Destruction des données

De quelles particularités ayant trait à la protection des données faut-il tenir compte lors de la destruction des données?

La sécurité des données doit aussi être garantie dans le domaine de la destruction des données. Les données personnelles doivent donc être protégées, par des mesures techniques et organisationnelles appropriées, contre un traitement non autorisé (falsification, vol, copie non autorisée ou utilisation illégale) et contre une destruction non autorisée ou fortuite. Par conséquent, la personne qui traite les données doit mettre en œuvre (le cas échéant, conjointement avec son mandataire) un processus de tri qui empêche toute destruction non autorisée ou fortuite ou toute perte fortuite (p. ex. du fait de la destruction des mauvais documents). Il lui incombe de garantir que la destruction des données s'opérera de manière fiable et d'empêcher que des données ne soient pas détruites ou ne le soient qu'insuffisamment en raison de défauts ou d'imperfections techniques. Pour éviter qu'une reconstitution partielle ou intégrale des données soit possible ou qu'un tiers procède à une telle reconstitution, la destruction des données ne se limite pas à la destruction proprement dite mais inclut aussi, le cas échéant, le processus faisant suite à la destruction des données, notamment le recyclage des supports de données.

Les exigences en matière de destruction des données doivent tenir compte à la fois du caractère sensible des données et de l'utilité potentielle d'un usage abusif de ces dernières. En outre, elles doivent être fonction des possibilités techniques et organisationnelles de reconstitution des données de manière à ce que les frais de reconstitution dépassent largement l'utilité potentielle d'un usage abusif des données.

Quelles mesures de protection doivent être prises afin d’atteindre un degré de sécurité suffisant?

Le processus de destruction technique et organisationnel (de la planification de la destruction des données jusqu'à leur élimination définitive) doit être conçu de manière à ce qu'il n'y ait aucune perte ni aucun traitement indésirables des données. Lors de la définition du processus, il est important de tenir également compte des possibilités de reconstitution avant une destruction définitive (p. ex. par recyclage ou incinération des bouts de papier restants, fonte des disques durs déchiquetés, etc.). On recommande à la personne qui traite les données de prévoir et de documenter un processus de destruction des documents. Il est notamment conseillé de définir les acteurs concernés de même que leurs rôles, y compris leurs droits et leurs obligations.

Le maître d'un fichier automatisé devant être déclaré (art. 11a, al. 3, LPD) doit en outre élaborer un règlement qui décrive notamment l'organisation interne ainsi que la procédure de contrôle et de traitement des données et qui contienne les documents concernant la planification, la réalisation et l'exploitation du fichier et des moyens informatiques. Ce règlement devrait illustrer toute la chaîne du traitement des données et contenir également un flux de travail relatif à leur destruction.

Que doit prendre en considération une personne qui traite des données lorsqu’elle charge une entreprise tierce de leur destruction?

Le mandant doit veiller à ce qu'aucune utilisation non autorisée des données ne puisse se produire à aucune étape du processus de destruction, les possibilités dont il dispose à cet effet étant très variées. Il peut effectuer des contrôles par sondage alliés à des menaces de sanctions, mais il peut aussi faire en sorte que, techniquement, les processus rendent plus difficile une utilisation non autorisée des données, notamment en prévoyant un processus de destruction entièrement automatisé.

Est-il suffisant que le mandataire chargé de détruire les données présente un certificat de protection des données?

Non. Le fait que le mandataire est certifié donne certes une indication précieuse, à savoir qu'il dispose de processus de traitement des données qui réduisent les risques d'une violation des règles de la protection des données. Un tel certificat ne garantit toutefois pas que le mandataire traitera les données conformement aux règles de la protection des données. Lorsqu'il confie un mandat externe, le mandant ne peut donc se fier au seul fait que le mandataire est certifié. Il doit prendre des mesures organisationnelles et, si possible, techniques de nature à garantir la sécurité des données. Ainsi, il peut notamment consigner les étapes du processus de travail que doit suivre le mandataire, effectuer des contrôles par sondage en rapport avec le traitement des données et prévoir des sanctions sous forme de peines conventionnelles fixées contractuellement en cas de violation des règles de la protection des données par le mandataire. Il est tenu de prendre des mesures adéquates s'il apprend que le mandataire viole les règles de la protection des données ou risque de le faire.  

Quelle est la différence entre les art. 321 CP et 35 LPD?

La différence entre l'art. 321 du code pénal suisse (CP ; RS 311.0) et l'art. 35 de la loi sur la protection des données réside dans le nombre de personnes auxquels ils s'adressent. Alors que l'art. 321 CP ne s'adresse qu'aux ecclésiastiques, aux avocats, aux défenseurs en justice, aux notaires, aux contrôleurs et au personnel médical (médecins, dentistes, pharmaciens, sages-femmes) ainsi qu'à leurs auxiliaires, l'art. 35 LPD a une plus grande portée et vise tous les groupes professionnels qui traitent des données personnelles secrètes et sensibles ou des profils de la personnalité.

Quelle est l’influence de ces deux articles sur la collaboration avec un partenaire externe pour la destruction des données?

Les dispositions pénales ne s'appliquent pas aux partenaires externes dans le domaine de la destruction des données dans la mesure où ces derniers respectent la loi sur la protection des données. Comme les partenaires externes travaillent sur mandat, la sanction prévue par l'art. 35 LPD ne s'applique pas à eux étant donné qu'en tant que mandataires, ils sont autorisés à accéder aux données. Par conséquent l'art. 35 LPD ne fait pas obstacle à l'externalisation de la destruction des données.

 

https://www.edoeb.admin.ch/content/edoeb/fr/home/protection-des-donnees/Internet_und_Computer/securite-des-donnees/destruction-des-donnees.html