Archivage électronique: comment protéger ses données?
Pour être sûr d’être conforme à la loi, de nombreux paramètres doivent être passés sous la loupe.
Steven Kakon
Publié vendredi 17 octobre 2025
Lien copié
#Evénement
Au dernier petit déjeuner des PME et des start-up, des experts ont livré leurs recommandations en matière d’archivage numérique pour protéger les données. Un enjeu stratégique pour toutes les entreprises.
Perte de données, non-conformité légale, accès non autorisé, cyberattaques, pannes matérielles, fuite d’informations sensibles, etc. Si l’archivage électronique surpasse largement le papier en termes d’efficacité, il n’est pas exempt de menaces sérieuses pour les entreprises. Des solutions existent pour renforcer la sécurité, la conformité et la résilience des systèmes d’archivage et ainsi éviter une catastrophe (lire encadré). C’est ce thème crucial qu’a examiné le dernier petit déjeuner des PME et des start-up, le 26 septembre à la Chambre de commerce, d’industrie et des services de Genève, organisé notamment en partenariat avec la FER Genève. Un panel d’experts y a présenté les bonnes pratiques à adopter. Voici les principales recommandations.
Contrôles organisationnels
Cartographier et classer les données. Identifier les types de données, leur emplacement et leurs responsables. Nommer un data owner par domaine et appliquer une classification simple: public, interne, confidentiel, très sensible.
Définir des politiques claires Mettre en place des procédures d’archivage, de stockage et de protection, avec des rôles bien définis pour les employés et les équipes de l’informatique.
Former et sensibiliser les collaborateurs aux bonnes pratiques (mots de passe, phishing, etc.) et aux réglementations comme le Règlement Général sur la protection des données (RGPD) et la nouvelle loi sur la protection des données (nLPD).
Gérer les accès avec rigueur Appliquer le principe du moindre privilège, séparer les rôles administrateurs et réaliser des audits réguliers.
Contrôles techniques
Chiffrement des données en transit (HTTPS, VPN) et au repos (AES-256).
Authentification forte, à double facteurs pour accéder aux systèmes critiques, avec des accès conditionnels.
Sauvegardes automatiques
Faire des sauvegardes et tester régulièrement la restauration pour garantir leur fiabilité.
Protéger le réseau: installer pare-feu, antivirus et systèmes de détection d’intrusion (IDS/IPS).
Contrôles liés à l’archivage
Utiliser des signatures électroniques et des horodatages pour garantir l’intégrité et la traçabilité des documents. Pour les contrats écrits, en Suisse, seule la signature électronique qualifiée est légalement équivalente à une signature manuscrite. Pour en bénéficier, il est nécessaire de passer par un prestataire de services de certification reconnu, prévient Elisabeth Everson, Assistant Manager chez Deloitte Legal.
Etablir un calendrier de conservation avec un système d’alerte pour respecter les durées légales d’archivage. Exemple: en Suisse, les documents comptables doivent être conservés dix ans afin de disposer de toutes les pièces nécessaires en cas de litige. Quant aux données personnelles, la nouvelle Loi fédérale sur la protection des données (nLPD) impose qu’elles doivent être traitées de manière proportionnée et pour des buts déterminés. Si elles ne sont plus nécessaires, elles doivent être effacées ou anonymisées. «Cela s’applique par exemple aux CV et aux diplômes d’un candidat», précise Elisabeth Everson. A noter que les délais de conservation pour les archives électroniques sont les mêmes que pour les archives physiques.
Responsabilité partagée
Il est essentiel de s’assurer que les fournisseurs disposent d’un rapport SOC2/ISAE ou d’une certification ISO 27001; d’une politique claire de rétention et suppression des données; de mesures de chiffrement (en transit et au repos); d’une localisation des données conforme (CH/UE si requis); d’une liste transparente des sous-traitants.
PME ou grande entreprise: amende différente
Face aux interrogations des nombreux chefs d’entreprise présents, Alexandre Courois, directeur adjoint Audit et Conseil en systèmes d’information chez BDO, a tenu à rassurer. «Quatre-vingts pourcents de ces mesures sont simples à mettre en œuvre et peu coûteuses.» «Les PME ont un devoir de diligence, mais les attentes ne sont pas les mêmes que pour les grandes entreprises. En cas de non-conformité, une PME ne se verra pas infliger la même amende qu’une grande entreprise», complète Adelite Uwineza, Manager en Cyber Security chez EY.
Risques majeurs
Pour rappel, un incident peut entraîner:
Des pertes financières: coûts liés à la réputation, paiement de rançons ou d’amendes pour non-conformité.
Une atteinte à la réputation: perte de confiance des clients et partenaires, impact sur l’image de marque.
Une interruption des activités, notamment en cas de perte de données critiques.
En autorisant les services tiers, vous acceptez le dépôt et la lecture
de cookies et l'utilisation de technologies de suivi nécessaires à leur
bon fonctionnement. Voir notre politique de confidentialité.
