Go to Top

RGPD : Comment supprimer ses données de façon sécurisée ?

A partir de la date fatidique du 25 mai 2018, le RGPD va introduire de nouveaux droits en matière de protection des données.

De nombreuses entreprises s’inquiètent à propos de ce règlement qui impose des sanctions sévères en cas de non-conformité. Les amendes pourraient aller jusqu’à 20 millions d’euros ou 4% des recettes mondiales de l’entreprise. C’est pourquoi il est indispensable pour les entreprises d’évaluer leurs systèmes de traitement de données et de mettre en place des mesures d’effacement de données clients efficaces dans les plus bref délais.

En vertu de l’article 17 du RGPD sur le droit à l’effacement, les entreprises devront être en mesure de localiser les données d’un utilisateur et de les supprimer de manière définitive et sécurisée.

Dès lors que l’entreprise effectue un audit pour déterminer quels documents doivent être conservés, l’étape suivante consiste à se débarrasser des données qui non plus besoin d’être traitées ou dont aucun motif légitime ne justifie leur rétention.

Le problème étant que les organisations ne savent pas toujours où sont stockées les données et  doivent être en mesure de fournir aux personnes concernées une réponse rapide à cette nouvelle norme. Dans la pratique, ce processus peut s’avérer compliqué, long et coûteux.

Comment effacer correctement les données ?

Effacement ne signifie pas destruction. Effacer complètement les lecteurs de votre ordinateur ou même formater le disque dur ne garantit pas la destruction de vos données, même si le lecteur est physiquement endommagé suite à une inondation ou un incendie.

Heureusement, il existe plusieurs façons simples pour s’assurer que les données sensibles sont réellement détruites. On pourra envisager par exemple les logiciels d’effacement sécurisé qui nettoient les données des appareils afin que ces derniers puissent être réutilisés, revendus ou recyclés en toute sécurité, sinon la démagnétisation du disque dur à l’aide d’un puissant champ magnétique de type « Degausser » qui supprime définitivement les données mais en rendant le média inutilisable.

Les fournisseurs de services Cloud font aussi partie du programme de destruction des données à caractère personnel, conformément au respect du RGPD. Le cloud computing utilise de multiples serveurs situés en divers points de la planète. Il est d’autant plus difficile de déterminer quel droit est applicable à chaque pays et dans quel serveur est stocké le fichier concerné. De nombreux fournisseurs sont alors confrontés au problème d’effacement ciblé de fichiers, à l’effacement de données des unités logiques, serveurs, disques autonomes et baies de stockage.

Les utilisateurs ne sont pas conscients des risques

Le marché des appareils électroniques reconditionnés se développe rapidement et les personnes physiques et/ou entreprises ne tiennent pas compte des risques supplémentaires pouvant résulter des opérations d’élimination, de réutilisation ou de recyclage des appareils électroniques. Il est donc indispensable de sensibiliser les entreprises qui recyclent leurs équipements informatiques au risque de diffusion de leurs données.

Une étude sur la sécurité mondiale élaborée par Kroll Ontrack sur 64 disques durs achetés en ligne a révélé qu’il restait des traces de données à caractère personnel sur 30 des disques achetés. Parmi les disques examinés, il y en a un en particulier qui était inquiétant. Il s’agissait d’un disque d’une entreprise utilisant un fournisseur de services pour effacer et revendre ses anciens disques. Malgré cela, le disque contenait une mine d’informations très sensibles, y compris les noms d’utilisateur, adresses de domicile, numéros de téléphone et les détails de carte de crédit. Il contenait une liste d’environ 100 noms comprenant des informations sur leur expérience professionnelle, leur fonction, les numéros de téléphone, les compétences linguistiques, les dates de leurs vacances et un carnet d’adresses de 1 Mo.

La récupération de données transactionnelles a été possible sur sept disques durs. Cela incluait les noms de sociétés, les bulletins de salaire, les numéros de cartes de crédit, les coordonnées bancaires, les détails d’investissement et les déclarations de revenus.

Le risque s’étend au monde des affaires, car des informations de nature professionnelle se retrouvent très souvent sur des appareils privés, comme par exemple les données commerciales. Six disques contenaient des données commerciales critiques telles que les fichiers CAO, PDF, jpgs, clés et mots de passe. Kroll Ontrack a même trouvé les paramétrages complets de boutiques en ligne, des fichiers de configuration et des vidéos de formation. Cinq autres contenaient d’autres données liées au travail : les factures et les bons de commande, dont une grande partie comprenant des renseignements personnels sensibles.

Investigation numérique

Les innovations technologiques avec toute la saga des objets connectés, smartphones, iPad en passant par les assistants numériques à commande vocale ont connu une période critique ces dernières années en matière de sécurité des données. Ces appareils « innovants » peuvent désormais enregistrer et transmettre des données. De tels périphériques connectés aident également à produire des données si vastes et complexes qu’une nouvelle approche doit être prise pour stocker, sécuriser et effacer à la demande des individus.

Les experts en investigation numérique peuvent collecter et analyser des preuves numériques afin de résoudre une affaire criminelle. Dans le cadre d’une enquête criminelle ayant été traités par Kroll Ontrack, l’analyse des données collectées sur l’appareil « Fitbit » de la victime, un podomètre connecté qui permet de suivre les déplacements en temps réel,  ne correspondaient pas à l’alibi du mari de la victime, soupçonné d’avoir tué sa femme.

Cette affaire démontre que trop souvent et dans de nombreuses cas, l’analyse des donnés numériques sur des appareils électroniques devient essentiel dans la recherche de preuve.

L’impact du RGPD pour les entreprises

Lorsque la nouvelle législation entrera en vigueur, les entreprises devront prouver que les données sont définitivement effacées en toute sécurité et qu’elles sont en conformité au moment de l’entrée en vigueur de la RGPD.

Les entreprises devront alors justifier clairement la politique qu’elles mènent en matière de gestion de stockage de données. Elles seront donc incitées à privilégier les données nécessaires à la réalisation de leurs objectifs, qui devront être définis au préalable.

Cependant, mettre en place une politique d’effacement de données représente un avantage à la fois juridique et commercial pour les entreprises. Si le règlement européen apparaît comme un projet de conformité, il est avant tout pour les entreprises concernées une réelle opportunité d’améliorer leur gestion des traitements de données. Aussi, la nouvelle loi sera une réelle opportunité pour les entreprises qui veulent s’adapter aux nouvelles pratiques de marché et aux nouvelles évolutions technologique.

Avec cette nouvelle loi, les entreprises sont de plus en plus impliquées par la manière dont elles prennent en charge le traitement des données clients. Elles doivent désormais consilier  les pratiques de mise en place d’une politique de protection de données personnelles conforme aux règlementations et une gestion des données clients efficace.  Cela inclut la possibilité d’effacer les données en toute sécurité.

Cependant, un grand nombre d’entreprises n’ont pas encore entrepris des actions visant à mettre en conformité leur traitement des données personnelles. Pour ces entreprises, le temps est compté !

Votre entreprise a-t-elle pris des mesures pour effacer correctement ses données ? Pourquoi ? Etes-vous prêt pour la mise en conformité à la RGDP ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *