AIPD et destruction d'archives : la destruction relève-t-elle d'une AIPD ?
Une analyse d'impact relative à la protection des données (AIPD) paraît lourde, mais c'est essentiellement une analyse de risque structurée pour les traitements à risque élevé. La destruction en elle-même n'est généralement pas l'élément déclencheur d'une AIPD, mais la phase antérieure, la conservation, peut l'être. Et même si aucune AIPD formelle n'est requise, les questions de l'AIPD constituent un bon cadre pour la politique d'archivage et de destruction. Cet article montre quand quoi est requis et comment le remplir de façon pertinente.
Quand une AIPD est-elle obligatoire ?
L'article 35 du RGPD impose une AIPD pour les traitements présentant « probablement un risque élevé pour les droits et libertés des personnes concernées ». L'autorité néerlandaise de protection des données (AP) a publié une liste de catégories obligatoires, dont :
- Le traitement à grande échelle de catégories particulières de données personnelles.
- La surveillance systématique (caméra, localisation, comportement).
- Le profilage avec des conséquences juridiques.
- Le traitement de données de groupes vulnérables (enfants, patients).
- L'utilisation de nouvelles technologies aux risques inconnus.
Une PME moyenne qui conserve une administration clients et finit par la détruire n'a pas d'obligation d'AIPD. Un hôpital qui archive 10 000 dossiers de patients, si.
Où la destruction touche-t-elle l'AIPD ?
La destruction en elle-même est une étape d'atténuation du risque, pas une étape qui l'augmente. La pertinence pour l'AIPD apparaît à trois endroits :
- Durée de conservation et stockage d'archives. Plus vous conservez longtemps, plus le risque cumulé est grand. L'AIPD évalue explicitement si le délai de conservation est proportionné.
- Sécurité de l'archive. Contrôle d'accès, sécurité des locaux, chaîne de conservation. Cela relève des « mesures techniques et organisationnelles ».
- Méthode de destruction et preuve. Quelle classification DIN, quel prestataire, quel certificat. C'est ce que vous présentez comme la clôture étanche du cycle de vie.
Modèle : la destruction dans le formulaire d'AIPD
La plupart des formulaires d'AIPD comportent une section « cycle de vie et élimination ». Remplissez au minimum :
| Champ | Valeur d'exemple |
|---|---|
| Délai de conservation | 5 ans après la fin de la relation de soins |
| Base légale du délai | WGBO art. 7:454 BW (dossiers médicaux jusqu'à 20 ans ; 5 ans pour les dossiers clos) |
| Déclencheur | Date de la dernière consultation ou signature de la clôture du dossier |
| Méthode de destruction | Déchiqueteuse papier sur site DIN P-5 ; disques durs en DIN H-5 |
| Prestataire | DeSnipperaar (accord de traitement en place) |
| Conservation du certificat | 5 ans dans l'archive conformité |
| Risque résiduel après destruction | Négligeable ; reconstruction mathématiquement irréalisable |
Analyse de risque : trois scénarios
Scénario 1 : perte dans l'armoire d'archives (interne)
- Probabilité : faible (armoire verrouillée, accès limité).
- Gravité : moyenne (selon le contenu).
- Mesure : journal d'accès, audit annuel.
Scénario 2 : perte pendant le transport vers la déchiqueteuse
- Probabilité : faible avec une destruction sur site (pas d'étape de transport externe), plus élevée hors site.
- Gravité : moyenne à élevée (un gros volume perdu d'un coup).
- Mesure : choisir la destruction sur site, lisez déchiquetage sur site contre hors site.
Scénario 3 : finesse de destruction insuffisante
- Probabilité : faible en DIN P-5, quasi nulle en P-6.
- Gravité : faible à moyenne (la reconstruction demande beaucoup d'efforts).
- Mesure : choisir le niveau DIN adapté, l'exiger sur le certificat.
L'AIPD n'est pas un exercice de remplissage, c'est un cadre qui vous oblige à nommer honnêtement les risques et les mesures correspondantes.
Mesures d'atténuation : une liste
- Délais de conservation définis et automatisés dans le système d'archivage.
- Contrôle d'accès sur l'armoire d'archives (clé, journal).
- Accord de traitement avec le prestataire de destruction (lisez la checklist).
- Destruction sur site pour la chaîne la plus courte.
- DIN P-5 par défaut, P-6 pour les catégories particulières.
- Certificat avec date, méthode et classification.
- Certificat conservé 5 ans.
Contexte plus large : la destruction réduit le risque
Une équipe AIPD peut être tentée de présenter la destruction comme « introductrice de risque » (mouvements de transport, accès du prestataire). C'est vrai au niveau de l'« étape de chaîne supplémentaire », mais trompeur au niveau du risque cumulé sur le cycle de vie. Un dossier qui reste 30 ans dans une armoire d'archives a une probabilité de perte bien plus élevée qu'un dossier détruit correctement après 5 ans. L'AIPD doit reconnaître cet effet cumulatif.
Pour les secteurs soumis à une obligation d'AIPD régulière
Les secteurs où l'AIPD est courante ont des points spécifiques :
- Santé : WGBO 20 ans par défaut ; lisez WGBO et dossiers de patients.
- Enseignement : dossiers d'élèves ; lisez écoles et dossiers d'élèves.
- RH/recrutement : dossiers de candidats ; lisez dossiers de candidats.
- Financier : dossiers Wft et MiFID ; lisez archive MiFID II.
Quand une AIPD n'est-elle pas obligatoire mais utile ?
- Lors d'un déménagement ou d'une fusion : traitement cumulé d'archives.
- Lors d'un changement de prestataire de destruction : impact sur la chaîne.
- Lors de l'introduction de nouveaux types de supports (par exemple des sauvegardes cloud qui existent aussi physiquement).
- Lors d'un grand débarras ponctuel : risque temporairement élevé pendant l'exécution.
Des preuves de destruction pour votre dossier d'AIPD.
Nous fournissons par défaut un accord de traitement et un certificat par commande. Prêt à coller directement dans l'annexe de votre AIPD.
Demander un devisVous travaillez sur une AIPD ? Écrivez-nous via desnipperaar.nl. Nous partageons volontiers une ligne de modèle pour la section destruction.