Règles de destruction des records
Transcription
Règles de destruction des records
Règles de destruction des records Ces instructions définissent les 5 règles à suivre pour les bureaux des Nations Unies afin de s'assurer que les records sont détruits de façon adéquate et responsable. Elles sont réparties en 5 sections : Règles de destruction des records Méthodes de destruction Recours à un sous-traitant pour la destruction des records Destruction des informations sensibles Annexe A : liste de contrôle de la destruction des records Règles de destruction des records La destruction des records doit être : • autorisée ; • adéquate ; • sécurisée/confidentielle ; • rapide ; • documentée. Ces règles sont traitées plus en détail ci-dessous. 1. Autorisée Il existe au moins deux niveaux d'autorisation requis pour la destruction des records : • autorisation formelle d'élimination par ARMS, normalement sous forme de délai de conservation des records ; • autorisation interne (validation) par le biais du processus d'approbation interne d'une unité commerciale. Autorisée par ARMS Les délais de conservation des records sont des instruments qui accordent l'autorisation d'élimination formelle permettant à un bureau de l'ONU de prendre des mesures. Ils définissent une période minimum de conservation. Un record dont la destruction est autorisée conformément à un délai de conservation approuvé et à Version : juin 2006 1 jour peut être détruit à la fin de la période de conservation correspondante, s'ils ne sont plus requis par le bureau de l'ONU. Pour obtenir des conseils sur les autorités correspondantes en matière d'élimination des records, consultez les instructions Mise en place de l'autorité d'élimination. Autorisée par l'unité commerciale Les délais d'élimination définissent une période minimum de conservation. Toutefois, il est également important de garantir que l'unité commerciale n'a plus besoin des records pour des raisons professionnelles ou administratives. Pour cela, veillez à ce que les processus d'autorisation et d'approbation internes adéquats sont en place (par exemple, en fournissant aux employés concernés des listes de records à détruire). Une unité commerciale ne doit pas éliminer des records nécessaires pour une citation à comparaître en cours, ou imminente, ou en tant que preuves dans le cadre d'une enquête interne ou externe. Une unité commerciale ne doit pas détruire des records faisant l'objet d'une demande d'accès. Lorsque tous les critères de conservation des records ont été remplis, un responsable compétent dans ce domaine doit donner son approbation interne finale pour la destruction des records. Chaque unité commerciale doit veiller à ce qu'un responsable soit désigné et chargé de ce processus. 2. Adéquate Les méthodes adéquates de destruction sont : • irréversibles ; • respectueuses de l'environnement. Ces aspects sont traités plus en détail ci-dessous. Les méthodes adéquates de destruction de différents supports sont traitées dans la section Méthodes de destruction. Irréversible La destruction des records doit être irréversible. Cela signifie qu'il n'existe aucune possibilité raisonnable de pouvoir restaurer les informations. Si vous n'êtes pas en mesure de garantir la destruction totale des records, il pourrait en résulter la divulgation non autorisée d'informations sensibles. Plusieurs cas ont été signalés par les médias, dans lesquels des records ont été « dénichés » dans les poubelles du voisinage après avoir été enfouis ou laissés dans des armoires qui ont été vendues par la suite. Des records ont également été trouvés sur les disques durs d'ordinateurs mis en vente. De telles situations donnent une mauvaise image de votre département et des Nations Unies. Respectueuses de l'environnement Les records doivent être détruits selon des méthodes respectueuses de l'environnement. Le papier et les microformes doivent être recyclés dans la mesure du possible. Version : juin 2006 2 3. Sécurisée/confidentielle Les records doivent toujours être éliminés en respectant le même niveau de sécurité que celui appliqué pendant toute la durée de vie des records. Dans la mesure du possible, la destruction des records doit être supervisée par un responsable des Nations Unies ou par un autre agent autorisé si la destruction a été confiée à un sous-traitant. Nous vous recommandons une prudence extrême lorsqu'il s'agit de records contenant des informations personnelles sensibles. Ceux-ci doivent être éliminés de façon sécurisée pour garantir que les informations sont protégées contre les pertes ainsi que l'accès, l'utilisation ou la divulgation non autorisés. Des contenants munis de verrous doivent être utilisés pour les records particulièrement sensibles. Les records sensibles qui ne sont pas dans une caisse doivent être transportés dans des véhicules totalement fermés et verrouillés (pour éviter que les records tombent des camions !), et détruits en présence d'un responsable de votre unité commerciale. Les records sensibles peuvent également être déchiquetés en interne avant d'être transformé en pâte à papier. Tout processus de déchiquetage interne doit aussi être approuvé par le biais de processus internes et externes normaux d'approbation. 4. Rapide Les records ne doivent pas être détruits lorsqu'ils sont toujours nécessaires. Toutefois, il est également important de ne pas conserver des records plus longtemps que nécessaire afin de réduire les coûts de stockage et d'améliorer l'efficacité de leur extraction. Si la décision est prise de conserver des records plus longtemps que la période de conservation minimum, les raisons de cette décision doivent être documentées pour faciliter leur élimination ultérieure. Les records sont généralement détruits lorsqu'ils ont atteint la fin de la période de conservation définie. Toutefois, avant leur destruction, vous devez vous assurer que les records ne sont plus requis. Par conséquent, la destruction rapide doit inclure l'autorisation interne. 5. Documentée La destruction de tous les records doit être documentée afin que votre unité commerciale soit en mesure de déterminer si un record a été détruit. La preuve de la destruction peut être requise lors d'une enquête ou pour répondre à des demandes d'accès. Les systèmes de gestion des records et toute autre documentation doivent indiquer quels délais de conservation permettent la destruction des records. Le numéro du délai correspondant (par exemple, MRLT 0032) doit apparaître ainsi que la date de destruction. Il peut être également souhaitable de conserver un registre des destructions qui associe chaque record à détruire aux paquets reçus en vue de leur destruction. Ce registre, ainsi qu'un certificat de destruction, servira de preuve de la destruction réelle des records. Version : juin 2006 3 Le certificat de destruction doit être placé dans un dossier ainsi que toute autre documentation de la destruction (par exemple, les records des approbations internes). Un record de la méthode de destruction doit également figurer dans le dossier si celle-ci n'est pas déjà notée sur le certificat de destruction. Méthodes de destruction Il existe différentes méthodes de destruction adaptées aux différents supports de stockage des records. Ces méthodes sont décrites plus bas. Records sur papier Déchiquetage La sécurité offerte par le déchiquetage des records dépend de la finesse des bandelettes de papier ainsi produites. Le déchiquetage en confettis peut être nécessaire pour des documents particulièrement sensibles. Le papier déchiqueté peut être transformé en pâte à papier et recyclé, ou utilisé comme matériau d'isolation, entre autres. Pâte à papier Lors de la transformation en pâte à papier, le papier est réduit en fibres qui le constituent. Si cette transformation est réalisée correctement, elle constitue une méthode très sécurisée de destruction. Cette pâte à papier est généralement recyclée. Combustion Les records ne doivent être brûlés que s'il n'existe pas d’autre méthode respectueuse de l'environnement de destruction, notamment dans un environnement d'opération sur le terrain. Les records doivent être brûlés en respectant les directives environnementales et les restrictions locales sur l'incinération. La combustion du papier emballé sous forme comprimée est mauvaise. Il est donc conseillé de l'incinérer sur des installations industrielles (et pas dans un incinérateur). Important : l'enfouissement n'est pas une méthode de destruction adaptée. Les records ne sont pas détruits immédiatement et leur dégradation peut durer plusieurs mois, voire plusieurs années. En outre, il devient alors possible de déterrer les records quelques heures ou quelques jours après leur enfouissement. Supports électroniques/magnétiques Supports magnétiques Les records stockés sur un support magnétique peuvent être effacés « en masse » en les exposant à un champ magnétique puissant. Pour garantir une destruction Version : juin 2006 4 sécurisée, les supports magnétiques peuvent être reformatés. Les copies de sauvegarde des records doivent être détruites. Les supports peuvent être réutilisés ensuite. Remarque : la simple suppression n'élimine pas les données des supports magnétiques ; elle est donc insuffisante pour la destruction des records. Supports optiques Les records sur supports optiques peuvent être détruits en utilisant le découpage, l'écrasement ou tout autre moyen de destruction. Les disques optiques réinscriptibles doivent également être reformatés avant leur élimination ou leur réutilisation. D'autres moyens de physiques de destruction, tels que l'utilisation d'un four à microondes, peuvent être utilisés mais ils ne sont souvent utiles que pour de petites quantités. Vous devez aussi être prudent lors de l'utilisation d'un four à micro-ondes en raison de la fumée produite et des dégâts qui peuvent être infligés au four à micro-ondes en cas de « cuisson excessive ». Disques durs Les disques durs des ordinateurs personnels et des serveurs doivent être reformatés avant l'élimination des ordinateurs. Important : ne vous contentez pas de supprimer les fichiers des supports électroniques, tels que les disquettes, les disques optiques réinscriptibles et les disques durs, car les informations peuvent être récupérées. Supports autres que les supports électroniques et papier Les vidéos, les films cinématographiques et les microformes (microfilm/fiche/cartes à fenêtres/radiographies) peuvent être détruits par déchiquetage, découpage, écrasement ou recyclage chimique. Recours à un sous-traitant pour la destruction des records Responsabilités Des sous-traitants peuvent être engagés pour détruire les records. Cependant, l'unité commerciale doit s'assurer que la destruction a lieu en respectant les méthodes approuvées. Assurez-vous de connaître la méthode de destruction utilisée par votre sous-traitant. Transport des records Le sous-traitant peut collecter des records de votre bureau en vue de leur destruction ou vous pouvez les lui déposer. Un camion fermé doit être utilisé dans la Version : juin 2006 5 mesure du possible. Toutefois, s'il n'y a aucune alternative et que le sous-traitant ne peut fournir qu'un camion ouvert, vérifiez que le chargement est recouvert d'une bâche. Les records sensibles et confidentiels ne doivent être transportés que dans un véhicule fermé et verrouillé. Documentation Insistez toujours pour recevoir un certificat de destruction. Si les records qui étaient censés être détruits sont découverts par la suite, le certificat est la preuve que le sous-traitant est en tort, et pas l'unité commerciale. Vous pouvez également demander que le certificat de destruction inclue la méthode employée. Destruction des informations sensibles Il existe différents types d'informations sensibles à connaître. Nous vous recommandons d'être particulièrement prudent dans la gestion et la destruction des informations sensibles. Informations personnelles Certaines unités commerciales recueillent de nombreuses informations sur les individus et beaucoup de ces informations sont relativement sensibles (par exemple, les records concernant les antécédents, la santé ou la protection sociale). Même les records relatifs aux permis de conduire, aux professions, aux métiers et aux activités commerciales peuvent contenir des informations personnelles potentiellement sensibles. Toutes informations personnelles doivent être gérées en accord avec les Règles de sécurité des informations des Nations Unies. Les dossiers personnels constituent l'exemple typique des records contenant des informations personnelles et présentant des restrictions sévères en matière d'accès et de sécurité tant que les records sont actifs. Ce niveau de sécurité doit être maintenu pendant toute la durée de vie des records, y compris pendant le processus de destruction. Informations financières ou sensibles du point de vue commercial Les records peuvent contenir des informations sensibles du point de vue commercial. Ce sont, par exemple, les dossiers contenant des informations sur la situation financière d'une unité commerciale, sur les appels d'offres ainsi que toute autre information qui accorderait un avantage financier à une autre unité. Informations partagées et protégées par la confidentialité Les records contiennent des informations fournies à condition qu'elles ne soient pas divulguées. Il s'agit notamment des informations personnelles et des informations financières, des informations transmises par des organes administratifs (administrations étrangères, autorités régionales/fédérales) et des informations fournies par une source quelconque en invoquant la confidentialité. Version : juin 2006 6 Informations relatives à une enquête Les records associés à une enquête, qui concerne généralement une faute professionnelle ou des activités criminelles, peuvent contenir des informations sensibles. Dans le cas de ce type de records, il est essentiel de garantir que les informations sensibles ne seront pas divulguées en raison de techniques de destruction inadéquates ou inadaptées. Informations posant un risque en matière de sécurité Les records peuvent contenir des informations portant sur des activités et des locaux à hauts risques du point de vue de la sécurité. Ce sont notamment les plans des immeubles, les plans de sécurité, les procédures de transferts de grandes quantités d'argent et les dispositions en matière de sécurité lors du déplacement de personnalités. Version : juin 2006 7 Annexe A : liste de contrôle de la destruction des records La destruction des records est autorisée en fonction après un délai de conservation des records pertinent et actualisé L'organisation n'a plus besoin des records Les records ne font pas l'objet d'une enquête en cours ou imminente ou d'une demande d'accès L'autorisation interne a été obtenue Il n'y a pas d'exigences spéciales en matière de sécurité concernant les records OU Les records possèdent un niveau de sécurité élevé et se trouvent dans des caisses verrouillées et/ou le déchiquetage en interne est demandé pour une destruction sûre Prestataire de services adéquat contacté Camionnette ou camion couvert demandé pour l'enlèvement des records Il a été demandé au prestataire de services de fournir un certificat de destruction Il a été indiqué que les records devaient être détruits le jour de leur enlèvement Certificat reçu par votre unité commerciale Records détruits et détails de la destruction documentés dans le système de records de l'unité commerciale. Version : juin 2006 8