Le risque d’élimination inadéquate des TI : des violations de données aux amendes

Lorsque l’équipement TI atteint la fin de sa durée de vie utile, il est facile de supposer que les risques vont avec. Mais « fin de vie » ne signifie pas que le risque prend fin—en fait, il ne fait souvent que commencer. Les ordinateurs portables, serveurs, imprimantes et appareils mobiles n’alimentent peut-être plus votre entreprise, mais ils peuvent tout de même contenir des données sensibles des clients, assumer de lourds fardeaux de conformité et poser de graves responsabilités environnementales. Leur mauvaise gestion peut entraîner des pénalités financières, des dommages à la réputation et des poursuites judiciaires.

Voici cinq risques majeurs auxquels les entreprises font face lorsque l’élimination des TI n’est pas gérée correctement — et comment les éviter.

Risque 1 : Violations catastrophiques de données

Même éteints, les actifs informatiques peuvent contenir des données non chiffrées ou effacées de manière incorrecte. Lorsque ces appareils sont revendus, jetés ou volés dans les sites d’enfouissement, les acteurs malveillants peuvent exploiter ces informations pour le vol d’identité, la fraude ou l’espionnage d’entreprise.

Voici un exemple concret à considérer : une entreprise de déménagement engagée par Morgan Stanley pour gérer l’élimination des serveurs désaffectés n’a pas réussi à les effacer avant la revente. Le résultat? Une amende de 35 millions de dollars de la SEC en 2022, une amende de 60 millions de dollars de la part de l’OCC en 2020, et un règlement collectif supplémentaire de 60 millions de dollars. Au total, l’élimination inappropriée par Morgan Stanley de serveurs non effacés a exposé les informations personnelles de 15 millions de clients et causé plus de 155 millions de dollars en dommages-intérêts.

Risque 2 : Sanctions réglementaires pour mauvaise gestion de données sensibles

Les lois mondiales et sectorielles sur la vie privée ne s’arrêtent pas au centre de données — elles suivent vos appareils tout au long de leur cycle d’élimination.

• Selon la HIPAA, les organismes de santé doivent protéger les renseignements personnels de santé (PHI) même lors de l’élimination du matériel. En 2021, les centres de santé communautaires HealthReach du Maine ont découvert qu’une installation de stockage tierce avait jeté de manière inappropriée des disques durs, compromettant les données de près de 117 000 patients.
• Selon le RGPD, toute mauvaise gestion des données personnelles des résidents de l’UE ou du Royaume-Uni — y compris lors de leur élimination — peut entraîner des amendes allant jusqu’à 20 millions d’euros. Le « droit à l’effacement » du règlement s’applique aussi aux actifs en fin de vie.

Risque 3 : Amendes environnementales et pour déchets dangereux

Les déchets électroniques contiennent des matières dangereuses comme le plomb, le mercure, le lithium et les retardateurs de flamme, tous réglementés par l’EPA américaine et des organismes similaires à l’échelle mondiale. Le non-élimination des actifs informatiques conformément aux lois sur les déchets dangereux peut entraîner de lourdes sanctions.

• Apple a écopé d’une amende de 450 000 $ après que les régulateurs californiens ont découvert une mauvaise gestion des déchets électroniques dans ses installations de déchiquetage.
• Comcast et Big Lots ont payé respectivement plus de 25 millions et 3,5 millions de dollars pour des infractions similaires.
• Selon la loi fédérale américaine, les amendes peuvent atteindre 37 500 $ par infraction, par jour.

Risque 4 : Action collective et responsabilité civile

Même après la fin des enquêtes réglementaires, les coûts pourraient se poursuivre. Les clients, employés et actionnaires peuvent poursuivre des dommages-intérêts civils pendant des années après une infraction. Le règlement du recours collectif de Morgan Stanley rappelle frappant ces passifs à long terme.

Risque 5 : Érosion de la confiance de la marque

Les amendes et les violations ne restent pas discrètes — elles sont publiées dans les dossiers de la SEC, les médias sociaux et les gros titres. Les incidents de sécurité liés à l’élimination sont maintenant fréquemment cités dans les divulgations de risques dans divers secteurs, de la santé à la finance en passant par le commerce de détail. Une fois la confiance perdue, la reconquérir peut être coûteux et lent.

Stratégies d’atténuation

Heureusement, ces risques sont évitables. Les entreprises peuvent protéger leurs données, leur réputation et leurs résultats financiers en mettant en place des pratiques intelligentes et conformes à l’élimination des TI :

• Gestion des stocks : Suivez chaque actif, de l’achat au certificat final de destruction , à l’aide de numéros de série.
• Sanitisation des données : Utilisez des méthodes de purge, de nettoyer ou de détruire selon la sensibilité des données de l’appareil.
• Partenaires certifiés ITAD : Travailler uniquement avec des partenaires certifiés par NAID AAA, e-Stewards ou R2v3, qui fournissent une logistique suivie par GPS, des audits sur place et des rapports de destruction sérialisés.
• Alignement des politiques : Intégrer les programmes ESG et de conformité avec la HIPAA, le RGPD, l’EPA et d’autres règlements.
• Formation des employés : Assurez-vous que votre équipe comprend et respecte les protocoles de fin de vie.

L’élimination inappropriée des TI n’est pas seulement un problème technologique — c’est un problème légal, financier et réputationnel. En prenant cela au sérieux, les entreprises peuvent transformer un risque caché en une force concurrentielle.

Quantum prend la sécurité de vos données et la conformité réglementaire très au sérieux. Découvrez comment nous réduisons les risques en suivant des protocoles rigoureux et en maintenant des certifications de pointe dans l’industrie.