L’entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai 2018 a fait naître toute une série de règles qui régissent la collecte, le stockage et le traitement des différents types de données à caractère personnel relatives aux citoyens de l’Union européenne (UE). Toute entreprise qui détient des données sur des citoyens européens doit donc se conformer à la réglementation. Avec les nombreux courriels envoyés aux particuliers par les entreprises tenues de mettre à jour leurs listes de diffusion et de recueillir le consentement des destinataires, le RGPD a bénéficié d’une importante couverture médiatique. Sur les sites Web, les paramètres de confidentialité et les cookies ont également été révisés.
Notons cependant que l’instauration du RGPD visait à faciliter la gestion du stockage et le traitement des données personnelles de tous types. Le RGPD exige plus de rigueur de la part des entreprises face aux violations de données et au sujet de la sécurité du stockage des données. Le non-respect de ces règles expose les entreprises à une amende pouvant aller jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires global (la sanction appliquée correspondant au montant le plus élevé des deux).
Conséquence : les entreprises doivent mettre l’accent sur la prévention contre le vol ou la perte de données. Pour cela, elles doivent surtout comprendre comment les données sont stockées et à quel endroit, et quelles sont les méthodes de destruction employées. Nous passerons en revue ce qu’il faut savoir pour vous permettre de vérifier que votre approche de la destruction des données est bien conforme aux dispositions du RGPD.
Sachez où se trouvent vos données : ne négligez pas les documents physiques !
Si ce n’est déjà fait, mettez en place un plan pour vous assurer que vos données seront traitées, stockées et détruites correctement. Commencez par appréhender le processus dans sa globalité pour bien comprendre comment et où les données sont traitées. Malgré les apparences, les choses ne sont pas aussi simples que l’on pourrait le croire.
Vous aurez peut-être tendance à penser que toutes vos données se trouvent dans des fichiers stockés sur un serveur interne. Il y a cependant fort à parier qu’elles sont stockées en plusieurs endroits, y compris sur des dispositifs personnels non connectés au serveur (ordinateurs portables, tablettes et téléphones personnels des employés, par exemple). Il est également possible que les données soient imprimées et conservées au format papier, sans qu’aucun processus de destruction sécurisé ne soit prévu pour les données devenues inutiles. Du point de vue du RGPD, cela peut se révéler très problématique. Le Groupe Avis Budget disposait d’une importante quantité de documents papier dont la numérisation était devenue obligatoire sur le plan réglementaire. Au rythme de 150 pages par minute, la société a pu faire évoluer son stockage papier vers une solution cloud en deux semaines. L’étude de cas peut être consultée ici.
1. Conseils pour détruire vos documents de manière sécurisée
Vous devez ensuite élaborer les règles à appliquer pour la destruction des documents papier et les expliquer à l’ensemble du personnel, en insistant sur les raisons pour lesquelles ces règles doivent être respectées. Vous pouvez, par exemple, créer un poster expliquant précisément comment détruire les documents, à quel moment et pourquoi — et l’afficher en différents endroits sur le lieu de travail.
Dans ces règles, il doit être précisé que les documents et supports de stockage doivent être jetés par les employés dans des conteneurs de déchiquetage. Une fois les documents et supports déposés, il n’est plus possible d’y accéder. Vous pouvez alors confier la destruction des documents à des professionnels externes. Pour un niveau de sécurité maximum, les entreprises spécialisées vous proposeront d’effectuer la prestation sur site.
2. Y a-t-il une taille de déchiquetage spécifique pour être conforme au RGPD ?
Le RGPD ne définit pas de taille spécifique pour le déchiquetage des documents. Mais, si vous faites appel à une entreprise de déchiquetage de documents sérieuse, celle-ci sera équipée de machines professionnelles permettant de traiter et de détruire vos documents dans les règles de l’art et en conformité avec les bonnes pratiques. Mieux vaut opter pour cette méthode plutôt que de faire perdre du temps à vos employés en leur demandant de détruire chaque document un par un dans une déchiqueteuse de bureau classique.
3. Choisir le bon prestataire pour la destruction de vos documents
Prenez le temps d’enquêter sur la société à qui vous confiez la destruction de vos documents et de bien comprendre leur processus. Assurez-vous de leur honnêteté et de leur transparence avec vous. Vérifiez où les déchets sont envoyés : sont-ils détruits sur place chez vous ? Sinon, où les documents sont-ils emportés pour être détruits ?
Le champ d’application du RGPD va au-delà de la suppression de documents physiques, et couvre le stockage des données à caractère personnel de tous types. On omet souvent de prendre en compte les documents physiques lorsque l’on cherche à se mettre en conformité avec le RGPD. Prenez donc le temps d’appréhender les processus en place dans votre entreprise pour les mettre à jour en conséquence.
Pour d’autres conseils sur les modalités de mise en conformité avec le RGPD, consultez notre récent article : Bilan post-RGPD : leçons de transformation numérique d’un délégué à la protection des données
À propos de l’auteur
Rédacteur indépendant, Mike James est spécialisé dans les technologies et la cybersécurité. Il est établi à Brighton au Royaume-Uni. Ses articles sont publiés sur de nombreux grands sites et magazines presse. Mike collabore régulièrement sur des sujets relatifs au hacking éthique, et tests de pénétration, notamment pour la mise en œuvre optimale de ces technologies dans les entreprises de tous types et de toute taille. Mike collabore fréquemment avec Redscan, un fournisseur leader de solutions de cybersécurité au Royaume-Uni, et d’autres entreprises. Lorsqu’il n’écrit pas sur des sujets « geek », il écrit également sur des recettes et programmes d’exercices.
Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.