Conservation des données de vidéoconférence : un guide pour les équipes juridiques et de conformité
Les enregistrements de visioconférences, les transcriptions, les historiques de conversation et les métadonnées constituent à la fois des preuves, des ressources de formation, de la propriété intellectuelle et des données personnelles. Les équipes juridiques et de conformité ont besoin d'une approche structurée pour définir la durée de conservation de ces données, les personnes autorisées à y accéder, les conditions de suppression et la gestion des exigences contradictoires selon les juridictions et les réglementations. Ce guide fournit le cadre, les tableaux et les listes de contrôle nécessaires à l'élaboration d'un programme de conservation des données fiable.
Pourquoi la conservation des données est importante pour la vidéoconférence
Les organisations subissent des pressions de plusieurs directions lorsqu'il s'agit de répondre aux exigences en matière de données :
- Les obligations réglementaires imposent la conservation pendant des périodes spécifiées (règle 17a-4 de la SEC, article 16 de MiFID II, HIPAA).
- La réglementation en matière de protection des données exige la suppression des données lorsqu'elles ne sont plus nécessaires (principe de limitation de la conservation, article 5(1)(e) du RGPD).
- Les mesures conservatoires en matière de litiges imposent une préservation qui prime sur les calendriers de suppression normaux.
- Les besoins opérationnels motivent les demandes de conservation des données à des fins de formation, d'assurance qualité et de gestion des connaissances.
Article 5, paragraphe 1, point e), du RGPD — Limitation de la conservation : « Les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. » Ceci crée une obligation légale de définir et de faire respecter les limites de conservation.
Définissez ce que vous retenez
Les données de réunion ne sont pas toutes équivalentes. Recensez chaque type de données et associez-le aux règles de conservation applicables :
Modèle de calendrier de conservation des données par type de données
| Type de données | Description | Déclencheur réglementaire commun | Conservation par défaut recommandée | Notes |
|---|---|---|---|---|
| Métadonnées de réunion | Liste des participants, heures d'arrivée et de départ, durée, titre de la réunion | Exigences d'audit RGPD, HIPAA et SOC 2 | 1 à 3 ans | Faibles coûts de stockage ; utile pour la vérification de la conformité |
| Messages de chat | Chat textuel en réunion | RGPD, SEC 17a-4, FINRA 4511 | 3 à 7 ans (réglementé) / 1 an (général) | Peut contenir des informations personnelles ou des informations critiques pour l'entreprise |
| Enregistrements vidéo | Enregistrement audio/vidéo intégral de la réunion | SEC 17a-4, MiFID II Art. 16, HIPAA, lois étatiques sur l'enregistrement | 3 à 7 ans (réglementé) / 90 jours (général) | Coût de stockage le plus élevé ; impact le plus important sur la vie privée |
| Enregistrements audio uniquement | Capture vocale sans vidéo | Identique aux enregistrements vidéo | 3 à 7 ans (réglementé) / 90 jours (général) | Coût de stockage réduit ; même traitement juridique que la vidéo |
| Transcriptions | Transcription textuelle du contenu oral | RGPD (données personnelles), SEC/FINRA, HIPAA | Identique à l'enregistrement correspondant | Traitées comme des données personnelles ; consultables – risque de découverte plus élevé |
| Résumés d'IA | Résumés de réunions générés par l'IA | RGPD (traitement automatisé), HIPAA (ePHI) | Identique à l'enregistrement correspondant ou plus court | Peut contenir des informations implicites ; documenter le fondement juridique |
| Fichiers partagés / captures d'écran | Documents partagés lors de la réunion | RGPD, politiques de propriété intellectuelle | Conformément à la politique de gestion des documents | Peut reproduire des documents conservés ailleurs |
| Journaux d'audit | Journaux d'événements générés par le système | SOC 2, ISO 27001, HIPAA, RGPD Art. 5(2) | 3 à 7 ans | Essentiel pour démontrer la conformité ; faible contenu en informations personnelles identifiables |
Exigences de rétention propres au secteur
| Secteur | Réglementation principale | Période de rétention minimale | Exigence clé |
|---|---|---|---|
| Services financiers (États-Unis) | Règle 17a-4 de la SEC ; Règle 4511 de la FINRA | 3 à 6 ans | Les communications commerciales doivent être conservées dans un format non réinscriptible et non effaçable pendant les 2 premières années. |
| Services financiers (UE) | MiFID II Article 16(7) | 5 à 7 ans | Les communications relatives aux commandes doivent être enregistrées et conservées ; elles doivent être fournies aux autorités réglementaires sur demande. |
| Services financiers (Royaume-Uni) | FCA COBS 11.8 | 5 ans | Les communications relatives aux commandes des clients doivent être conservées et récupérables. |
| Soins de santé (États-Unis) | HIPAA (45 CFR § 164.530(j)) | 6 ans | Les politiques et la documentation relatives à la conformité à la loi HIPAA doivent être conservées pendant 6 ans ; les lois étatiques sur les dossiers médicaux peuvent imposer des périodes plus longues. |
| Santé (UE) | RGPD + lois nationales en matière de santé | Cela varie selon l'État membre. | Le principe de limitation de la conservation s'applique ; les lois nationales peuvent préciser les durées de conservation des dossiers médicaux. |
| Légal | Règles du barreau ; obligations de conservation des documents en cas de litige | Durée de l'affaire + période post-clôture | Les documents confidentiels doivent être protégés ; les mesures conservatoires prévues par les litiges prévalent sur les calendriers de suppression |
| Gouvernement (États-Unis) | Loi fédérale sur les archives; calendriers des Archives nationales | Varie selon le type d'enregistrement | Les agences fédérales doivent respecter les calendriers de conservation approuvés par les Archives nationales américaines (NARA). |
| Éducation (États-Unis) | FERPA (20 USC § 1232g) | Tant que les registres sont tenus à jour | Les dossiers scolaires des étudiants doivent être protégés ; leur conservation doit être conforme à la politique de l'établissement. |
| Commercial général (UE) | Article 5(1)(e) du RGPD | Pas plus longtemps que nécessaire | Il faut justifier la durée de conservation ; supprimer lorsque l’objectif est atteint. |
Élaboration d'une politique de fidélisation
Étape 1 : Types de données d’inventaire
Répertoriez tous les types de données générées ou stockées par votre plateforme vidéo. Incluez les métadonnées, les conversations, les enregistrements (vidéo et audio), les transcriptions, les résultats de l'IA, les fichiers partagés et les journaux système.
Étape 2 : Correspondance avec les réglementations et les obligations
Pour chaque type de données, identifiez toutes les réglementations applicables, les obligations contractuelles et les exigences de conservation en cas de litige. En cas de réglementations multiples, utilisez la durée de conservation minimale la plus longue et assurez-vous qu'elle ne contrevient pas aux durées maximales prévues par la loi sur la protection des données.
Étape 3 : Définir les niveaux de fidélisation
Créez des niveaux de conservation adaptés à vos types de réunions. DigitalMeet prend en charge les politiques de conservation par type de réunion, vous permettant d'appliquer des durées différentes aux appels clients (conservation longue), aux réunions internes (conservation courte) et aux sessions de formation enregistrées (conservation moyenne).
Étape 4 : Mise en œuvre des procédures de conservation légale
La conservation légale doit prévaloir sur la suppression automatique en cas de litige, d'enquête réglementaire ou d'audit en cours ou anticipé. Définissez qui peut initier et lever les conservations, comment elles sont communiquées et comment elles interagissent avec la conservation automatisée. La fonctionnalité de conservation légale de DigitalMeet empêche la suppression automatique des réunions spécifiées et de leurs données associées.
Étape 5 : Automatiser et tester
La suppression manuelle à grande échelle est source d'erreurs. Configurez des politiques de rétention automatisées sur votre plateforme vidéo et testez-les dans un environnement de test. Vérifiez que :
- Les données sont supprimées selon la planification prévue lorsqu'aucune restriction n'est en vigueur.
- Les blocages juridiques empêchent la suppression comme prévu
- Les journaux d'audit enregistrent tous les événements de suppression et d'exportation
- Les demandes de suppression de données des personnes concernées sont traitées dans les délais requis.
Demandes de suppression et de traitement des données
En vertu du RGPD et des lois similaires relatives à la protection des données, les personnes concernées ont le droit de demander l’effacement de leurs données personnelles (article 17). Votre politique de conservation doit prendre en compte :
- Suppression automatique à l'expiration des délais de conservation, sauf en cas d'obligation légale ou réglementaire.
- Les demandes de suppression individuelles sont traitées dans le délai réglementaire (1 mois en vertu du RGPD).
- Suppression partielle lorsque cela est techniquement possible – par exemple, masquer un participant dans un enregistrement tout en conservant le reste
- Documentation d'audit de toutes les actions de suppression à des fins de vérification de conformité
DigitalMeet prend en charge les flux d'exportation et de suppression avec un historique complet des modifications. Pour les échanges transfrontaliers, appliquez la règle la plus stricte. Pour des conseils spécifiques au RGPD, consultez la page Conformité RGPD pour la visioconférence .
Liste de contrôle opérationnelle
- ☐ Calendrier de conservation écrit lié aux catégories de réunions et aux types de données
- ☐ Les durées de conservation sont alignées sur toutes les réglementations et tous les contrats applicables.
- ☐ Procédures de conservation légale documentées avec des voies d'escalade claires
- ☐ Politiques de rétention automatisées configurées et testées en environnement de test
- ☐ Procédures de demande d'accès aux données définies avec des objectifs de SLA
- ☐ Propriétaire désigné pour les mises à jour de la police d'assurance et la révision annuelle
- ☐ Formation du personnel sur l'enregistrement du consentement, les indicateurs de conservation et les procédures de mise en attente
- ☐ Un processus de révision du journal d'audit a été mis en place pour les événements de suppression et d'exportation.
- ☐ Conflits transfrontaliers de rétention documentés avec une approche de résolution
- ☐ Examen annuel de la politique de conservation des données prévu avec les parties prenantes juridiques, de conformité et informatiques
Foire aux questions
Combien de temps devons-nous conserver les enregistrements des réunions ?
Il n'existe pas de réponse universelle. Votre durée de conservation doit être déterminée par la plus longue exigence réglementaire, obligation contractuelle ou obligation de conservation liée à un litige applicable, en tenant compte du principe de limitation de la conservation prévu par le RGPD. Utilisez le tableau sectoriel ci-dessus comme point de départ.
Les transcriptions sont-elles traitées de la même manière que les enregistrements à des fins de conservation ?
En règle générale, oui. Les transcriptions contiennent des données personnelles et sont souvent soumises aux mêmes réglementations que les enregistrements dont elles sont issues. Elles présentent également un risque de divulgation plus élevé, car elles sont consultables par texte.
DigitalMeet peut-il imposer la conservation des données automatiquement ?
Oui. Configurez les politiques de conservation par type de réunion dans la console d'administration. La suppression automatique s'effectue selon la planification prévue, sauf en cas d'obligation légale de conservation. Testez les politiques en environnement de test avant le déploiement en production.
Comment gérer les exigences de conservation contradictoires ?
Lorsqu'une obligation réglementaire impose la conservation des données (par exemple, la règle 17a-4 de la SEC, 6 ans) et qu'une loi sur la protection des données personnelles exige leur suppression (par exemple, la limitation de conservation prévue par le RGPD), l'obligation réglementaire prévaut généralement en ce qui concerne la durée de conservation imposée. Consignez ce conflit et sa résolution dans vos registres de protection des données. Pour des instructions détaillées, consultez la section « Réunions vidéo sécurisées pour les services financiers » .
Qu’est-ce qu’une conservation légale et quand y recourt-on ?
Une mesure de conservation légale (également appelée conservation pour litige) est une directive visant à préserver les données pertinentes lorsqu'un litige, une enquête réglementaire ou un audit est raisonnablement prévisible. Elle prévaut sur les calendriers habituels de conservation et de suppression des données. Le non-respect d'une telle mesure peut entraîner des sanctions pour destruction de preuves.
Comment traitons-nous les demandes de suppression de données des personnes concernées pendant une période de conservation légale ?
Les obligations de conservation légale prévalent généralement sur les demandes de suppression pendant toute la durée de la conservation. Documentez le conflit, informez la personne concernée que sa demande est temporairement suspendue en raison d'une obligation légale et procédez à la suppression dès la levée de la conservation.
DigitalMeet prend-il en charge différentes politiques de conservation des données selon les types de réunions ?
Oui. La conservation par type de réunion est une fonctionnalité essentielle. Configurez différents calendriers de conservation pour les appels clients, les réunions internes, les sessions de formation et les autres catégories de réunions.
Comment devons-nous gérer les résumés générés par l'IA dans notre politique de conservation des données ?
Les résumés générés par l'IA sont issus d'enregistrements et peuvent contenir des données personnelles ou des informations déduites. Appliquez une durée de conservation identique ou inférieure à celle de l'enregistrement source. Documentez la base légale du traitement effectué par l'IA. Consultez la section « Vidéoconférence conforme à la loi HIPAA » pour connaître les considérations spécifiques à l'IA dans le secteur de la santé.