Les journalistes du radiodiffuseur allemand ARD ont eu peine à y croire lorsqu’ils se sont aperçus que les photocopieurs usagés dont ils avaient fait l’acquisition pour leurs recherches renfermaient des avis d’imposition, des dossiers de patients et même des mandats d’arrêt.
Pour les installations médicales, les cabinets juridiques et les conseillers fiscaux concernés, ce type de fuite de données peut s’avérer désastreux. Selon l’article 203 du Code pénal, la divulgation de secrets personnels peut entraîner des amendes ou même des peines de prison.
Depuis que le Règlement général sur la protection des données (RGPD) est entré en vigueur dans l’UE en mai 2018, quiconque est reconnu coupable d’une divulgation non autorisée de données à caractère personnel risque une amende pouvant s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total (Article 83 (5) RGPD). C’est la raison pour laquelle l’effacement de données doit être intégré au processus de protection des données.
Les coûts sont également à prendre en compte lorsqu’il s’agit de procéder à l’effacement de données. Il serait insensé d’appliquer la même méthode d’effacement intégral, lourde et coûteuse, à l’ensemble de vos équipements. Avant d’opter pour une méthode d’effacement, il convient de procéder à une évaluation des risques. La norme DIN 66399 énonce trois niveaux de classification à cet effet, et procède à une catégorisation des données en fonction du degré de protection qu’elles requièrent :
Chaque niveau se divise en plusieurs niveaux de sécurité qui définissent la quantité d’efforts à consentir pour reconstruire les données. La méthode d’effacement choisie dépendra non seulement du degré de sensibilité des données, mais également du support sur lequel celles-ci sont conservées. Les supports de stockage magnétiques, par exemple, requièrent des méthodes d’effacement différentes de celles employées pour les supports flash ou SSD.
Procéder à un effacement de données conforme à la législation est une tâche complexe qui nécessite une certaine expertise. Bien souvent, les projets d’effacement de données échouent faute de ressources. Dans la plupart des cas, la meilleure solution consiste à recourir aux services d’un prestataire de services informatiques expérimenté pour prendre en charge l’effacement de vos données. Quelques critères à prendre en compte :
Le prestataire de services doit proposer un plan détaillé et économiquement adapté, tenant compte de la catégorie et du niveau de sécurité concernés.
Les données nécessitant un degré de protection élevé ou très élevé ne doivent en aucun cas tomber entre de mauvaises mains. Il convient donc de faire preuve de vigilance lors de la collecte et du transport, par exemple en utilisant des conteneurs scellés tout en assurant une surveillance par GPS de l’itinéraire de transport. Le processus d’effacement des données doit être basé sur serveur et automatisé, et doit être exécuté dans des locaux à accès restreint.
Pour chaque équipement, un certificat d’effacement détaillé contenant des informations relatives à la date d’effacement et à la méthode employée doit vous être remis.
Le prestataire de services doit être en mesure de gérer d’importants volumes d’équipements anciens, englobant PC, ordinateurs portables, smartphones, photocopieurs, imprimantes, scanners et autres appareils.
Le prestataire de services informatiques doit respecter les normes reconnues dans l’industrie, comme celles de l’Office fédéral de la sécurité des technologies de l’information. Nous vous recommandons également de chercher des méthodes d’effacement certifiées ISO.
Les anciens équipements peuvent être remis sur le marché une fois les données qu’ils contiennent convenablement effacées. Ainsi, les produits de la vente peuvent servir à couvrir les coûts locatifs ou être affectés aux amortissements. Cela permet également d’éviter les déchets d’équipements électroniques et de contribuer à une meilleure empreinte écologique, tout comme le recyclage certifié des systèmes ne pouvant être remis sur le marché. La phase de démantèlement et de re-commercialisation des équipements informatiques coïncide souvent avec le déploiement de nouveaux systèmes, évitant ainsi les périodes d’attente ou les interruptions.
Avant de procéder à la mise au rebut ou à la re-commercialisation d’un équipement informatique, toutes les données qu’il contient doivent être effacées de manière professionnelle et dans le respect des exigences légales. Nombre de sociétés ne disposent ni de l’expertise ni des ressources nécessaires pour le réaliser. Ainsi, vous pouvez avoir l’esprit tranquille si vous avez confié l’effacement de vos données et la re-commercialisation de vos équipements au prestataire de services informatiques adéquat.
N'hésitez pas à nous contacter en cas de questions !
Vice President Sales France