Protéger ses droits et justifier son activité lors d'un contrôle.

Suite à la pandémie, de nombreuses entreprises dans le secteur de la finance ont éprouvé le besoin d’être plus flexibles et de s’adapter au changement. Au cœur de cette évolution, celles-ci ont adopté une approche de travail hybride. Ce passage au digital comprend une main-d’œuvre fortement répartie, un recentrage sur l’expérience de l’employé et les possibilités de collaboration avec des tiers. Cette nouvelle tendance a poussé les entreprises de la finance à prendre davantage de responsabilités vis-à-vis de leurs données.

L’un des facteurs clés est que la finance est un secteur fortement réglementé. Par exemple, la deuxième version de la directive européenne sur les marchés d’instruments financiers (MiFID II) est entrée en vigueur en 2018, obligeant les États membres de l’UE à mettre en œuvre des obligations de conservation pour les entreprises opérant dans le secteur de la finance.

Autrement dit, ces entreprises doivent prendre des dispositions pour que des enregistrements suffisants de tous les services, activités et transactions entrepris par l’entreprise soient conservés. Cela permet à l’autorité compétente de remplir ses tâches de surveillance et de s’assurer du respect de toutes les obligations.

Recommandations

Parce qu’aujourd’hui les services de messagerie connaissent une croissance fulgurante et que les volumes de contenus échangés par voie électronique dépassent largement ceux des flux papier, l’archivage des emails est devenu un problème complexe. La conservation des archives répond à trois besoins : assurer le fonctionnement du service concerné, qui doit pouvoir disposer des informations utiles à son activité ; garantir les droits de l'usager (valeur de preuve) ; permettre la constitution d'une mémoire à valeur historique.

Archivage VS Sauvegarde des e-mails

L’objectif premier de l’archivage des e-mails est de s’assurer que les données des e-mails restent disponibles dans leur forme originale et peuvent être récupérées à tout moment. Toutefois, les entreprises doivent analyser quels types d’e-mails doivent être archivés et pour combien de temps. Par exemple, les factures, les devis, les demandes d’assistance ou les réclamations de service sont des informations critiques pour l’entreprise contenues dans les e-mails. Cependant, une stratégie de gestion des e-mails doit également tenir compte des exigences du RGPD et d’autres réglementations similaires sur la confidentialité des données.

Les solutions d’archivage des e-mails sont distinctes de celles pour la sauvegarde. En effet, elles doivent être utilisées en complément pour créer uniquement des copies temporaires des données du serveur de messagerie sur un support de stockage externe ou dans le cloud.

Un système de sauvegarde sert à la récupération après un sinistre : il permet de recopier des ensembles de données temporaires sauvegardées à partir d’un stockage externe en cas de perte de données ou d’arrêt du système.

Se conformer à la réglementation sur la confidentialité des données

Les e-mails à caractère professionnel contiennent presque toujours des informations sensibles. Les réglementations spécifiques et le RGPD ont été un facteur clé de la sensibilisation accrue des entreprises à leur stratégie de gestion des e-mails au cours des deux dernières années. Les lois sur la protection de la vie privée contiennent des dispositions visant à protéger les droits et libertés fondamentaux des personnes lorsque leurs données personnelles sont traitées. Les principes généraux du RGPD comprennent la limitation des objectifs, la minimisation des données, la limitation du stockage ainsi que l’intégrité et la confidentialité. L’entité qui détermine les finalités et les moyens du traitement, le « responsable du traitement », sera tenue responsable du respect de ces principes.

Une solution d’archivage des e-mails devrait, par exemple, permettre de supprimer automatiquement les e-mails qui ont été archivés avec succès lorsque cela est approprié, libérant ainsi de l’espace de stockage. Cela permettrait de respecter les principes de confidentialité des données tels que la minimisation des données et la limitation de la finalité conformément à l’art. 5 DU RGPD.

Souveraineté des données et délocalisation à des prestataires de services

La création d’une stratégie de gestion des e-mails implique également d’évaluer si les e-mails sont stockés sur un serveur géré sur place par le service informatique de l’entreprise ou chez un fournisseur SaaS indépendant ou ses sous-traitants. Lorsqu’il s’agit de stocker des données, l’utilisation du cloud est une excellente option car elle offre une grande évolutivité. Mais cela ne règle pas la question de savoir où sont stockées les données de messagerie et comment elles sont protégées et traitées.

Lors de l’évaluation de la mise en œuvre d’une solution Cloud, les entreprises financières devront, d’une part, examiner attentivement les exigences spécifiques au secteur telles que les lignes directrices de l’Autorité bancaire européenne (ABE) sur l’externalisation vers des fournisseurs de services Cloud.

Lorsqu’elle fait appel à un fournisseur de SaaS, une entreprise devrait envisager de conclure un addendum au traitement des données. Ce dernier est un accord qui couvre les exigences de l’art. 28 du RGPD de l’UE. Il est nécessaire lorsqu’un tiers (« sous-traitant ») est engagé pour traiter des données à caractère personnel pour le compte d’un responsable du traitement. Entre autres, le responsable du traitement doit s’assurer que le sous-traitant a mis en œuvre des mesures techniques et organisationnelles adaptées au risque.

L’archivage des e-mails et stratégie de continuité des activités

l est recommandé à toutes les organisations financières de mettre en œuvre une approche de gouvernance des e-mails, y compris une solution indépendante d’archivage des e-mails, dans le cadre de leur stratégie commerciale intégrée. Les solutions professionnelles d’archivage des e-mails permettent aux entreprises de choisir entre différentes approches d’archivage stratégique, en fonction de leurs besoins.

Si l’archivage des e-mails dans le respect de la législation est l’objectif principal, l’archivage des journaux peut être la meilleure option. En revanche, si l’objectif principal est de décharger le serveur de messagerie, l’archivage des boîtes aux lettres, associé à des règles de suppression spécifiques, peut être la meilleure solution.

Il est également possible de combiner les deux approches. Cela permet aux organisations financières de faire de l’archivage des e-mails un élément indispensable de leur stratégie d’entreprise.