2LRN4 security awareness platform
← Retour à la base de connaissances

Détruire les données en toute sécurité : papier, disques et données cloud

Supprimer n'est pas détruire, et toutes les données ne peuvent pas être jetées sans plus. Comment rendre le papier, les disques et les données cloud vraiment illisibles, et comment les obligations légales de conservation fixent ton délai.

Récemment mis à jour

De l'analyse à l'action

Découvrez comment transformer ce sujet en un programme de sensibilisation concret avec formation, simulations de phishing et reporting management clair.

Réserver une démo Voir la page solution principale
Alain Rees
Fondateur & spécialiste de la sensibilisation à la sécurité · 2LRN4

La vie privée ne s'arrête pas à la conservation des données ; leur fin compte aussi. Le RGPD exige la limitation de la conservation : ne garde pas les données plus longtemps que nécessaire. Mais le RGPD n'est pas la seule loi en jeu. D'autres lois peuvent au contraire t'obliger à conserver des données pendant une durée minimale, parfois des années. Une destruction sûre commence donc par deux questions : puis-je déjà l'éliminer, et si oui, comment le rendre vraiment illisible ?

Pourquoi supprimer ne suffit pas

Glisser un fichier dans la corbeille ne le supprime pas vraiment : les données restent souvent sur le disque jusqu'à ce qu'elles soient écrasées et sont récupérables avec un logiciel de récupération. Idem pour un formatage rapide d'une clé USB.

Pour le papier, le risque est encore plus concret : un document jeté avec des données clients dans une poubelle à papier est accessible à tous. Une destruction sûre exige donc une méthode adaptée à chaque type de support.

Peut-on déjà l'éliminer ? Le RGPD n'est pas la seule loi qui fixe le délai

Le RGPD dit : ne pas garder plus longtemps que nécessaire. Mais d'autres lois disent parfois l'inverse, à savoir que tu dois conserver certaines données pendant une durée minimale. Détruire trop tôt enfreint ces lois ; conserver trop longtemps sans motif enfreint le RGPD. Il s'agit du bon équilibre, pas d'effacer le plus vite possible.

En France, plusieurs obligations de conservation s'appliquent, notamment :

  • Documents comptables et commerciaux : le Code de commerce impose de conserver les livres et pièces comptables, en règle générale 10 ans.
  • Obligations fiscales : le Code général des impôts fixe des délais de conservation pour les documents fiscaux.
  • Archives publiques : les organismes publics conservent ou détruisent les documents selon le Code du patrimoine et les durées d'utilité administrative.
  • Données de santé et règles sectorielles : les dossiers médicaux et certaines pièces sociales (paie, contrats) ont leurs propres durées. En Belgique, des obligations comparables existent en droit comptable et fiscal.

Papier : déchiqueter, pas jeter

Déchiquette les documents contenant des données personnelles au lieu de les jeter dans la poubelle ordinaire ou même à papier. Utilise un destructeur à coupe croisée, qui découpe le papier en petits confettis plutôt qu'en longues bandes.

Pour de grands volumes, un service de destruction certifié est un bon choix. Il fournit une preuve de destruction, utile lors d'un audit.

Disques et appareils

Les supports numériques exigent une méthode qui rend vraiment les données illisibles :

  • Effacement sécurisé (wiping) : un logiciel qui écrase le disque plusieurs fois, rendant la récupération impossible.
  • Chiffrement préalable : un disque chiffré est effacé efficacement en détruisant la clé.
  • Destruction physique : pour les disques réformés ; fais-les broyer ou perforer par un service certifié.
  • N'oublie pas les périphériques : imprimantes, copieurs et téléphones conservent souvent des données à ton insu.

Données cloud et sauvegardes

Dans le cloud, "parti" n'est pas toujours vraiment parti. Les fichiers supprimés atterrissent souvent d'abord dans une corbeille et peuvent rester dans des sauvegardes. Vérifie combien de temps ton prestataire conserve les données supprimées et les sauvegardes.

Prévois dans le contrat de sous-traitance que le prestataire supprime définitivement les données à la fin du contrat. Demande une preuve de destruction si nécessaire.

Comment l'intégrer dans ton programme de sensibilisation

La destruction est un comportement et un processus ; ton programme de sensibilisation doit toucher les deux.

  • Combine un court module avec des outils concrets : un destructeur à portée de main, une procédure de remise et un calendrier de conservation visible.
  • Rends visible le calendrier de conservation qui combine le RGPD et les obligations légales, pour que chacun sache quand quelque chose peut vraiment partir.
  • Intègre la « mise au rebut sécurisée des appareils » dans tes processus de départ et informatiques.
  • Propose l'approfondissement via notre catalogue de formations.

Articles connexes

FAQ

Puis-je toujours supprimer des données dès que je n'en ai plus besoin ?

Pas toujours. Le RGPD impose de ne pas conserver plus longtemps que nécessaire, mais d'autres lois peuvent imposer une durée minimale de conservation. En France, le Code de commerce (10 ans pour les pièces comptables), le Code général des impôts et le Code du patrimoine pour les organismes publics. Ne détruis qu'une fois qu'aucune obligation de conservation ne s'applique plus.

Quelles lois déterminent combien de temps je dois conserver les données ?

Outre le RGPD, surtout le Code de commerce et le Code général des impôts (souvent jusqu'à 10 ans), le Code du patrimoine pour les archives publiques, ainsi que les durées propres aux dossiers de santé et aux règles sociales et sectorielles. En Belgique, des règles comptables et fiscales équivalentes. Établis donc un calendrier de conservation par type de données.

Un fichier dans la corbeille est-il vraiment supprimé ?

Non. Vider la corbeille ne retire que la référence ; les données restent souvent sur le disque jusqu'à être écrasées et sont récupérables avec un logiciel. Utilise l'effacement sécurisé ou la destruction physique pour les données sensibles.

Comment détruire du papier contenant des données personnelles ?

Déchiquette-le avec un destructeur à coupe croisée au lieu de le jeter à la poubelle à papier. Pour de grands volumes, recours à un service de destruction certifié qui fournit une preuve de destruction.

Que faire d'un ancien ordinateur ou téléphone professionnel ?

Remets-le selon la procédure de ton organisation. Le disque doit être effacé de façon sécurisée ou détruit physiquement, et pense aux cartes SIM et mémoire. Une simple réinitialisation ne suffit pas toujours pour des données sensibles.

Les données cloud sont-elles vraiment parties après suppression ?

Pas toujours immédiatement. Les fichiers supprimés restent souvent dans une corbeille et dans des sauvegardes. Vérifie les durées de conservation de ton prestataire et prévois au contrat que les données sont définitivement supprimées après celui-ci.

Étape suivante

Utilisez cet article comme base puis voyez comment 2LRN4 traduit ce sujet en segmentation d'audiences, formation et reporting.

Réserver une démo Télécharger le guide Plus d'articles