Protection des données personnelles : le cadre général
Adopté définitivement le 14 avril 2016 par le Parlement Européen, le Règlement général sur la protection des données (RGPD) vise à responsabiliser les entreprises sur la collecte et le traitement des données personnelles, dans le but de renforcer le droit à la vie privée.
Sous l’égide de ce règlement, les données personnelles doivent donc être :
-Traitées de manière légale et transparente ;
-Collectées pour un but précis et légitime, et de manière explicite ;
-Pertinentes et limitées au but pour lequel elles ont été collectées ;
-Conservées pour une durée raisonnable ;
-Protégées de manière optimale.
Mais quelles règles s’appliquent lorsque des opérations de maintenance des appareils et/ou des logiciels doivent être exécutées, ou en cas de mise au rebut des appareils contenant des données personnelles ?
L’encadrement de la maintenance et la destruction des données dans le cadre du RGPD
En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est l’instance administrative chargée de veiller à la protection des libertés individuelles et publiques dans le cadre des services informatiques. Elle a donc rendu ses préconisations en matière de sécurisation de la maintenance et de destruction des données, afin que ces opérations soient en conformité avec les dispositions du RGPD.
Pour la CNIL, il est important que la sécurité des données soit garantie à tout moment du cycle de vie des appareils et des logiciels.
Les opérations de maintenance doivent donc être strictement encadrées, afin que l’accès aux données par les tiers soit pleinement maîtrisé. Quant aux matériels destinés à la mise au rebut, les données personnelles qu’ils contiennent doivent être préalablement effacées.
Sécurisation de la maintenance et destruction des données : les précautions à prendre
Le champ de la protection de ces données englobe donc aussi les opérations de maintenance effectuées par des tiers et les appareils dont le cycle de vie touche à sa fin. Par conséquent, des mesures doivent être prises pour assurer la protection des données personnelles lors de ces moments spécifiques.
Mais les données stockées dans les appareils électroniques ne sont évidemment pas les seules à entrer dans le champ d’application du RGPD : c’est également le cas pour les données conservées sur papier, qui doivent être traitées avec le même soin. Ainsi, les données papier doivent faire l’objet de procédures sécurisées, notamment le désarchivage, la destruction définitive et sans ré-exploitation possible et la production d’attestations de destruction destinées aux individus souhaitant exercer leurs droits de modification ou d’oubli.
De manière globale, les préconisations de la CNIL en matière de sécurisation de la maintenance et de destruction des matériels sont les suivantes :
– Ajouter une clause de sécurité dans tous les contrats des prestataires effectuant la maintenance des appareils ;
– Sur le même sujet, mettre en oeuvre une véritable sécurisation des opérations de maintenance pour éviter tout risque de captage des données ;
– Superviser et contrôler au sein de l’entreprise les interventions des tiers, qui pourraient être en contact avec des données personnelles ;
– Rédiger et mettre en application une procédure formalisée de suppression des données, à l’occasion notamment de la destruction d’un appareil hôte ;
– Enfin, supprimer (en respectant la procédure sécurisée évoquée ci-dessus) les données avant toute destruction des matériels, mais aussi avant la réparation d’un appareil par un tiers ou avant la fin du contrat de location d’un appareil.
Ces règles permettent ainsi aux entreprises de détruire les données personnelles en toute confidentialité, conformément aux dispositions du RGPD.
En cas de non-respect de ces dispositions, les sanctions financières peuvent atteindre 4% du chiffre d’affaires global (avec un plafond à 20 millions d’euros), et comporter l’obligation pour l’entreprise de communiquer publiquement sur la perte des données.
Mieux vaut donc faire preuve de la plus grande prudence.
