Effacement certifié RGPD : le guide indispensable pour les DSI

Pourquoi l’effacement des données est une obligation légale

Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, les entreprises européennes sont soumises à une règle fondamentale : les données personnelles ne doivent pas survivre à leur finalité. Lorsqu’un ordinateur portable, un serveur ou un smartphone professionnel change de mains — qu’il soit revendu, donné à une association ou simplement mis au rebut — les données qu’il contient doivent avoir été supprimées de manière irréversible.

Ce n’est pas une simple recommandation. L’article 5 du RGPD impose le principe de limitation de la conservation, et l’article 32 oblige les responsables du traitement à garantir un niveau de sécurité adapté aux risques. En pratique, cela signifie qu’un simple formatage de disque ne suffit pas : les données peuvent être récupérées par des outils forensiques en quelques minutes. La CNIL française peut prononcer des amendes allant jusqu’à 4 % du chiffre d’affaires mondial en cas de manquement.

Pour les DSI, la revente du parc informatique représente un moment de vulnérabilité critique. Des études montrent que plus de 40 % des disques durs achetés sur le marché de l’occasion en Europe contiennent encore des données d’entreprises. Ce chiffre illustre la réalité d’un secteur où les pratiques d’effacement restent insuffisantes.

Les normes reconnues : NIST 800-88 et DoD 5220.22-M

Face à la multiplicité des méthodes d’effacement, deux normes s’imposent comme références internationales dans les appels d’offres et les audits de conformité.

La norme NIST 800-88 (Guidelines for Media Sanitization)

Publiée par le National Institute of Standards and Technology américain, la norme NIST SP 800-88 Rev. 1 est aujourd’hui la référence mondiale. Elle distingue trois niveaux d’intervention : Clear (effacement logique suffisant pour une réaffectation interne), Purge (effacement cryptographique ou par écrasement pour une sortie sécurisée) et Destroy (destruction physique irréversible). Pour une revente de matériel, le niveau Purge est généralement requis.

La norme DoD 5220.22-M

Anciennement utilisée par le Département de la Défense américain, cette norme prévoit plusieurs passes d’écrasement avec des patterns binaires alternés. Bien qu’elle ait été partiellement remplacée par NIST 800-88 pour les supports modernes, elle reste fréquemment citée dans les contrats et certifications européens comme indicateur de rigueur.

Pour les SSD et disques flash, l’effacement par passes multiples est moins efficace en raison du wear leveling. Les méthodes recommandées sont alors l’effacement cryptographique (ATA Secure Erase) ou la dégaussification suivie de destruction physique pour les données hautement sensibles.

Le certificat d’effacement : à quoi sert-il vraiment ?

Le certificat d’effacement est un document formel émis par le prestataire à l’issue de l’opération. Il doit mentionner, pour chaque support traité : le numéro de série, le type de support, la méthode d’effacement appliquée, le logiciel utilisé (avec version), la date et l’heure de l’opération, ainsi que l’identité de l’opérateur.

Ce document remplit trois fonctions essentielles. D’abord, il constitue la preuve de conformité RGPD que le DPO (Délégué à la Protection des Données) doit conserver dans le registre des activités de traitement. Ensuite, il couvre la responsabilité civile et pénale du dirigeant en cas d’incident de sécurité lié à un équipement cédé. Enfin, il rassure les partenaires commerciaux et les clients finaux lors des audits de sécurité de la supply chain.

Un certificat d’effacement doit être nominatif et traçable jusqu’au numéro de série du support. Les certificats génériques ou sans numéros de série individuels n’ont aucune valeur probante devant la CNIL.

Les risques concrets d’un effacement insuffisant

Les conséquences d’une mauvaise gestion des données en fin de vie matériel sont multiples et potentiellement dévastatrices pour une organisation :

• Sanctions CNIL : jusqu’à 20 millions d’euros ou 4 % du CA mondial, selon la gravité.
• Atteinte à la réputation : la publication d’un incident de fuite de données peut détruire la confiance des clients en quelques heures.
• Responsabilité pénale : le dirigeant peut être personnellement mis en cause pour atteinte au secret des affaires ou violation du secret professionnel.
• Perte d’appels d’offres : de nombreux marchés publics et contrats B2B exigent désormais des preuves de conformité RGPD dans la gestion du cycle de vie du matériel.

Comment choisir un prestataire certifié ?

Tous les acteurs du marché de la reprise ne proposent pas le même niveau de garantie. Pour sélectionner un prestataire fiable, vérifiez les points suivants :

• Certifications ISO 27001 (management de la sécurité de l’information) et ISO 14001 (management environnemental).
• Utilisation de logiciels d’effacement certifiés tels que Blancco, White Canyon WipeDrive ou DBAN, reconnus par les auditeurs.
• Délivrance systématique de certificats nominatifs par numéro de série, consultables en ligne.
• Traçabilité de la chaîne de custody, de la collecte jusqu’à la revente ou la destruction physique.
• Expérience avec des entreprises de taille comparable et références clients vérifiables.

Chez Brokers Informatique, chaque équipement repris fait l’objet d’un effacement selon la norme NIST 800-88 Purge, avec émission d’un certificat nominatif par numéro de série. Cette approche vous permet de satisfaire aux exigences RGPD tout en optimisant la valeur de reprise de votre parc.

Articles liés

• Traçabilité et sécurité des données lors du rachat de matériel IT : ce que les entreprises doivent savoir
• DEEE : obligations légales des entreprises sur le recyclage électronique
• Que faire de son ancien parc informatique ? Don, recyclage ou revente

Demandez une estimation gratuite de votre parc informatique →