Databack - Récupération de données
Demander un devis
LE BLOG

Fin de vie des supports informatiques : vos obligations RGPD avant de céder, recycler ou déclasser

Un poste de travail renouvelé part chez un repreneur. Un lot de disques durs amortis est revendu. Un serveur en fin de bail rejoint la benne d’un prestataire de recyclage. Un SSD défaillant est mis de côté en attendant qu’on s’en débarrasse. Dans chacun de ces cas, le support quitte votre organisation avec, le plus souvent, l’intégralité des données qu’il contenait encore lisibles par qui sait les lire.

Supprimer des fichiers ou formater un disque ne change presque rien à cette réalité. Et dès lors que ces données comportent des informations personnelles, ce qui est le cas dans la quasi-totalité des parcs professionnels, le RGPD ne se contente pas de vous y faire penser : il vous impose de rendre ces données irrécupérables avant que le support ne sorte de votre périmètre, et de pouvoir le prouver. Cet article détaille ce que cette obligation recouvre concrètement, ce que vous risquez si elle n’est pas tenue, et comment arbitrer entre effacement, dégaussage et destruction selon les supports.

RGPD supports informatique

Pourquoi supprimer ou formater ne suffit pas

Ce que fait, et ne fait pas, le système quand vous supprimez ou formatez

Quand vous supprimez un fichier, le système d’exploitation ne touche pas les données elles-mêmes. Il retire l’entrée correspondante dans l’index qui lui sert à les localiser, et marque l’espace occupé comme disponible. Les données restent écrites sur le support, intactes, jusqu’à ce qu’une nouvelle écriture vienne éventuellement les recouvrir. Un formatage rapide procède de la même logique : il reconstruit la table d’allocation sans effacer le contenu. C’est ce phénomène, la rémanence, qui explique qu’un disque « vidé » livre encore l’essentiel de ce qu’il contenait.

HDD et SSD : deux rémanences différentes

Le mécanisme diffère selon la technologie. Sur un disque dur, l’information est inscrite magnétiquement sur des plateaux, et tant qu’elle n’est ni réécrite ni neutralisée, elle persiste. C’est ce que notre laboratoire reconstitue lors d’une récupération de données sur disque dur : sur un support seulement formaté, une réinstallation, parfois un repartitionnement, ne suffisent pas à empêcher la reconstruction des fichiers. Sur un SSD, le stockage repose sur de la mémoire flash dont le fonctionnement interne complique l’effacement fiable, au point de mériter un traitement distinct, détaillé plus bas.

Ce que le RGPD et la loi Informatique et Libertés imposent réellement

Aucun article du RGPD n’ordonne en toutes lettres de « détruire les supports en fin de vie ». L’obligation se déduit de la combinaison de plusieurs principes du règlement, et c’est cette lecture d’ensemble qui compte pour un responsable de traitement.

Le principe d’intégrité et de confidentialité (article 5, paragraphe 1, point f du RGPD) impose de traiter les données de façon à garantir une sécurité appropriée, y compris la protection contre la perte et contre le traitement non autorisé. L’article 32 précise l’exigence : le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées au risque. Un effacement qui rend les données irrécupérables avant la sortie d’un support entre directement dans ce périmètre.

Le principe de limitation de la conservation (article 5, paragraphe 1, point e) ajoute que les données ne doivent pas être gardées au-delà de la durée nécessaire aux finalités : passé ce délai, elles doivent être supprimées ou anonymisées, y compris sur les supports de sauvegarde et les machines déclassées. L’article 17, le droit à l’effacement, peut imposer une suppression effective à la demande d’une personne concernée, ce qui suppose de pouvoir l’opérer réellement et pas seulement de masquer le fichier.

Reste l’accountability. Les articles 5, paragraphe 2, et 24 font peser sur le responsable du traitement non seulement le respect de ces principes, mais l’obligation d’être en mesure de le démontrer. C’est ce point qui transforme l’effacement en exercice documenté : sans preuve, une organisation conforme dans les faits reste exposée en cas de contrôle.

Qui est concerné

L’obligation ne dépend ni de la taille de l’organisation ni de son secteur. Toute entité qui traite des données personnelles y est tenue, de la PME au grand compte. Les enjeux montent d’un cran pour les administrations et les collectivités, qui gèrent des données d’usagers, et pour les établissements de santé, dont les supports contiennent des données de santé : une catégorie particulière au sens de l’article 9 du RGPD, soumise à une vigilance renforcée.

Le RGPD n’interdit pas la revente

Rien dans le règlement n’empêche de revendre, de donner ou de faire recycler un disque dur ou un serveur d’entreprise. Ce que le RGPD impose, c’est que les données personnelles soient rendues irrécupérables avant la cession. La nuance est décisive sur le plan économique : un parc sain n’a pas vocation à finir au broyeur pour devenir conforme, il doit être correctement effacé avant de changer de mains. C’est aussi l’un des points que développe notre article sur les enjeux de la récupération de données sous l’angle réglementaire.

Les risques en cas de manquement

Deux paliers de sanction, et pourquoi vous tombez dans le plus lourd

Le RGPD prévoit deux niveaux d’amende administrative (article 83). Le premier plafonne à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Le second monte jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé des deux étant retenu.

Laisser des données personnelles récupérables sur un support cédé met en cause les principes de base du traitement de l’article 5. Et c’est le non-respect de ces principes qui relève du palier supérieur, au titre de l’article 83, paragraphe 5. Le scénario le plus banal, un disque mal effacé qui quitte l’entreprise, se rattache donc au régime de sanction le plus lourd, pas au plus léger.

L’amende n’est pas le seul levier. La formation restreinte de la CNIL peut assortir une injonction de mise en conformité d’une astreinte pouvant atteindre 100 000 euros par jour de retard, limiter ou interdire le traitement concerné, et rendre sa décision publique, ce dernier point pesant souvent autant que la somme elle-même.

Un support perdu, volé ou cédé sans effacement : une violation de données

Un support qui sort de l’organisation avec ses données encore lisibles ne relève pas seulement d’un défaut de sécurité abstrait : selon les circonstances, il constitue une violation de données personnelles. Un lot de disques en attente de traitement dérobé dans un local, un prestataire qui revend les supports sans les avoir effacés, un serveur défectueux jeté tel quel parce qu’« il ne démarrait plus » alors que ses plateaux restaient lisibles, autant de cas susceptibles de déclencher les obligations de l’article 33, la notification à la CNIL en principe dans les 72 heures, et de l’article 34, la communication aux personnes concernées lorsque le risque pour leurs droits est élevé. L’argument de la panne ne protège en rien : un support qui ne démarre plus n’est pas un support dont les données ont disparu.

Effacement, dégaussage ou destruction : comment choisir

Trois questions déterminent la bonne méthode. Le support va-t-il être réutilisé ou revendu, ou retiré définitivement ? Est-il sain ou défectueux ? De quelle technologie s’agit-il, disque dur, SSD ou bande magnétique ? Le tableau ci-dessous croise ces critères.

SupportÉtatDestinationMéthode recommandéePourquoi
HDDsainréutilisation ou reventeeffacement logiciel certifiérend les données irrécupérables en préservant le support
HDDsainretrait définitifdégaussage, ou effacement logicielle dégaussage rend le support inutilisable
HDDdéfectueuxretraitdégaussageseule option quand l’écrasement logiciel est impossible
SSDsainréutilisation ou reventeeffacement adapté au flash (Secure Erase) puis vérificationla réécriture classique est non fiable (usure, surprovisionnement)
SSDdéfectueuxretraitdestruction physiquedégaussage sans effet, écrasement impossible si le support est hors service
Bande magnétiqueindifférentretraitdégaussageneutralise la couche magnétique
Tout supportindifférentdestruction physique exigéebroyage (prestataire dédié)répond à une exigence contractuelle ou de sécurité

Cette logique s’aligne sur le guide NIST SP 800-88 Rev. 2, publié en septembre 2025, qui distingue trois degrés d’assainissement des supports, de l’effacement logiciel à la destruction physique, et place la réutilisation possible du matériel parmi les premiers critères de décision. Le point à retenir pour un parc professionnel : sur un support sain, l’effacement sécurisé certifié rend les données irrécupérables sans détruire le matériel. C’est ce qui sépare une démarche de conformité d’une logique de mise au rebut systématique, où l’on perd la valeur résiduelle d’équipements parfaitement réutilisables.

Le cas particulier du SSD

Le SSD déjoue les méthodes pensées pour le disque dur. Pour répartir l’usure de ses cellules de mémoire flash, son contrôleur déplace en permanence les données et conserve des zones réservées, invisibles du système d’exploitation, au titre du surprovisionnement. Une réécriture classique de l’espace adressable ne garantit donc pas que toutes les copies de l’information aient été recouvertes : des fragments peuvent subsister dans ces zones que le contrôleur seul gère.

La fonction TRIM, qui signale au SSD les blocs réputés libres, et la commande Secure Erase intégrée au firmware visent justement à reprendre la main sur cette mécanique interne, mais leur comportement varie d’un modèle à l’autre et leur effet doit être vérifié, pas présumé. Le dégaussage, lui, est sans effet sur un SSD : sans couche magnétique, le champ ne neutralise rien. Sur ces supports, seule une procédure d’effacement adaptée à la technologie flash, puis contrôlée, offre une garantie réelle. C’est aussi pourquoi la récupération de données sur SSD obéit à des logiques propres, distinctes de celles du disque dur.

Confier l’opération à un prestataire : qui reste responsable ?

Externaliser l’effacement ou la destruction ne transfère pas la responsabilité. Au titre de l’accountability (article 24), le responsable de traitement répond du résultat même quand l’opération est sous-traitée. Le recours à un prestataire doit être encadré par un contrat de sous-traitance conforme à l’article 28, qui fixe ses obligations de sécurité et de confidentialité. En pratique, cela revient à exiger des garanties vérifiables, un certificat par support identifié par son numéro de série, plutôt qu’une simple facture, et à faire passer ces garanties avant le seul critère du prix.

Prouver la conformité : certificat d’effacement et traçabilité

L’accountability fait de la preuve une obligation à part entière. En cas de contrôle, une organisation doit pouvoir établir que tel support a bien été assaini, et comment. C’est le rôle du certificat d’effacement.

Un certificat exploitable identifie le support concerné, idéalement par son numéro de série, précise la méthode employée et la date de l’opération, et atteste du résultat. La vérification compte autant que l’effacement : contrôler après coup l’absence de données résiduelles sur le support, plutôt que de se fier à la seule exécution du logiciel, est ce qui distingue une preuve solide d’une simple déclaration. Conservée dans la documentation de conformité, cette pièce relie chaque support sorti du parc à une opération tracée, ce que réclamera tout audit.

Bonnes pratiques pour le déclassement d’un parc

Un déclassement propre commence par un inventaire. Le réflexe va aux postes et aux serveurs, mais les données fuient surtout par les supports qu’on oublie de recenser :

  • les NAS et baies de stockage en fin de service,
  • les copieurs et multifonctions, dont le disque interne archive des années de documents numérisés,
  • les bandes de sauvegarde,
  • les clés USB et disques externes qui traînent dans les tiroirs,
  • les ordinateurs portables mis de côté.

À chaque support sa méthode, en s’appuyant sur les critères de la matrice plus haut. Quand l’opération est confiée à un prestataire, sa qualification et les garanties qu’il fournit, en premier lieu le certificat, doivent primer sur le seul prix. Chaque traitement est documenté, puis le matériel destiné au rebut rejoint les filières de recyclage des déchets d’équipements électriques et électroniques (DEEE), une obligation environnementale distincte de l’obligation RGPD mais qui s’applique au même moment.

FAQ

Peut-on revendre un disque dur d’entreprise en restant conforme au RGPD ?

Oui. Le RGPD n’interdit pas la revente : il exige que les données soient rendues irrécupérables avant la cession. Un effacement logiciel certifié réécrit le support tout en le préservant, et le certificat associé fournit la preuve attendue en cas de contrôle.

Comment effacer un SSD de façon fiable ?

La réécriture classique ne suffit pas : répartition d’usure et surprovisionnement laissent des copies hors d’atteinte, et le dégaussage est sans effet sur la mémoire flash. Il faut une méthode adaptée au flash, comme le Secure Erase du firmware, dont le résultat doit ensuite être vérifié.

Quelles sanctions si des données restent récupérables sur un support cédé ?

Le manquement touche les principes de l’article 5, donc le palier le plus élevé : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. S’y ajoutent une injonction sous astreinte, la limitation du traitement, la publicité de la décision et le préjudice de réputation.

Le certificat d’effacement est-il obligatoire ?

Aucun texte ne le nomme, mais l’accountability (articles 5.2 et 24) impose de pouvoir démontrer sa conformité. Sans trace écrite support par support, impossible de prouver l’assainissement du parc. Il n’est donc pas obligatoire en soi, mais nécessaire en pratique.

Le maillon faible d’un parc n’est presque jamais le disque qu’on prend le temps d’effacer avant de le revendre. C’est le support défectueux, celui qui « ne marche plus » et qu’on met de côté en attendant de le jeter. Une panne mécanique ou électronique n’efface pas les données : dans bien des cas, elles restent parfaitement lisibles pour qui dispose des moyens de les lire. Un support hors service mérite donc le même traitement qu’un support sain, dégaussage ou destruction selon le cas, et la même trace écrite.

Article rédigé par

16 juin 2026
Retour au blog

liste des derniers articles

RESTONS EN CONTACT
S'INSCRIRE À LA NEWSLETTER
En renseignant votre adresse email, vous acceptez de recevoir la newsletter de Databack. Vous pouvez vous désinscrire à tout moment grâce aux liens de désinscription présents en bas des contenus diffusés. Vous pouvez consulter notre politique de confidentialité dédiée pour en savoir plus.
Databack Linkedin