AccueilBase de connaissances › Certificat de destruction
Pratique

Certificat de destruction, que doit-il contenir et pourquoi ?

· 7 min de lecture · DeSnipperaar

Un certificat de destruction est une petite feuille A4 d'une grande valeur. C'est la seule preuve tangible que vous pourrez utiliser plus tard pour démontrer qu'une archive, un lot de supports ou un stock de produits a réellement été détruit, à quelle date, selon quelle norme et par qui. Pour votre dossier RGPD, votre expert-comptable, une autorité de contrôle et votre propre tranquillité d'esprit, ce bout de papier est indispensable. Cet article expose précisément ce qu'il doit contenir et les pièges des certificats trop succincts.

Public visé. DPO, office managers, responsables conformité et acheteurs qui valident une commande de destruction.

Pourquoi un certificat ?

Le RGPD ne mentionne nulle part littéralement un « certificat de destruction ». Pourtant, en pratique, il est indispensable pour satisfaire trois exigences.

  • RGPD art. 5(2) (responsabilité). Le responsable du traitement doit pouvoir démontrer le respect des principes.
  • RGPD art. 32 (sécurité). Les mesures appropriées doivent être documentées.
  • RGPD art. 30 (registre des traitements). La destruction est une activité de traitement qui doit être consignée.

De plus, l'autorité néerlandaise de protection des données (AP) utilise le certificat lors de ses enquêtes. Une organisation sans certificats se retrouve vite en difficulté lors d'un audit.

Un certificat de destruction n'est pas une formalité. C'est la preuve contractuelle, technique et juridique réunie en un seul document.

Les champs obligatoires

Au minimum, chaque certificat doit contenir les champs suivants.

1. Numéro de commande unique

Un numéro unique par certificat. Utilisé pour la référence, la piste d'audit et toute correspondance.

2. Date et heure de la destruction

Pas seulement la date mais aussi la plage horaire. « 6 mars 2026, de 9h15 à 11h20 » vaut mieux que simplement « 6 mars ».

3. Lieu de la destruction

Adresse où la destruction a eu lieu. Pour la destruction sur site, votre propre adresse. Pour la destruction hors site, l'adresse de l'installation de destruction, avec le code de scellé du conteneur de transport le cas échéant.

4. Donneur d'ordre

Nom complet, numéro de Chambre de commerce (KvK) et adresse.

5. Opérateur

Raison sociale du service de destruction, nom de l'opérateur, signature.

6. Type de support

Quelle catégorie. Papier, HDD, SSD, bande, USB, téléphones mobiles, produits. Une ligne distincte par catégorie avec quantité ou poids.

7. Nombre d'unités ou poids

Pour le papier, généralement des kilos. Pour les supports, le nombre d'articles. Pour les disques durs, de préférence aussi les numéros de série (voir le point suivant).

8. Numéros de série (pour les supports)

Pour les HDD, SSD, téléphones et bandes, une liste de numéros de série. Lors d'un audit, c'est essentiel pour prouver qu'un appareil précis a été détruit. Pour les grands lots, une annexe peut suffire.

9. Méthode de destruction

Déchiquetage, désintégration, fusion, démagnétisation. Indiquez HDD et SSD séparément, car ce sont des procédés différents.

10. Norme et niveau appliqués

DIN 66399 avec lettre et chiffre (P-4, P-5, H-4, E-5, T-5). Pour la destruction informatique, référez-vous aussi à NIST 800-88 (Clear, Purge ou Destroy). Voir notre article sur les niveaux P de la DIN 66399.

11. Témoin

Si quelqu'un du côté du donneur d'ordre a observé, nom et signature. Facultatif mais très solide sur le plan probatoire.

12. Signature de l'opérateur

Physique ou numérique. Sans signature, le document n'est pas un certificat mais une note interne.

Pourquoi ces champs ensemble sont essentiels

Imaginez que, deux ans après la destruction, une question arrive. « Pouvez-vous démontrer que le disque portant le numéro de série X a été détruit ? ». Sans numéros de série sur le certificat, vous ne pouvez rien prouver. Avec les numéros de série, vous pouvez dire « Certificat #2026-0306-01, page 3 ligne 17, méthode H-5, le même jour en ma présence ». L'affaire est close.

Un certificat avec numéros de série et niveau DIN ?

Nous livrons un certificat complet par commande en standard, numéros de série pour les supports et niveau DIN inclus. Conforme aux audits pour la santé, le financier, le juridique et les notaires.

Demander un devis

Erreurs courantes sur les certificats

Aucun niveau DIN indiqué

« Détruit conformément aux normes RGPD » ne veut rien dire. Le RGPD ne prescrit pas de norme précise. Exigez la mention de la DIN 66399 avec lettre et chiffre.

Pas de numéros de série pour HDD et SSD

« 50 disques durs détruits » sans numéros de série est insuffisant pour les audits. Exigez une liste.

Aucune méthode pour les supports

Il importe de savoir si un SSD a été déchiqueté, démagnétisé ou détruit par crypto-erase. Indiquez la méthode.

Certificat des semaines après la commande

Un bon service livre le certificat sous 1 à 2 jours ouvrés. Attendre des semaines est le signe d'une administration faible. N'attendez pas, demandez le document juste après la destruction.

Uniquement un PDF, sans signature

Un PDF sans signature numérique est facile à manipuler. Exigez une version signée, de préférence via signature PDF ou un portail dédié.

Combien de temps conserver le certificat ?

Au moins 5 ans après la date de commande, dans votre dossier RGPD. Pour certains secteurs, plus longtemps.

  • Notaires. Jusqu'à la fin du délai de conservation de l'acte associé ou au moins 10 ans
  • Santé. 20 ans (par analogie avec le délai du dossier WGBO). Voir WGBO 20 ans.
  • Profession juridique. Au moins 10 ans
  • Destructions à incidence fiscale. 7 ans (par analogie avec l'AWR art. 52)

Numérique ou papier ?

Les deux sont acceptables. Le numérique a l'avantage de la recherche et de la piste d'audit. Le papier est encore demandé par certains secteurs comme copie physique dans le classeur. Pour le numérique, un stockage chiffré dans votre DMS ou votre dossier RGPD.

Exemple d'audit

Lors d'une enquête de l'AP, la conversation suivante peut avoir lieu.

  • AP. « Vous avez indiqué dans le registre des traitements que des dossiers de 2016 ont été détruits. Pouvez-vous le démontrer ? »
  • Responsable du traitement. « Oui, le certificat numéro 2024-0115-03 indique 437 kilos de papier, DIN 66399 P-5, réalisé le 15 janvier 2024 à notre adresse, opérateur Jansen, témoin Visser (le soussigné). »
  • AP. « Accepté. »

C'est la différence entre un certificat correct et un certificat bâclé.

Un audit en vue ? Appelez-nous ou demandez un devis via desnipperaar.nl. Un certificat complet par commande, signé numériquement, dans votre boîte de réception sous un jour ouvré.