Quand des journalistes d'ARD ont acheté des copieurs d'occasion à des fins de recherche, ils ont été bien surpris d'y trouver des avis d'imposition, des dossiers médicaux et même des ordonnances pénales:
Une telle fuite de données peut menacer l'existence des cabinets médicaux, d'avocats et de fiscalistes concernés: pour une infraction au secret privé, le code pénal allemand prévoit au paragraphe 203 non seulement des amendes, mais aussi des peines de réclusion.
Depuis l'entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai 2018, tous les états membres de l'UE sont soumis à la réglementation suivante: toute personne qui ne protège pas suffisamment des données personnelles contre l'accès de tiers se trouve exposée à des amendes pouvant atteindre vingt millions d'euros ou 4% du chiffre d'affaires annuel brut (RGPD art. 83, 5). Et pour bien protéger les données, leur suppression doit également être intégrée au processus de protection des données.
Lors de la suppression de vos données, vous devez toujours garder également en tête les aspects économiques. Il serait peu judicieux de soumettre tous les appareils à un seul et même traitement complet et onéreux. C'est pourquoi avant d'opter pour un procédé d'effacement ou un autre, il convient d'évaluer les risques. Dans cette optique, la norme DIN 66399 définit trois classes de protection. Les données sont affectées à une catégorie en fonction de leur besoin de protection:
Chaque classe de protection compte plusieurs niveaux de sécurité, selon le volume de travail qui serait nécessaire pour reconstituer les données. Lors de la suppression des données, on prend en compte leur sensibilité, mais aussi le support sur lequel elles ont été enregistrées: par exemple, les supports de stockage magnétiques requièrent des procédés d'effacement différents des supports à semi-conducteur.
Effacer les supports de données en conformité avec la loi est complexe et exige des connaissances techniques. Souvent, les projets d'effacement se trouvent confrontés au manque de ressources. Dans la plupart des cas, il est donc recommandé de confier la suppression de vos données à un prestataire informatique expérimenté. Il vous faudra tenir compte des critères suivants:
Le prestataire doit être en mesure de vous fournir un concept de suppression économique et très précis, qui tient compte des classes de protection et de sécurité.
Les données nécessitant une protection élevée ou très élevée ne doivent en aucun cas se retrouver entre les mains de tiers. C'est pourquoi lors de l'enlèvement, on apportera le plus grand soin au transport, en ayant par exemple recours à des conteneurs plombés ou à des voies de transport guidées par GPS. La suppression des données doit également être automatisée et réalisée sur serveur dans des zones sous accès protégé.
Votre prestataire doit vous remettre pour chaque appareil un certificat d'effacement détaillé, indiquant quand la suppression des données a été effectuée et quel procédé d'effacement a été employé.
Le prestataire doit être en mesure de gérer sans problème un gros volume d'appareils usagés, et s'occuper non seulement des PC, mais aussi des notebooks et smartphones, ou encore des copieurs, imprimantes, scanners et d'autres appareils.
Le prestataire informatique doit respecter des normes reconnues dans son secteur, comme celles des BSI. Par ailleurs, préférez un procédé d'effacement homologué ISO.
Une fois l'effacement conforme réussi des appareils informatiques usagés, ils peuvent s'inscrire dans un processus de recommercialisation. La recette des ventes permettra de compenser les frais de location ou les pertes dues à l'amortissement. Cela contribue également à éviter des déchets et ainsi à réduire l'empreinte carbone. Les systèmes qui ne sont pas aptes à une recommercialisation peuvent aussi être recyclés de manière certifiée, et ainsi protéger l'environnement. Souvent, la phase de démantèlement et de recommercialisation des appareils informatiques chevauche le déploiement des nouveaux systèmes, afin d'éviter tout temps d'attente ou défaillance, grâce à un échange de technologie sans accroc.
Avant toute élimination ou recommercialisation du parc informatique, est prévue une suppression appropriée et conforme à la loi des données qui y sont enregistrées. Dans de nombreuses entreprises, il manque non seulement le savoir-faire nécessaire pour y procéder, mais aussi les ressources. En confiant l'effacement et la recommercialisation au bon prestataire informatique, vous n'avez plus besoin de vous en soucier.
N'hésitez pas à nous contacter pour toutes vos questions !
Global Account Executive