Cueillette En EntrepriseLorsque le matériel informatique arrive en fin de vie, on pourrait facilement penser que les risques disparaissent avec lui. Mais « fin de vie » ne signifie pas que les risques disparaissent, bien au contraire, ils ne font souvent que commencer. Les ordinateurs portables, les serveurs, les imprimantes et les appareils mobiles ne sont peut-être plus utilisés dans votre entreprise, mais ils peuvent encore contenir des données sensibles sur vos clients, être soumis à des obligations de conformité strictes et présenter de sérieux risques pour l’environnement. Une mauvaise gestion de ces équipements peut entraîner des sanctions financières, nuire à votre réputation et donner lieu à des poursuites judiciaires.
Voici cinq risques majeurs auxquels les entreprises s’exposent lorsque la mise au rebut des équipements informatiques n’est pas gérée correctement, et comment les éviter.
Risque 1 : violations de données catastrophiques
Même lorsqu’ils sont éteints, les équipements informatiques peuvent contenir des données non cryptées ou mal effacées. Lorsque ces appareils sont revendus, jetés ou volés dans des décharges, des personnes mal intentionnées peuvent récupérer ces informations à des fins d’usurpation d’identité, de fraude ou d’espionnage industriel.
Voici un exemple concret à prendre en considération : une entreprise de déménagement engagée par Morgan Stanley pour gérer la mise au rebut de serveurs hors service n’a pas effacé les données avant leur revente. Résultat ? Une amende de 35 millions de dollars infligée par la SEC en 2022, une pénalité de 60 millions de dollars infligée par l’OCC en 2020 et un règlement supplémentaire de 60 millions de dollars dans le cadre d’un recours collectif. Au total, la mise au rebut inappropriée par Morgan Stanley de serveurs non effacés a exposé les informations personnelles de 15 millions de clients et entraîné plus de 155 millions de dollars de dommages et intérêts.
Risque 2 : sanctions réglementaires pour mauvaise gestion des données sensibles
Les lois mondiales et sectorielles sur la confidentialité ne s’arrêtent pas au centre de données : elles suivent vos appareils tout au long de leur cycle de vie jusqu’à leur élimination.
- En vertu de la loi HIPAA, les organismes de santé doivent protéger les informations médicales personnelles (PHI) même lors de la mise au rebut du matériel informatique. En 2021, les centres de santé communautaires HealthReach dans le Maine ont découvert qu’un centre de stockage tiers avait mis au rebut de manière inappropriée des disques durs, compromettant ainsi les données de près de 117 000 patients.
- En vertu du RGPD, toute mauvaise gestion des données personnelles des résidents de l’UE ou du Royaume-Uni, y compris lors de leur élimination, peut entraîner des amendes pouvant atteindre 20 millions d’euros. Le « droit à l’effacement » prévu par le règlement s’applique également aux actifs en fin de vie.
Risque 3 : Amendes liées à l’environnement et aux déchets dangereux
Les déchets électroniques contiennent des matières dangereuses telles que le plomb, le mercure, le lithium et des retardateurs de flamme, qui sont tous réglementés par l’EPA américaine et d’autres organismes similaires à travers le monde. Le non-respect des lois sur les déchets dangereux lors de l’élimination des équipements informatiques peut entraîner de lourdes sanctions.
- Apple a été condamnée à une amende de 450 000 dollars après que les autorités californiennes aient constaté des irrégularités dans le traitement des déchets électroniques dans ses installations de broyage.
- Comcast et Big Lots ont respectivement payé plus de 25 millions et 3,5 millions de dollars pour des infractions similaires.
- En vertu de la loi fédérale américaine, les amendes peuvent atteindre 37 500 dollars par infraction et par jour.
Risque 4 : Recours collectif et responsabilité civile
Même après la fin des enquêtes réglementaires, les coûts peuvent persister. Les clients, les employés et les actionnaires peuvent intenter des poursuites civiles pendant des années après une violation. Le règlement du recours collectif contre Morgan Stanley est un rappel frappant de ces responsabilités à long terme.
Risque 5 : Érosion de la confiance envers la marque
Les amendes et les violations ne passent pas inaperçues : elles sont rendues publiques dans les documents déposés auprès de la SEC, sur les réseaux sociaux et dans les gros titres des journaux. Les incidents de sécurité liés à la destruction des données sont désormais fréquemment cités dans les déclarations de risques de tous les secteurs, de la santé à la finance en passant par la vente au détail. Une fois la confiance perdue, la regagner peut être coûteux et long.
Stratégies d’atténuation
Heureusement, ces risques peuvent être évités. Les entreprises peuvent protéger leurs données, leur réputation et leurs résultats financiers en mettant en œuvre des pratiques de destruction des données informatiques intelligentes et conformes :
- Gestion des stocks : suivez chaque actif depuis son achat jusqu’au certificat final de destruction à l’aide des numéros de série.
- Nettoyage des données : utilisez des méthodes de purge, d’effacement ou de destruction en fonction de la sensibilité des données du périphérique.
- Partenaires ITAD certifiés : ne travaillez qu’avec des partenaires certifiés NAID AAA, e-Stewards ou R2v3, qui fournissent une logistique suivie par GPS, des audits sur site et des rapports de destruction sérialisés.
- Alignement des politiques : intégrez les programmes ESG et de conformité aux réglementations HIPAA, GDPR, EPA et autres.
- Formation des employés : assurez-vous que votre équipe comprend et respecte les protocoles de fin de vie.
Une élimination inadéquate des équipements informatiques n’est pas seulement un problème technique, c’est aussi un problème juridique, financier et de réputation. En prenant ce problème au sérieux, les entreprises peuvent transformer un risque caché en un avantage concurrentiel.
Quantum prend très au sérieux la sécurité de vos données et la conformité réglementaire. Découvrez comment nous atténuons les risques en suivant des protocoles rigoureux et en conservant les certifications les plus avancées du secteur.