Certificat de destruction de données expliqué : ce qu'il contient et quand il faut
Un certificat de destruction de données est votre preuve que des supports ont été détruits de façon irréversible. Il indique la date, le niveau DIN appliqué et les numéros de série de chaque support détruit. Ce sont justement ces numéros de série qui le distinguent d'un certificat papier, car ils relient la preuve à vos disques durs, clés USB ou téléphones précis.
Supprimer un fichier ou effacer un disque semble définitif, mais sans preuve vous ne pouvez pas montrer ensuite que les données ont vraiment été rendues illisibles. Lors d'une restitution de leasing, d'un audit informatique ou d'un contrôle sous le RGPD, cette preuve compte. Dans cet article, vous lisez ce qu'est exactement un certificat de destruction de données, ce qu'il contient, en quoi il diffère d'un certificat papier et quand il faut.
Qu'est-ce qu'un certificat de destruction de données ?
Un certificat de destruction de données est un document qui consigne que vos supports ont été détruits à un moment et à un niveau donnés. C'est la pièce finale du processus de destruction, la preuve que les données ne peuvent plus être récupérées. Contrairement à une note interne ou une confirmation par e-mail, c'est un document formel que vous pouvez présenter à un auditeur, une société de leasing ou l'autorité de protection des données. Le certificat de destruction général est expliqué à part dans le certificat de destruction expliqué.
Qu'est-ce que la destruction de données au juste ?
La destruction de données consiste à rendre les données d'un support irréversiblement illisibles. Cela peut se faire par écrasement, démagnétisation ou destruction physique. Pour la sécurité avec des données sensibles, la destruction physique est la voie la plus sûre, car le support est littéralement détruit et les données ne sont plus accessibles. Le certificat accompagne cette destruction physique, car ce n'est qu'alors qu'un prestataire peut consigner par numéro de série ce qui a été détruit. Un appareil effacé mais encore intact ne fournit pas cette preuve de la même façon.
Que contient le certificat ?
Un bon certificat de destruction de données contient au moins :
- La date à laquelle les supports ont été détruits.
- Le niveau DIN 66399 appliqué, par exemple le niveau E pour les médias électroniques.
- Les numéros de série de chaque support détruit, enregistrés un par un.
- Le type de support, comme disque dur, SSD, clé USB ou téléphone.
- Un numéro de mission unique permettant de retracer le certificat.
- Le nom de la partie qui exécute.
L'enregistrement des numéros de série est l'élément le plus important. Sans numéros de série, vous prouvez que quelque chose a été détruit, mais pas quels supports précisément.
La différence avec un certificat papier
Pour le papier confidentiel, le certificat indique la date, la quantité et le niveau DIN, mais pas de numéros de série, car les feuilles n'en ont pas. Pour les supports de données, c'est différent. Chaque disque dur ou téléphone a un numéro de série unique qui doit figurer sur le certificat. Vous pouvez ainsi montrer plus tard précisément que ce disque issu de cet appareil a été détruit. Pour une restitution de leasing ou un registre d'actifs, c'est indispensable.
Quand en avez-vous besoin ?
Un certificat de destruction de données est important dans plusieurs situations :
- Restitution de matériel en leasing. La société de leasing veut la preuve que le disque de l'appareil a été détruit en sécurité avant son retour.
- Un audit informatique. Un auditeur vérifie que le matériel amorti a été détruit de manière démontrable.
- ISO 27001. La norme exige une élimination maîtrisée des médias, avec preuve. Plus à ce sujet dans ISO 27001 et destruction physique.
- Le RGPD. Si des données personnelles figuraient sur le support, le certificat est votre preuve que vous les avez fait détruire correctement.
À qui est-ce destiné ?
Un certificat de destruction de données est surtout pertinent pour les entreprises, les services informatiques et les organisations qui amortissent ou louent du matériel. Mais un particulier aussi peut faire détruire en sécurité un vieil ordinateur portable ou un téléphone plein de données personnelles. La démarche est la même pour les deux, enlèvement, enregistrement au numéro de série et destruction, avec un certificat comme preuve. Qu'il s'agisse d'un seul disque ou d'un lot entier, la preuve est toujours traçable jusqu'au support.
Quel niveau DIN pour les supports de données ?
La norme DIN 66399 a des catégories distinctes pour différents médias. Pour les supports de données électroniques, ce sont les niveaux E.
| Catégorie | Pour | Exemple |
|---|---|---|
| H | Disques durs | Broyage ou démagnétisation de HDD |
| E | Médias électroniques | SSD, clé USB, carte mémoire |
| O | Médias optiques | CD, DVD, Blu-ray |
Le niveau nécessaire dépend du type de support et de la sensibilité des données. Le certificat indique le niveau appliqué, pour que vous puissiez montrer qu'il était adapté.
NIST 800-88 ou DIN 66399 ?
Outre DIN 66399, on se réfère souvent au niveau international à NIST 800-88, une directive américaine pour l'effacement et la destruction des médias. Les deux décrivent comment rendre les données fiablement inutilisables, avec un principe comparable, à savoir que la destruction physique offre la plus haute certitude. Pour votre certificat, peu importe la norme citée, du moment que le niveau appliqué et les numéros de série sont consignés. La différence entre les deux figure dans NIST 800-88 contre DIN 66399.
Effacer ou détruire ?
Une distinction importante. L'effacement logiciel écrase les données, mais n'est pas fiable sur chaque support. Sur un SSD, le wear-leveling et les cellules de réserve font que toutes les données ne sont pas écrasées, comme expliqué dans détruire un SSD, pourquoi l'effacement ne marche pas. Pour la sécurité, la destruction physique est la voie la plus sûre. Ce n'est qu'alors que vous obtenez un certificat avec des numéros de série. La différence entre effacer et détruire figure dans effacer contre détruire un disque dur.
Certificat ou rapport d'effacement ?
Avec l'effacement logiciel, vous obtenez parfois un rapport d'effacement, un fichier journal indiquant qu'un disque a été écrasé. C'est autre chose qu'un certificat de destruction. Un rapport d'effacement dit qu'il y a eu effacement, un certificat avec numéros de série prouve que le support a été physiquement détruit. Pour la plupart des audits et restitutions de leasing, le certificat est le choix le plus fort, car le support n'existe alors démontrablement plus au lieu d'être seulement écrasé.
Ce que le RGPD exige
Le RGPD exige la limitation de la conservation à l'article 5 et des mesures appropriées à l'article 32 pour protéger les données personnelles. Cette obligation court jusqu'à ce que les données soient détruites de manière illisible, sur les supports de données aussi. Un vieux disque avec des données clients qui reste dans un tiroir est un risque. En cas de perte, c'est une violation de données. Le certificat de destruction de données est la preuve que vous avez rempli cette obligation.
Et si ça tourne mal ? Une fuite par de vieux supports
La plupart des violations de données avec du matériel ne viennent pas d'un piratage mais d'une élimination négligente. Un carton de vieux disques durs qui finit aux encombrants, une clé USB qui disparaît d'un tiroir, un téléphone mis au rebut revendu sans que les données soient vraiment parties. Dans tous ces cas, quelqu'un peut récupérer des données d'entreprise ou de clients. Une violation grave se signale dans les 72 heures à l'autorité de protection des données. La destruction physique avec certificat écarte ce risque à l'avance.
Quels supports de données faire détruire ?
- Disques durs et SSD de portables, ordinateurs de bureau et serveurs.
- Clés USB et cartes mémoire avec des données d'entreprise ou de clients.
- Smartphones et tablettes en fin de vie.
- Bandes de sauvegarde avec d'anciennes sauvegardes.
- Imprimantes multifonctions et copieurs avec un disque interne, souvent en fin de leasing. Voir imprimantes multifonctions et copieurs en fin de leasing.
Quand un support est-il bon pour la destruction ?
Un support de données est bon pour la destruction dès qu'il n'est plus utilisé et que les données n'ont plus à être conservées. Pensez à un portable remplacé, un serveur en fin de vie, un téléphone retiré de la circulation ou une clé USB que vous ne faites plus confiance. Ne laissez pas les supports indéfiniment dans un tiroir, car tant que les données y sont, cela reste un risque. Vérifiez d'abord si des données doivent encore être conservées. Remettez le reste pour destruction.
Clôturer papier et supports de données en une fois
Un rangement s'arrête rarement au papier ou seulement aux supports numériques. Souvent, les deux se libèrent en même temps, par exemple lors d'un déménagement ou d'un vidage de bureau. L'avantage pratique d'un service d'enlèvement est que papier et supports de données peuvent venir dans le même enlèvement, chacun détruit à son propre niveau. Le papier figure sur le certificat en quantité et niveau, les supports de données au numéro de série. Vous clôturez ainsi tout le flux confidentiel en une fois.
Comment obtenez-vous le certificat ?
- Demande. Vous indiquez quels supports vous avez. Vous obtenez un prix fixe.
- Enlèvement. Nous enlevons les supports scellés à votre adresse.
- Enregistrement. Chaque support est enregistré au numéro de série.
- Destruction. Les supports sont détruits au bon niveau DIN.
- Certificat. Vous recevez le certificat avec les numéros de série et le niveau.
Papier et supports de données peuvent venir dans le même enlèvement, chacun détruit à son propre niveau. Plus sur la destruction numérique dans destruction de données.
Enlèvement et transport scellés
Comme pour le papier, la destruction de données repose sur une chaîne fermée. Les supports sont enlevés à votre adresse et transportés scellés, pour que personne ne puisse y accéder en chemin. Entre l'enlèvement et la destruction, il n'y a aucun moment où un disque s'égare ou est consulté. Cette chaîne sécurisée est précisément ce que confirme le certificat à la fin.
Combien coûte la destruction de données avec certificat ?
Les supports de données sont généralement réglés à la pièce, car chaque support est enregistré séparément au numéro de série et détruit. Le prix dépend du type de support et du nombre. L'avantage pratique est que vous pouvez remettre papier et supports de données dans le même enlèvement, vous ne payez donc qu'une fois le déplacement. Dans un rayon de 20 km autour d'Amsterdam, nous ne facturons pas de frais de déplacement.
Que devient le support après la destruction ?
Après la destruction, les restes des supports sont acheminés vers le recyclage des matériaux. Métaux et plastiques sont séparés et réutilisés, tandis que les données sont définitivement perdues. Vous combinez ainsi une destruction de données sécurisée avec un traitement propre des déchets électroniques.
Combien de temps conserver le certificat ?
Conservez le certificat au moins 5 ans dans votre dossier RGPD ou registre d'actifs. Lors d'un audit, d'un contrôle ou d'une question d'un client, vous pouvez alors montrer aussitôt que le support a été détruit. Archivez-le de préférence en numérique, pour le retrouver vite. Un certificat introuvable est en pratique aussi inutile que pas de certificat.
Un certificat qui tient lors d'un audit
Tous les certificats ne se valent pas. Un document sans numéros de série, sans date ou sans le niveau appliqué dit peu. Veillez donc à ce que le certificat contienne toutes les données qu'un auditeur veut voir, à savoir par support un numéro de série, la date et le niveau DIN. Vérifiez-le avant d'accepter.
Conseils pratiques
- Demandez toujours l'enregistrement au numéro de série, pas seulement un certificat général.
- Combinez papier et supports de données dans le même enlèvement.
- Conservez le certificat en numérique pour le retrouver aussitôt lors d'un audit.
- Ne laissez pas les disques traîner des mois, car un tiroir plein de supports est un risque.
Erreurs fréquentes
- Se fier au seul effacement. Sans destruction physique et certificat, vous n'avez pas de preuve.
- Ne pas demander les numéros de série. Un certificat sans numéros de série ne relie pas la preuve à vos supports.
- Laisser traîner de vieux disques. Un tiroir plein de supports amortis est une violation de données qui sommeille.
- Perdre le certificat. Sans preuve retrouvable, vous êtes démuni lors d'un audit.
Un exemple concret
Imaginez une entreprise qui remplace quinze portables en leasing. La société de leasing veut récupérer les appareils, mais les disques contiennent des années de données d'entreprise. L'entreprise fait retirer les disques des portables et les fait détruire au niveau H. Chaque disque est enregistré au numéro de série et l'entreprise reçoit un certificat avec les quinze numéros. Lors de la restitution, elle peut montrer précisément que les données de ces disques précis ont été détruites. Pas de discussion, pas de risque de violation de données.
Faire détruire des supports de données avec certificat ?
Indiquez quels supports vous avez et vous obtenez un prix fixe. Nous les enlevons scellés, les détruisons au bon niveau DIN et vous recevez un certificat avec numéros de série. Pas de frais de déplacement dans un rayon de 20 km autour d'Amsterdam.
Demander un devisQuestions fréquentes
Qu'est-ce qu'un certificat de destruction de données ?
Un document prouvant que vos supports de données ont été détruits de façon irréversible, avec la date, le niveau DIN appliqué et les numéros de série des supports détruits.
Quelle est la différence avec un certificat pour le papier ?
Pour les supports de données, les numéros de série figurent sur le certificat pièce par pièce. Pour le papier, ce sont la date, la quantité et le niveau, sans numéros de série.
Quand ai-je besoin d'un certificat de destruction de données ?
Pour la restitution de matériel en leasing, un audit informatique, l'ISO 27001 et comme preuve sous le RGPD que vous avez fait détruire correctement des données personnelles sur des supports.
Combien de temps faut-il conserver le certificat ?
Conservez le certificat au moins 5 ans dans votre dossier RGPD, pour pouvoir montrer lors d'un contrôle ou d'un audit que les supports ont été détruits.
Est-ce que je reçois aussi un certificat avec le seul effacement ?
Un rapport d'effacement est possible, mais un certificat avec numéros de série accompagne la destruction physique. Pour la sécurité avec des données sensibles, la destruction physique est la voie la plus sûre.
Conclusion
Un certificat de destruction de données est la preuve que vos supports ont été détruits de manière démontrable et irréversible, reliée aux numéros de série. Cela le rend indispensable pour la restitution de leasing, un audit informatique, l'ISO 27001 et comme preuve sous le RGPD. Faites détruire physiquement les supports au bon niveau DIN, demandez l'enregistrement au numéro de série et conservez le certificat au moins 5 ans. Vous clôturez ainsi le flux numérique aussi proprement que le flux papier.
Faire détruire des supports de données en sécurité ? Demandez un devis via desnipperaar.nl ou lisez comment fonctionne la destruction de données. Vous obtenez un certificat avec numéros de série comme preuve.