AccueilBase de connaissances › Détruire du papier confidentiel en entreprise
RGPD

Détruire du papier confidentiel en entreprise : ce qu'il faut faire et comment

· 11 min de lecture · DeSnipperaar
Détruire du papier confidentiel en entreprise

Détruire du papier confidentiel n'est pas un choix pour les entreprises mais une obligation RGPD. Tout ce qui comporte des données personnelles ou des informations sensibles doit être rendu illisible de manière démontrable, avec un certificat comme preuve. Le matériel est enlevé et détruit au bon niveau DIN.

Vous voulez vérifier rapidement si c'est bien en place ? Parcourez cette liste :

  • Y a-t-il un bac fermé pour le papier confidentiel, ou finit-il dans la corbeille ?
  • Les collaborateurs savent-ils quel papier est confidentiel ?
  • Est-il détruit au minimum au DIN 66399 P-4 ?
  • Recevez-vous un certificat de destruction ?
  • Conservez-vous ce certificat dans votre dossier RGPD ?

Si vous hésitez sur l'un de ces points, les sections ci-dessous montrent comment le mettre en place proprement. Nous voyons ce qui compte comme confidentiel, ce qu'exige le RGPD, les risques d'une fuite papier, comment se passe l'enlèvement et quelle preuve vous gardez.

Qu'est-ce que le papier confidentiel ?

Confidentiel est tout document avec des données personnelles ou des informations sensibles de l'entreprise. En pratique, cela couvre bien plus qu'on ne le pense :

  • Dossiers du personnel avec fiches de paie, numéros de sécurité sociale, évaluations et copies de pièces d'identité.
  • Données clients comme adresses, historique de commandes, réclamations et coordonnées de paiement.
  • Comptabilité, factures, relevés bancaires et comptes annuels.
  • Contrats et devis, avec prix, conditions et noms.
  • Documents internes, procès-verbaux, stratégie, versions provisoires et notes.

La règle est simple, si vous doutez du caractère sensible d'un document, traitez-le comme s'il l'était. L'explication complète des documents confidentiels figure dans détruire des documents confidentiels.

Ce que le RGPD exige des entreprises

Deux articles du RGPD sont décisifs ici. L'article 5 exige la limitation de la conservation, vous ne gardez pas les données personnelles plus longtemps que nécessaire et les rangez ensuite. L'article 32 exige des mesures techniques et organisationnelles appropriées pour protéger ces données. Cette obligation de protection ne s'arrête pas à l'archive mais court jusqu'à ce qu'un document soit détruit de manière illisible. Un dossier dont le délai de conservation est passé et qui reste pourtant dans l'armoire est donc lui-même une infraction. Ce que cela signifie concrètement pour les PME figure dans les exigences RGPD pour les PME.

Combien de temps conserver avant de détruire ?

Vous ne pouvez détruire qu'une fois le délai de conservation passé, car certains documents doivent justement être gardés un temps. L'obligation fiscale de conservation des documents est de sept ans, pour les données immobilières dix ans. Les dossiers du personnel ont leurs propres délais, une partie peut partir deux ans après le départ du salarié, les données fiscales de paie se conservent plus longtemps. L'approche pratique est un calendrier fixe, chaque année vous examinez quels dossiers ont dépassé leur délai et ceux-ci partent dans le prochain enlèvement. Ainsi vous ne conservez ni trop longtemps ni trop peu.

Les risques d'une fuite papier

Une violation de données est loin d'être toujours un piratage. Un carton de vieux dossiers qui finit avec les vieux papiers, une corbeille pleine posée dans la rue, un classeur qui tombe d'un carton de déménagement. Dans tous ces cas, quelqu'un peut emporter des données personnelles. Les conséquences peuvent être lourdes :

  • Obligation de notification. Une violation grave se signale dans les 72 heures à l'autorité de protection des données. Voir notifier une fuite de données en 72 heures.
  • Amende. L'autorité peut infliger une amende en cas de traitement négligent des données.
  • Réputation. Une fuite de données clients nuit à la confiance, souvent plus longtemps que l'amende elle-même.
  • Fraude. Avec un numéro ou une copie de pièce d'identité, quelqu'un peut commettre une usurpation d'identité, aux dépens de votre salarié ou client.

La destruction confidentielle écarte ce risque. Le papier part scellé et est rendu illisible de manière démontrable.

Qui est responsable au sein de l'organisation ?

Sous le RGPD, votre organisation est responsable du traitement, pas le salarié individuel. Pourtant, en pratique, tout dépend d'arrangements clairs. Désignez quelqu'un qui garde la vue d'ensemble, par exemple l'office manager ou le délégué à la protection des données. Consignez brièvement qui fait quoi. Qui décide quels dossiers peuvent partir, qui planifie l'enlèvement et qui conserve les certificats. Une demi-page de règles de travail évite que le papier confidentiel traîne parce que personne ne se sent responsable.

Comment se passe la destruction confidentielle en entreprise ?

  1. Collecte. Le papier confidentiel va dans un bac fermé ou dans des cartons, séparé des vieux papiers ordinaires.
  2. Demande. Vous indiquez le volume et choisissez ponctuel ou périodique. Vous obtenez un prix fixe.
  3. Enlèvement. Nous l'enlevons à votre adresse, scellé pour les documents sensibles.
  4. Destruction. Le papier est broyé au bon niveau DIN puis recyclé.
  5. Certificat. Vous recevez un certificat de destruction pour votre dossier.

Quel niveau DIN est nécessaire ?

La norme DIN 66399 définit la finesse du broyage du papier. Plus les données sont sensibles, plus les particules sont petites.

NiveauTaille des particulesAdapté à
P-2BandesImprimés généraux sans données
P-4Petites particulesDocuments avec données personnelles
P-5Très petites particulesNuméros de sécurité sociale, données médicales et particulières

Pour la plupart des documents de bureau, le P-4 est le minimum praticable. Si vous travaillez avec des données personnelles particulières, comme un cabinet de santé ou un service RH avec des numéros de sécurité sociale, le P-5 est indiqué.

Le papier confidentiel par secteur

Presque toute organisation produit du papier confidentiel, mais l'accent diffère. Un cabinet comptable a des comptes annuels et des dossiers clients, un cabinet d'avocats des dossiers d'affaires, un cabinet de santé des données patients, une boutique en ligne des bons de livraison avec adresses, un service RH des dossiers du personnel. Ce qu'ils partagent, c'est le devoir de détruire de manière démontrable ces documents après le délai de conservation. L'approche est la même pour tous, collecter dans un bac fermé, faire enlever et conserver le certificat. Le délai exact diffère selon le secteur, mais le devoir de détruire de façon démontrable vaut pour tous.

Un bac fermé au bureau

La solution la plus pratique pour les entreprises qui produisent du papier confidentiel en continu est un bac fermé au bureau. Les collaborateurs y déposent leurs documents confidentiels directement, au lieu de la corbeille ordinaire. Personne ne peut y accéder en chemin, car le bac est fermé. Périodiquement, le bac est enlevé et vidé, par exemple chaque mois ou trimestre. Ainsi, tout reste bien organisé sans que personne ait à y penser à chaque fois. Une bonne méthode de travail au poste l'accompagne, comme décrit dans politique de bureau propre et destruction.

Périodique ou ponctuel ?

Si vous avez un rangement ponctuel, par exemple après une clôture annuelle ou un déménagement, un enlèvement ponctuel sans contrat suffit. Si vous produisez du papier confidentiel en continu, une fréquence fixe est plus pratique. L'arbitrage dépend surtout de la vitesse à laquelle le papier s'accumule. Beaucoup de PME combinent les deux, un bac fixe pour le flux quotidien et un enlèvement séparé quand l'armoire d'archives est vidée.

Avez-vous besoin d'un accord de sous-traitance ?

Si vous faites détruire structurellement des données personnelles par un tiers, un accord de sous-traitance est habituel. Il précise ce que le sous-traitant peut faire des données et comment il les sécurise. Pour un enlèvement ponctuel, le certificat de destruction suffit souvent en pratique comme preuve que les documents ont été correctement détruits. Ce qui doit figurer dans un tel accord est dans la checklist de l'accord de sous-traitance.

N'oubliez pas les supports de données

L'information confidentielle n'est pas que sur papier. Dans la même armoire se trouvent souvent de vieux disques durs, des clés USB ou un ordinateur portable amorti avec des années de données d'entreprise. Supprimer un fichier n'efface pas vraiment ces données et sur un SSD l'effacement logiciel n'est pas fiable. Pour la sécurité, la destruction physique du support est nécessaire, au bon niveau et avec les numéros de série sur le certificat. L'avantage pratique est que papier et supports de données peuvent venir dans le même enlèvement, chacun détruit à sa manière. Vous clôturez ainsi le flux papier et le flux numérique en une fois.

Papier confidentiel et télétravail

Depuis que davantage de personnes télétravaillent en partie, le papier confidentiel apparaît aussi hors du bureau. Un devis imprimé, une note avec des données clients, une impression qui traîne. À domicile, il y a rarement un bac fermé ou un bon broyeur, si bien que des documents finissent facilement avec les vieux papiers ordinaires. Convenez donc que les collaborateurs rapportent le papier confidentiel au bureau et le mettent dans le bac fermé là-bas. Comment l'organiser figure dans télétravail avec des documents confidentiels.

Le certificat de destruction

Après chaque enlèvement, vous recevez un certificat de destruction avec la date, la quantité et le niveau DIN appliqué. Ce document est votre preuve auprès de l'autorité de protection des données, d'un auditeur ou d'un client qui demande ce qu'il est advenu de ses données. Sans cette preuve, vous êtes démuni lors d'un contrôle, même si vous avez tout fait détruire correctement. Conservez le certificat au moins 5 ans dans votre dossier RGPD.

Combien coûte la destruction de papier confidentiel ?

Vous payez un prix fixe par carton ou roll conteneur, connu à l'avance. Le premier carton coûte environ 30 euros et pour de plus grands volumes un roll conteneur au poids devient plus avantageux. Dans un rayon de 20 km autour d'Amsterdam, nous ne facturons pas de frais de déplacement. La composition complète du prix avec exemples figure dans combien coûte la destruction d'archives. Pour un bac fermé à fréquence fixe, vous convenez d'un accord selon votre volume.

Que devient le papier après la destruction ?

Après la destruction, le papier broyé va vers une papeterie, où il est transformé en pâte pour de nouvelles fibres. Vos anciens documents deviennent une matière première pour du papier neuf, sans que rien de lisible ne subsiste. Destruction confidentielle et durabilité vont donc ensemble. Pour beaucoup d'entreprises, c'est un détail appréciable du rapport de durabilité, ranger en sécurité contribue en même temps au cycle du papier.

Broyer soi-même ou externaliser ?

Un broyeur de bureau paraît bon marché, mais il est lent, se bloque et atteint rarement un niveau DIN élevé. De plus, il ne fournit pas de certificat, alors que c'est justement votre preuve. Pour quelques feuilles par jour, broyer soi-même convient, mais dès qu'il s'agit de cartons ou d'un flux continu, externaliser est plus rapide, plus sûr et mieux démontrable. La différence clé est la preuve, un prestataire consigne ce qui a été détruit et à quel niveau.

Un exemple concret

Imaginez un service RH qui clôture l'année et veut ranger les dossiers du personnel dont le délai de conservation est passé. Ces dossiers contiennent des fiches de paie, des évaluations et des copies de pièces d'identité, toutes des données personnelles particulières. Broyer soi-même avec l'appareil de bureau prendrait des jours et n'atteint pas le P-5. À la place, le service collecte les dossiers dans un bac fermé, indique le volume et planifie un enlèvement. Les documents sont détruits au P-5 et le responsable RH reçoit un certificat qui va proprement dans le dossier RGPD. Au prochain audit, la preuve est immédiatement disponible.

Faites-en une politique

Les actions isolées fonctionnent un temps, mais persistent rarement. La destruction confidentielle fonctionne le mieux comme partie intégrante de votre sécurité de l'information. Définissez dans une courte directive ce qui est confidentiel, où c'est collecté, à quel niveau c'est détruit et à quelle fréquence le bac est enlevé. Intégrez-le à l'accueil des nouveaux collaborateurs, pour que chacun sache dès le premier jour comment ça marche. Ainsi, le rangement soigneux devient une habitude au lieu d'un stress annuel.

Erreurs fréquentes

  • Papier confidentiel dans la corbeille ordinaire. Sans bac fermé, il disparaît parmi les déchets normaux, avec un risque de fuite.
  • Conserver trop longtemps. Un dossier dont le délai est passé et qui reste en place est lui-même une infraction.
  • Ne pas demander de certificat. Sans preuve, vous ne pouvez pas montrer que vous avez détruit avec soin.
  • Un niveau trop bas. Pour les numéros de sécurité sociale et données particulières, le P-5 est nécessaire, pas le P-2.
  • Ne pas informer les collaborateurs. Si personne ne sait ce qui est confidentiel, ça tourne quand même mal.

Conseils pratiques

  • Placez un bac fermé à un endroit central, pas caché dans un coin.
  • Étiquetez clairement ce qui y va, pour que personne n'hésite.
  • Planifiez une tournée de rangement fixe chaque trimestre pour les dossiers dont le délai est passé.
  • Remettez les supports de données comme les vieilles clés USB et disques durs dans le même enlèvement.
  • Archivez les certificats en numérique, pour les retrouver aussitôt lors d'un audit.

Faire détruire votre papier confidentiel ?

Indiquez combien vous avez et choisissez ponctuel ou périodique. Vous obtenez un prix fixe, nous l'enlevons et le détruisons au bon niveau, avec un certificat comme preuve. Pas de frais de déplacement dans un rayon de 20 km autour d'Amsterdam.

Demander un devis

Questions fréquentes

Qu'est-ce qui compte comme papier confidentiel ?

Tout document avec des données personnelles ou des informations sensibles de l'entreprise : dossiers du personnel et clients, documents financiers, contrats, devis et notes internes. En cas de doute, traitez-le comme confidentiel.

Une entreprise peut-elle jeter du papier confidentiel avec les vieux papiers ?

Non. Jeter du papier avec des données personnelles sans le broyer est une violation de données sous le RGPD. Il doit être détruit de manière confidentielle, avec un certificat comme preuve.

Ai-je besoin d'un accord de sous-traitance ?

Pour une destruction structurelle de données personnelles, un accord de sous-traitance est habituel. Pour un enlèvement ponctuel, le certificat de destruction suffit souvent comme preuve.

À quelle fréquence le papier confidentiel doit-il être enlevé ?

Cela dépend de votre volume. Beaucoup d'entreprises choisissent un bac fermé vidé chaque mois ou trimestre, d'autres planifient un enlèvement ponctuel lors d'un rangement.

De quel niveau DIN ai-je besoin ?

Pour les documents de bureau ordinaires, le DIN 66399 P-4 est le minimum. Pour les numéros de sécurité sociale, les données médicales et les copies de pièce d'identité, le P-5 est indiqué.

Conclusion

Détruire du papier confidentiel est une obligation pour les entreprises qui découle du RGPD. Prévoyez un bac fermé, faites enlever et détruire au bon niveau DIN et conservez le certificat comme preuve. Ainsi, vous évitez une fuite papier, respectez l'obligation de notification et pouvez montrer à chaque contrôle que vous traitez les données avec soin. Une bonne méthode demande peu d'efforts et écarte un risque considérable. Commencez petit avec un bac et une tournée d'enlèvement fixe, le reste suit de lui-même.

Prêt à ranger votre papier confidentiel en sécurité ? Demandez un devis via desnipperaar.nl. Vous indiquez le volume et vous obtenez un prix fixe avec un certificat.