Garantir la sécurité des données au terme de leur cycle de vie

Les informations sur des personnes physiques ne peuvent être conservées indéfiniment dans des fichiers, qu’ils soient numériques ou papiers : une durée de conservation doit être déterminée en fonction de l’objectif ayant conduit à la collecte de ces données. Une fois cet objectif atteint, ces données doivent être archivées, supprimées ou anonymisées.

Ce principe découle des dispositions du point 5 de l’article 6 de la Loi n°78-17 du 6 janvier 1978 modifiée, reprises dans les mêmes termes par l’article 5-e) du RGPD.[1]

Cette obligation est souvent à coupler à l’obligation de sécurité imposée au responsable de traitement prévue aux termes des dispositions de l’article 32 du RGPD qui prévoit que ce dernier doit mettre en œuvre toutes mesures techniques et organisationnelles appropriées afin de « garantir un niveau de sécurité adapté au risque ». Ces mesures doivent exister et être mises en œuvre tout au long du cycle de vie de la donnée :

  • Lors de sa collecte
  • Lors du traitement en tant que tel
  • Au cours de sa conservation
  • Au moment de son élimination

Ce dernier point rappelle que l’obligation de sécurité ne s’éteint pas au moment de l’expiration du délai de conservation de la donnée mais s’étend jusqu’à sa destruction.

Dans l’esprit du texte, la destruction s’entend comme l’action rendant totalement indisponible la donnée. Ainsi, par cet ultime traitement, la donnée personnelle ne sera plus soumise aux risques de :

  • Perte de confidentialité
  • Perte d’intégrité
  • Perte de disponibilité

Cet enjeu est réel : de la même manière qu’il convient de sensibiliser son personnel à l’importance de ne pas jeter des documents comportant des données personnelles à la poubelle sans les détruire au préalable, la mise en inactivité d’un outil doit être entourée de garanties adéquates.

Un consultant, expert dans la sécurité des données, a ainsi fait l’expérience d’acheter un lot de technologie d’occasion : [2]par la simple création d’un script il fut capable de recouvrer de nombreuses données personnelles allant de l’adresse mail jusqu’au numéro SSN (équivalant du NIR).

Il est donc nécessaire pour les entreprises de ne pas négliger l’étape de destruction des données personnelles.

  • Si vous souhaitez donner ou vendre à prix réduit votre matériel :

Si vos compétences le permettent, effectuez vous-même le nettoyage de ces ordinateurs avant la revente. Nous rappelons cependant que la simple suppression des fichiers, des partitions et/ou le formatage d’un support ne suffit pas à prévenir la rémanence des données. Les informations sont seulement rendues inaccessibles, sans pour autant être effacées. Elles sont donc existantes et donc récupérables.

Si cette option n’est pas envisageable, vous pouvez faire appel à un prestataire qui vous offrira certaines garanties quant à l’effacement des données :

  • Opération effectuée in situ,
  • Certificat de destruction,
  • Responsabilité en cas de mauvaise exécution contractuelle.

Dans le cas de l’utilisation d’un logiciel d’effacement, assurez-vous que ce dernier a été certifié par l’ANSSI : à ce jour seul le logiciel Blancco Data Cleaner + version 4.8 est recommandé par l’Agence.

  • En cas de données présentes chez un prestataire : Quel encadrement contractuel prévoir ?[3]

Encadrez contractuellement cette phase : si la pratique a développé la clause imposant la présentation d’un certificat de destruction à l’image des bordereaux utilisés par l’administration publique, il est recommandé d’ajouter des directives sur les moyens pratiques d’effectuer cette élimination.

A titre d’exemple, vous pouvez prévoir pendant la durée de vie du contrat la tenue d’un bordereau récapitulant les types de données personnelles qui ont été porté à la connaissance de votre prestataire. Ensuite, il est possible de prévoir en fin de contrat la remise d’une clef USB ou d’un autre support adéquat comportant l’ensemble de ces données (vérification avec le bordereau sera faite), accompagné d’une attestation sur l’honneur du représentant de la structure que les données ont été détruites sur leurs outils.

Nous recommandons de lier cette clause à l’article « Confidentialité des données » du contrat pour garantir la confidentialité des données en cas d’effacement peu rigoureux.

Cette solution ne prévient pas toute erreur humaine mais vous donnera une arme contractuelle en cas de mésaventure.

  • Si le matériel n’est pas voué à la revente, il est recommandé de détruire les supports physiques des données : les ordinateurs, le serveur, le disque dur…

Si vous faites appel à un prestataire pour cette destruction, voici les points de vigilances à prendre en compte.

Les prestataires spécialisés dans la destruction utilisent souvent des méthodes de broyage. L’efficacité de l’outil utilisé est évaluée selon la norme DIN6639, qui pose trois niveaux de protection (normale/élevée/très élevée). En vous référant à ces niveaux, vous connaitrez l’efficacité de la destruction. La norme recommande elle-même d’utiliser des broyeuses de classe 3 pour les documents contenant des données top secrètes. Si des données sensibles sont présentes dans les supports à détruire, il est recommandé d’utiliser le niveau de protection le plus élevé.

De plus, d’autres garanties sont possibles :

  • La production d’un certificat officiel de destruction
  • La possibilité de faire contrôler l’ensemble des opérations par des huissiers de justice, paramètre intéressant quand il est question de données sensibles

Notons également que certains prestataires proposent un service de recyclage des matériaux issu de la destruction. Ce recyclage passe par le rachat des déchets par le prestataire, ce qui peut potentiellement réduire le coût global de l’opération.

D’autres prestataires utilisent des techniques de démagnétisation (ou dégaussage). Cette technique est fiable quant à la destruction des données et rend l’outil inutilisable par la suite. La prestation est plus difficile à effectuer sur place. Cependant certains prestataires vont proposer aux clients d’effectuer eux même leur opération en mettant à leur disposition le laboratoire. Là encore, une vérification de destruction est faite, avec certificat adéquat et possibilité de valorisation et recyclage des éléments restant.

En tout état de cause nous vous recommandons également de sensibiliser le personnel à ce sujet afin que les procédés quotidiens de destruction des données physiques (broyeuses à papier notamment) deviennent un automatisme. Ce levier de sensibilisation pourrait alors devenir une garantie de la sécurité des données personnelles jusqu’à la fin du traitement effectué.

[1]Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

[2]https://blog.rapid7.com/2019/03/19/buy-one-device-get-data-free-private-information-remains-on-donated-devices/

[3]Concernant la gestion des prestataires : « Comment gérer ses prestataires informatiques » par Claire Colonna, publié le 15 mars 2019 disponible ici : https://dpo-consulting.fr/comment-gerer-ses-prestataires-informatiques-par-claire-colonna/

 

Par Guylaine Lombard

Suivez-nous sur Linkedin, Twitter et Facebook

Retour