AccueilBase de connaissances › Destruction de documents RGPD pour les PME
RGPD

Exigences RGPD pour la destruction de documents : ce qu'une PME doit vraiment organiser

· 9 min de lecture · DeSnipperaar

Chaque PME est assise sur des cartons de papier. Fiches de paie, dossiers de candidature, contrats clients, copies de pièces d'identité et comptabilité. Quiconque prend la confidentialité au sérieux découvre vite que le RGPD dit beaucoup sur le traitement et la conservation, mais presque rien de concret sur la destruction. C'est pourtant à cette dernière étape que les choses tournent si souvent mal. Une benne de « vieux papier » qui finit à la recyclerie, ou un vieux portable qui retrouve une seconde vie via une petite annonce. Ce sont précisément ces fuites de données pour lesquelles l'autorité néerlandaise de protection des données (AP) inflige des amendes.

Ce guide parcourt les obligations RGPD pour la destruction de documents dans un langage clair, spécifiquement pour les entrepreneurs sans juriste en protection des données. Pas besoin de se noyer dans les textes de loi, mais une liste de contrôle applicable dès demain.

Que dit réellement le RGPD sur la destruction ?

Le RGPD mentionne la destruction explicitement à deux endroits pertinents.

  • Article 5 (limitation de la conservation). Les données personnelles ne peuvent pas être conservées plus longtemps que nécessaire pour la finalité pour laquelle elles ont été collectées.
  • Article 17 (droit à l'oubli). Une personne concernée peut demander la suppression de ses données et vous devez y donner suite dans un délai d'un mois.

Par ailleurs, l'article 32 impose des « mesures techniques et organisationnelles appropriées » pour protéger les données personnelles. Ce devoir ne s'arrête pas à la poubelle. Votre obligation de vigilance ne prend fin que lorsque le document est physiquement illisible.

L'amende pour une fuite de données due à une mauvaise destruction n'est pas plus faible que pour une fuite issue de votre base de données. L'autorité néerlandaise de protection des données ne fait aucune distinction entre le papier et les bits.

Délais de conservation, quand peut-on détruire ?

Rien n'est aussi souvent mal géré que les délais de conservation. Les plus courants en PME.

  • Administration fiscale : 7 ans (Algemene wet inzake rijksbelastingen, art. 52).
  • Immobilier : 9 ans (délai de régularisation de la TVA).
  • Administration des salaires : 5 ans après la fin du contrat de travail.
  • Données de candidats : 4 semaines après le refus, ou 6 mois avec le consentement du candidat.
  • Copies de pièces d'identité : 5 ans après la fin du contrat de travail (Wage Tax Act).
  • Correspondance client sans intérêt fiscal : « aussi longtemps que nécessaire », en pratique 2 à 3 ans après le dernier contact.
  • Données médicales : 20 ans (WGBO, pour les prestataires de soins).

Une fois un délai expiré, la conservation n'est plus « autorisée ». Le dossier doit partir. Il n'existe pas de zone grise dans laquelle vous vous dites « je le garde encore un peu, au cas où ». C'est une violation du RGPD.

Détruire soi-même ou sous-traiter ?

Pour de petits volumes de quelques dizaines de classeurs par an, un bon destructeur de bureau suffit, à condition d'atteindre au moins la taille de coupe P-5 selon la norme DIN 66399. Réserve importante. Vous devez documenter qui, quand et quoi a été détruit. Sans registre, la preuve manque.

Dès que les volumes augmentent ou que des catégories sensibles apparaissent (pièces d'identité, données médicales, dossiers financiers), la sous-traitance devient généralement plus sûre et moins coûteuse. Avec un prestataire externe, vous devez surveiller trois points.

1. Destruction sur site ou dans un flux sécurisé

L'option la plus sûre est la destruction mobile de documents, avec le camion broyeur sur votre parking et vous qui surveillez. Rien ne quitte votre bâtiment intact. Une alternative est le transport en conteneur scellé. Demandez alors les numéros de scellés sur le certificat de destruction.

2. Norme et taille de broyage

Demandez le niveau de sécurité DIN 66399 P-5. Pour les supports, le même schéma s'applique (séries H et E) ou, en alternative, la norme NIST 800-88 pour le volet informatique.

3. Certificat de destruction

Après chaque intervention, un certificat doit suivre, indiquant la date, le nombre d'unités (kilos ou conteneurs), la norme appliquée, la méthode, le lieu de destruction et un numéro de commande unique. Ce document est votre preuve auprès de l'AP si quelqu'un demande un jour comment vous gérez vos archives.

L'accord de traitement, souvent oublié, toujours obligatoire

Dès que vous faites traiter des données personnelles par un tiers, un accord de traitement doit être en place. Avec une destruction sous-traitée, c'est le cas, car jusqu'au moment du broyage les données sont encore lisibles. L'article 28 du RGPD prescrit son contenu.

  • Objet, durée, nature et finalité du traitement
  • Types de données personnelles et catégories de personnes concernées
  • Obligation de confidentialité du personnel
  • Mesures de sécurité
  • Modalités de notification des violations
  • Droit d'audit et d'inspection
  • Ce qu'il advient des données ensuite

Un bon prestataire de destruction dispose d'un accord de traitement standard. Demandez-le avant la première intervention, pas après. Sans accord signé, c'est vous-même qui êtes en infraction, pas le sous-traitant.

Supports, pas d'exception

Les disques durs, SSD, clés USB, anciens téléphones et bandes de sauvegarde contiennent généralement plus de données personnelles que le volet papier de l'archive. L'effacement logiciel (via DBAN ou équivalent) ne suffit souvent pas. Les SSD modernes conservent des données dans des cellules de réserve que le système d'exploitation ne voit pas. Pour les catégories particulières, ou si le support ne peut pas être effacé de manière fiable, la norme NIST 800-88 prescrit « destroy ». La destruction physique par broyage, désintégration ou fusion.

Un certificat à chaque intervention. Conforme au RGPD, depuis le parking.

DeSnipperaar arrive, vous surveillez. Papier, disques, SSD, téléphones et bandes sont détruits sur votre site, avec un certificat de destruction complet. Disponible sous 24 heures partout aux Pays-Bas.

Demander un devis

Liste de contrôle pour demain

  1. Inventoriez les archives que vous détenez (papier et numérique) et associez-y des délais de conservation.
  2. Inscrivez un moment de destruction annuel dans l'agenda, de préférence après la clôture de l'exercice.
  3. Choisissez par catégorie. Faire soi-même (jusqu'à environ 50 classeurs par an) ou sous-traiter.
  4. Signez un accord de traitement avec votre prestataire de destruction.
  5. Demandez toujours un certificat et conservez-le au moins 5 ans dans votre dossier RGPD.
  6. Expliquez dans votre déclaration de confidentialité comment vous gérez la destruction. La transparence est elle-même une exigence du RGPD.

Le RGPD n'est pas une épée au-dessus de votre tête. C'est un cadre pour montrer que vos affaires sont en ordre. La destruction est la dernière preuve, visible, de cet ordre.

Des questions sur votre propre situation d'archivage ? Appelez-nous ou demandez un devis via desnipperaar.nl. Nous réfléchissons volontiers avec vous aux délais de conservation, au volume et à l'accord de traitement.