RGPD et destructeur de papiers

Le R.G.P.D. (Règlement Général sur la Protection des Données) est le règlement qui encadre juridiquement la protection des personnes physiques lors d'un traitement de données à caractère personnel.

Les données à caractère personnel représentent les données qui caractérisent une personne et qui peuvent être utilisées afin de l’identifier (par exemple : nom, prénom, carte d’identité, domicile, adresse e-mail, éléments bancaires ou fiscaux, informations médicales, photographies, empreintes digitales, etc ...).

  • Le traitement de données signifie que des actions sont réalisées manuellement ou informatiquement sur des données à caractère personnel.

On peut citer comme action : la collecte, l'enregistrement, l'organisation, la conservation, la modification, l'utilisation, la communication, la destruction, etc ... Le Règlement Général sur la Protection des Données devient applicable (sous peine de sanctions applicables par la CNIL) en France à compter du 23 mai 2018.

Le RGPD s'applique en France depuis le 23 mai 2018

A partir de cette date, toutes les organisations publiques et privées ont l'obligation d'appliquer strictement un certain nombre de mesures pour traiter correctement les données personnelles de leurs utilisateurs respectifs (administrés, salariés, assujettis, consommateurs, prospects, clients, etc ...)

Toutes les organisations basées à l'intérieur de l'UE (l’Union européenne) qui traitent des données à caractère personnel, et les organisations oeuvrant à l'extérieur du territoire européen qui pratiquent le traitement de données à caractère personnel de citoyens européens.

  • D’après le Règlement Général ces données personnelles doivent être traitées de manière licite, loyale et transparente.

Les données traitées doivent être fiables et d'actualité. Il importe notamment de prendre les mesures nécessaires pour que les données à caractère personnel qui seraient inexactes, au regard des finalités pour lesquelles elles sont traitées, soient supprimées définitivement ou modifiées.

Des données personnelles appropriées, pertinentes et limitées

Les données doivent être collectées dans la perspective de finalités précises, explicites et licites. Elles ne doivent pas faire l’objet d’un traitement ultérieur qui poursuivrait d’autres finalités que celles initialement prévues. En effet, elles ne sont pas destinées à être conservées plus longtemps que nécessaire (au regard des finalités envisagées du traitement de ces données).

Des données appropriées, pertinentes et limitées

Les données collectées doivent être appropriées, pertinentes et limitées aux informations nécessaires pour les finalités envisagées du traitement. Chaque organisation doit être en mesure de garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle.

  • Les responsables des traitements doivent recourir à des mesures techniques ou organisationnelles appropriées.

zenburo.fr peut aider à respecter les principes de bases précités du traitement des données. L’une des principales nouveautés du RGPD est le « principe de responsabilité proactive » qui est défini comme la nécessité des organisations d’appliquer des mesures techniques et organisationnelles appropriées afin d’être en mesure de garantir et prouver que le traitement est bien en conformité avec le RGPD.

Le fait de s'équiper d'un destructeur Intimus aide les administrations et entreprises à respecter les dispositions du RGPD. Ainsi, ils peuvent justifier de cette conformité, car ils permettent une destruction immédiate, sûre et efficace de tous les documents contenant des données à caractère personnel qui ne doivent plus être utilisés parce qu’ils sont excessifs par rapport aux finalités pour lesquelles ils ont été obtenus (minimisation des données) sont inexacts.

un destructeur intimus participe au RGPD

Un destructeur Intimus participe au RGPD

C'est également le cas si le délai pour le traitement légitime des données est dépassé. Cela représente une mesure de sécurité appropriée pour les données à caractère personnel, contre le traitement non autorisé ou illicite des données à caractère personnel. L’utilisation de destructeurs Intimus permet la destruction de documents comprenant des données à caractère personnel, immédiatement dans les enceintes de l’organisation, ce dernier a ainsi à tout moment le contrôle sur le processus.

En cas de besoin (procédure d’examen, audit, etc ...), ils attestent du respect des dispositions du RGPD. L’utilisation de destructeurs de documents est une preuve manifeste de comportement volontaire, consciencieux et proactif de l’organisation dans le cadre de son traitement de données à caractère personnel. Une autre nouveauté du RGPD réside dans le règlement relatif aux violations de sécurité, généralement connues sous le nom de « failles ou brèches de sécurité ».

Le RGPD les définit comme toute violation de la sécurité, entraînant la destruction, la perte ou la modification fortuite ou illicite de données à caractère personnel, transmises, enregistrées ou traitées d’une autre manière, ou comme la transmission ou l’accès non autorisés à ces données.

  • A la lecture du RGPD, les organisations subissant une violation de la sécurité sont tenus d’informer de cet incident la CNIL (Commission nationale de l’informatique et des libertés).

Ainsi que les personnes concernées dont les données ont éventuellement été compromises par cette violation. Tout ceci avec l’atteinte à la réputation correspondante que de telles communications entraînent. La destruction des documents comprenant des données à caractère personnel représente indubitablement l’une des mesures les plus sensibles susceptible de subir une faille de sécurité.

les destructeurs intimus garantissent votre sécurité

Détruire plutôt que jeter à la corbeille !

L’élimination des documents contenant des données à caractère personnel dans la corbeille à papier ou dans des conteneurs à papiers sur la voie publique ne constitue pas une solution adéquate pour la destruction sécurisée de ces documents. Des tiers non autorisés sont susceptibles d’accéder librement aux informations contenues dans ces documents. Même dans les différentes solutions de destruction des documents considérées comme appropriées, nous avons pu repérer des risques pour la sécurité des données (lire : Peut-on reconstituer un document détruit ?).

La sous-traitance de la destruction de documents à une société extérieure par exemple ne peut pas garantir que des incidents ne vont pas se produire pendant le transport, par exemple la perte de documents, la copie, le vol, etc ... L’introduction d’une procédure de destruction pour les documents contenant des données à caractère personnel, avec l’utilisation de destructeurs Intimus, peut contribuer à empêcher que des violations de la sécurité ne surviennent, dans la mesure où les organisations ne confient pas la destruction de leurs documents à des tiers, mais gardent le contrôle absolu sur l’ensemble de la procédure de destruction.

Quels droits les personnes concernées peuvent-elles faire valoir contre les établissements traitant leurs données à caractère personnel ? Elles ont le droit d’exiger une copie des données à caractère personnel faisant l’objet du traitement. Ces personnes sont en droit d’exiger la rectification des données à caractère personnel inexactes les concernant, sans retard.

Elles ont également le droit de limiter le traitement des données à caractère personnel de sorte que les mesures de traitement qui y seraient dans tous les cas liées ne soient pas appliquées à leurs données à caractère personnel. Les personnes directement concernées par ces traitements ont le droit d’exiger l’effacement des données les concernant, sans délais.

  • L’utilisation de destructeurs de données permet une exécution immédiate et parfaitement fiable de la demande de la personne concernée afin de se conformer au droit à l’effacement des données à caractère personnel.

Violations du RGPD : des sanctions très sévères

la violation du RGPD est sanctionné très sévèrement

Les titulaires concernés ont droit à la portabilité des données, c'est à dire qu'elles ont le droit d’exiger que leurs données à caractère personnel soient directement transmises d’un responsable du traitement à un autre. En cas de violations, les sanctions sont très sévères. Elles peuvent, dans certains cas, s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’année fiscale précédente, la sanction la plus lourde étant retenue.

Parmi les cas pour lesquels le RGPD établit les sanctions les plus élevées, on compte les violations contre les principes de base pour le traitement de données à caractère personnel et/ou la violation des droits des personnes concernées. L’utilisation de destructeurs Intimus vous aide à respecter les principes cités et à vous conformer au droit de suppression de données à caractère personnel, exercé par des personnes concernées.

Pour respecter les dispositions du RGPD, les organisations doivent en outre procéder aux adaptations suivantes de leurs politiques de confidentialité : En fonction du risque que le traitement par des organismes représente pour les données, ces derniers sont également tenus de prendre des mesures efficaces.

  • Transparence et information des personnes concernées : Il est nécessaire d’adapter les formulaires de saisie des données et de réviser les mentions légales sur les sites Web,
  • Consentement explicite : Il doit être clair que les personnes concernées donnent leur consentement. Le consentement tacite ou le consentement par omission ne sont plus valables,
  • Les clauses génériques ne sont plus valables : Tous les contrats en vigueur concernant le traitement des données doivent être adaptés au RGPD. Ils doivent être contrôlés un à un,
  • Nomination d’un délégué à la protection des données : Le délégué à la protection des données surveille le traitement approprié des données de l’organisation.
  • Évaluation de l’impact des traitements : Pour les traitements à haut risque, par exemple le profilage, le traitement de données sensibles à grande échelle ou l’observation à grande échelle, l’évaluation est requise.

Enfin, les organisations doivent tenir un registre des traitements des données réalisés par leur soin.