Dans de nombreux secteurs réglementés, une politique d’archivage des emails est nécessaire pour démontrer que l’organisation se conforme aux normes de l’industrie.
Même lorsqu’une organisation n’opère pas dans un secteur réglementé, il est recommandé d’avoir des politiques d’archivage des emails afin que les données puissent être facilement récupérées si un tribunal l’exige en vertu des normes en matière de divulgation des données personnelles.
Une politique d’archivage des emails devrait être la pierre angulaire de la stratégie d’archivage des emails de chaque organisation. Il est probable que deux politiques d’archivage des emails ne soient pas identiques : chacune devrait donc définir son objet, les réglementations auxquelles la politique est soumise, les temps de rétention par type d’email et le processus de suppression des emails une fois leur durée de conservation expirée.
Il devrait également y avoir des sections relatives à la « mise en attente pour litige » et une liste du personnel responsable de la mise en œuvre et de l’application de la politique d’archivage des emails.
Cet article fournit des exemples de différents types de politiques d’archivage des emails ; suggère quelques pratiques exemplaires à inclure dans l’exécution d’une telle politique et offre des conseils sur l’évaluation des solutions afin de simplifier son application et de garantir sa conformité. Si vous avez des questions concernant le contenu de cet article, nous vous invitons à nous contacter et à discuter de vos besoins avec notre équipe de techniciens commerciaux expérimentés.
Différents types de politiques d’archivage des emails
En général, il existe deux types de politiques dites « informelles » et un type de politique « formel » d’archivage des emails. Les politiques informelles sont soit « tout sauvegarder », soit « la discrétion de l’utilisateur ». Chacune de ces politiques a ses avantages.
La politique de « tout sauvegarder » signifie qu’il n’y a aucun risque de violation d’une retenue légale, tandis que la politique de « discrétion des utilisateurs » a un niveau élevé de catégorisation granulaire.
Cependant, les deux ont leurs inconvénients. La politique de « tout sauvegarder » exige une expansion continue de l’espace de stockage et comporte des risques juridiques accrus lorsque les données d’emails ne sont pas conformes. La politique de « discrétion des utilisateurs » peut être sujette à des erreurs humaines et ne peut être contrôlée ou supervisée.
Pour ces raisons, de nombreuses entreprises mettent en œuvre une politique structurée d’archivage des emails qui tient un journal de tous les utilisateurs et qui contrôle automatiquement les périodes de conservation.
Les politiques « formelles » structurées utilisent des solutions d’archivage pour collecter, indexer et stocker tous les messages entrants et sortants. Une fois indexé, chaque email doit se conformer à un délai de conservation automatiquement défini en fonction de son type. La gestion des courriels est simplifiée, la récupération des données est accélérée et le coût de l’archivage des emails est réduit.
Le seul inconvénient potentiel d’une politique « formelle » structurée est qu’elle nécessite une coopération entre les services informatiques, juridiques, RH et financiers pour atteindre des objectifs communs.
Meilleures pratiques en matière de politique d’archivage des emails
La politique « formelle » structurée est sans aucun doute la plus appropriée des trois pour l’archivage des emails. Avec une solution d’archivage appropriée, les seules pratiques exemplaires dont les organisations doivent adopter sont les paramètres à appliquer pour la durée pendant laquelle les messages devraient être conservés.
La meilleure façon de régler ce problème est de définir les exigences légales minimales pour chaque type de message.
Voici quelques exemples :
- Les emails qui pourraient être requis pour l’e-Discovery – une procédure qui incite les entreprises à archiver automatiquement tous les communications et documents électroniques – devraient être conservés aussi longtemps que le délai de prescription de l’État pour chaque type de message.
- La plupart des services fiscaux de l’État exigent que les documents financiers sous forme d’emails soient conservés pendant au moins trois ans.
- Les emails liés à la fiscalité doivent être conservés pendant trois, quatre, six ou sept ans (parfois indéfiniment), selon les circonstances individuelles.
- Les courriels relatifs aux paiements par carte doivent être conservés pendant au moins un an.
- La Health Insurance Portability and Accountability Act (HIPAA) stipule que les documents concernant les renseignements médicaux protégés et qui sont conservés électroniquement devraient être archivés pendant au moins six ans.
Dans de nombreuses circonstances, et en raison des périodes de conservation légales très variables, il peut être avantageux d’indexer les emails archivés en différents types d’emails (ou types d’utilisation) plutôt que par obligation légale.
Cela évitera de maintenir une base de données complète de messages pendant la période de conservation légale maximale. Ainsi, les messages de correspondance des RH pourraient être conservés pendant cinq ans, ceux relatifs aux revenus et aux dépenses pendant quatre ans, et les messages contenant les interactions avec les clients pendant trois ans. Les autres types de messages pourront être conservés pendant un an.
En cas de doute, la plupart des professionnels de l’industrie recommandent de conserver les messages électroniques pour une période maximale de sept ans. Mais comme il est toujours recommandé d’impliquer le service juridique dès les premières étapes de la formulation d’une politique d’archivage des emails, il faut laisser les experts résoudre toute question de conformité. Enfin, évitez de compiler des politiques que la solution d’archivage que vous mettez en œuvre ne peut pas prendre en charge, en particulier lorsqu’il s’agit d’indexer les emails archivés selon différents types d’utilisation.
Politiques d’archivage des emails et conformité au RGPD
Il existe des exceptions à ce qui précède lorsqu’une organisation collecte, traite ou stocke les données personnelles d’un citoyen de l’Union Européenne (UE). En vertu du Règlement général sur la protection des données (RGPD), les données personnelles extraites des emails ne peuvent être traitées et conservées que tant qu’il existe une « base légale ».
Une fois la base légale expirée, toutes les données personnelles relatives aux citoyens de l’UE doivent être effacées. Ces derniers ont également le droit de demander l’accès à leurs données personnelles et leur effacement ; et des politiques d’archivage de la messagerie électronique doivent être élaborées pour faire face à ces situations.
Par ailleurs, les organisations sont tenues d’examiner leurs politiques d’archivage des emails pour s’assurer qu’elles sont conformes aux principes de minimisation des données et de limitation du stockage.
L’examen portera sur l’évaluation des données à caractère personnel des citoyens de l’UE déjà conservées dans une base de données d’emails, l’archivage de toute donnée existante dans une base de données « Live » et l’identification d’une base légale pour le traitement et la conservation continus des données.
L’examen devrait être répété périodiquement et les politiques et procédures devraient être ajustées selon vos besoins.
Évaluation des solutions d’archivage des emails
Les solutions d’archivage des emails se présentent sous de nombreuses formes et tailles différentes, mais il y a certaines caractéristiques qu’une solution doit posséder afin de se conformer à diverses règles et réglementations. Par exemple, les normes en matière de divulgation des données personnelles stipulent que les messages présentés dans e-Discovery doivent être exacts et immuables. Cela signifie que, pour être conforme, une solution d’archivage doit copier les données d’emails en temps réel (et non périodiquement) et avoir des mécanismes en place pour empêcher la modification des données archivées.
La façon dont les données d’emails sont stockées peut également influencer ce qui constitue une solution d’archivage appropriée. Les solutions d’archivage des messages électroniques ont différentes options de déploiement. Les emails peuvent être stockés dans du matériel, dans des logiciels, dans cloud ou selon un modèle hybride qui associe une ou plusieurs de ces trois moyens d’archivage.
Souvent, les solutions basées dans le cloud sont les plus sécurisées. Les messages stockés dans des centres de données ont moins de chances d’être volés, endommagés ou perdus, contrairement à ceux qui sont stockés dans du matériel. Les défenses sont également plus solides en cas d’attaques via le web, contrairement aux défenses mises en place dans des logiciels installés sur un serveur au sein de l’entreprise.
Les solutions basées dans le cloud permettent également de résoudre les problèmes potentiels d’espace de stockage et de réduire les coûts.
Au fur et à mesure que les données d’emails s’accumulent, les organisations qui utilisent des solutions matérielles ou logicielles pourraient être contraintes d’ajouter des dispositifs supplémentaires, réaffecter des serveurs ou migrer des données hors site. Ces coûts supplémentaires ne s’appliquent pas aux solutions basées dans le cloud, car le stockage des messages est généralement facturé par utilisateur, sans limite d’espace de stockage.
Le stockage d’une base de données d’emails dans un seul endroit, à savoir le cloud, accélère également les recherches et la récupération des emails en cas de besoin.
Une stratégie efficace d’archivage des emails avec ArcTitan Cloud
ArcTitan Cloud est une solution d’archivage de SpamTitan et qui est basée dans le cloud. Elle aide les entreprises à gérer leur politique d’archivage aussi simplement que possible. Elle est conforme à toutes les principales normes réglementaires en matière d’archivage des emails, d’e-Discovery et de reprise après sinistre. En effet, ArcTitan Cloud copie les emails lorsqu’ils entrent ou quittent un serveur de messagerie, en les stockant dans un centre de données certifié IL5 et en protégeant leur intégrité via des journaux des accès non autorisés.
Le portail web d’ArcTitan Cloud permet une navigation très facile. En utilisant ce portail, les administrateurs peuvent définir les périodes de conservation par type d’email, définir les niveaux d’accès délégués et surveiller l’accès via une suite complète de rapports.
Notre solution d’archivage dans le cloud est à la fois polyvalente et compatible avec tous les systèmes d’exploitation, les serveurs de messagerie et les services de messagerie. Elle peut supporter jusqu’à 60 000 utilisateurs sans perte de performance, et ce, grâce à la déduplication des données lors de leur indexation et leur stockage. En une seule seconde seulement, ArcTitan Cloud peut rechercher jusqu’à 30 millions de messages dans une base de données d’emails.
Les entreprises disposant déjà des solutions d’archivage des emails peuvent importer rapidement et facilement leurs données via leurs outils d’archivage et de stockage tels que MS Exchange, MSG, Google Apps, EML et PST. Et comme ArcTitan Cloud ne stocke pas les messages dans un format propriétaire, c’est-à-dire un format de données dont les spécifications sont contrôlées par des intérêts privés, les données peuvent être exportées aussi rapidement et facilement dans divers formats via des protocoles TLS obligatoires. Ceci permet de garantir leur intégrité, que les données soient au repos ou en transit.
Bénéficiez d’un essai gratuit d’ArcTitan Cloud
Votre organisation est-elle en train de chercher une politique d’archivage des emails ? Ou bien, avez-vous déjà tenté de mettre en œuvre des politiques d’archivage d’emails, mais vous n’avez pas trouvé de solution appropriée pour rendre ces politiques efficaces ? Alors, nous vous invitons à essai gratuitement ArcTitan Cloud pendant quatorze jours. Cela devrait donner à la plupart des organisations l’occasion d’en évaluer l’efficacité et la fiabilité de notre solution.