Guide · Sécurité des données
Effacement certifié
RGPD.
Formatage, réinitialisation, écrasement multi-passes, destruction physique : tout n'est pas équivalent au regard de la loi. Ce guide explique ce qu'exige vraiment le RGPD pour la destruction des données sur vos équipements informatiques.
Obligation légale
Ce que le RGPD
exige concrètement.
L'article 5 du RGPD impose le principe de « limitation de la conservation » : les données personnelles doivent être détruites de manière irréversible à l'issue de leur durée de conservation. L'article 17 reconnaît le droit à l'effacement. Les entreprises sont responsables de la preuve de cette destruction.
Amende maximale CNIL
ou 4 % du chiffre d'affaires mondial annuel en cas de violation des principes de traitement, notamment la non-destruction des données.
Limitation de conservation
Le RGPD impose de ne pas conserver les données au-delà de leur finalité. La destruction doit être documentée et opposable.
Sécurité du traitement
L'entreprise doit mettre en œuvre des mesures techniques appropriées pour garantir l'intégrité et la confidentialité des données, y compris en fin de vie.
Normes de référence
Les standards qui font
autorité.
Standard international de référence pour la destruction sécurisée des données sur supports de stockage. Couvre HDD, SSD, bandes magnétiques et supports optiques.
Référentiel américain reconnu mondialement. Distingue Clear, Purge et Destroy selon la sensibilité des données et le type de support.
Standard militaire américain historique. Spécifie 7 passes d'écrasement. Encore exigé par certains contrats de défense et marchés publics.
Oblige les entreprises à garantir que les données personnelles ne peuvent être reconstituées après traitement ou suppression. Sanction : jusqu'à 20 M€ ou 4 % du CA mondial.
Comparatif
Formatage vs effacement certifié :
la différence en chiffres.
| Méthode | Efficacité | Données récupérables ? | Conforme RGPD |
|---|---|---|---|
| Formatage rapide | Nulle | Oui — en quelques minutes | Non |
| Formatage complet | Faible | Oui — avec outils forensiques | Non |
| Réinitialisation usine | Variable | Souvent oui | Non |
| Effacement certifié RGPD | Totale | Non | Oui |
| Destruction physique | Totale | Non | Oui |
Livrable
Le certificat d'effacement
EcoReprise.
Numéro de série
Chaque certificat identifie l'appareil par son numéro de série — traçabilité individuelle garantie.
Méthode utilisée
La norme appliquée (RGPD, NIST SP 800-88, Cryptographic Erase) est explicitement mentionnée.
Date & opérateur
Date d'effacement et identifiant de l'opérateur certifié — opposable lors d'un audit CNIL ou d'un contrôle DPO.
Format numérique
Transmis en PDF signé électroniquement. Archivable dans votre registre des activités de traitement RGPD.
Questions fréquentes.
Le formatage d'un disque dur suffit-il au regard du RGPD ?
Non. Un formatage standard (quick format) n'efface pas réellement les données — elles restent récupérables avec des logiciels courants. Le RGPD exige une destruction définitive des données personnelles. Seul un effacement certifié par écrasement multi-passes ou une destruction physique garantit la conformité.
Quelle norme d'effacement EcoReprise applique-t-il ?
EcoReprise applique la norme RGPD combinée aux recommandations NIST SP 800-88. Pour les SSD et supports Flash, un Cryptographic Erase est utilisé en complément pour garantir l'irrécupérabilité des données.
Qu'est-ce qu'un certificat d'effacement ?
C'est un document nominatif attestant que les données d'un appareil ont été définitivement détruites selon une norme certifiée. Il mentionne le numéro de série de l'appareil, la méthode utilisée, la date et l'opérateur. Il est opposable en cas d'audit CNIL ou de contrôle DPO.
Dois-je faire appel à mon DPO avant la collecte ?
Nous vous recommandons d'informer votre DPO de l'opération. EcoReprise fournit l'ensemble de la documentation (rapport de collecte + certificats d'effacement) dont il a besoin pour mettre à jour le registre des activités de traitement.
L'effacement certifié est-il préférable à la destruction physique ?
L'effacement certifié permet la réutilisation du matériel (reconditionnement), ce qui est plus vertueux d'un point de vue environnemental. La destruction physique est réservée aux supports dont l'effacement logiciel ne peut pas être garanti (disques endommagés, chiffrement non documenté).
Collecte & effacement
certifiés RGPD.
EcoReprise prend en charge l'intégralité de la chaîne : enlèvement, effacement certifié RGPD et certificat nominatif par appareil.