L’e-mail reste l’un des moyens de communication les plus utilisés dans le monde entier. Nous sommes confrontés à un volume des messages qui ne cesse d’augmenter. Cependant, les informations qu’ils contiennent sont souvent simplement stockées dans les boites de réception des utilisateurs. De l’autre côté, les entreprises doivent se conformer à un nombre croissant de réglementations comme le RGPD. De nombreux gérants d’entreprises se demandent donc comment relever ces défis. L’une des solutions qu’ils  peuvent mettre en œuvre est l’archivage des e-mails. Que signifie réellement ce terme ; quels sont les avantages qu’il offre et quelles sont ses relations avec le RGPD ?

Dans ce dossier, nous allons vous expliquer comment le RGPD, ou Règlement Général sur la Protection des Données, s’applique à la conservation et à l’archivage des e-mails. Nous allons également voir comment l’archivage des e-mails peut vous aider à vous conformer au RGPD.

En 2019, 293 milliards d’e-mails ont été envoyés et reçus chaque jour dans le monde. Il n’est donc pas surprenant que cette forme de communication soit désormais la plus appréciée. Le bon fonctionnement de l’échange de données par e-mail est devenu indispensable pour de nombreuses entreprises. Chaque utilisateur, comme un employé d’une entreprise, est responsable du contenu et du traitement des données. Par conséquent, l’archivage peut aider à traiter et à classer systématiquement les e-mails et ceux-ci peuvent être stockés à long terme. L’archivage sert principalement à documenter et à prévenir la perte de données. Ce faisant, les e-mails sont stockés de manière sécurisée et leur contenu reste inchangé. Ils peuvent être restaurés si nécessaire, afin de ne pas perdre des contenus importants. Un principe important à noter est que l’objectif premier de l’archivage est de permettre la récupération et la mise à disposition des données sur le long terme. L’archivage doit être alors une composante importante d’une stratégie de sécurité informatique.

Qu’est-ce que le RGPD ?

Le RGPD de l’Union européenne (UE) a introduit de nouvelles exigences pour les entreprises le 25 mai 2018. À compter de cette date, les entreprises qui collectent ou traitent les données personnelles des citoyens de l’UE sont tenues de mettre en place des mesures pour protéger ces informations. Le RGPD a également donné aux citoyens de l’UE de nouveaux droits sur leurs données personnelles.

À qui s’applique-t-il ?

Le RGPD s’applique aux données personnelles sous toutes leurs formes, quel que soit l’endroit où elles sont stockées. Cela signifie que les données personnelles contenues dans les comptes de messagerie électronique sont également couvertes par cette réglementation.

Les boîtes de réception et les dossiers de messagerie électronique peuvent contenir une multitude de données personnelles et ces informations sont soumises aux exigences strictes du RGPD en matière de confidentialité et de sécurité.

Que signifie exactement le terme « données à caractère personnel » ?

Il convient d’abord de noter que cette notion a été introduite en 2016 par le RGPD.

Selon la Commission nationale de l’informatique et des libertés (CNIL) Il s’agit de « toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement ».

Les informations peuvent inclure un nom, une empreinte digitale, une photo, une adresse postale, une adresse e-mail, un numéro de sécurité sociale, un numéro de téléphone, un numéro matricule, une adresse IP, un enregistrement vocal, un identifiant de connexion informatique, etc.

La collecte, le traitement et le stockage de ces données sont soumis à l’ensemble des dispositions du RGPD. D’où l’importance de savoir comment votre fournisseur de mesure d’audience gère vos données analytiques. Il faut également documenter l’utilisation de ces données à caractère personnel et informer les utilisateurs finaux.

Archivage des emails et conformité RGPD

Les données de la messagerie électronique doivent être conservées pour se conformer aux lois du pays ou de l’État dans lequel votre entreprise exerce ses activités et pour respecter la législation spécifique à votre secteur d’activité.

Le RGPD a également des implications sur la conservation des e-mails. Le RGPD n’impose aucune durée minimale ou maximale en ce qui concerne leur conservation.

Pourtant, cette réglementation exige que les données personnelles soient conservées sous une forme permettant d’identifier un individu pendant une durée qui n’excède pas celle nécessaire à la réalisation des objectifs pour lesquels les données ont été collectées ou traitées.

Le RGPD autorise la conservation des données personnelles, y compris les données de la messagerie électronique, à condition que les informations soient traitées à des fins d’archivage.

Le RGPD oblige les entreprises à mettre en œuvre des mesures de sécurité pour garantir la protection des données personnelles.

Selon l’article 5(f), les données personnelles doivent être protégées « contre la perte, la destruction et la détérioration accidentelles, en utilisant les mesures techniques ou organisationnelles appropriées ».

Le moyen le plus simple de garantir la protection des données de la messagerie électronique est d’utiliser le chiffrement et le stockage des e-mails dans un environnement sûr et sécurisé.

Ceci, afin de protéger les utilisateurs des accès non autorisés à leurs comptes de messageries et pour éviter la suppression accidentelle et l’altération des données. Le moyen le plus simple d’y parvenir est d’utiliser une solution d’archivage des e-mails.

Archivage et sauvegarde : quelles différences ?

Il importe d’expliquer la différence entre l’archivage et la sauvegarde des e-mails. En effet, si les deux peuvent être utilisées pour stocker les messages, il existe des différences importantes.

Une sauvegarde est un dépôt temporaire de données de la messagerie électronique pour garantir la récupération des e-mails en cas de perte de données. En général, les données ne sont sauvegardées que pour une durée limitée, souvent jusqu’à ce qu’une nouvelle sauvegarde soit créée. Cette solution permet de restaurer le service de messagerie ou les données d’un compte de messagerie à un moment précis.

L’archivage des e-mails, par contre, sert au stockage sécurisé et à long terme des e-mails. Elle permet de rechercher et de récupérer rapidement les messages électroniques en cas de besoin.

Les 3 règles de l’archivage des e-mails pour la conformité au RGPD

Pour être en conformité avec les principes du RGPD, la conservation électronique des documents est primordiale. Les e-mails archivés peuvent par exemple contenir des données à caractère personnel. Ces informations doivent être conservées uniquement pendant la période nécessaire à l’accomplissement de l’objectif fixé lors de leur collecte. L’archivage des e-mails doit donc être :

  • Sélectif : lorsqu’un texte prévoit une obligation d’archivage des e-mails, vous devez veiller à archiver uniquement les informations utiles au respect de l’obligation prévue.
  • Limité dans le temps : les données qui peuvent être utiles pour répondre à une obligation réglementaire ou légale doivent être archivées pendant la durée de l’obligation concernée. Une fois cette durée écoulée, elles doivent être supprimées. Si un e-mail ne fait pas l’objet d’obligation de conservation, mais il permet de faire valoir un droit en justice, il doit être détruit à la fin de la durée de prescription.
  • Sécurisé : les entreprises doivent adopter des mesures organisationnelles et techniques afin de protéger les données archivées contre la destruction, la perte, la diffusion ou l’accès non autorisés, l’altération, etc.

Si vous confiez l’archivage des e-mails à un sous-traitant, vous devez vous assurer que le prestataire offre des garanties suffisantes en termes de sécurité et de confidentialité des données qui lui seront confiées. À titre d’exemple, il doit disposer d’une certification ISO 27001, une norme qui concerne la sécurité des systèmes informatiques. Mais il existe également d’autres normes liées à la collecte et à l’exploitation des données comme la certification ISO 14641-1 et la norme NF Z 42-013 de l’AFNOR (L’Association française de normalisation).

Quelques mots à propos de l’eDiscovery

L’eDiscovery, ou Electronic discovery, est l’aspect électronique de l’identification, de la collecte et de la production de données stockées électroniquement en réponse à une demande de production dans le cadre d’une enquête ou d’un procès. Ces données comprennent, sans s’y limiter, les e-mails, les présentations, les documents, les bases de données, les fichiers audio et vidéo, les messages vocaux, les sites web et les médias sociaux.

 

Les processus et technologies liés à l’administration de la preuve électronique sont souvent complexes à cause du volume considérable d’e-mails reçus/envoyés et stockés. De plus, contrairement aux preuves sur papier, les e-mails sont plus dynamiques et contiennent souvent des métadonnées comme les horodatages, les informations sur l’expéditeur et le destinataire, ou encore des propriétés intellectuelles. Il est nécessaire de préserver le contenu original des messages ainsi que les métadonnées des informations qu’ils contiennent afin d’éliminer les allégations de falsification ou de spoliation des preuves plus tard lors d’un litige.

Une fois les données identifiées par les parties des deux côtés d’une affaire, les messages potentiellement pertinents sont placés sous séquestre juridique. En d’autres termes, elles ne peuvent plus être modifiées, supprimées, effacées ou autrement détruites. Les messages potentiellement pertinents sont collectés, puis extraits, indexés et placés dans une base de données. À ce stade, les e-mails sont analysés dans le but d’éliminer ou de séparer les documents et les e-mails non pertinents. Les données sont ensuite hébergées dans un environnement sécurisé et rendues accessibles aux examinateurs qui vont les coder en fonction de leur pertinence par rapport à la question juridique. Pour l’examen des documents, il faut souvent faire appel à des avocats et des assistants juridiques.

Pour la production, les documents pertinents sont parfois convertis dans un format statique comme .TIFF ou .PDF, ce qui permet la rédaction d’informations privilégiées et non pertinentes. L’utilisation de la révision assistée par ordinateur pour le codage prédictif et d’autres logiciels d’analyse pour l’eDiscovery réduit le nombre de documents requis pour l’examen par les avocats. Cela permet également à l’équipe juridique de classer par ordre de priorité les documents qu’elle examine. La réduction du nombre de documents permet de réduire les heures et donc les coûts. Bref, l’objectif ultime de l’e-Discovery est de produire un volume de base de preuves pour les litiges d’une manière défendable. Si vous n’archivez pas vos e-mails de manière sécurisée, vous aurez des difficultés à répondre à cette obligation.

Comment mettre en place une solution d’archivage conforme au RGPD ?

De nombreuses entreprises utilisent déjà une solution d’archivage des e-mails pour se conformer aux réglementations de l’État, du gouvernement fédéral ou du secteur dans lequel elles interviennent.

L’archivage des e-mails est également très utile pour l’eDiscovery et le traitement des plaintes des clients. De plus, l’archivage peut être utilisé ou pour éviter la perte de données pour pouvoir les récupérer en cas de sinistre.

Une solution d’archivage des e-mails est importante pour la conformité au RGPD, car elle permet de stocker les données de la messagerie électronique en toute sécurité, tout en évitant la perte de données et les accès non autorisés aux comptes de messagerie électronique. Elle permet également de retrouver, de récupérer ou de supprimer rapidement les données personnelles contenues dans les e-mails, en toute sécurité.

ArcTitan, la solution d’archivage sécurisé des e-mails de TitanHQ, est la solution d’archivage idéale pour la conformité au RGPD. ArcTitan comprend un chiffrement de bout en bout des données de la messagerie électronique et des contrôles d’accès – y compris les contrôles basés sur les rôles – pour garantir que les données de messagerie électronique sont protégées contre les accès non autorisés. De plus, ArcTitan crée un enregistrement inviolable de toutes les données de messagerie pendant la durée de votre politique de conservation des données de la messagerie électronique.

Au cas où vous devriez retrouver des e-mails spécifiques, l’archive peut être consultée et les messages peuvent être récupérés rapidement et facilement. C’est par exemple le cas lorsqu’un citoyen de l’UE demande à accéder à ses données personnelles ou lorsqu’un individu demande la suppression de ses données personnelles selon les normes du RGPD.

Pour plus d’informations sur ArcTitan, contactez l’équipe de TitanHQ dès aujourd’hui.