6 signes que vos archives sont un risque RGPD
Des archives deviennent un risque sans qu'on le remarque. Non par une erreur soudaine, mais par des cartons qui restent en place, des dossiers que plus personne n'ouvre et des supports qui trainent. Sous le RGPD, ce n'est pas un desordre innocent mais un ensemble de donnees personnelles que vous ne maitrisez plus. Voici six signes que vos archives sont devenues un risque RGPD, avec le sens de chacun et la maniere d'y remedier.
La reponse rapide. Des archives deviennent un risque des que vous perdez l'apercu, n'appliquez aucun delai de conservation et ne pouvez pas demontrer ce qui a ete detruit. Si vous reconnaissez l'un des signes ci-dessous, il est temps de faire l'etat des lieux, d'etablir une politique et de faire detruire en confiance les dossiers echus avec un certificat.
Signe 1. Vous ne savez plus ce que contiennent vos archives
Si personne ne peut dire ce qui se trouve dans les cartons et les armoires, vous n'avez pas des archives mais un angle mort. Sans apercu, vous ne pouvez pas repondre a une demande d'acces ou d'effacement, vous ne pouvez pas evaluer lors d'une violation quelles donnees sont touchees, et vous ignorez ce qui aurait pu etre detruit depuis longtemps. Le RGPD attend justement que vous sachiez quelles donnees personnelles vous traitez et pourquoi. La solution commence par un inventaire par categorie, relie a un registre des traitements. Comment y documenter archives et destruction sans bureaucratie inutile est explique dans le registre des traitements pour archives et destruction.
Signe 2. Cartons et classeurs s'accumulent sans date de fin
Si vos archives ne font que grossir et que rien n'en sort jamais, chaque carton manque d'un delai de conservation. Le RGPD prevoit une limitation de la conservation. Vous ne conservez pas les donnees personnelles plus longtemps que necessaire a la finalite pour laquelle vous les avez collectees. Un dossier sans date de fin est un dossier que vous conservez trop longtemps par definition. Attribuez donc a chaque categorie un delai de conservation concret et notez la date de destruction sur le carton. Ce que vous pouvez et devez conserver par type de document est expose clairement dans l'aide-memoire des delais de conservation RGPD. Ainsi une pile qui grossit devient des archives qui se nettoient d'elles-memes.
Signe 3. Tout le monde peut acceder aux archives
Si l'armoire d'archives reste ouverte, que du papier confidentiel traine sur les bureaux et que chaque employe ou visiteur peut atteindre les dossiers, la confidentialite n'est pas assuree. Le RGPD demande une securite appropriee, et la restriction d'acces en est la forme la plus simple. Limitez l'acces a ceux qui en ont besoin, fermez les locaux d'archives et travaillez avec un bureau propre pour qu'aucun document sensible ne traine. Une approche solide relie un bureau propre directement a des bacs de collecte scelles pour la destruction. Comment le consigner est explique dans politique de bureau propre et destruction.
Signe 4. De vieux supports trainent
Un tiroir plein de vieilles cles usb, une pile de disques durs mis au rebut, des telephones retires et des bandes de sauvegarde dans une armoire. Les supports contiennent souvent les memes donnees personnelles que le papier, mais recoivent rarement la meme attention. Ils disparaissent dans un tiroir plutot que dans une politique. Effacer n'est en outre pas la meme chose que detruire. Une simple suppression ou un formatage rapide laisse souvent les donnees recuperables. Integrez donc les supports a votre nettoyage par defaut et faites-les detruire physiquement. Pourquoi l'effacement ne suffit pas et quand la destruction physique s'impose est expose dans effacer face a detruire un disque dur.
Signe 5. Personne n'est responsable du nettoyage
Si vous ne pouvez designer personne comme responsable du nettoyage, il n'a pas lieu. Sans politique de destruction et sans moments de nettoyage fixes, les archives grossissent jusqu'a ce que quelqu'un trebuche dessus par hasard. Le RGPD demande non seulement les bons gestes mais aussi l'organisation autour. Consignez ce que vous detruisez, a quel niveau, a quelle frequence et qui le pilote. Planifiez des moments fixes, par exemple deux fois par an, ou les dossiers echus sont detruits. Une politique concise d'une demi-page suffit souvent. Comment la rediger, avec un exemple, est expose dans mettre en place une politique de destruction pour PME.
Signe 6. Vous ne pouvez pas demontrer ce qui a ete detruit
Si vous detruisez des dossiers mais n'en gardez aucune trace, vous ne pouvez rien prouver ensuite. Le RGPD repose sur la tracabilite. Sans preuve, vous ignorez ce qui a ete detruit, quand et a quel niveau, et lors d'un controle ou d'un litige vous restez les mains vides. Un certificat de destruction avec la date, la quantite et le niveau DIN comble cette lacune. C'est votre preuve, au regard de l'autorite de controle, que vous avez agi avec soin. Demandez-en toujours un et conservez-le avec votre registre des traitements. Ce qui doit figurer exactement sur un certificat est expose dans certificat de destruction, explication.
Du risque au controle en 3 etapes
- Faites l'etat des lieux. Inventoriez par categorie ce que vous conservez et reliez-le a votre registre des traitements.
- Etablissez une politique. Attribuez des delais de conservation, nommez un responsable et planifiez des moments de nettoyage fixes.
- Faites detruire en confiance. Rassemblez dossiers echus et supports dans des bacs scelles et demandez un certificat comme preuve.
Un nettoyage structure commence par un bon plan etape par etape. Comment aborder des archives papier pleines de facon systematique, de l'inventaire a l'enlevement scelle, est expose dans le plan etape par etape de nettoyage des archives.
Faire nettoyer vos archives en toute securite ?
Indiquez ce que vous avez et vous obtenez un prix fixe. Nous enlevons scelle, detruisons au bon niveau DIN et vous recevez un certificat pour votre dossier RGPD. Sans frais de deplacement dans un rayon de 20 km autour d'Amsterdam.
Demandez un devisQuestions frequentes
Quand des archives deviennent-elles un risque RGPD ?
Des que vous ne savez plus ce qu'elles contiennent, n'appliquez aucun delai de conservation et ne pouvez pas demontrer ce qui a ete detruit. Des archives qui grossissent sans apercu et sans nettoyage augmentent le dommage a chaque violation de donnees, car tout ce que vous auriez pu eliminer se retrouve dans la rue.
Comment savoir quels dossiers peuvent partir ?
Confrontez chaque categorie au delai legal de conservation. La comptabilite releve de l'obligation fiscale de sept ans, d'autres documents plus court ou plus long. Ce qui a atteint son delai et ne sert plus aucune finalite peut et doit etre detruit.
Les anciens disques durs et cles usb comptent-ils aussi ?
Oui. Les supports contiennent souvent les memes donnees personnelles que le papier. Effacer n'est en outre pas la meme chose que detruire. Integrez disques durs, cles usb, telephones et bandes de sauvegarde a votre politique par defaut et faites-les detruire physiquement.
Quelle est la preuve que j'ai detruit avec soin ?
Un certificat de destruction avec la date, la quantite et le niveau DIN. Sans certificat, vous ne pouvez pas demontrer ce qui a ete detruit, quand et a quel niveau. Le RGPD demande cette tracabilite. Conservez le certificat avec votre registre des traitements.
Conclusion
Les six signes ont un denominateur commun. Ils apparaissent la ou des archives echappent a la gestion, parce que personne ne sait plus ce qu'elles contiennent, combien de temps cela peut rester ou qui les nettoie. Faites l'etat des lieux de vos archives, etablissez une politique avec des delais de conservation et faites detruire en confiance dossiers echus et supports avec un certificat comme preuve. Ainsi vos archives ne sont plus un risque latent mais une partie maitrisee de votre politique RGPD.
A lire aussi : 7 erreurs lors de la destruction de documents d'entreprise, mettre en place une politique de destruction pour PME, le plan etape par etape de nettoyage des archives et l'aide-memoire des delais de conservation RGPD.
Faire enlever vos archives ? Demandez un devis via desnipperaar.nl. En quelques minutes vous avez un prix fixe, certificat inclus comme preuve.