Les données personnelles ne sont pas à jeter aux orties

Tout le monde connaît cette situation : la boîte aux lettres déborde et les courriers publicitaires finissent à la poubelle ou, dans l'entreprise, il est temps de vider l'armoire à dossiers. Mais les documents contenant des données personnelles (étrangères) telles que le nom, l'adresse, le numéro de client ou la date de naissance peuvent-ils être simplement jetés dans la poubelle à papier ? Et si ce n'est pas le cas : comment se débarrasser de tels documents en respectant la protection des données ?

Élimination dans l'entreprise

Depuis l'entrée en vigueur du RGPD, les entreprises s'efforcent de conserver les documents sensibles sous clé, de respecter les délais de conservation et de sauvegarder les droits des personnes concernées. Trop souvent, les documents se retrouvent déchirés dans la poubelle après la période de conservation, tandis que les supports de stockage externes avec les sauvegardes se retrouvent souvent dans les ordures ménagères, même en état de marche.

Il s'agit là d'un point faible majeur et les autorités de surveillance ont régulièrement des raisons de se plaindre, d'autant plus qu'il est très facile de voir la poubelle à papier qui se trouve sur la voie publique. Il convient bien entendu d'éviter ce genre d'embarras.

Bases légales

L'un des droits des personnes concernées découlant du RGPD se trouve à l'article 17 I du RGPD, à savoir le droit à l'effacement ou également le "droit à l'oubli". Après un effacement en vertu du RGPD, il ne doit plus être possible d'accéder aux données à caractère personnel concernées sans effort disproportionné. Le RGPD ne précise pas la manière dont cela doit se faire. L'idée de base est uniquement que la prise de connaissance des données enregistrées doit être effectivement impossible pour tout le monde et à tout moment. Il importe peu que les données puissent être théoriquement récupérées au moyen d'un programme spécial.

Il est en outre déduit du principe de finalité (article 5 I du RGPD) que toutes les données qui ne sont plus nécessaires au but initial de la collecte doivent être effacées sans demande particulière de la part de la personne concernée. Dans la pratique, c'est particulièrement le cas à l'expiration des obligations de conservation ou à la fin d'une relation d'emploi ou d'une relation client.

Des règles spéciales existent dans le droit national uniquement pour les dossiers papier conformément à l'article 35 I 1 de la loi allemande sur la protection des données (BDSG), lorsque la suppression ne peut être effectuée qu'au prix d'efforts disproportionnés.

Le non-respect des obligations de suppression peut entraîner des amendes allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel total réalisé dans le monde au cours de l'exercice précédent.

En outre, les personnes concernées ont également le droit d'être informées de manière transparente sur la durée de conservation des données.

Mise en œuvre pratique

Dans la pratique, l'élimination ne dépend pas seulement du facteur des possibilités existant en principe, mais aussi des niveaux de sécurité, de l'effort et des appareils disponibles. 

Pour les codages ou les liens virtuels, il faut un processus d'effacement fiable et irréversible. Dans le cas de supports réinscriptibles, il faut recourir à des logiciels d'effacement spéciaux pour empêcher la reconstitution, mais cela doit toujours être évalué au cas par cas, notamment en ce qui concerne les efforts à fournir. En tout état de cause, il ne suffit pas de prendre des mesures organisationnelles ou de se contenter d'éliminer les supports de données dans leur version originale. Pour les documents papier, les disques durs, les bandes magnétiques, les clés USB, les CD-ROM, les DVD, les mémoires optiques, les films et autres supports de données similaires, c'est surtout la destruction physique qui entre en ligne de compte.

Pour l'élimination, on peut s'orienter vers certaines normes DIN (DIN EN 15713, DIN 66398 et DIN 66399). On y trouve des classifications en niveaux de sécurité et des exigences pour les destructeurs de documents. Ces normes n'ont toutefois pas de caractère légal et le RGPD ne s'y réfère pas non plus, de sorte qu'elles servent uniquement d'orientation.

En outre, l'Office fédéral de la sécurité des technologies de l'information (BSI) a publié la directive technique BSI-TL 03420, qui concerne l'effacement et la destruction des informations à protéger sur les supports de données. Celle-ci peut également aider à s'orienter.

Dans la pratique, il convient de toujours consulter le délégué à la protection des données ou d'autres professionnels afin de développer l'approche la plus adaptée à son entreprise.

Élimination dans les ménages privés

Dans le cadre privé également, des lettres publicitaires ou des documents similaires contenant des données personnelles sont souvent jetés avec beaucoup trop de légèreté dans la poubelle à papier, sans que les données personnelles soient rendues méconnaissables. N'oubliez jamais qu'il est très facile d'accéder à une poubelle ouverte sur la voie publique. Mieux vaut jouer la carte de la sécurité et déchiqueter les documents qui contiennent votre nom, votre adresse, votre numéro de client, votre date d'anniversaire ou d'autres données.