Toutes les informations sur la destruction d’archives
La conservation des archives est une obligation légale pour toute structure. Aussi, les garder au-delà de la date légale est une mesure de précaution pour les responsables d’entreprise. Cependant, à un moment donné, il faudrait les détruire, car l’accumulation des archives est non seulement coûteuse, mais inutile. Cette destruction doit se faire dans le respect de certaines normes.
La destruction des archives fait partie des activités courantes dans une entreprise. Elle lui permet de gagner de l’espace dans ses locaux et de se débarrasser de documents inutiles.
La première étape dans le processus de destruction consiste à évaluer le moment propice auquel le document pourra être détruit. Cette évaluation se fait en fonction de la durée légale de conservation qui est de 10 ans pour la plupart des documents. L’évaluation prend aussi en compte les éventuels besoins de l’entreprise, le transfert de compétences et les mémoires notamment.
Pour cela, un référentiel doit être instauré. Il servira de référence pour déterminer la durée normale de conservation de chaque document entrant. Cette dernière diffère en fonction du type de document et de son importance. Elle est comprise entre 2 et 10 ans. Il faut également noter que certains documents sont sans limitation de durée. C’est le cas des fiches de paie et des documents de création de l’entreprise.
Une fois le référentiel créé, les dates de destruction seront marquées sur les boîtes d’archives. Aussi, les dossiers contenant les documents concernés doivent être stockés.
Il est idéalement recommandé de programmer une opération de destruction une fois par an. Les organismes publics qui exécutent eux-mêmes cette opération doivent remplir un document intitulé bordereau de destruction, avant de commencer la procédure.
Cependant, certaines entreprises préfèrent confier la garde des archives à un prestataire encore appelé tiers-archiveur. Le contrat avec ce dernier doit prévoir une clause de destruction.
Que ce soit à titre privé ou dans un cadre professionnel, les documents sont généralement mis à la poubelle sans être détruits au préalable. 20 % d’entre eux sont confidentiels, avec tous les risques que cela comporte. Une situation qui est, on ne peut plus préoccupante, vu les chiffres effarants à propos des usurpations d’identité et des fraudes. Détruire les documents, c’est s’assurer avant tout de ne laisser aucune trace qui pourrait nuire à l’entreprise ou au personnel.
Pour les entreprises de grande envergure, il est conseillé d’investir dans l’acquisition d’une broyeuse. Les structures de petite taille qui gèrent les archives en interne peuvent solliciter les prestations d’une entreprise spécialisée en destruction d’archives.
Cette dernière sera alors responsable de la destruction de leurs archives. Périodiquement, elle enverra un camion équipé de broyeurs et de conteneurs sécurisés de déchets pour faire le travail. Ces prestataires détruisent aussi bien les documents que les CD et les disques durs. À la fin de l’opération, ils délivrent un certificat de destruction à l’entreprise mandataire.
Autant que possible, l’opération de destruction doit être faite sur place. Il est important que l’entreprise respecte cette règle de prudence en veillant à ce que les archives soient détruites in situ. Cela permet aux responsables de superviser l’opération et de constater que la destruction a effectivement eu lieu.
Un camion broyeur est idéal pour faire le travail sur place. Par contre, si les archives sont stockées auprès d’un tiers-archiveur qui est chargé de la destruction, l’entreprise doit envoyer au moins un représentant. Celui-ci va s’assurer que tout est fait dans les règles.
En effet, rien ne garantit que certains documents ne soient pas soustraits du lot, même si ces entreprises spécialisées ont une bonne réputation. Une fois que les archives quittent l’entreprise, cette dernière n’a plus le contrôle. Il n’est pas non plus rare que certains documents soient retrouvés intacts sur la voie publique.
Toutes ces mesures ne sont pas prises seulement dans un but de confidentialité. La non-destruction des documents personnels peut exposer les responsables à des poursuites judiciaires. Même si cette tâche a été déléguée à une entreprise tierce, les dirigeants d’entreprises sont pénalement responsables.
Un certificat de destruction n’est pas non plus suffisant pour disculper le producteur desdits documents. Suivre le bon déroulement de la procédure met l’entreprise à l’abri des mauvaises publicités.
Le RGPD ou Règlement Général sur la Protection des Données interdit la destruction informelle des archives et l’absence de traçabilité.
Le système d’archivage doit non seulement prévoir ce qui sera détruit, mais l’action doit être consignée dans un registre prévu à cet effet. À tout moment, l’entreprise doit être en mesure de prouver que la destruction a été effectivement faite.
Pendant toute la procédure de destruction, les données personnelles et les informations confidentielles doivent être strictement protégées. Elles doivent être rendues inaccessibles à toute personne étrangère, les techniciens de la destruction principalement.
L’absence de confidentialité et de preuves est un manquement aux normes du RGPD et peut être passible de poursuites.
La destruction des données numériques suit le même principe que le précédent. La tâche doit être confiée à une personne de confiance. L’opération se fait sous la supervision d’un responsable de l’entreprise. Les informations personnelles et les données confidentielles ne doivent pas être accessibles à la personne chargée du travail.
À la fin de sa mission, l’opérateur doit délivrer un PV certifiant des travaux exécutés, pour un souci de traçabilité. Ce PV est conservé, car il peut être réclamé à tout moment.
L’opération porte sur tous supports électroniques incluant ordinateurs, smartphones, clés USB ou disques durs. Les données stockées en externe dans le cloud doivent également suivre la même procédure.
Au cas où l’entreprise ne dispose pas de compétences en interne pour faire le travail, elle peut faire appel à un consultant externe. Cependant, même dans ce cas, l’opération doit être faite sur le site et sous la supervision d’un responsable. Le prestataire doit également fournir un certificat de destruction. Il peut aussi être tenu pour responsable en cas de mauvaise exécution du contrat.
Si l’entreprise utilise elle-même un logiciel, elle doit s’assurer que ce dernier est certifié par l’ANSSI ou Agence Nationale de la Sécurité des Systèmes d’information.
Les données conservées doivent faire l’objet d’un encadrement contractuel. Il est aussi recommandé que le matériel informatique qui n’est pas destiné à la revente soit complètement détruit.
ADRESSE : CITY DEBARRAS
4 avenue Laurent Cely 92600, Asnières-sur-Seine