Selon une étude de Blancco, leader mondial de l’effacement de données, une grande entreprise sur deux efface mal les données sur les équipements informatiques dont elle se sépare. Alors que le marché du ré-emploi se développe, c’est la porte ouverte à des risques de violation de données. Et une enfreinte au RGPD.
L’erreur : penser que votre responsabilité s’arrête aux portes de votre entreprise
« Les entreprises sont exigeantes pour sécuriser les équipements qui entrent dans le parc informatique, elles mettent en place des process et outil de cybersécurité pour éviter d’être hackées… mais elles ont encore tendance à considérer que le risque s’arrête quand le PC est déconnecté ». Le message de Céline Flinois, directrice contentieux et déléguée à la protection des données (DPO) chez Leasecom est clair : les entreprises ont besoin d’être sensibilisées au sujet de l’effacement des données.
Frédéric Ben Nouiaoua, directeur du Centre de Tri et de Reconditionnement (CTR) de Leasecom, va dans le même sens. Chaque année, le CTR réceptionne plus de 30 000 ordinateurs, mobiles ou autres équipements susceptibles de contenir des données. Tous passent dans la salle d’effacement des données avant d’être reconditionnés et remis sur le marché. « On retrouve presque toujours des données, parfois sensibles comme des données de santé, des bulletins de salaire ou des RIB ».
Ce constat semble à peine croyable, alors même que les entreprises sont responsables juridiquement des données – qu’elles soient propriétaires des équipements ou qu’elles les louent en leasing. L’explication est simple : le plus souvent, les entreprises pensent avoir effacé les données, alors que ces dernières demeurent « cachées » dans les disques durs. Autrement dit, l’appareil semble vide lorsqu’on l’allume mais il ne l’est pas en réalité. « Certains téléphones vendus sur le marché d’occasion comportent des données personnelles. L’usager lambda ne saura rien en faire. Mais le hacker, lui, saura les trouver… et les utiliser à mauvais escient », confirme Céline Flinois.
La solution : choisir des outils qui effacent vraiment les données
Pour être conforme au RGPD et vous assurer que vos données sont réellement effacées, la solution est simple : il suffit de choisir le logiciel permettant d’effacer les données, même les plus cachées. « Un logiciel qui se contente d’effacer la porte d’entrée, ça ne suffit pas. Il faut aller derrière la porte, trouver les disques cachés et les réécrire de A à Z pour effacer toutes les données sans exception », explique Frédéric Ben Nouioua.
Ce logiciel « fouineur » existe : il s’appelle Blancco, c’est le seul logiciel d’effacement certifié par l’Agence nationale de sécurité des systèmes d’information (ANSSI). Il ne se contente pas du plus haut niveau de certification en France, il est aussi certifié ISO 15408 (certification reconnue par 31 pays en Europe, Asie, Amérique du nord), accrédité par l’Agence allemande de sécurité de l’information et le National Cyber Security Center en Grande-Bretagne.
Leasecom n’a pas attendu le RGPD pour s’équiper : le Centre de Tri et de Reconditionnement utilise le logiciel Blancco depuis 17 ans ! « C’est logique, explique Céline Flinois. L’effacement de données est une étape cruciale du circuit de réemploi. Pour être performant dans le leasing circulaire, nous nous devions d’être en pointe sur l’effacement de données ».