Plan de sauvegarde et obligations légales

La sauvegarde des données concerne l'entreprise, mais aussi l'association ou autre entité de type autorité administrative. Les risques légaux à ne pas mettre en place une sauvegarde des données  pourraient être assimilés à se refuser à prendre en compte le développement durable : les données font partie de la vie quotidienne et de notre civilisation, les négliger c'est handicaper à un moment donné les biens et les personnes.

Loi sur la protection des données

L’absence de sauvegarde entre en partie dans le cadre de la loi sur la protection des données; à partir du moment où il existe une telle loi qui encadre les données, leur protection et leur sécurité, les citoyens auxquels elle s’adresse doivent se ranger dans le sens de son application. Certes, les lois sont dirigées vers la protection des Données à Caractère Personnel (DCP). La directive européenne 95/46/CE de 1995 a été faite pour créer un cadre réglementaire relatif à la sécurisation des données personnelles des citoyens ressortissants de l’UE. La loi française Informatique et Liberté N°78-17 du 6 Janvier 1978 avait fondé la réflexion en intégrant la notion de fichiers au sens de stockage organisé et répertorié de données personnelles. La loi française N°2004-801 du 6 Août 2004 avait renforcé les pouvoirs de la CNIL (Commission Nationale Informatique et Liberté) en lui donnant la possibilité de sanctionner les contrevenants en considérant notamment la responsabilité des entreprises dans les risques liés au traitement, l’échange et la circulation des données à caractère personnel.

Manque de garantie sur la sécurisation des données

Si la loi ne considère pas l’ensemble des données, mais principalement les DCP, il va de soi que le fait que la sécurisation des données et des systèmes d’information ne soit pas suffisamment correcte, implique un manque de garantie sur leur fiabilité et leur inviolabilité ; une faille ne peut-elle pas tout remettre en cause ? De plus, l’ensemble du SI est concerné puisque des outils obsolètes dans la chaîne, ou ajoutés sans contrôle d’impact, risquent aussi de fragiliser le système. C'est dans ce sens que l'UE avance depuis le 25 Janvier 2012 dans son approche de régulation générale de la protection des données (GDPR pour General Data Protection Regulation) en imaginant de créer une autorité européenne de la protection des données chargée de coordonner des autorités locales (DPA) dans chaque pays de l'UE. Des responsables de la protection des données (Data Protection Officers ou DPO) étant chargés de s'assurer que les entreprises et autres entités appliquent les règles opportunes pour leurs activités. L'article 23 spécifiant que la confidentialité des données soit conçue et appliquée par défaut  dans tous les processus stratégiques de l'entreprise pour les produits et services. Les discussions sont en cours sur la protection des données des employés.

Sauvegarder ses données

Dans tous les cas, il ressort que dans le cadre d’une entreprise, l’ensemble des risques légaux sur les données échoit au chef d’entreprise, sauf s’il a délégué sa responsabilité à un DSI ou à un RSSI et qu’il est contractuellement écrit que cette délégation intègre bien cette responsabilité. Les risques légaux à ne pas mettre en place une sauvegarde peuvent être évalués à partir des outils décrits dans la norme internationale ISO31000 de management du risque. Il va de soi que la sauvegarde des données doit non seulement exister, mais être protégée.