Les entreprises d'aujourd'hui ont une occasion significative de tirer parti des données de manière innovante. Toutefois, elles doivent soigneusement évaluer les données qu'elles conservent et leur utilisation pour éviter d'éventuelles contestations légales. Malgré la montée de l'IA générative, les organisations doivent non seulement protéger les données personnelles, mais aussi gérer stratégiquement et supprimer les informations obsolètes qui présentent plus de risques que de valeur commerciale.
Forrester prévoit que les données non structurées doubleront d'ici 2024, entraînées par les avancées en matière d'IA. Étant donné le paysage des données en évolution et l'augmentation des coûts liés aux violations de données et à la protection de la vie privée, les organisations doivent évaluer de manière critique leurs stratégies de conservation et de suppression des données.
La Menace Croissante des Violations de Données
Avec l'augmentation des volumes de données, les dépenses associées aux violations de données et aux atteintes à la vie privée se multiplient. Les attaques par ransomware ont visé des bases de données sensibles, y compris celles d'entités majeures comme 23andMe, Infosys et Boeing. Selon IBM, le coût total moyen d'une violation a grimpé à 4,45 millions de dollars en 2023, marquant une augmentation de 15 % depuis 2020.
Pour atténuer ces risques, les organisations ont besoin de politiques robustes pour supprimer les données obsolètes. Bien que l'IA générative puisse soulever des questions sur la nécessité de supprimer des données, conserver des informations plus longtemps augmente l'exposition aux violations et aux éventuelles sanctions pour non-respect des lois sur la vie privée. La première étape pour réduire ce risque consiste à évaluer minutieusement comment une entreprise utilise ses données, en examinant tant les considérations subtiles que les avantages tangibles d'une stratégie de conservation des données bien pensée.
Pourquoi Éliminer les Données Obsolètes ?
De nombreuses organisations doivent supprimer des données obsolètes en raison d'obligations légales découlant des lois sur la protection des données. Ces réglementations exigent généralement que les données personnelles soient conservées uniquement tant que nécessaire, incitant les entreprises à établir des périodes de conservation variées selon les domaines d'activité. En plus de réduire les responsabilités légales, la suppression des données obsolètes peut entraîner des économies de coûts significatives en matière de stockage.
Identifier les Données Obsolètes
Pour déterminer quelles données sont obsolètes et lesquelles conservent une valeur commerciale, les entreprises devraient développer une carte des données détaillant les sources, types, systèmes de stockage et finalités de traitement des données. Cette cartographie exhaustive permet aux entreprises de comprendre où se trouvent les données personnelles, les types de données traitées, et les lois sur la vie privée applicables dans différentes régions géographiques. Un inventaire et une classification des données approfondis sont essentiels pour un programme de protection efficace, offrant la traçabilité nécessaire pour suivre le flux de données au sein de l'organisation.
Une fois la carte des données établie, les équipes juridiques et techniques peuvent collaborer avec les parties prenantes commerciales pour évaluer la valeur de données spécifiques, les restrictions réglementaires applicables et les risques associés aux fuites de données ou à la conservation inutile.
Le Défi de la Suppression des Données
Les parties prenantes commerciales hésitent souvent à supprimer des données par crainte des technologies émergentes. Les discussions sur la conservation des données devraient se concentrer sur l'utilité commerciale. Par exemple, l'équipe d'analytique de données d'une institution financière pourrait viser à entraîner des modèles d'éligibilité au crédit sur de vastes ensembles de données. Cependant, s'appuyer sur des données obsolètes peut contredire les lois sur la protection des données. Par exemple, des données datant de 20 ans pourraient ne pas refléter précisément les comportements contemporains des consommateurs, surtout dans une économie en rapide évolution.
Le secteur de l'immobilier commercial illustre bien ce problème. De nombreux modèles de prévision des risques basés sur des données d'avant la pandémie peuvent conduire à des prévisions inexactes face aux déplacements vers le commerce en ligne et le travail à distance. Il est crucial d'éduquer les parties prenantes sur la manière dont les données peuvent se périmer et comment cela influence la prise de décision.
Stratégies pour Gérer les Données Obsolètes : Déterminer, Supprimer ou Dé-identifier
En décidant de la durée de conservation des données, il convient de prendre en compte les obligations légales concernant les dossiers financiers et les réglementations sectorielles spécifiques. Consultez les délais de prescription pour déterminer les périodes de conservation nécessaires à la défense potentielle en cas de litige, en ne conservant que les données personnelles indispensables, telles que les journaux de transaction ou les enregistrements de consentement des utilisateurs.
Lorsque le moment est venu de se débarrasser de données moins précieuses, les organisations peuvent les supprimer manuellement selon des calendriers de rétention prédéfinis. L'automatisation du processus via une politique d'effacement renforce la fiabilité. En revanche, les organisations peuvent opter pour la dé-identification, qui élimine les données identifiables, bien que cela présente ses propres défis.
Une dé-identification adéquate est généralement assujettie à des exemptions dans les lois sur la protection des données, mais cela nécessite une réduction significative des données, risquant de perdre des informations précieuses. Par exemple, pour se conformer aux normes de refuge de HIPAA, un organisme doit éliminer 18 identifiants spécifiques. Bien que cette approche puisse être utile pour l'analyse et les modèles d'IA, il est essentiel de peser les avantages et les inconvénients avec les parties prenantes.
Éviter les Pièges Courants
L'une des erreurs les plus fréquentes que les entreprises commettent dans la gestion des données obsolètes est de précipiter le processus et de négliger des discussions approfondies. Il est crucial d'impliquer les équipes juridiques, de protection de la vie privée et de sécurité, ainsi que les dirigeants d'entreprise, pour recueillir des perspectives diverses sur la conservation des données essentielles. Les entreprises doivent se préparer à raccourcir progressivement les périodes de conservation, car une fois les données supprimées, leur récupération est souvent impossible.
Pour naviguer dans les complexités de la suppression des données, les entreprises doivent prioriser une cartographie détaillée des données et une analyse de la provenance, définir clairement les critères de conservation et appliquer ces politiques de manière efficace. En comprenant les implications juridiques, cybersécuritaires et financières, les organisations peuvent élaborer une stratégie de conservation des données robuste qui non seulement répond aux exigences réglementaires, mais protège également efficacement leurs actifs numériques.
Classement
