AccueilBase de connaissances › Mettre en place une politique de destruction pour PME
RGPD

Mettre en place une politique de destruction pour PME : que contient-elle, avec exemple

Mettre en place une politique de destruction pour une PME

Une politique de destruction consigne, dans une courte directive, ce que vous détruisez, à quel niveau DIN, à quelle fréquence, qui en est responsable et comment vous conservez la preuve. Pour une PME, une demi-page suffit souvent. Elle transforme la destruction confidentielle en méthode de travail fixe plutôt qu'en acte isolé, et cela vous aide à respecter le RGPD.

Beaucoup de PME détruisent bien le papier confidentiel, mais ne consignent nulle part comment. Lors d'un contrôle ou d'une fuite de données, la question vient alors de savoir quelle est votre méthode, et une courte politique y répond. Dans cet article, vous lisez ce qu'est une politique de destruction, que contenir, comment la rédiger en quelques étapes et vous trouvez un exemple à reprendre.

Pourquoi une politique de destruction ?

Une politique résout deux choses. Elle rend la méthode claire pour vos collaborateurs, pour que chacun sache ce qui est confidentiel et comment c'est détruit. Et elle rend votre approche démontrable face à un superviseur ou un auditeur, car vous pouvez montrer que le soin a été convenu et non laissé au hasard. Le RGPD ne prescrit pas de document fixe, mais le principe de responsabilité rend une telle directive très pratique.

Qu'est-ce qu'une politique de destruction au juste ?

Une politique de destruction n'est pas un contrat juridique, mais une directive interne. Elle décrit en langage simple comment votre organisation gère le rangement des informations confidentielles. Contrairement à une instruction ponctuelle, c'est un document fixe auquel chacun peut se référer. Elle n'a pas à être étendue, la simplicité est justement ce qui la rend utilisable. Une demi-page d'accords clairs vaut mieux qu'un document épais que personne ne lit.

À qui s'adresse une politique de destruction ?

Toute organisation qui traite des données personnelles tire profit d'une politique de destruction, d'un indépendant à une PME de dizaines de collaborateurs. Plus de personnes ont accès aux documents confidentiels, plus des accords clairs sont importants. Un cabinet comptable, un cabinet de santé, une boutique en ligne ou un service RH produisent tous du papier sensible. Pour tous, une courte directive aide à le ranger proprement et de manière démontrable. Pour une petite entreprise, une demi-page suffit souvent.

Que doit contenir une politique de destruction ?

Une politique de destruction utilisable pour une PME contient six éléments :

  • Qu'est-ce qui est confidentiel ? Quels documents et données en relèvent.
  • Quel niveau ? À quel niveau DIN 66399 vous détruisez.
  • À quelle fréquence ? La fréquence du rangement et de l'enlèvement.
  • Qui est responsable ? Qui garde la vue d'ensemble et organise l'enlèvement.
  • La preuve. Comment vous conservez le certificat et le notez au registre.
  • Les supports de données. Comment vous gérez disques durs, clés USB et téléphones.

Ci-dessous, nous parcourons les six éléments, pour que vous puissiez les remplir un par un.

Élément 1 : qu'est-ce qui est confidentiel ?

Commencez par délimiter ce qui relève de la politique. Tout ce qui contient des données personnelles ou des informations sensibles de l'entreprise en fait partie, comme les dossiers du personnel, les données clients, la comptabilité, les contrats et les notes internes. La règle pour les collaborateurs est simple, si vous doutez qu'un document est sensible, traitez-le comme s'il l'était. Ce qui compte précisément comme confidentiel figure dans détruire des documents confidentiels.

Commencez par les délais de conservation

Une bonne politique de destruction commence par savoir quand quelque chose peut partir. Certains documents doivent justement être conservés, comme la comptabilité gardée sept ans pour le fisc. Incluez dans la politique une référence aux délais de conservation qui valent pour votre secteur, pour que les collaborateurs ne détruisent pas trop tôt. Ce n'est qu'une fois le délai passé qu'un dossier part en destruction. Un aperçu des délais courants figure dans l'aide-mémoire des délais de conservation RGPD.

Élément 2 : à quel niveau DIN ?

Consignez à quel niveau vous détruisez. Pour les documents de bureau ordinaires, le P-4 est le minimum utilisable, pour les numéros de sécurité sociale et les données médicales, le P-5 est indiqué.

NiveauTaille des particulesAdapté à
P-2BandesImprimés généraux sans données
P-4Petites particulesDocuments avec données personnelles
P-5Très petites particulesNuméros de sécurité sociale, données médicales et particulières

En incluant le niveau dans la politique, vous pouvez montrer plus tard qu'il était adapté. Plus sur les niveaux dans DIN 66399 expliquée.

Élément 3 : à quelle fréquence et quand ?

Fixez une fréquence régulière. Beaucoup de PME choisissent un bac fermé vidé chaque mois ou chaque trimestre, complété par un examen annuel des dossiers dont le délai est passé. Ainsi, le rangement devient un rythme plutôt qu'un point reporté. L'arbitrage entre périodique et ponctuel figure dans destruction récurrente ou ponctuelle.

Élément 4 : qui est responsable ?

Désignez quelqu'un qui garde la vue d'ensemble, par exemple l'office manager ou le délégué à la protection des données. Consignez brièvement qui décide quels dossiers peuvent partir, qui planifie l'enlèvement et qui conserve les certificats. Une demi-page d'accords de travail évite que le papier confidentiel traîne parce que personne ne se sent responsable.

Élément 5 : consigner la preuve

Décrivez comment vous conservez la preuve. Après chaque enlèvement, vous recevez un certificat de destruction, que vous archivez en numérique et notez dans votre registre des traitements. Ainsi, il est démontrable que vous avez non seulement un accord, mais que vous l'appliquez aussi. Le fonctionnement de la démontrabilité figure dans destruction démontrable pour le RGPD.

Élément 6 : les supports de données

N'oubliez pas le côté numérique. Les données personnelles se trouvent aussi sur des disques durs, des clés USB et des téléphones. Consignez que les supports amortis sont détruits physiquement et enregistrés au numéro de série. Ils peuvent venir dans le même enlèvement que le papier. Ainsi, la politique couvre tout le flux confidentiel, pas seulement le papier.

Différence avec une politique de bureau propre

Une politique de bureau propre et une politique de destruction sont souvent confondues, mais elles se complètent. Une politique de bureau propre concerne le poste de travail, ne pas laisser de documents confidentiels ouverts en fin de journée. Une politique de destruction concerne ce qui arrive ensuite à ces documents, comment et quand ils sont détruits. Ensemble, elles bouclent la boucle, du bureau au bac fermé au certificat. Plus sur le côté poste de travail dans politique de bureau propre et destruction.

Un exemple à reprendre

Une politique n'a pas à être compliquée. Un exemple pour un bureau de PME pourrait être :

Tous les documents avec des données personnelles ou des informations sensibles de l'entreprise sont détruits de manière confidentielle au DIN 66399 P-4. Les données personnelles particulières sont détruites au P-5. Les collaborateurs déposent ces documents dans le bac fermé près de l'imprimante. Le bac est enlevé et détruit chaque trimestre par un prestataire certifié. Chaque année, l'office manager examine quels dossiers d'archives ont dépassé leur délai et planifie un enlèvement supplémentaire. Les supports de données sont détruits physiquement au numéro de série lors de l'amortissement. Pour chaque destruction, le certificat est conservé en numérique et noté au registre des traitements. L'office manager est responsable de l'exécution.

Adaptez les détails à votre situation et vous avez, en une demi-page, une politique utilisable.

Modèle ou rédaction propre ?

Vous n'avez pas à réinventer la roue. L'exemple ci-dessus sert de modèle, vous remplissez seulement votre propre niveau, fréquence et responsable. Rédiger soi-même a l'avantage que la politique colle exactement à votre méthode et est reconnaissable pour votre équipe. Commencez petit avec les six éléments et n'étendez que si votre situation l'exige. Une courte politique correcte vaut plus qu'une politique étendue que personne ne suit.

Comment la rédiger ?

  1. Recensez quels flux confidentiels vous avez, papier et numérique.
  2. Choisissez le niveau et la fréquence qui conviennent à vos données.
  3. Désignez un responsable et consignez les accords de travail.
  4. Décrivez la preuve, le certificat et la note au registre.
  5. Partagez la politique avec vos collaborateurs et intégrez-la à l'accueil des nouveaux.

Le lien avec le RGPD

Une politique de destruction s'aligne sur le principe de responsabilité de l'article 5.2 du RGPD. Vous devez non seulement traiter les données personnelles avec soin, mais aussi pouvoir le montrer. La politique montre que le rangement fait partie de votre sécurité de l'information. Les certificats fournissent la preuve à chaque fois. Ce que le RGPD demande par ailleurs aux PME figure dans les exigences RGPD pour les PME.

La politique et le service d'enlèvement

Une politique sur papier n'est complète qu'une fois l'exécution organisée. Un service d'enlèvement facilite cela, car vous faites enlever et détruire le papier et les supports de données à votre adresse, avec un certificat comme preuve. Vous n'avez rien à apporter vous-même et la chaîne reste fermée. Que vous fassiez vider un bac fixe chaque trimestre ou ranger l'armoire d'archives chaque année, le même service exécute votre politique. Ainsi, la politique n'est pas un tigre de papier mais une pratique qui fonctionne.

Combien coûte l'exécution de la politique ?

Rédiger une politique ne coûte qu'un peu de temps, l'exécuter coûte un prix fixe par enlèvement. Vous payez à partir d'environ 30 euros pour le premier carton. Les supports de données sont réglés à la pièce. Dans un rayon de 20 km autour d'Amsterdam, nous ne facturons pas de frais de déplacement. Un bac fixe avec enlèvement périodique revient souvent moins cher par fois. La composition complète du prix figure dans le coût de la destruction d'archives, pour estimer l'exécution de votre politique à l'avance.

Démontrable lors d'un audit ou contrôle

Le grand avantage d'une politique de destruction apparaît lors d'un audit ou d'un contrôle de l'autorité de protection des données. Vous montrez alors non seulement des certificats isolés, mais aussi la politique dont ils découlent. Cela fait une impression plus convaincante, car cela montre que le soin est ancré dans votre organisation et non laissé au hasard. Un inspecteur voit en quelques minutes que vous avez un accord et que vous l'appliquez aussi.

Mettre en œuvre et garder vivant

Une politique sur papier que personne ne connaît ne fonctionne pas. Partagez-la brièvement avec votre équipe, par exemple lors d'une réunion. Intégrez-la aussi à l'accueil des nouveaux collaborateurs. Examinez la politique une fois par an et adaptez-la si quelque chose change, par exemple un nouveau type de données ou une autre fréquence. Ainsi, elle reste un document vivant plutôt qu'un fichier oublié sur un disque partagé.

Une politique n'est jamais tout à fait finie

Les organisations changent et votre politique change avec elles. Si un nouveau type de données sensibles apparaît, que vous travaillez plus en numérique ou que la fréquence change, adaptez la politique. Un coup d'œil annuel de cinq minutes suffit à vérifier que les accords tiennent encore. Ainsi, vous évitez que la politique devienne obsolète et elle reste utilisable lors d'un contrôle. Un document vivant pèse plus lourd lors d'un audit qu'une version d'il y a des années.

Conseils pratiques

  • Restez bref, une demi-page d'accords clairs fonctionne le mieux.
  • Partagez la politique et intégrez-la à l'accueil des nouveaux collaborateurs.
  • N'oubliez pas les supports de données à côté du papier.
  • Conservez les certificats en numérique et notez-les au registre.

La politique et le registre des traitements

La politique de destruction et le registre des traitements vont de pair. Le registre indique quelles données vous traitez et combien de temps, la politique décrit comment vous les rangez ensuite. Une référence dans les deux sens rend l'ensemble concluant. Ainsi, un superviseur voit que le délai de conservation n'est pas seulement sur papier, mais aussi appliqué. Comment mettre en place ce registre figure dans le registre des traitements pour archives et destruction.

Erreurs fréquentes

  • Pas de politique, seulement des actes isolés. Vous ne pouvez alors pas montrer lors d'un contrôle qu'il y a des accords.
  • Ne pas partager la politique. Une directive que les collaborateurs ne connaissent pas ne fonctionne pas.
  • Oublier le côté numérique. Les supports de données y ont leur place autant que le papier.
  • Ne pas consigner de preuve. Sans certificats au registre, cela reste de bonnes intentions.

Un exemple concret

Imaginez un cabinet de gestion de huit collaborateurs sans méthode consignée pour le papier confidentiel. Après une question d'un client, le cabinet décide de rédiger une courte politique. Sur une demi-page figurent ce qui est confidentiel, qu'on détruit au P-5, que le bac est enlevé chaque trimestre et que l'office manager conserve les certificats. La politique est partagée en réunion. Quand, six mois plus tard, un client a demandé comment le cabinet gère les vieux dossiers, il a pu montrer la politique en quelques phrases, avec les certificats comme preuve.

Faire de la destruction une partie fixe de votre politique ?

Nous enlevons votre papier confidentiel et vos supports de données, les détruisons au bon niveau DIN et fournissons un certificat comme preuve. Vous exécutez ainsi votre politique facilement. Pas de frais de déplacement dans un rayon de 20 km autour d'Amsterdam.

Demander un devis

Questions fréquentes

Qu'est-ce qu'une politique de destruction ?

Une courte directive qui consigne ce que vous détruisez, à quel niveau DIN, à quelle fréquence, qui en est responsable et comment vous conservez la preuve. Une demi-page suffit souvent.

Une politique de destruction est-elle obligatoire ?

Le RGPD ne prescrit pas de document fixe, mais par le principe de responsabilité vous devez pouvoir montrer que vous traitez les données personnelles avec soin. Une politique facilite cela.

Que doit-elle contenir au minimum ?

Ce qui compte comme confidentiel, le niveau DIN, la fréquence, la personne responsable et comment vous conservez et enregistrez le certificat.

Quelle longueur pour une politique de destruction ?

Pour une PME, une demi-page à une page suffit souvent. Il s'agit d'accords clairs, pas d'un document volumineux.

Une politique de bureau propre en fait-elle partie ?

Oui. Une politique de bureau propre et une politique de destruction se complètent. Voir politique de bureau propre et destruction.

Conclusion

Une politique de destruction transforme la destruction confidentielle en méthode de travail fixe et démontrable. Consignez dans une courte directive ce qui est confidentiel, à quel niveau vous détruisez, à quelle fréquence, qui est responsable et comment vous conservez la preuve. N'oubliez pas les supports de données et partagez la politique avec votre équipe. Une demi-page suffit pour montrer, lors d'un contrôle ou d'une question d'un client, en quelques phrases que vous l'avez bien organisé.


Exécuter votre politique avec un certificat ? Demandez un devis via desnipperaar.nl ou lisez comment fonctionne la destruction démontrable pour le RGPD. Vous recevez un certificat comme preuve.