Stockage et conservation des données dans la technologie : un glossaire complet

La conservation des données est une pierre angulaire de la gouvernance de l’information moderne—englobant les processus, politiques et technologies permettant aux organisations de contrôler la manière dont l’information est stockée, protégée et supprimée. Qu’elles soient motivées par des exigences réglementaires, juridiques, opérationnelles ou commerciales, la compréhension de la terminologie et des cadres relatifs à la conservation des données est essentielle pour les professionnels IT, conformité et gouvernance des données. Ce glossaire de référence couvre tout, des définitions de base et exigences réglementaires aux meilleures pratiques de mise en œuvre et recommandations sectorielles (y compris l’aviation et le cloud).

Conservation des données

Définition :
La pratique systématique de stockage des données pendant une période prescrite, dictée par des exigences légales, réglementaires, opérationnelles et stratégiques. La conservation des données garantit la disponibilité de l’information pour les audits de conformité, la défense juridique, la continuité des activités, l’analyse et la référence historique, tout en minimisant les risques associés à l’accumulation inutile.

Application :
Applicable à tous les secteurs—services financiers, santé, aviation, télécommunications, etc. En aviation, le Document 9868 de l’OACI précise les périodes minimales de conservation des données de vol opérationnelles et des dossiers de maintenance, essentiels pour la supervision de la sécurité et l’enquête sur les accidents.

Mise en œuvre :
Des politiques efficaces de conservation définissent quelles données sont conservées, leur durée de conservation, les formats de stockage et les contrôles de sécurité. Les politiques doivent être révisées périodiquement en cas d’évolution réglementaire ou commerciale, et les méthodes d’élimination doivent assurer l’irréversibilité des données après conservation.

Politique de conservation des données

Définition :
Un ensemble documenté de règles organisationnelles définissant le stockage, l’archivage et la destruction des données. Il stipule les durées de conservation, les emplacements de stockage, les contrôles d’accès et les procédures de destruction pour chaque type de donnée.

Importance :
Permet la conformité réglementaire (RGPD, HIPAA, SOX, etc.), la gestion des risques et la cohérence opérationnelle. Par exemple, l’Annexe 6 de l’OACI impose la conservation des plans de vol et des journaux de maintenance pour des durées définies.

Éléments clés :
Inclut un inventaire des données, leur classification, une cartographie réglementaire, l’attribution des rôles, les procédures de gel juridique, les calendriers de révision et la formation du personnel. L’automatisation et l’accessibilité sont essentielles pour l’application de la politique.

Durée de conservation

Définition :
La durée définie pendant laquelle les données doivent être conservées avant archivage ou destruction. Fixée par la loi, la réglementation, le contrat ou le besoin commercial.

Exemples :

• OACI : Dossiers de maintenance et données de vol ≥2 ans ou jusqu’à remplacement.
• RGPD : Données personnelles conservées le temps strictement nécessaire.
• HIPAA : Informations de santé protégées (PHI) ≥6 ans.

Bonne pratique :
Documenter et réviser régulièrement les durées de conservation dans la politique, en les associant à leurs fondements légaux ou commerciaux.

Technologies de stockage de données

Définition :
Systèmes matériels et logiciels qui stockent, gèrent et récupèrent les données.
Types :

• Sur site : Serveurs de fichiers, SAN/NAS, bibliothèques de bandes.
• Stockage cloud : Amazon S3, Azure Blob Storage, Google Cloud Storage.
• Stockage hybride : Combine sur site et cloud pour plus de flexibilité.

Exemple en aviation :
L’OACI impose un stockage sécurisé et redondant pour les enregistreurs de vol et les journaux de maintenance.

Fonctionnalités techniques :
Le chiffrement, les contrôles d’accès, la journalisation d’audit et l’automatisation du cycle de vie des données sont essentiels.

Gestion du cycle de vie des données (DLM)

Définition :
Un cadre pour gérer les données de leur création jusqu’à leur destruction. La DLM automatise le déplacement, la conservation, l’archivage et la suppression des données selon la politique.

Utilisation :
Des outils comme Amazon S3 Lifecycle Management déplacent automatiquement les données entre classes de stockage ou les suppriment selon un calendrier, assurant la conformité à grande échelle.

Bénéfices :
Réduit l’effort manuel, automatise l’application des politiques, optimise les coûts et améliore la conformité.

Gel juridique (Legal Hold)

Définition :
Processus qui suspend la suppression ou l’altération programmée des données pertinentes pour un litige, un audit ou une enquête en cours ou anticipée.

Mise en œuvre :
Impose la protection des données, même si leur période de conservation est expirée. Nécessite une coordination entre les équipes juridiques, conformité et IT.

Exemple :
Après un incident aéronautique, les gels juridiques préservent les données de vol, communications et journaux de maintenance.

Élimination sécurisée des données

Définition :
Processus de destruction définitive des données en fin de conservation, garantissant qu’elles ne puissent pas être reconstituées.

Méthodes :

• Effacement numérique (NIST SP 800-88)
• Effacement cryptographique
• Destruction physique (broyage, démagnétisation, incinération)

Conformité :
Exigée par HIPAA, RGPD, PCI DSS, OACI et autres.

Classification des données

Définition :
Catégorisation des données selon leur sensibilité, leur statut réglementaire et leur valeur commerciale (ex. : public, interne, confidentiel, restreint).

Objectif :
Guide la conservation, l’accès, le chiffrement et l’élimination. En aviation, les données sensibles de sécurité des vols sont strictement classifiées et contrôlées.

Mise en œuvre :
Des outils automatisés appliquent des tags et intègrent la classification au DLM pour l’application des politiques.

Journalisation d’audit

Définition :
Enregistrement systématique des événements liés à l’accès, la modification, la conservation et l’élimination des données.

Exigences :
Imposée par SOX, PCI DSS, OACI Annexe 19. Les journaux doivent être infalsifiables, stockés en toute sécurité et conservés selon la politique.

Bonne pratique :
Centraliser la gestion des journaux (ex. : SIEM), activer les contrôles d’intégrité, restreindre l’accès aux journaux.

Contrôle d’accès basé sur les rôles (RBAC)

Définition :
Restreint l’accès aux données en fonction des rôles, limitant l’exposition aux seuls utilisateurs autorisés.

Application :
Applique les politiques de conservation en limitant la suppression ou la prolongation aux rôles habilités.

Mise en œuvre :
Pris en charge par les systèmes modernes de stockage et DLM, avec des traces d’audit pour toutes les actions liées à la conservation.

Conformité réglementaire et juridique

Définition :
Respect des lois, réglementations et normes encadrant la conservation, le stockage, l’accès et l’élimination des données.

Cadres :

• RGPD (UE)
• CCPA (Californie)
• HIPAA (États-Unis)
• SOX (États-Unis)
• GLBA (États-Unis)
• OACI (International)

Problématiques transfrontalières :
Nécessite la cartographie et l’harmonisation des exigences propres à chaque juridiction.

Minimisation des données

Définition :
Collecte et conservation uniquement des données strictement nécessaires aux finalités définies.

Base légale :
Exigence centrale du RGPD & CCPA ; l’OACI recommande de minimiser la conservation des informations personnelles (PII) en aviation.

Action :
Les politiques doivent imposer la suppression régulière des données redondantes, obsolètes ou triviales (ROT).

Stockage immuable

Définition :
Systèmes de stockage où les données, une fois écrites, ne peuvent pas être modifiées ou supprimées avant une période définie (write-once-read-many, WORM).

Exemple :
Amazon S3 Object Lock, Azure Immutable Blob Storage.

Cas d’usage :
Journaux d’audit, données de vol, dossiers financiers—là où la preuve d’intégrité est critique.

Chiffrement au repos et en transit

Définition :
Le chiffrement au repos protège les données stockées ; le chiffrement en transit sécurise les données lors du transfert.

Exigence réglementaire :
Requis par HIPAA, PCI DSS et les recommandations cybersécurité de l’OACI.

Mise en œuvre :
Algorithmes standards, gestion robuste des clés et application automatisée.

Droits des personnes concernées

Définition :
Droits individuels sur leurs données personnelles, dont l’accès, la rectification, la suppression (droit à l’oubli) et la portabilité.

Impact sur la conservation :
Les politiques doivent permettre de répondre rapidement aux demandes des personnes concernées, sauf exceptions (ex. : gel juridique).

Inventaire et cartographie des données

Définition :
Catalogue exhaustif de tous les actifs de données, détaillant types, emplacements, propriétaires, règles de conservation et flux.

Objectif :
Base pour des politiques de conservation précises et des audits de conformité.

Bonne pratique :
Utiliser des outils de découverte automatisés pour des mises à jour et une application continues.

Calendrier de conservation

Définition :
Matrice spécifiant pour chaque type de donnée : durée de conservation, justification réglementaire ou commerciale, méthode de destruction.

Exemple de tableau :

Révision :
Mettre à jour annuellement ou en cas d’évolution réglementaire/commerciale.

Risque de violation de données

Définition :
Risque d’accès non autorisé, de perte ou d’exposition de données conservées, avec impacts financiers, réputationnels et réglementaires potentiels.

Impact sur la conservation :
Une conservation prolongée augmente le risque ; une sur-conservation élargit la surface d’attaque, une sous-conservation peut nuire à l’investigation.

Atténuation :
Appliquer le principe de conservation minimale, contrôles d’accès, chiffrement et audits réguliers.

Archivage des données

Définition :
Transfert des données inactives mais de valeur vers un stockage spécialisé pour une conservation à long terme, optimisant la performance et le coût tout en assurant la conformité.

Caractéristiques :
Immuable, indexé, sécurité renforcée. En aviation, l’archivage préserve les dossiers de maintenance et de sécurité pendant tout le cycle de vie de l’aéronef.

Élagage et données ROT

Définition :
L’élagage est la suppression systématique des données redondantes, obsolètes ou triviales (ROT).

Processus :
Des outils automatisés utilisent l’analyse des métadonnées et des politiques pour identifier et supprimer ou signaler les données à examiner.

Conservation des données en aviation

Définition :
Englobe la préservation des dossiers opérationnels, de maintenance, de sécurité et du personnel selon les règles de l’OACI, EASA, FAA et nationales.

Exigences :
L’Annexe 6 de l’OACI impose la conservation des plans de vol, données d’équipage et de maintenance pendant 2 ans ou la durée de vie de l’appareil. Un stockage sécurisé, redondant et un accès contrôlé sont essentiels.

Tendances :
La dématérialisation et le stockage cloud requièrent des mesures cybersécurité et d’audit renforcées.

Audit de conservation des données

Définition :
Revue formelle de la conformité à la politique de conservation, aux réglementations et aux contrôles techniques.

Portée :
Examine l’inventaire, l’application des politiques, la sécurité du stockage, les enregistrements de destruction et la gestion des demandes/gels juridiques.

Documentation :
Documenter les constats ; suivre et revoir les actions correctives.

Automatisation de la conservation des données

Définition :
Application logicielle des politiques de conservation, surveillance de la conformité, gestion des gels juridiques et suppression sécurisée.

Avantages :
Réduit les erreurs humaines, gère de grands volumes, permet le reporting de conformité en temps réel.

Conservation des données pour l’analytique

Définition :
La conservation des données pour l’analytique soutient la BI, la modélisation prédictive et le reporting, en équilibrant valeur, confidentialité, coût et conformité.

Bonnes pratiques :
Agrégation/anonymisation des données, contrôles d’accès, révision des durées de conservation analytique.

Conservation des données et informatique en nuage

Définition :
Le cloud introduit un stockage distribué, la multi-location, la gestion automatisée du cycle de vie et des défis/opportunités liés aux flux de données transfrontaliers.

Fonctionnalités :
Politiques de cycle de vie, stockage immuable, chiffrement, journalisation d’audit.

Considérations :
Les SLA doivent couvrir la conservation, la suppression, le gel juridique et la conformité selon la juridiction.

Conservation des données en reprise après sinistre

Définition :
La conservation des données de sauvegarde et de reprise après sinistre assure la résilience de l’organisation après une perte de données ou une cyberattaque.

Directives réglementaires :
Les politiques doivent spécifier les durées de conservation des sauvegardes, les emplacements de stockage (hors site/cloud) et les processus de destruction.

Pièges de la conservation des données

Problèmes :

• Sur-conservation : risque/coût accrus.
• Sous-conservation : risque de sanction ou de perte de preuve.
• Silos de politique et application incohérente.
• Documentation insuffisante.
• Ignorance des gels juridiques.

Prévention :
Révision régulière, gouvernance transversale, formation du personnel, application technique.

Liste de contrôle pour la conservation des données

Ressources sur la conservation des données

• OACI Annexe 6, Doc 9868, Doc 10066 : Normes d’archivage aéronautique.
• ISO/IEC 27001 : Contrôles de sécurité de l’information.
• NIST SP 800-88 : Recommandations pour la purge des supports.
• RGPD, HIPAA, SOX, CCPA : Textes réglementaires et guides.
• AWS, Azure, Google Cloud : Documentation sur la gestion du cycle de vie et la conformité.

Ce glossaire est une ressource de référence pour les professionnels IT, conformité et gouvernance des données, offrant une base complète pour une conservation des données efficace, sécurisée et conforme. Pour les pratiques spécifiques à l’aviation, veuillez toujours consulter les dernières recommandations de l’OACI et des autorités nationales.