Les exigences légales en matière d’archivage des emails stipulent généralement la durée minimale de conservation des informations stockées électroniquement ou ESI pour « Electronically Stored Information » en anglais, et la manière dont elles doivent être conservées afin de préserver l’intégrité des données de messagerie.
Les exigences peuvent souvent varier en raison d’un certain nombre de facteurs tels que le secteur d’activité de l’entreprise, les lois fédérales et nationales, et le fait que l’entreprise utilise un système de communication par courrier électronique fermé ou ouvert.
Ce dossier dissèque plusieurs actes de grande envergure pour illustrer à quel point il peut être difficile pour les organisations de se conformer aux exigences légales en matière d’archivage des emails. Il propose également une solution qui répond aux exigences d’archivage de ces lois. Toutefois, veuillez noter que les informations contenues dans ce dossier ne doivent pas être interprétées comme des conseils juridiques.
Les organisations doivent consulter un conseiller juridique pour s’assurer qu’elles respectent les exigences légales en matière d’archivage des emails spécifiques à leur situation individuelle.
La principale raison de l’archivage des emails
En 2006, un amendement du « Federal Rules of Civil Disclosure » (Titre V, Règle 26) a stipulé comme infraction le fait de ne pas être en mesure de produire des ESI dans un délai de trente jours si une ordonnance du tribunal le demande.
Bien qu’il ne s’agisse pas d’une obligation stricte pour les organisations d’archiver les emails, cela signifie que les organisations doivent conserver les données aussi longtemps que la loi de prescription de leur État s’applique, ou aussi longtemps que les réglementations du secteur le stipulent. Dans certaines circonstances, cela peut signifier indéfiniment.
La conservation des données de messagerie sur un serveur de messagerie pendant de longues périodes n’est pas pratique. Les quotas de boîtes aux lettres peuvent être remplis, ce qui signifie que les utilisateurs ne peuvent plus recevoir d’emails, et les performances du serveur de messagerie sont affectées en raison du volume de données qu’il doit gérer.
Le volume des ressources utilisées par le serveur de messagerie a une incidence sur le reste du réseau de l’organisation. Dans ces circonstances, il serait impossible de produire une quantité importante de preuves électroniques dans un délai de trente jours.
L’archivage des emails réduit la charge sur le serveur de messagerie électronique en copiant les données et en les stockant ailleurs. Les emails restant sur le serveur de messagerie peuvent être supprimés pour libérer de l’espace et optimiser les performances du serveur de messagerie et du réseau.
Lorsque les utilisateurs souhaitent récupérer un email supprimé du serveur de messagerie, ils y accèdent par l’intermédiaire de l’archive et peuvent l’exporter sous forme de fichier, l’imprimer ou le restaurer sur le serveur de messagerie. Le processus est simple et conforme aux règles fédérales de divulgation civile.
Archivage des emails : exigences légales du RGPD
Si une organisation collecte, traite, partage ou stocke des données personnelles relatives à un citoyen de l’Union européenne (UE), elle est soumise au Règlement général sur la protection des données (RGPD), même si l’organisation est physiquement située en dehors de l’UE.
Ce règlement stipule que les citoyens de l’UE ont le droit d’accéder à leurs données personnelles et de corriger ce qui ne va pas, ou d’exiger que leurs données personnelles ne soient pas utilisées à certaines fins ou qu’elles soient purement et simplement effacées. Ils ont également le droit de savoir à quelles fins leurs données personnelles sont utilisées et avec qui elles sont partagées.
En ce qui concerne les exigences légales en matière d’archivage des emails dans le cadre du RGPD, les organisations doivent protéger les données personnelles des citoyens de l’UE contre toute divulgation accidentelle ou intentionnelle, toute perte ou toute modification non autorisée.
Cette stipulation est similaire aux mesures de sécurité des données exigées par l’HIPAA (« Health Insurance Portability and Accountability »), la loi Sarbanes-Oxley et les règles fédérales de procédure civile. Les mesures de sécurité des données que les organisations mettent en place pour assurer l’intégrité des données d’email doivent donc se conformer à ces normes.
Une autre exigence légale du RGPD liée aux données stockées dans les emails est que les demandes d’accès et de correction des données personnelles des citoyens doivent être satisfaites dans un délai de trente jours.
Une solution d’archivage des emails permet aux organisations de récupérer les données stockées dans les emails bien plus rapidement que les données stockées dans les sauvegardes d’emails, à condition que les messages soient indexés lors de leur passage sur le serveur de messagerie.
Il est également important qu’une copie de chaque email soit faite au fur et à mesure qu’il passe par le serveur de messagerie afin qu’il n’y ait aucune contestation possible sur le fait que le message récupéré n’est pas un enregistrement authentique et qu’il est fourni dans son état original.
Combien de temps les données archivées doivent-elles être conservées ?
Les données d’emails archivés doivent être conservées aussi longtemps qu’elles peuvent être nécessaires. Nous avons mentionné plus haut que cela pouvait être indéfiniment, mais dans la plupart des cas, les exigences légales en matière d’archivage des emails pour les secteurs réglementés stipulent une période de conservation de sept ans (bien que de nombreux professionnels du secteur recommandent de conserver les données d’emails archivées pendant dix ans).
Les périodes de conservation pour les organisations des secteurs non réglementés varient en fonction de la nature de l’activité de l’organisation et des lois de prescription applicables. Les exigences légales en matière d’archivage des emails peuvent également varier au sein d’un même secteur d’activité en fonction de la nature des données.
Par exemple, les entreprises publiques du secteur réglementé des services financiers doivent conserver les données liées à l’audit après la conclusion d’un examen d’audit pendant sept ans (Sarbanes-Oxley, §802), mais les messages archivés contenant des détails sur les comptes des clients ne doivent être conservés que pendant six ans, et les emails relatifs à des transactions individuelles ne doivent être conservés que pendant trois ans (Exchange Act, §17a-4).
La situation est encore plus confuse dans le secteur de la santé. L’HIPAA ne prévoit aucune période de conservation pour les informations de santé protégées stockées électroniquement ou ePHI (« Electronic Protected Health Information »), sauf si elles concernent un enfant (jusqu’à l’âge de 21 ans) ou le décès d’un patient (jusqu’à deux ans après le décès).
Elle stipule toutefois que les documents de politique stockés électroniquement et relatifs à la sécurité des ePHI doivent être conservés pendant une période minimale de six ans.
Comme susmentionné, les organisations de tout secteur d’activité doivent consulter un conseiller juridique pour s’assurer que leurs dispositions en matière d’archivage sont conformes aux exigences légales relatives à l’archivage des emails spécifiques à leur situation individuelle. Les organisations qui collectent, traitent, partagent ou stockent des données personnelles de citoyens de l’UE ne doivent conserver ces données qu’aussi longtemps qu’il existe une « base légale » pour les conserver, afin d’être en conformité avec le RGPD.
Exigences légales en matière d’archivage des emails pour la reprise après sinistre
Il existe une école de pensée selon laquelle les exigences légales en matière d’archivage des emails pour la reprise après sinistre ne s’appliquent qu’aux organisations des secteurs réglementés, car ce n’est que dans ces secteurs que des règles stipulent qu’un plan de reprise après sinistre doit être mis en œuvre.
Cependant, afin d’être pleinement conforme aux règles fédérales de divulgation civile, il est conseillé à chaque organisation de mettre en œuvre un plan de récupération des emails en cas de catastrophe naturelle ou environnementale ou d’actes malveillants.
En outre, afin de disposer d’une base de données précise et immuable des données de messagerie sauvegardées, il est important que le mécanisme mis en œuvre pour se conformer aux exigences légales en matière d’archivage des emails fasse une copie de chaque email entrant et sortant d’un serveur de messagerie en temps réel. Les sauvegardes et l’archivage périodiques offrent la possibilité de modifier ou de supprimer un email avant qu’une copie de l’original puisse être effectuée et stockée dans un endroit sûr.
Un autre argument convaincant en faveur de l’archivage des emails en temps réel est la réduction du risque de cyberattaque. Des pirates informatiques ont récemment infiltré des serveurs de messagerie et en ont extrait des données avant de les chiffrer. Ils ont ensuite demandé une rançon pour obtenir les clés permettant de déverrouiller les données chiffrées.
Si les messages sont chiffrés, les données n’auront aucune valeur pour les pirates, mais la perte des emails d’une organisation peut avoir un impact important sur sa capacité à fonctionner. Avec l’archivage des emails en temps réel, les données volées peuvent être restaurées en un clic de souris.
Comment les données de messagerie archivées doivent-elles être stockées ?
Les exigences légales en matière d’archivage d’emails peuvent également varier quant à la manière dont les données d’emails archivées doivent être stockées.
Alors que la loi Sarbanes-Oxley et la loi fédérale sur les produits alimentaires, pharmaceutiques et cosmétiques stipulent que les données de messagerie archivées doivent être « stockées de manière à éviter toute détérioration ou perte » et « protégées contre toute modification, tout effacement par inadvertance ou toute perte », la loi sur la portabilité et la responsabilité en matière d’assurance maladie laisse aux organisations individuelles le soin d’évaluer les risques pour l’intégrité des données et de traiter raisonnablement les risques identifiés.
Toutes les organisations devraient adopter les meilleures pratiques pour garantir l’intégrité de leurs emails. Cela inclut le chiffrement des données archivées, de toute donnée restant sur le serveur de messagerie après l’archivage, et de la correspondance électronique envoyée en dehors d’un système de communication électronique fermé.
Le transfert des données d’emails vers un emplacement situé en dehors d’un système de réseau sécurisé doit être effectué à l’aide des protocoles TLS (« Transport Layer Security ») obligatoires et toutes les demandes de recherche et d’extraction doivent également être effectuées sur un canal de communication sécurisé.
La manière dont les données de messagerie doivent être stockées afin de se conformer aux exigences légales en matière d’archivage des emails sera déterminée par la situation individuelle de chaque organisation.
Les solutions d’archivage des emails se déclinent en plusieurs options de déploiement : supports amovibles, matériel, logiciels, solutions basées dans le cloud et solutions hybrides. Les entreprises qui s’appuient sur des supports amovibles ou du matériel pour archiver leurs emails et pour garantir la reprise après sinistre doivent être conscientes des risques de perte, de dommage et de vol de données.
Pourquoi les solutions d’archivage d’emails basées dans le cloud sont-elles de plus en plus populaires ?
Parmi les différentes options de déploiement qui permettent de se conformer aux exigences légales en matière d’archivage des emails, les solutions les plus prisées par les organisations – tant dans les secteurs réglementés qu’en dehors – sont les solutions basées dans le cloud.
Les solutions d’archivage d’emails basées dans le cloud déplacent complètement les données hors du réseau et libèrent plus d’espace de stockage que les solutions logicielles. Contrairement à ceux des solutions matérielles, les centres de données ne peuvent être perdus, endommagés ou volés, et disposent de mécanismes avancés pour prévenir les attaques de malwares et les accès non autorisés. Les données sont également automatiquement répliquées sur les serveurs cloud puis sauvegardées.
Tout en permettant de stocker toutes les données de messagerie d’une entreprise dans un environnement sécurisé, les solutions d’archivage des emails basées dans le cloud sont plus rapides lorsqu’il faudra rechercher et récupérer les emails archivés que les solutions logicielles ou matérielles (et par association, les solutions hybrides). Cela est particulièrement vrai si vous utilisez des services de messagerie basés dans le cloud comme Office 365.
Elles sont également plus faciles à utiliser que de nombreuses solutions alternatives et permettent aux utilisateurs de récupérer leurs propres emails perdus, mal classés ou accidentellement supprimés (sous réserve d’autorisation) sans avoir à recourir aux services des équipes informatiques.
Avec la possibilité de se conformer aux exigences légales en matière d’archivage des emails, de restaurer les bases de données en un clic et d’améliorer la productivité – tout en garantissant l’intégrité des données des emails – il n’est pas difficile de comprendre pourquoi les solutions d’archivage d’emails basées dans le cloud sont de plus en plus populaires.
Toutefois, avant de s’engager dans une solution basée sur le cloud pour se conformer aux exigences légales en matière d’archivage des emails, il est recommandé d’évaluer les options, car toutes les solutions ne se valent pas.
Se conformer aux exigences légales en matière d’archivage des emails avec ArcTitan
ArcTitan est une solution d’archivage d’emails basée dans le cloud. Il permet aux entreprises de se conformer aux exigences légales en matière d’archivage des emails comme le Federal Rules of Civil Disclosure, la loi Sarbanes-Oxley, la loi Exchange Act, l’HIPAA et la loi Drug and Cosmetic Act, parmi tant d’autres lois qui s’appliquent aux sauvegardes, à la conservation et à l’archivage des emails dans les secteurs réglementés.
ArcTitan peut étendre la capacité de stockage de votre serveur de messagerie au fur et à mesure que les données augmentent au fil du temps. Autrement dit, vous n’avez pas besoin de prévoir un budget pour un stockage supplémentaire, de gérer vos serveurs ou de migrer vos données vers une option de déploiement où la sécurité n’est pas garantie.
Quelle que soit la taille de la base de données de messagerie de votre entreprise, les performances de votre serveur ne seront jamais affectées. Le temps d’archivage et le temps d’accès ne seront jamais lents, et aucun serveur supplémentaire ne sera nécessaire pour améliorer les performances de votre service de messagerie électronique.
En termes de sécurité et d’intégrité des données, les emails sont archivés en temps réel et conservés dans un centre de données certifié IL5 via les protocoles TLS obligatoires. Un mécanisme de délégation avancé compatible avec LDAP et Active Directory permet aux administrateurs de créer une hiérarchie de permissions pour les employés, tandis que des pistes d’audit inviolables permettent d’identifier toute modification non autorisée des emails archivés, ou toute activité suspecte orientée client.
Avant d’archiver toutes les données de messagerie d’une organisation dans un emplacement sécurisé, ArcTitan supprime tout contenu dupliqué et laisse des bouts des pièces jointes originales dans le serveur de messagerie.
Pour se conformer aux exigences légales en matière d’archivage des emails, notre solution basée dans le cloud compresse ensuite les données restantes et les indexe pour accélérer les recherches et pour éliminer les données en double des résultats de recherche. Toute la gestion des emails archivés s’effectue via un portail basé sur un navigateur et une connexion sécurisés. Les archives sont également accessibles via tous les principaux clients de messagerie, tels qu’Outlook.
ArcTitan prend en charge tous les fournisseurs de services de messagerie et tous les serveurs. Il permet aux administrateurs système de définir des politiques de conservation des emails en fonction des besoins réglementaires de chaque organisation et peut effectuer des recherches dans une base de données de 30 millions d’emails en moins d’une seconde.
Les données archivées existantes peuvent être importées depuis MS Exchange, Google Apps, EML, MBOX, MSG ou PST et exportées sous un format EML, MSG, PDF, TIFF ou PST. ArcTitan peut prendre en charge jusqu’à 60 000 utilisateurs et notre service est soutenu par une équipe de techniciens commerciaux à la pointe du secteur.
Essayez ArcTitan gratuitement pendant quatorze jours
Si votre entreprise est préoccupée par les exigences légales en matière d’archivage des emails, ou si vous souhaitez simplement mettre en œuvre une solution fiable d’archivage des emails pour soulager votre serveur de messagerie, contactez notre équipe de techniciens commerciaux et demandez un essai gratuit d’ArcTitan.
Notre équipe de techniciens commerciaux sera heureuse de répondre à toutes vos questions sur la manière de se conformer aux exigences légales en matière d’archivage des emails et de vous guider dans le processus d’enregistrement de votre essai gratuit.
Comme notre solution de conformité aux exigences légales en matière d’archivage des emails n’utilise pas de format propriétaire, aucune conversion de données coûteuse ou fastidieuse n’est nécessaire. Par conséquent, le déploiement d’ArcTitan ne prend que quelques minutes, et nos techniciens commerciaux peuvent assurer la liaison avec l’équipe de votre service informatique pour garantir une intégration transparente si nécessaire.
Contactez-nous dès aujourd’hui pour en savoir plus sur notre offre gratuite et pour obtenir de plus amples informations sur la manière de se conformer aux exigences légales en matière d’archivage des emails.