EcoReprise
Blog/Sécurité & RGPD
Sécurité & RGPD6 min de lecture

Effacement de données RGPD : ce que la loi impose avant de donner votre ordinateur

Équipe EcoReprise
Sécurité & conformité
28 avril 2026
6 min

Supprimer ses fichiers ne suffit pas. Découvrez les normes d'effacement certifiées, les obligations RGPD pour les entreprises, et pourquoi un certificat d'effacement est indispensable.

Chaque année, des milliers d'ordinateurs d'entreprises sont vendus, donnés ou recyclés avec des données confidentielles encore récupérables sur leurs disques. Fiches de paie, coordonnées clients, contrats, mots de passe enregistrés, historiques de navigation… La simple corbeille ne protège rien. Pour les entreprises soumises au RGPD, l'absence d'effacement certifié constitue une violation potentielle de données — avec les sanctions qui en découlent. Ce guide fait le point sur ce qu'il faut savoir et faire avant de vous séparer de votre matériel informatique.

Ce que contient vraiment votre disque dur

Un disque dur en fin de vie stocke bien plus que les fichiers visibles dans votre explorateur. Les couches cachées de données comprennent :

  • Les fichiers « supprimés » : la corbeille vidée ne fait que marquer l'espace comme disponible ; les données restent physiquement présentes jusqu'à être écrasées par de nouvelles écritures.
  • Les caches applicatifs : Word, Excel, Outlook conservent des copies temporaires de vos documents dans des dossiers système souvent ignorés.
  • Les identifiants et mots de passe stockés par les navigateurs (Chrome, Firefox, Edge) et les gestionnaires de mots de passe intégrés au système.
  • Les mails archivés, même ceux supprimés il y a plusieurs années, s'ils n'ont pas été purgés de la base de données locale.
  • Les journaux système (logs) contenant des adresses IP, des identifiants de connexion, et des traces d'activité réseau.
  • Les données biométriques (empreintes digitales Windows Hello, profils faciaux) stockées dans une partition chiffrée — mais pas inviolable.

La simple suppression — ou même le formatage — ne suffit pas

C'est l'erreur la plus répandue : croire qu'un disque formaté est un disque vide. Le formatage rapide (quick format) ne fait que réécrire la table des fichiers, pas les données elles-mêmes. Avec des logiciels gratuits comme Recuva, PhotoRec ou TestDisk, un technicien peu expérimenté peut récupérer l'intégralité des fichiers d'un disque « formaté » en quelques minutes.

Donnée clé
Selon une étude du cabinet Kroll Ontrack, 70 % des disques durs d'occasion achetés en ligne contiennent encore des données récupérables. Parmi eux, 11 % contiennent des informations sensibles d'entreprise (données financières, RH, contrats).

Même le formatage complet (full format, qui réécrit toutes les cellules) ne garantit pas une protection absolue contre les outils de récupération forensiques utilisés par les experts judiciaires. Seul un effacement certifié par suréciture multiple ou une destruction physique offre des garanties sérieuses.

Les normes d'effacement certifiées reconnues

Trois normes font référence dans le secteur. Elles définissent le nombre de passes d'écriture et les algorithmes utilisés pour rendre les données irrécupérables :

DoD 5220.22-M (Département de la Défense américain)

Norme militaire américaine historique. Elle prévoit 7 passes d'écriture : 3 passes avec des motifs binaires alternés (0x00, 0xFF, aléatoire), suivies d'une vérification. Très répandue dans l'industrie et reconnue par les organismes de certification français.

NIST 800-88 (National Institute of Standards and Technology)

La référence actuelle du secteur, régulièrement mise à jour. Elle distingue trois niveaux : Clear (1 passe, suffisant pour un réemploi interne), Purge (effacement cryptographique ou suréciture avancée, adapté au don ou à la revente), et Destroy (destruction physique, pour les données classifiées). Le niveau Purge est celui recommandé avant tout don ou recyclage.

ISO/IEC 27040

Norme internationale couvrant la sécurité du stockage de données. Elle fournit un cadre de référence pour les organisations souhaitant documenter et certifier leurs processus d'effacement dans le cadre d'un système de management de la sécurité de l'information (SMSI). C'est la norme utilisée par EcoReprise pour ses opérations.

SSD vs HDD : des règles techniques différentes

La suréciture répétée (DoD 7 passes) est inefficace sur les SSD. Contrairement aux disques durs magnétiques, les SSD utilisent une technique appelée wear leveling (nivellement de l'usure) qui répartit les écritures sur des cellules différentes à chaque passe — certaines cellules contenant des données sensibles ne seront jamais réécrites par les méthodes classiques.

  • Pour les SSD : utiliser la commande ATA Secure Erase (intégrée au firmware du disque) qui efface réellement toutes les cellules, y compris les zones de réserve.
  • Pour les SSD NVMe (M.2) récents : utiliser NVMe Sanitize, équivalent de l'ATA Secure Erase pour ce type de stockage.
  • Pour les disques HDD classiques : la méthode DoD ou NIST Purge par suréciture reste pleinement efficace.
  • Dans tous les cas : vérifier après effacement avec un outil de validation (Blancco, Eraser) et conserver le rapport d'effacement.
Astuce technique
Sur Windows 11 et macOS Monterey et supérieur, la puce TPM (Trusted Platform Module) chiffre le disque système par défaut. Dans ce cas, effacer uniquement la clé de chiffrement (opération en 1 seconde) rend l'ensemble des données mathématiquement irrécupérables — une méthode plus rapide et tout aussi efficace que la suréciture.

Les obligations RGPD pour les entreprises avant tout don ou recyclage

Pour les entreprises traitant des données personnelles (ce qui concerne la quasi-totalité des sociétés), le RGPD impose des obligations précises lors de la mise au rebut d'équipements informatiques :

  • Article 5.1.f (intégrité et confidentialité) : les données personnelles doivent être traitées de manière à en garantir la sécurité, y compris contre la destruction ou la perte accidentelle.
  • Article 32 (sécurité du traitement) : les responsables de traitement doivent mettre en œuvre des mesures techniques appropriées pour protéger les données, dont la destruction sécurisée en fin de vie des supports.
  • Article 17 (droit à l'effacement) : si des données personnelles de clients ou d'employés se trouvent sur les supports, leur effacement préalable relève de l'obligation de respect du droit à l'oubli.
  • En cas de violation de données résultant d'un don ou d'une vente d'équipement non effacé : notification obligatoire à la CNIL sous 72 heures, et potentiellement aux personnes concernées.
Sanctions RGPD
La CNIL peut infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel — le montant le plus élevé étant retenu. En 2023, plusieurs entreprises françaises ont été sanctionnées précisément pour des manquements liés à la destruction insuffisante de supports de stockage.

EcoReprise : effacement certifié RGPD avec certificat nominatif inclus

EcoReprise prend en charge l'intégralité du processus d'effacement, depuis la collecte jusqu'à la délivrance du certificat. Chaque appareil traité donne lieu à :

  • Un diagnostic individuel de l'état du disque (secteurs défectueux, santé SMART).
  • Un effacement certifié selon les normes DoD 5220.22-M et ISO/IEC 27040, adapté au type de support (HDD, SSD, NVMe).
  • Un certificat d'effacement nominatif mentionnant le numéro de série du disque, la méthode utilisée, la date et le technicien responsable.
  • Un registre de traçabilité conservé 5 ans, consultable lors d'un audit RGPD ou d'une inspection de la CNIL.
Planifiez votre collecte sécurisée
Collecte gratuite à Paris et en Île-de-France. Effacement certifié, certificat inclus. Remplissez notre formulaire en ligne, nos équipes vous recontactent sous 48h ouvrées.
Collecte gratuite · Paris & IDF

Passez à
l'action.

Collecte gratuite, effacement certifié RGPD, impact mesurable. Notre équipe intervient sous 48h à Paris et en Île-de-France.

Planifier ma collecte← Retour au blog
Collecte gratuite · Paris & IDF

Donnez une seconde vie
à vos équipements.

Planifiez votre collecte en 2 minutes. Gratuite, sans engagement, réponse sous 48h.

Planifier ma collecte