L’autorité espagnole de protection des données (AEPD) a récemment sanctionné un club galicien pour avoir jeté à la poubelle des documents contenant des données personnelles sensibles. Ce cas illustre parfaitement l’importance de mettre en place des procédures de destruction sécurisée des documents.
Un manquement grave à la sécurité des données
Des documents sensibles abandonnés sans précaution
La police a découvert une caisse de documents contenant des informations personnelles de joueurs du club dans un conteneur à ordures. Les documents comprenaient :
- 1 444 carnets émis par la Fédération Galicienne de Football avec photographie, nom, prénom et DNI des joueurs,
- des fiches de joueurs avec photographie, nom, prénom, DNI, adresse, téléphone, copie du DNI et données des parents
- des photographies de joueurs avec nom et prénom inscrits au dos.
Une exposition directe à des tiers
Cette méthode a rendu les documents accessibles à n’importe qui, exposant les joueurs concernés à un risque de fuite ou d’usurpation d’identité.
Ce que dit le RGPD sur la suppression des données
Des mesures techniques et organisationnelles obligatoires
L’article 32 du RGPD impose aux responsables de traitement de garantir la confidentialité, l’intégrité et la disponibilité des données. Cela inclut l’encadrement de la phase de suppression ou d’élimination.
Une obligation de confidentialité jusqu’au bout
Jeter des documents sans destruction sécurisée constitue un manquement à l’obligation de confidentialité, même après leur période d’utilisation.
La décision de l’AEPD : une sanction justifiée
Une amende administrative
L’AEPD a infligé une sanction financière de 1000 eurospour manquement aux principes de confidentialité et d’intégrité des donnéesde.
Reconnaissance des faits par le club
Le club a accepté la sanction et a payé volontairement l’amende, ce qui a entraîné une clôture anticipée du dossier et réduction de l’amende à 600 euros.
Que doivent retenir les autres organisations ?
Établir une procédure de destruction des documents
Utilisez des broyeuses, des prestataires certifiés ou des procédures internes de destruction stricte.
Former le personnel à la gestion des données
Tous les collaborateurs doivent connaître les bonnes pratiques de conservation et d’élimination.
Appliquer une politique claire de gestion des archives
Mettre en place un plan d’archivage et de purge conforme au RGPD.
Cette affaire rappelle que le RGPD ne s’arrête pas à la collecte ou au traitement des données.
💡 La suppression des documents doit être tout aussi encadrée.
Organisations, associations et entreprises doivent prendre au sérieux la fin de cycle de vie des données. Une erreur de négligence peut coûter cher.
Cette décision espagnole rappelle que, dans l’Union européenne, les règles de protection des données sont communes. Un manquement constaté dans un pays peut servir de référence dans toute l’UE.*
