Fuite de données personnelles dans les poubelles de votre école ? Méthode et action. Je vous racontais, mardi 28 août, la fuite de données apparue dans une poubelle d’une école de management lilloise. Retour sur les méthodes d’actions en cas de découverte de ce type de comportement douteux et dangereux pour les données personnelles.

Fuite de données personnelles dans les poubelles de votre école ? Mardi 28 août, je vous racontais la découverte d’un Lillois dans les poubelles d’une école de management. Des documents personnels, privés et pour certains sensibles d’élèves. J’indiquais alors qu’une fois dans une poubelle, le contenu devenait « libre de droit« . Il n’est pas toujours vrai. Explication.

Dans la Voix du Nord de ce mercredi, la directrice de l’école explique qu’il s’agit « d’une erreur humaine […] Il semblerait qu’avec les vacances, les bons gestes aient été oubliés. Une personne mandatée en interne pour vérifier que l’action de sensibilisation au recyclage des papiers, soit bien intégrée. » Voici un petit rappel.

Pour le cas de l’école Lilloise, nous voici avec un cas particulier. En tant qu’émanation de l’université de Lille 1, les documents et données de l’IAE « école universitaire de management de Lille » sont considérées comme des archives publiques au sens des articles L211-1 et 4 du code du patrimoine.

Ces archives, sans droit, ni titre, ne peuvent appartenir à une autre personne morale que l’IAE. Quelle que soit leur date de création. « Elles restent propriété publique sans limite de temps (L212-1), même dans une poubelle » me confirme un spécialiste du droit administratif.

Destruction possible mais réglementée

Leur destruction est tout à fait possible mais doit respecter une procédure spéciale. « Elle ne peut se faire qu’après autorisation du directeur des archives départementales territorialement compétent (L212-3)« .

Le cadre méthodologique pour l’évaluation, la sélection et l’échantillonnage des archives publiques indique bien à sa recommandation 10 qu’il faut veiller à en faire ensuite une destruction sécurisée rendant les informations illisibles.

Sanction pénale possible pour la direction de l’établissement

Toute destruction d’archives sans l’autorisation du directeur passible de sanctions pénales : article L214-3 du code du patrimoine.

Ensuite, le fait de laisser des archives dans les poubelles relève donc, non seulement d’une négligence vis-à-vis de la réglementation protégeant les données à caractère personnel, qui s’applique autant à des sources papier qu’électronique, mais également vis-à-vis de la législation méconnue du code du patrimoine qui vise à garantir une gestion saine des documents et données par les administrations publiques.

Enfin « Dans pareil cas de découverte sur la voie publique ou dans les poubelles de documents issus d’un service public mettant en cause la vie privée des personnes, termine la source de ZATAZ.COM, il est utile de le signaler aux archives départementales territorialement compétentes. Elles pourront le voir comme l’indice d’une gestion peu sérieuse des documents de ce service et prévoir une inspection du service« .

Pour conclure, l’annuaire des services d’archives départementaux est accessible à cette adresse https://francearchives.fr/fr/services?es_level=level-D

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.