quelques mois à 20 ans, voire plus. Et pour ne rien arranger, elles diffèrent selon les pays et les secteurs d’activité, et sont constamment révisées.
Conservez certains documents trop longtemps et vous risquez d’enfreindre les lois sur la confidentialité et la protection des données ; supprimez-en trop tôt et vous pourriez tomber sous le coup des lois sur la production électronique de documents (e-disclosure). 35 % des entreprises européennes de taille moyenne choisissent ainsi de conserver l’intégralité de leurs documents papier et électroniques, par simple précaution. Cette proportion atteint même 39 % dans le secteur de la finance et 45 % dans celui de la fabrication et de l’ingénierie.
Preuve du sentiment de confusion générale qui règne, la plupart des entreprises ne gardent en revanche aucune trace de leurs communications numériques de type e-mails, messages texte et publications sur réseaux sociaux.
Comme le souligne une récente étude de l’organisme mondial de normalisation AIIM, si près de 3/4 (73 %) des entreprises ont étendu leur plan de rétention de données aux e-mails, la plupart ont conservé des processus de suppression manuels. Dans 55 % des cas, les entreprises laissent la sauvegarde et la suppression des e-mails à l’appréciation de leurs salariés ; une approche d’autant plus risquée que les poursuites judiciaires utilisant les e-mails comme principaux éléments de preuve se multiplient et font la Une des médias.
Il faut toutefois reconnaître que la présence potentielle de copies des communications électroniques sur différents postes de travail, terminaux mobiles et ordinateurs portables rend leur suivi et leur gestion pratiquement impossibles et ne facilite pas leur rétention.
La situation est encore pire avec les SMS, qui sont parfois supprimés des téléphones professionnels lorsque les salariés quittent l’entreprise, emportant avec eux des données parfois cruciales.
Quant aux réseaux sociaux, ils sont les grands absents des plans de rétention des entreprises. Elles seraient moins de 15 % à conserver des enregistrements des publications sur réseaux sociaux externes, selon l’étude d’AIIM. Si certaines ne traitent pas ces informations comme des données institutionnelles pour des raisons pratiques, de réduction des risques notamment, la grande majorité se sent dépassée par ces technologies qui évoluent rapidement et semblent trop difficiles à contrôler et surveiller.
Pourtant, 1/3 des entreprises qui conservent une trace des publications sur réseaux sociaux ont déjà tiré profit de ces enregistrements. Ils ont permis à 27 % d’entre elles, une minorité néanmoins significative, de résoudre des litiges avec des clients et à 17 % de régler des conflits internes, contribuant ainsi à préserver leur réputation.
La situation n’est toutefois pas près de s’améliorer puisque, selon l’AIIM, 1/3 des entreprises n’ont toujours pas désigné de responsable de la gouvernance des messages instantanés, communications mobiles et contenus de réseaux sociaux externes. Ce constat est d’autant plus alarmant que les litiges se multiplient, entreprises et consommateurs étant plus que jamais conscients de leurs droits et soucieux de les faire valoir.
Qu’adviendra-t-il si les entreprises s’obstinent dans ces mauvaises pratiques de rétention alors que le volume d’informations produites ne cesse de croître ? Car il est aussi risqué de conserver trop longtemps des données, personnelles ou de candidatures infructueuses par exemple, que de détruire trop tôt des échanges qui pourraient être utiles en cas de poursuites judiciaires, comme des correspondances par e-mail ou encore des informations sur des risques sanitaires.
Il est de la responsabilité des organismes juridiques et de gestion de l’information d’éclairer les entreprises pour qu’elles s’adaptent à cet environnement changeant et prennent le contrôle de toutes leurs informations. Ce n’est qu’en s’appuyant sur des bases solides qu’elles parviendront à gouverner la rétention de leurs données.
Marc Delhaie, Président-Directeur Général d’Iron Mountain France
A propos de l'auteur