Chaque année des équipements informatiques cédés ou jetés exposent les entreprises à des fuites massives de données. Agir vite empêche des sanctions et des pertes clients. Inventoriez, choisissez la méthode adaptée et tracez chaque opération pour prouver la conformité.
Le cadre légal et obligations
Le RGPD fait peser sur le responsable de traitement une obligation de résultat sur la sécurité des données. L’article 24 exige la mise en œuvre de mesures techniques et organisationnelles. La responsabilité se documente et se prouve lors d’un audit.
Le rôle du RGPD et des recommandations de la CNIL pour la traçabilité
Le RGPD impose la responsabilité du responsable et obligation de démontrer les opérations. L’article 5 rappelle les principes de minimisation et de limitation de conservation. L’article 32 fixe les exigences de sécurité applicables aux destructions et aux contrôles. La CNIL et l’ANSSI fournissent des guides pratiques et des normes pour les méthodes acceptables. Les recommandations couvrent les formats de procès-verbaux et la durée de conservation des preuves. Ces documents servent de référence lors d’un contrôle ou d’une sanction.
Exemple concret : la décision de détruire des postes de travail doit figurer dans un procès-verbal signé par le DPO et le responsable informatique. Mentionnez la base légale et l’article RGPD invoqué (ex : droit à l’effacement, art. 17). Conservez ces preuves selon la politique interne et les préconisations CNIL.
Pour une destruction de données de manière sécurisée choisissez la méthode qui apporte la preuve technique la plus robuste et un coût maîtrisé. Les fournisseurs certifiés délivrent des certificats conformes aux exigences CNIL. Vérifiez les accréditations et la capacité de production avant signature du contrat.
La documentation requise pour prouver une destruction conforme RGPD
- certificat et procès-verbal : fournissez un certificat d’attestation et un PV daté pour chaque lot d’équipements. Le document doit indiquer identifiants, dates, méthode appliquée et responsable. Les audits s’appuient sur ces éléments pour valider la conformité ;
- chaîne de traçabilité : consignez l’origine, le transport et la destruction finale dans un registre horodaté. Ajoutez photos ou vidéos horodatées pour renforcer la preuve d’irréversibilité. Conservez ces éléments dans un espace chiffré et restreint accessible au DPO.
Pour gagner du temps préparez des modèles : certificats adaptables pour supports papier et supports électroniques. Ces modèles doivent lister : identifiant matériel, propriétaire, méthode, opérateur et signature. Fournir un modèle téléchargeable facilite la standardisation des audits internes.
Méthodes selon support et risque
Les choix techniques diffèrent selon HDD, SSD, serveurs, mobiles ou papier. Chaque méthode offre un niveau de preuve et un coût différent. Adaptez la méthode au risque de réidentification et à la criticité des données.
Le comparatif des méthodes d’effacement pour HDD et SSD avec garanties d’irréversibilité
Les HDD répondent bien à l’overwriting et au dégaussage. Les SSD exigent des procédures spécifiques ou la destruction physique pour garantir l’irréversibilité. Le broyage industriel reste la solution la plus simple pour attester l’impossibilité de récupération.
| Méthode | Supports recommandés | Temps indicatif pour 1 To | Coût indicatif (service) |
|---|---|---|---|
| Overwriting | HDD, serveurs virtualisés | 1 à 8 h selon algorithme et interface | 10 à 40 € par unité |
| Dégaussage | HDD magnétiques, bandes | quelques minutes par unité | 20 à 80 € par unité |
| Cryptodélétion | SSD chiffrés, mobiles | quelques secondes à minutes | faible si intégré au processus |
| Destruction physique (broyage) | HDD, SSD, mobiles, documents papier | instantané par unité | 30 à 150 € selon volume |
La checklist opérationnelle avant destruction
- inventaire : recensez équipements, identifiants et données sensibles. Contrôlez l’existence de sauvegardes légitimes et supprimez les copies non nécessaires. Obtenez l’autorisation écrite du responsable et du DPO ;
- choix de la méthode : sélectionnez overwrite, dégaussage, cryptodélétion ou broyage selon le support. Évaluez temps et coût pour planifier l’opération sur des créneaux adaptés. Préparez l’étiquette et la documentation pour chaque lot ;
- traçabilité : capturez photos/vidéos horodatées et rédigez le PV de destruction avec signatures. Intégrez le certificat au registre central chiffré et conservez les preuves selon la durée légale. Archivez les certificats dans un espace sécurisé accessible au DPO et aux auditeurs.
Priorisez trois actions immédiates : inventorier l’existant, choisir la méthode par type de support et documenter chaque opération avec un procès-verbal signé. Respectez les articles 5, 24 et 32 du RGPD et les guides CNIL/ANSSI pour réduire le risque juridique. Mettez en place une révision annuelle de la politique de destruction pour garder le processus opérationnel et vérifiable.