Le RGPD, ce n’est pas que les cookies !
La RGPD, cela vous évoque sans doute ces bannières désagréables qui vous demandent si vous souhaitez accepter les cookies avant de visiter un site web.
C’est le volet « collecte » des données personnelles du RGPD et ce n’est que la partie visible de l’iceberg.
Car la RGPD, ou plutôt le RGPD, le règlement général sur la protection des données, inclut toute une série de mesures destinées à renforcer la protection des données à caractère personnel. Le RGPD traite certes de la collecte des informations personnelles, mais aussi du stockage et de la protection de ces dernières.
RGPD : quel périmètre ?
Le RGPD est un règlement européen. Il est important de comprendre
qu’il ne concerne pas les entreprises européennes mais les
citoyens européens : toute entreprise, quelle que soit sa
nationalité, qui détient des données sur des citoyens européens
doit se conformer à cette réglementation… ou cesser de travailler
avec les citoyens européens !
Aucune distinction de taille n’est prévue : le RGPD s’applique à
toute les entreprises, des plus petites (votre coiffeur est concerné
lui aussi!) comme les plus grandes (Google, Apple, Microsoft).
Les sanctions financières en cas de
non-respect du RGPD peuvent atteindre 4 % du chiffre d’affaires
mondial (cependant plafonnées à 20 millions d’euros) et une
obligation de communiquer
publiquement en cas de perte de données.
Maîtriser le risque de fuite de données électroniques
Le RGPD demande aux entreprises doivent maîtriser le risque de fuite
de données numériques.
Elles doivent évidemment sécuriser leurs serveurs, mais aussi
éviter les fuites involontaires (page web qui donne accès à une
base de données par exemple), ou encore les fuites liées aux
salariés et prestataires (clé USB oubliée dans un train,
prestataire qui travaille dans les locaux et qui peut visualiser des
informations privées non indispensables à son travail…).
… et le risque de fuite de données papier !
Le même raisonnement vaut aussi pour les données papier.
Formulaires, listings, enquêtes de satisfaction, impressions
diverses, cartes de fidélité… tous ces documents peuvent contenir
des données personnelles.
L’entreprise doit sécuriser la manière dont ces documents sont
stockées, archivés, puis détruits. Elle doit être capable de
fournir une attestation de destruction à produire aux personnes
exerçant leurs droits de modification et/ou d’oubli.
Les risques d’une mauvaise destruction de documents papier
On pourrait penser qu’il suffit de jeter un papier à la poubelle
ou de le déchirer soigneusement avant de le jeter pour être
conforme RGPD. En réalité, il n’en est rien : pas besoin
d’être un détective de génie pour reconstituer un document à
partir d’un papier déchiré en quatre, en huit ou même en petits
morceaux !
Et c’est alors factures, dates de naissances, noms et adresses,
numéros de téléphone, qui peuvent tomber entre des mains mal
intentionnées. En soi, cela n’a l’air de rien. Mais les escrocs
savent utiliser la moindre information pour « escalader » :
c’est bien assez pour usurper une identité, ouvrir une ligne
téléphonique, se faire envoyer une nouvelle carte SIM, obtenir des
justificatifs de domiciles, changer des coordonnées bancaires…
bref, rendre la vie infernale.
Comment bien détruire les documents portant des données personnelles ?
Le RGPD nous dit que la responsabilité de l’entreprise ayant
permis la fuite peut être engagée dans ces cas délictueux. Pour
prévenir ce risque, elle doit donc mettre en pratique un processus
de destruction sécurisé.
Mieux vaut acheter un destructeur de documents professionnel correspondant aux bonnes pratiques plutôt que de perdre du temps et d’augmenter les risques à déchirer ses papiers à la main.
Systématiser la déchiqueteuse permet
aussi de responsabiliser les employés de l’entreprise : il
est plus simple de leur demander aux salariés de mettre leurs
documents dans la déchiqueteuse plutôt que de leur demander de le
déchirer d’une certaine manière !
Les destructeurs de documents professionnels : lequel acheter ?
Les normes en matière de déchiquetage définissent 7 niveaux de
sécurité, de P-1 (le moins sécurisé) à P-7 (le plus sécurisé).
De P-1 à P-3, la coupe est dite droite : le papier est découpé
en fines bandelettes.
De P-4 à P-7, la coupe est dite croisée : le papier est coupé
horizontalement et verticalement, avec un rendu sous forme de
confettis dont la taille dépend du niveau de sécurité.
Le RGPD ne définit par de norme de déchiquetage, mais la coupe
croisée reste un minimum pour toute entreprise soucieuse de données
personnelles qu’elle traite.
En plus du niveau de finesse du broyage, pour choisir un bon destructeur, l’entreprise doit s’intéresser au nombre de feuilles à traiter en simultané et à la capacité des bacs de récupération.
