Guide de gestion des équipements informatiques et électroniques en fin de vie utile
(Procédures pour le réemploi, la récupération, et le traitement sécurisé des supports de données)
Technologies de l’information (TI) et matériels électroniques
Créer le 15 février 2011 Mise à jour le 17 mars 2011
Marie-Michèle Couture Conseillère en développement durable Service des immeubles
2
Guide de gestion des équipements informatiques et électroniques en fin de vie utile
Table des matières
Cadre de référence ... 3
A. Sélection de la voie de traitement des équipements en fin de vie utile………..5 B. Procédure pour le réemploi ... 7
C. Procédure pour la récupération ... 11
D. Procédure pour le traitement sécurisé des supports de données ... 13
3
Guide de gestion des équipements informatiques et électroniques en fin de vie utile
Cadre de référence
Dernière mise à jour : 17 mars 2011, Marie-Michèle Couture
Numéro de référence : PROC-GESTFIN DE VIE TI&ÉLECTRONIQUE
Matériel visé :
Ordinateurs, portables, imprimantes, serveurs, écrans d’ordinateurs, télévisions, lecteurs CD/DVD ou vidéocassettes, caméras, projecteurs, etc.
Rôles et responsabilités :
• Processus et procédures de gestion des équipements excédentaires : Service des immeubles.
• Procédure d’analyse des risques et de nettoyage des données : Bureau de la sécurité de l’information.
• Responsabilité et gestion des données confidentielles : Unités administratives qui détiennent les équipements informatiques.
• Mise en application des différentes procédures de traitement des équipements excédentaires : Unités administratives qui détiennent les équipements informatiques.
Voie de traitement possible
• Réemploi : Réutilisation des équipements ou de certaines de leurs composantes dans la même fonction.
• Récupération : Action de détourner de l’enfouissement ou de l’incinération une matière résiduelle dans le but de favoriser soit :
Le réemploi de certaines de ses composantes
Le recyclage des différentes matières qui composent le bien
• Destruction sécurisée (support de données confidentielles) : Destruction physique des supports de données dans un processus sécurisé pour rendre l’information irrécupérable.
4
Guide de gestion des équipements informatiques et électroniques en fin de vie utile
Figure 1 : Processus de gestion des TI en fin de vie utile
Action prise dans l’Unité administrative Service externe, sous la responsabilité du SI
Équipement excédentaire (TI)
A. Sélection de la voie de traitement (analyse du niveau de confidentialité
et de désuétude)
B. Réemploi
Nettoyage des données
Réemploi à
l’interne Vente à l’externe
C. Récupération
Nettoyage des données
Réemploi
(OBNL) Recyclage
D. Destruction sécurisée
Nettoyage des données et entreposage sécurisé
Broyage
sécurisé
5
Guide de gestion des équipements informatiques et électroniques en fin de vie utile
A. Sélection de la voie de traitement des équipements en fin de vie utile (réemploi, recyclage, destruction sécurisée)
A.1 Évaluer le niveau de confidentialité de l’information contenu sur les supports de données.
Au moment de se départir d’équipement, une unité administrative doit procéder à une évaluation de la confidentialité des données stockées sur les supports de données dans le but de déterminer si ceux-ci sont aptes ou non au réemploi ou à la récupération. Cette analyse permettra également de déterminer si un support de données nécessite une destruction sécurisée pour s’assurer que les données ne soient jamais réutilisables par une tierce partie malveillante lors du processus de gestion en fin de vie utile.
Vous trouverez l’information nécessaire et une Grille d’évaluation du niveau de confidentialité de l’information sur le site web du Bureau de la sécurité de l’information (BSI), dans la section
« ARTICLES ET GUIDES » sous la rubrique « Développement durable ».
A.2 Évaluer le niveau de désuétude des équipements
Malheureusement, ce ne sont pas tous les équipements excédentaires jugés aptes au réemploi après une analyse de niveau de confidentialité qui peuvent réellement être destinés au réemploi. Beaucoup d’équipements sont désuets ou en voie de le devenir rapidement. Dans ce cas, le réemploi n’a pas d’intérêt et il préférable de favoriser un recyclage adéquat des équipements plutôt qu’un réemploi à tout prix qui ne serait qu’un transfert de déchet ni plus ni moins.
Équipements aptes au réemploi :
• Ordinateur fonctionnel, équivalent ou supérieur à Pentium IV de 2,4 GHz
• Écran LCD fonctionnel de 17 pouces et plus
• Tout équipement de projection fonctionnel Procédure :
Identifier le matériel d’un autocollant vert
6
Guide de gestion des équipements informatiques et électroniques en fin de vie utile S’assurer que l’ensemble du filage suive les composantes (à l’aide d’adhésif)
Appliquer les procédures pour le réemploi (voir section B)
Équipements devant être envoyé à la récupération :
• Écran cathodique et les écrans plats plus petits que 17 pouces
• Tout équipement brisé, non fonctionnel ou désuet (moins performant qu’un pentium IV, 2,4 GHz)
Procédure :
Identifier le matériel destiné à la récupération d’un autocollant rouge
Appliquer les procédures pour la récupération (voir section C)
7
Guide de gestion des équipements informatiques et électroniques en fin de vie utile
B. Procédure pour le réemploi
Réemploi B.
Nettoyage des données
Retrait des logiciels et licences
Offrir le matériel à l’interne
Déclaration de BE au SI (suivi inventaire + manutention)
Procédure financière transfert
de biens à l’interne (SF)
Mise en lot et vente à
l'externe
Déclaration de BE au SI – (vente à
l'externe)
Approbation de la transaction par le SI+
procédure financière vente de bien à l’externe
Déclaration BE excédentaire (récupération)
Récupération via un OBNL
OUI NON
Unité administrative Service des
immeubles (SI) Firme externe, sous la responsabilité du SI
NON OUI
8
Guide de gestion des équipements informatiques et électroniques en fin de vie utile B. Procédure pour le réemploi (suite)
Lorsque l’on a établi que du matériel pouvait être destiné au réemploi, à la suite des analyses de risques et de désuétudes, on doit, dans un premier temps, appliquer les procédures de nettoyage des données contenues sur les disques durs. Puis, dans un second temps, favoriser son réemploi à l’interne, ensuite sa vente à l’externe et, ultimement, le don à un OSBL qui favorisera son réemploi.
1. Appliquer les procédures de nettoyage des données
Consulter le site Web du BSI dans la section « ARTICLES ET GUIDES » sous la rubrique « Développement durable »
2. Retirer les logiciels, licences et leurs clés (autocollant de licence).
3. Offrir le matériel TI aux autres unités administratives
Utiliser les listes d’envoi courriel de la DTI (techniciens et responsables facultaires) pour informer les autres unités administratives du matériel qui est disponible dans votre unité. Bien décrire le matériel, les quantités et le prix demandé.
Matériel réclamé par une autre unité administrative : Procédure :
3.1 Remplir une déclaration de bien excédentaire (BE) sur le site du Service des immeubles
• Indiquer dans la section commentaire que le bien sera transféré dans une autre unité administrative dûment identifiée. Cela permettra de faire les modifications dans l’inventaire centralisé de l’Université.
• Si vous avez besoin de transport du matériel, faites une demande de service au Service des immeubles (poste 7000), les frais de transport seront facturés à l’Unité qui acquiert les équipements.
3.2 Appliquer les procédures financières de transfert de bien à l’interne. (Consultez le site web du Service des finances, dans la section gestion budgétaire.
9
Guide de gestion des équipements informatiques et électroniques en fin de vie utile Matériel non réclamé par une unité administrative :
Passez à l’étape suivante (mise en lot pour vente à l’externe)
4. Mise en lot pour vente à l’externe
Si vous avez une quantité d’équipements appréciables fonctionnels et non désuets, nous vous suggérons fortement de contacter des entreprises spécialisées dans la revente d’équipements usagés et de leur offrir de racheter vos équipements.
* La vente à l’externe ne sera autorisée que si c’est une entreprise qui acquiert les biens et celle-ci doit payer par chèque dès la prise de possession de l’équipement. Il est recommandé de faire soumissionner 3 entreprises au moins. Les biens sont vendus sans garantie légale et sans service après vente.
Si une entreprise externe est intéressée à acquérir votre matériel : Procédure :
Contacter Marie-Michèle Couture au Service des finances (#5088), pour obtenir l’autorisation d’effectuer la transaction et pour que le Service des immeubles effectue la facturation à l’externe.
Remplir une déclaration de bien excédentaire (BE) sur le site du Service des immeubles
• Indiquer dans la section commentaire les numéros UL des équipements cédés et mentionner également que les biens ont été cédés à l’externe (suivi de l’inventaire).
Retirer les numéros d’inventaire UL.
Si les équipements ne trouvent pas preneur à l’externe
Procédure : Appliquer les procédures pour la récupération (étape suivante)
Identifier le matériel d’un autocollant vert et assurez-vous que l’ensemble du filage soit rattaché aux équipements.
Remplir une déclaration de bien excédentaire (BE) sur le site du Service des immeubles.
10
Guide de gestion des équipements informatiques et électroniques en fin de vie utile
• Indiquer dans la section commentaire les numéros UL des équipements cédés et que les biens sont destinés à la récupération (suivi de l’inventaire).
Le Service des immeubles s’occupera alors de la collecte et du transport des équipements vers un organisme externe qui favorisera le réemploi ou le recyclage des diverses composantes.
AUCUNE UNITE ADMINISTRATIVE NE PEUT DONNER OU VENDRE DIRECTEMENT DU MATERIEL INFORMATIQUE A L’EXTERNE SANS EN RECEVOIR L’AUTORISATION DU SERVICE DES IMMEUBLES.
11
Guide de gestion des équipements informatiques et électroniques en fin de vie utile
C. Procédure pour la récupération
C. Récupération
Nettoyage des données
Retrait des logiciels et des
# licences
Identification du matériel fonctionnel ou non et attachement du filage
Déclaration de Bien exédentaire au SI
(récupération)
Tri et démontage
(OBNL)
Réemploi de certaines composantes
Recyclage des matières
Unité administrative Firme externe, sous la responsabilité du SI
12
Guide de gestion des équipements informatiques et électroniques en fin de vie utile C.. Procédure pour la récupération (Suite)
1. Appliquer les procédures de nettoyage des données.
(Consulter le site Web du BSI dans la section « ARTICLES ET GUIDES » sous la rubrique « Développement durable »).
2. Retirer tous les logiciels, les numéros de licences (autocollant) sur les appareils.
3. Identifier si le matériel est fonctionnel (autocollant vert) ou non fonctionnel (autocollant rouge) et s’assurer que l’ensemble du filage soit rattaché aux équipements fonctionnels (à l’aide d’adhésif).
4. Remplir une déclaration de biens excédentaires sur le site internet du Service des immeubles.
• Indiquer dans la section commentaire les numéros d’inventaire UL des équipements et que les biens sont dédiés à la
récupération
Le Service des immeubles se chargera de la collecte des équipements et de leur envoi dans une filière de récupération via un organisme à but non lucratif.
13
Guide de gestion des équipements informatiques et électroniques en fin de vie utile
D. Procédure pour le traitement sécurisé des supports de données
Cette procédure est propre aux supports de données informatiques ayant contenu de l’information dont le niveau de confidentialité est jugée élevé et que les supports ne peuvent pas faire l’objet d’un réemploi ou d’une récupération. Elle a pour objectif d’assurer une destruction sécurisée de ces supports dans le but de rendre irrécupérable l’information qui y a été enregistrée. Il est important d’appliquer ces procédures seulement si nécessaire, car elles impliquent des coûts supplémentaires à votre unité administrative. Cependant, elles sont importantes et doivent être appliquées lorsque vous manipulez des supports de données ayant contenu de l’information confidentielle afin d’assurer la sécurité de l’Université et de ses membres.
D. Traitement sécurisé
Destruction physique à l’interne
Mise au rebut
Demande au SI pour service de destruction physique par une firme
externe
Destruction physique externe – chaîne de destruction sécurisée et
certifiée
Recyclage des différentes composantes
Disque rigide, disquette, clef CD/DVD USB
Unité administrative Firme externe, sous la responsabilité du SI
14
Guide de gestion des équipements informatiques et électroniques en fin de vie utile D. Procédure pour le traitement sécurisé des supports de données (suite)
CD/DVD
1. Briser le disque en plusieurs morceaux (3 morceaux minimum)
* Il existe des déchiqueteurs automatiques conçus pour déchiqueter les CD/DVD en petites particules. Si la quantité de disques à détruire le justifie, il est recommandé de procéder à l’acquisition d’un tel équipement.
2. Jeter au rebut les morceaux brisés*
*Les CD/DVD n’ont malheureusement pas de débouché fiable et écologiquement viable pour développer un programme de récupération à l’Université. Pour l’instant donc, la mise au rebut est toujours la meilleure façon de procéder.
Disque rigide, disquette, clef USB
1. Appliquer les procédures de nettoyage des données
(Consulter le site Web du BSI dans la section « ARTICLES ET GUIDES » sous la rubrique « Développement durable »).
2. Accumuler une certaine quantité de supports de données dans un lieu sécuritaire et fermé à clé. Noter tous les numéros de séries des équipements à détruire de façon sécurisée pour permettre une traçabilité du processus de destruction.
3. Lorsque c’est jugé nécessaire, appeler au #7000 (Service des immeubles) pour faire une demande de collecte de traitement sécurisé de support de données électroniques.
• Informations que vous devrez fournir lors de la demande de service : nom du pavillon, local de la cueillette, nom d’une personne ressource et son numéro de poste téléphonique, le nombre de disques durs à ramasser.
• Les cueillettes se feront le mardi ou le vendredi. La personne ressource devra être présente au moment de la cueillette, signer le
15
Guide de gestion des équipements informatiques et électroniques en fin de vie utile
registre de collecte et fournir la liste des numéros de série des supports de données à détruire.
• Coûts : 15$ par cueillette + 10$ par disque dur.
L’entreprise retenue pour effectuer ce service est Arteau Récupération.
Un employé de cette firme se présentera dans vos locaux. Celui-ci est clairement identifiable par ses vêtements lettrés à l’effigie de l’entreprise ainsi que par le registre qu’il fait signer lors des collectes d’équipements. Lorsque vous cédez vos équipements, soyez certains que c’est bien un employé de cette firme qui se présente.
L’Unité administrative est responsables de la sécurité des données jusqu’à sa prise en charge par un représentant de la firme Arteau Récupération.