Guide AFK ITAD

Effacement de données certifié : vos obligations RGPD

Un disque dur formaté n'est pas un disque effacé. Lors de la cession ou du recyclage de matériel, l'entreprise reste responsable des données personnelles qu'il contient. Voici ce que dit le RGPD, ce qu'exigent les normes, et comment vous protéger.

Ce que dit le RGPD sur le matériel en fin de vie

Le RGPD ne mentionne pas explicitement les disques durs, mais son article 32 impose au responsable de traitement de garantir la sécurité des données personnelles pendant tout leur cycle de vie — y compris au moment de la mise au rebut ou de la cession des supports. La CNIL le rappelle régulièrement : un ordinateur cédé ou jeté avec des données récupérables constitue une violation de données, avec les sanctions associées (jusqu'à 4 % du chiffre d'affaires mondial).

Concrètement, cela signifie qu'une entreprise qui revend, donne ou jette ses machines doit pouvoir prouver que les données ont été détruites de manière irréversible. Sans cette preuve, la responsabilité reste engagée même des années après la cession.

Pourquoi le formatage ne suffit pas

Un formatage rapide ne supprime que la table d'allocation des fichiers : les données restent physiquement présentes sur le support et se récupèrent en quelques minutes avec des outils gratuits. Même un formatage complet laisse des traces exploitables sur certains supports. Trois niveaux existent :

Les normes de référence : NIST 800-88 et DoD 5220.22-M

Deux référentiels dominent le marché de l'effacement professionnel :

NIST 800-88 (Guidelines for Media Sanitization) est aujourd'hui la référence internationale. Elle distingue les niveaux Clear (réécriture simple) et Purge (commandes de purge cryptographique ou physique adaptées aux SSD), et impose une vérification après effacement. C'est la norme pertinente pour les SSD modernes, où la simple réécriture multiple n'offre pas de garantie fiable.

DoD 5220.22-M, norme historique du département de la Défense américain, repose sur des passes de réécriture multiples. Elle reste largement citée et pertinente pour les disques mécaniques (HDD).

Un prestataire sérieux applique la méthode adaptée à chaque type de support : purge cryptographique ou commande constructeur pour les SSD/NVMe, réécriture multi-passes pour les HDD, destruction physique pour les supports défaillants.

Que doit contenir un certificat d'effacement ?

Réflexe conformité : archivez les certificats d'effacement avec votre registre des traitements. En cas de contrôle CNIL ou d'audit client, c'est la pièce qui démontre la maîtrise du cycle de vie des données.

L'approche AFK ITAD

Chaque support qui transite par nos mains est effacé selon la norme adaptée à sa technologie, vérifié, puis certifié individuellement par numéro de série. Les supports défaillants sont détruits physiquement et tracés. Ce processus est inclus systématiquement dans nos opérations de rachat de parc : la conformité n'est pas une option payante, c'est le socle du service.

Questions fréquentes

Un SSD s'efface-t-il comme un disque dur classique ?

Non. Sur SSD, la réécriture multiple type DoD n'offre pas de garantie fiable à cause de la gestion interne des cellules (wear leveling). La norme NIST 800-88 prévoit des commandes de purge spécifiques (Secure Erase, purge cryptographique) adaptées à ces supports.

Peut-on effacer les données nous-mêmes avant la cession ?

Techniquement oui, mais sans certificat nominatif émis par un tiers, la preuve de l'effacement reste fragile en cas de contrôle. Et un effacement mal exécuté (formatage simple) laisse les données récupérables.

Que deviennent les disques défectueux qui ne peuvent pas être effacés ?

Ils sont détruits physiquement (broyage) et cette destruction est documentée dans le certificat, support par support, avec les numéros de série.

Le certificat d'effacement a-t-il une valeur légale ?

Il constitue la preuve documentaire que l'entreprise a rempli son obligation de sécurité (art. 32 RGPD) lors de la cession des supports. C'est la pièce demandée par les auditeurs et opposable en cas de contrôle.

Un parc à valoriser ?

Envoyez-nous votre inventaire : estimation gratuite et sans engagement sous 48h, collecte sur site en Île-de-France, certificat d'effacement RGPD inclus.

Demander un devis gratuit →