C'est le blocage le plus répandu que nous rencontrons chez les DSI et DAF d'entreprises. Des centaines de PC s'accumulent dans les entrepôts, des serveurs dorment dans les salles informatiques, des switches réseau remplissent des palettes — et personne ne bouge, par peur du RGPD.
La crainte est légitime : en cas de fuite de données sur du matériel cédé, les sanctions peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial. Mais cette peur conduit souvent à une décision encore plus risquée : ne rien faire. Et ne rien faire a un coût.
Un PC perd 40 à 50% de sa valeur en 2 ans. Chaque mois passé dans un placard, c'est de la valeur qui disparaît — sans que le risque RGPD soit pour autant éliminé.
1 Ce que dit vraiment le RGPD sur la cession de matériel
Le Règlement Général sur la Protection des Données (RGPD) impose une obligation claire : les données personnelles ne doivent pas être accessibles à des tiers non autorisés. Cela s'applique évidemment aux supports physiques — disques durs, SSD, mémoires flash, bandes magnétiques — lorsqu'ils quittent votre périmètre.
Mais le RGPD n'interdit pas la revente ou la cession de matériel. Il impose simplement que les données soient rendues irrécupérables avant toute cession. La nuance est fondamentale.
L'article 5(1)(f) du RGPD parle d'« intégrité et confidentialité » des données. L'article 32 impose des mesures techniques appropriées pour protéger les données. Un effacement certifié selon les normes reconnues constitue précisément cette mesure technique.
2 Un simple formatage ne suffit pas
C'est l'erreur la plus fréquente. Formater un disque dur, réinstaller Windows, même effectuer une réinitialisation d'usine — aucune de ces opérations ne supprime réellement les données. Elles se contentent de supprimer les pointeurs vers ces données, mais les fichiers restent physiquement présents et récupérables avec des logiciels grand public.
Des expériences régulièrement menées par des chercheurs en sécurité achètent des PC d'occasion sur eBay ou LeBonCoin et retrouvent, sur une majorité d'entre eux :
- Des documents RH avec noms, salaires, numéros de sécurité sociale
- Des emails professionnels avec données clients
- Des identifiants de connexion aux systèmes internes
- Des fichiers comptables et devis avec coordonnées bancaires
Ce n'est pas de la théorie : c'est une réalité documentée. Et dans ce cas, votre entreprise est bien en infraction au RGPD — non pas parce que vous avez revendu le matériel, mais parce que vous ne l'avez pas correctement effacé.
3 Les normes d'effacement reconnues par la CNIL
Il existe plusieurs standards d'effacement reconnus au niveau international. La CNIL et les autorités de contrôle européennes s'appuient sur ces normes pour évaluer la conformité des organisations.
| Norme | Description | Applicabilité |
|---|---|---|
| NIST 800-88 | Standard américain du National Institute of Standards — référence mondiale pour la sanitisation des supports | Disques durs, SSD, mémoires flash |
| HMG IS5 | Standard gouvernemental britannique, en vigueur dans toute l'UE comme référence de sécurité | Niveau Baseline et Enhanced selon la sensibilité |
| IEEE 2883-2022 | Nouvelle norme IEEE pour la sanitisation des médias de stockage, publiée en 2022 | Équipements modernes, SSD NVMe |
| DoD 5220.22-M | Standard du Département de la Défense américain — 3 passes d'écrasement | Disques durs rotatifs anciens |
Pour les supports SSD et NVMe (qui équipent la quasi-totalité des PC depuis 2018), l'écrasement multi-passes est insuffisant en raison de la technologie de wear-leveling. La seule méthode fiable est la commande d'effacement sécurisé intégrée au firmware (ATA Secure Erase ou NVMe Format).
4 Le certificat d'effacement : votre preuve légale
C'est l'élément que la CNIL recherche en premier en cas d'audit ou d'incident. Un certificat d'effacement est un document traçable qui atteste :
- L'identité du support (numéro de série, modèle, capacité)
- La méthode d'effacement utilisée et la norme appliquée
- La date et l'heure de l'opération
- Le résultat (succès ou destruction physique si effacement impossible)
- L'identité de l'opérateur agréé
En cas d'incident ou de contrôle CNIL, ce certificat constitue la preuve que votre organisation a rempli son obligation de diligence. Sans lui, même si les données ont été effacées, vous ne pouvez pas le prouver.
La conformité RGPD, c'est 50% de technique et 50% de documentation. Un effacement sans certificat n'existe pas aux yeux de la CNIL.
5 Ce que fait concrètement un prestataire ITAD certifié
ITAD (IT Asset Disposition) désigne la gestion responsable et conforme des équipements IT en fin de vie. Un prestataire ITAD sérieux suit un processus rigoureux :
- Inventaire et audit initial : recensement de tous les supports de stockage, même cachés (tablettes, téléphones, clés USB, NAS)
- Effacement certifié sur site ou en entrepôt sécurisé : selon la norme adaptée à chaque type de support
- Destruction physique pour les supports défaillants : broyage certifié avec traçabilité
- Émission des certificats individuels : un certificat par numéro de série
- Rapport de conformité RGPD : document consolidé pour votre DPO
- Valorisation du matériel : rachat des équipements dont la valeur résiduelle le justifie
6 Les 3 profils d'entreprises et leurs risques
L'entreprise qui stocke indéfiniment
Elle pense être "safe" en ne faisant rien. C'est faux : les disques durs stockés peuvent être dérobés (cambriolage, ex-employé, prestataire mal intentionné). Le RGPD ne fait pas de distinction entre une fuite causée par une revente non sécurisée et un vol physique. Le risque existe dès que les données sont présentes sur les équipements, même dans votre entrepôt.
L'entreprise qui revend sans effacement
C'est le risque maximal. Si des données personnelles sont retrouvées sur du matériel revendu, la responsabilité de l'entreprise est directement engagée. Les amendes RGPD prononcées en Europe depuis 2018 incluent plusieurs cas liés à des supports de stockage mal effacés.
L'entreprise qui suit le bon processus
Elle fait appel à un prestataire ITAD certifié, obtient ses certificats d'effacement, récupère la valeur résiduelle du matériel, et peut démontrer sa conformité à tout moment. C'est la seule approche qui élimine à la fois le risque légal et la perte financière.
7 Questions fréquentes
Le RGPD s'applique-t-il aussi aux équipements réseau (switches, routeurs) ?
Oui. Les équipements réseau peuvent contenir des configurations avec des adresses IP internes, des credentials VPN, des logs de connexion avec données personnelles. Ils doivent faire l'objet d'une remise à zéro de la configuration et, selon leur niveau de sensibilité, d'un effacement certifié.
Que faire si le disque dur est physiquement défaillant ?
Si l'effacement logiciel est impossible (disque endommagé), la seule option conforme est la destruction physique certifiée : démagnétisation (degaussing) suivie d'un broyage industriel. Un certificat de destruction est émis avec preuve photo.
Mon prestataire informatique habituel peut-il faire ça ?
Seulement s'il utilise un logiciel d'effacement certifié (Blancco, KillDisk, etc.) et émet des certificats conformes aux normes reconnues. Un "formatage complet" réalisé par votre technicien habituel ne constitue pas un effacement RGPD-compliant.
Combien coûte un effacement certifié ?
Chez ITGreen, l'effacement certifié est inclus dans le processus de rachat. Vous ne payez pas l'effacement : vous percevez une valorisation sur votre matériel tout en obtenant vos certificats de conformité. La valorisation dépend du type, de l'âge et du volume de matériel.
Vous avez du matériel informatique en attente de traitement ?
ITGreen prend en charge l'inventaire, l'effacement certifié selon les normes NIST et HMG IS5, et vous remet vos certificats de conformité RGPD. En contrepartie, nous rachetions votre matériel et vous en reversons la valeur résiduelle.
Demander une évaluation gratuite →
