Les données personnelles ne sont pas à jeter aux orties

Tout le monde connaît cette situation : la boîte aux lettres déborde et les courriers publicitaires finissent à la poubelle ou, dans l'entreprise, il est temps de vider l'armoire à dossiers. Mais les documents contenant des données personnelles (étrangères) telles que le nom, l'adresse, le numéro de client ou la date de naissance peuvent-ils être simplement jetés dans la poubelle à papier ? Et si ce n'est pas le cas : comment se débarrasser de tels documents en respectant la protection des données ?

Élimination dans l'entreprise

Depuis l'entrée en vigueur du RGPD, les entreprises s'efforcent de conserver les documents sensibles sous clé, de respecter les délais de conservation et de sauvegarder les droits des personnes concernées. Trop souvent, les documents se retrouvent déchirés dans la poubelle après la période de conservation, tandis que les supports de stockage externes avec les sauvegardes se retrouvent souvent dans les ordures ménagères, même en état de marche.

Il s'agit là d'un point faible majeur et les autorités de surveillance ont régulièrement des raisons de se plaindre, d'autant plus qu'il est très facile de voir la poubelle à papier qui se trouve sur la voie publique. Il convient bien entendu d'éviter ce genre d'embarras.

Bases légales

Un des Droits des personnes concernées par le RGPD se trouve dans l'article 17 I du RGPD, à savoir le Droit à l'effacement ou encore le "droit à l'oubli". Après un effacement en vertu du RGPD, il ne doit plus être possible de retrouver les données concernées. données personnelles sans que cela n'entraîne de dépenses disproportionnées. La manière dont cela doit se faire est définie par la Commission européenne. Le RGPD n'est pas encore fixé. L'idée de base est simplement que la prise de connaissance des données stockées doit être effectivement impossible à tout moment pour quiconque. Il importe peu que les données puissent être théoriquement récupérées au moyen d'un programme spécial.

Il est en outre déduit du principe de finalité (article 5 I du RGPD) que toutes les données qui ne sont plus nécessaires au but initial de la collecte doivent être effacées sans demande particulière de la part de la personne concernée. Dans la pratique, c'est particulièrement le cas à l'expiration des obligations de conservation ou à la fin d'une relation d'emploi ou d'une relation client.

Des règles spéciales existent dans le droit national uniquement pour les dossiers papier conformément à l'article 35 I 1 de la loi allemande sur la protection des données (BDSG), lorsque la suppression ne peut être effectuée qu'au prix d'efforts disproportionnés.

Le non-respect des obligations de suppression peut entraîner des amendes allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel total réalisé dans le monde au cours de l'exercice précédent.

En outre, les personnes concernées ont également le droit d'être informées de manière transparente sur la durée de conservation des données.

Mise en œuvre pratique

Dans la pratique, l'élimination ne dépend pas seulement du facteur des possibilités existant en principe, mais aussi des niveaux de sécurité, de l'effort et des appareils disponibles. 

Pour les codages ou les liens virtuels, il faut un processus d'effacement fiable et irréversible. Dans le cas de supports réinscriptibles, il faut recourir à des logiciels d'effacement spéciaux pour empêcher la reconstitution, mais cela doit toujours être évalué au cas par cas, notamment en ce qui concerne les efforts à fournir. En tout état de cause, il ne suffit pas de prendre des mesures organisationnelles ou de se contenter d'éliminer les supports de données dans leur version originale. Pour les documents papier, les disques durs, les bandes magnétiques, les clés USB, les CD-ROM, les DVD, les mémoires optiques, les films et autres supports de données similaires, c'est surtout la destruction physique qui entre en ligne de compte.

Pour l'élimination, on peut s'orienter vers certaines normes DIN (DIN EN 15713, DIN 66398 et DIN 66399). On y trouve des classifications en niveaux de sécurité et des exigences pour les destructeurs de documents. Ces normes n'ont toutefois pas de caractère légal et le RGPD ne s'y réfère pas non plus, de sorte qu'elles servent uniquement d'orientation.

En outre, l'Office fédéral de la sécurité des technologies de l'information (BSI) a publié la directive technique BSI-TL 03420, qui concerne l'effacement et la destruction des informations à protéger sur les supports de données. Celle-ci peut également aider à s'orienter.

Dans la pratique, il convient de toujours consulter le délégué à la protection des données ou d'autres professionnels afin de développer l'approche la plus adaptée à son entreprise.

Élimination dans les ménages privés

Dans le cadre privé également, les lettres publicitaires ou autres documents similaires contenant des données personnelles sont souvent jetés avec beaucoup trop de légèreté dans la poubelle à papier, sans que les données personnelles de la rendre méconnaissable. N'oubliez jamais qu'il est très facile d'accéder à une poubelle laissée ouverte dans la rue. Préférez la sécurité et déchirez les documents qui contiennent votre nom, votre adresse, votre numéro de client, votre date de naissance ou d'autres données.