Les articles de votre blog ici ? Inscrivez votre blog !

Le point sur la sécurité et l’archivage des données

Publié le 02 août 2012 par Gerardhaas

On voit mal comment une entreprise peut aujourd’hui travailler sans faire appel à l’informatique. Or dans l’univers informatique les données peuvent être endommagées, détruites, perdues. C’est pourquoi tout professionnel doit procéder a minima à des mesures de sauvegarde et de sécurité de ses données.

Il s’agit de mesures de gestion saine et d’anticipation des risques auxquelles tout dirigeant se doit de se conformer.

C’est pourquoi la sauvegarde des données est un acte de gestion essentiel dans la vie d’une entreprise.

Le droit prévoit en outre une obligation légale de sauvegarde, de conservation et de sécurité de ces données.

Ainsi, une entreprise est tenue de conserver de manière dématérialisée les données reçues sous format informatique.

On sait qu’à la suite d’un incident de type incendie, une entreprise qui n’a pas sauvegardé ses données parvient difficilement à reprendre son activité dans les 5 jours et de ce fait augmente de manière exponentielle ses risques de déposer le bilan.

A cette obligation de sauvegarde s’ajoute une obligation de conservation des données dont le non-respect peut avoir des conséquences dramatiques tant au niveau comptable que judiciaire puisque cela affecte directement la valeur probante des documents.

Pour ce faire, il convient d’adopter une solution informatique adaptée et un « Code de l’archivage légal » des documents que l’entreprise traite. En effet, ces documents doivent être archivés différemment en fonction des catégories de données qu’ils comportent (données économiques, données clients, données fournisseurs, données comptables…).

De même l’entreprise devra veiller à ce que les documents sauvegardés et conservés ne puissent être modifiés ou encore endommagés.

Au-delà les données portant sur les salariés, les clients ou encore les fournisseurs sont une catégorie particulière de données fortement protégées par le législateur. Elles bénéficient d’une obligation de sécurité renforcée.

Tout chef d’entreprise collectant et traitant des données à caractère est un responsable de traitement et la loi Informatique et libertés lui impose de mettre en place des mesures de sécurité pour empêcher que ces données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès. A défaut, cela constitue une infraction pénale sanctionnée de cinq ans de prison et de 300 000 € d’amende (Article 226-17 du Code pénal). Pour les personnes morales la peine d’amende encourue est quintuplée, soit 1 500 000 euros.

Cette obligation de sécurité est d’ordre général et il n’existe pas de liste exhaustive de mesures à mettre en place. Il faut anticiper les risques liés à des défaillances physiques : incendies, dommages électriques, foudre, bris de machine, vol, ou encore à des défaillances logiques : effacement des données par inadvertance, virus contaminant le système d’information ou autres logiciel malveillant.

Pour se prémunir contre ces risques et éviter les sanctions, il est notamment et au minimum recommandé par la Commission nationale de l’Informatique et des libertés (CNIL) :

  • d’anticiper le risque de perte ou de divulgation des données par :
    1. la mise en place d’un anti-virus et firewall
    2. la maintenance régulière des serveurs
    3. la sauvegarde journalière des données sur des serveurs en dehors des locaux de l’entreprise
  • de suivre et tracer les actions des utilisateurs du système notamment en installant un système de journalisation des actions des utilisateurs
  • de rédiger votre « Guide de la sécurité » qui comprendrait dans (1) des fiches pratiques sur les obligations légales de sécurité des données et (2) les mesures à suivre pour garantir la sécurité des données traitées
  • de sensibiliser les utilisateurs à leurs obligations « Informatique et libertés » par des formations. Le cabinet HAAS a obtenu le label de la CNIL pour cette formation.