La protection des données est une préoccupation constante, qui ne doit pas cesser subitement au moment où l’on décide de mettre les données à la poubelle.
Pour cette raison, il est important de se demander quel est le sort réservé aux données à caractère personnel lorsqu’un appareil informatique est mis au rebut, lorsqu’un de ces appareils est envoyé en réparation, lorsque des archives papier doivent être détruites, lorsqu’un matériel informatique est assigné à un nouveau travailleur, donné ou vendu à un tiers, lorsque le contrat de leasing ou de location de matériel informatique touche à sa fin, etc.
Une durée de conservation définie
La réglementation applicable à la protection des données à caractère personnel impose au responsable du traitement de fixer la durée de conservation des données traitées.
Dans certains cas, la loi définit une durée de conservation propre au document envisagé. Par contre, dans la majorité des cas, il n’y a pas de période légalement définie pour la conservation de données à caractère personnel. Le principe est alors que les données ne peuvent pas être conservées plus longtemps que nécessaire aux fins du traitement.
Cet impératif doit guider le responsable du traitement lorsque ce dernier délimite les durées de conservations des données.
Le principe de minimisation commande également de „cloisonner“ les données qui doivent encore être conservées mais ne sont plus actives. Concernant l’archivage électronique, nous vous renvoyons à la vidéo de notre formation sur le sujet, disponible ici.
Le responsable du traitement doit ensuite veiller à ce que les données ne soient plus traitées lorsque leur période de conservation arrive à son terme.
Une suppression sécurisée des données
Le RGPD impose aux organisations d’assurer la sécurité des données.
La destruction constituant un traitement de données à part entière, cette opération de destruction doit également remplir cette exigence de sécurité.
En outre, le responsable du traitement a l’obligation de protéger les données contre toute violation. Une destruction sécurisée des données participe à cet objectif, puisque toute perte de confidentialité causée par une destruction inefficace des données constituerait une violation de données au sens du RGPD.
Une documentation appropriée
Pour finir, l’obligation d’accountability du responsable du traitement lui impose de documenter les mesures prises pour respecter ces obligations (article 5 du RGPD).
Il est donc recommandé de disposer d’une politique de suppression sécurisée des données.
La recommandation 03/2020 de l’autorité de protection des données relative aux techniques de nettoyage de données et de destruction de supports de données guide le responsable du traitement dans la rédaction de cette politique.
Le nettoyage ou la destruction d’un support de données doit être approprié, c’est à dire irréversible et conforme à l’analyse des risques et aux exigences qui en découlent.
Unsere Empfehlung:
Afin d’assurer une suppression sécurisée des données à caractère personnel en fin de vie, nous vous recommandons d’établir :
- Une politique de conservation des données : ce document définit, pour chaque catégorie de données traitées, la durée de conservation ainsi que le point de départ de ce délai. Ce document est partagé avec les différents départements de l’organisation afin de s’assurer que chaque département soit en mesure d’identifier, pour les traitements qui les concerne, le moment opportun pour supprime les données ;
- Une politique de suppression sécurisée des données : ce document définit la procédure à suivre pour supprimer les données de manière sécurisée et conforme au RGPD lorsque leur durée de conservation arrive à son terme.
Notre équipe peut vous assister dans la rédaction de ces documents et la mise en place de ces procédures. N’hésitez pas à nous contacter !