01 Pourquoi le débarras de bureaux est un sujet RGPD
Le RGPD (Règlement Général sur la Protection des Données, en vigueur depuis 2018) impose au responsable de traitement de garantir la sécurité des données personnelles jusqu'à leur destruction définitive. Concrètement, jeter un disque dur dans la benne ou laisser des classeurs RH sur le trottoir constitue une violation grave.
Sanction maximale : 4 % du chiffre d'affaires mondial annuel, ou 20 M€ (le plus élevé des deux). Pour une PME de 5 M€ de CA : amende potentielle de 200 000 €. La CNIL a déjà sanctionné des cas similaires.
02 Ce qui doit être détruit en filière sécurisée
- Archives papier : dossiers clients, dossiers RH, comptabilité, contrats, factures (>10 ans)
- Disques durs : ordinateurs portables, postes fixes, serveurs, disques externes
- SSD et clés USB : carte SD, NAS, mémoires flash
- Badges d'accès et cartes magnétiques nominatifs
- Téléphones portables professionnels avec mémoire interne
- Carnets et agendas papier avec contacts clients
- Cartons et chemises portant des noms nominatifs (clients)
03 La destruction papier conforme : NF Z44-001
La norme française NF Z44-001 définit 7 niveaux de destruction de documents (P1 à P7) selon la taille des particules finales. Pour le RGPD :
- P3 : bandes ≤ 2 mm × 30 mm — données personnelles standard
- P4 : particules ≤ 6 mm² — données sensibles (santé, RH)
- P5 : particules ≤ 30 mm² — données très sensibles (médical, judiciaire)
Packcave applique systématiquement le niveau P4 pour les archives bureau, plus protecteur que ce qu'exige strictement le RGPD pour la plupart des données.
04 La destruction des supports numériques
Le simple effacement logiciel ne suffit pas : un disque dur supposément vide peut être récupéré à 70-90 % avec un logiciel forensique grand public. La destruction physique est obligatoire.
Deux méthodes acceptées : broyage industriel (le disque dur est réduit en copeaux ≤ 6 mm), démagnétisation (effacement magnétique complet en passant le disque dans une bobine à très haute puissance). Pour les SSD, seul le broyage est valide.
05 La traçabilité documentaire
Pour prouver à la CNIL en cas de contrôle que la destruction a été conforme, vous devez disposer de : certificat de destruction nominatif (n° de référence unique, date, quantité, mode de destruction), liste des supports détruits (n° de série pour les disques durs), photos du processus si possible, attestation de l'opérateur agréé.
Conservez ces documents 10 ans (durée de prescription RGPD étendue).
06 Coût et logistique
Le tarif typique pour un débarras de bureau RGPD-conforme : 80-120 € HT par mètre cube d'archives papier broyées (incluant collecte, transport, destruction, certificat), 15-30 € HT par disque dur ou support numérique (incluant collecte, broyage physique, certificat).
Le surcoût par rapport à un débarras standard est de 20-30 %, justifié par la chaîne sécurisée. C'est négligeable comparé au risque d'amende CNIL.
07 Le tort des prestataires non conformes
Certains prestataires "low-cost" vous proposent un débarras de bureau à prix cassé en omettant la destruction sécurisée. Ils mélangent archives sensibles et déchets standards dans la même benne, partent en décharge ordinaire ou en filière de recyclage papier non sécurisée.
En tant que responsable de traitement, vous restez juridiquement responsable même si vous ignoriez la pratique. La CNIL sanctionne le donneur d'ordre, pas le sous-traitant.