Qu’ils soient numériques ou papiers, les fichiers qui renferment des informations sensibles sur des personnes physiques ne peuvent pas être conservés à volonté. En effet, selon l’objectif qui a conduit à la collecte des données, une durée de conservation précise doit être respectée. Une fois l’objectif atteint, il faut alors procéder à la destruction des archives, ou alors les archiver de manière sécurisée.
Procéder à la destruction des données pour garantir leur sécurité post-utilisation
Le RGPD oblige aux responsables de traitement de mettre en œuvre tout une série de mesures techniques et organisationnelles afin de « […] garantir un niveau de sécurité adapté au risque » encouru par chaque donnée stockée. Les mesures en question doivent exister tout au long du cycle de vie de la donnée concernée, c’est-à-dire :
- Au moment de sa collecte,
- Lors de la phase de traitement,
- Durant sa conservation,
- Lors de sa suppression.
La quatrième phase du cycle de vie d’une donnée nous montre que l’obligation de sécurité ne disparaît pas au moment de l’expiration du délai de conservation, mais bien une fois que la donnée a été détruite. Il faut donc bien garantir que les données soient détruites intégralement afin de protéger leur confidentialité.
Cette phase de destruction concerne tous types de support de stockage des données. S’il semble évident qu’il ne faut pas jeter des dossiers sensibles à la poubelle, encore faut-il savoir les détruire correctement afin que rien ne puisse être récupéré. Et il ne faut pas également oublier les autres types de supports, notamment tous les supports informatiques.
Cas concret de récupération de données stockées dans des disques durs
C’est un cas rapporté par un consultant en sécurité des données qui a fait l’expérience d’acheter du matériel informatique d’occasion provenant d’entreprises. En utilisant un simple script, il a pu récupérer les données stockées dans des téléphones et des disques durs, alors même que certains avaient été. Ainsi, il a pu récupérer des noms, emails, numéros de sécurité sociale et bien d’autres données. Presque aucun appareil n’était crypté ou n’avait été formaté correctement.
Sachez qu’il peut même y avoir des données dans les disques durs des photocopieurs ! Encore un endroit où il y a des données mais que les entreprises ignorent. En effet, les disques durs des photocopieurs conservent des images et peuvent donc contenir des informations sensibles.
Ne pas négliger l’étape de destruction des données personnelles
Comme nous venons de le voir, le simple fait de supprimer un fichier ou une partition ne suffit pas à prévenir la rémanence des données. En effet, une suppression de donnée informatique ou un formatage de disque dur a beau rendre les informations inaccessibles, elles ne sont pas pour autant effacées. Il est possible de les récupérer avec certaines techniques.
La meilleure solution consiste donc à faire appel à un prestataire de services tels que Destrudata qui peut offrir plusieurs garanties quant à la destruction des données concernées, notamment une opération effectuée in situ de destruction physique du support contenant les données, la remise d’un certificat de destruction, et une couverture légale en cas de mauvaise exécution contractuelle.
Par ailleurs, dans le cas de la destruction d’ordinateurs, de serveurs ou de disques durs, Destrudata a recours à la méthode du broyage. L’efficacité de cette technique, qui est évaluée selon la norme DIN6639, pose 7 niveaux de sécurité répartie en trois catégories de protection (normale, élevée et très élevée). En fonction de vos besoins de sécurisation, il est recommandé de prendre contact avec un consultant de Destrudata, lequel saura vous conseiller au mieux pour sécuriser efficacement vos données.
En savoir plus :
Comment protéger les données de votre entreprise à l’ère du numérique ?
Le RGPD n’est pas une contrainte : 4 avantages pour les petites entreprises