Archivages des données personnelles
PRINCIPES RGPD

Archivages des données personnelles

Il convient de définir l’ensemble des modalités de conservation et gestion d’archives électroniques contenant des données à caractère personnel destinées à garantir leur valeur, notamment juridique, pendant toute la durée nécessaire (versement, stockage, migration, accessibilité, élimination, politique d’archivage, protection de la confidentialité, etc.).

Bonnes pratiques dans le cas où la mesure est choisie pour traiter des risques

  • Vérifier que les processus de gestion des archives sont définis.
    Recommandations : distinguer les processus de versement, stockage, gestion des données descriptives, consultation/communication et administration (relation avec les services producteurs, veille technologique et juridique, projets d’évolution et migration des supports et des formats).
  • Vérifier que les rôles en matière d’archivage sont identifiés.
    Recommandations : distinguer les services producteurs, services versants, autorités d’archivage (responsables de la conservation), services contrôleurs (exerçant le contrôle scientifique et technique sur les archives publiques).
  • Vérifier que les mesures prises permettent de garantir, si besoin, l’identification et l’authentification de l’origine des archives, l’intégrité des archives, l’intelligibilité et la lisibilité des archives, la durée de conservation des archives, la traçabilité des opérations effectuées sur les archives (versement, consultation, migration, élimination, etc.), la disponibilité et l’accessibilité des archives, les compléter si ce n’est pas le cas.
    Recommandations : mettre en œuvre des modalités d’accès spécifiques aux données archivées, chiffrer les archives et prévoir de les re-chiffrer de manière sécurisée avec de nouvelles clés avant la fin de vie des clés de chiffrement, prévoir le changement des supports obsolètes des données, choisir un mode opératoire de destruction des archives garantissant que l’intégralité a été détruite?
  • Déterminer les moyens de protection de la confidentialité des données archivées selon les risques identifiés.
    Recommandations : chiffrer systématiquement les données sensibles (données sensibles au sens de l’article 8 et les données relevant de l’article 9 de la loi informatique et libertés) archivées.
  • Vérifier que les autorités d’archivage disposent d’une politique d’archivage (PA).
    Recommandations : le document de PA devrait formaliser les contraintes juridiques, fonctionnelles, opérationnelles et techniques à respecter par les différents acteurs afin que l’archivage électronique mis en place puisse être considéré comme fiable et pérenne.
  • Vérifier qu’il existe une déclaration des pratiques d’archivage (DPA).
    Recommandations : le document de DPA devrait décrire tous les moyens mis en œuvre pour atteindre les objectifs fixés dans la PA.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *