Effacement des données : ce que tout DSI doit savoir

Chaque année, des milliers d'entreprises cèdent ou jettent du matériel informatique sans effacer correctement les données qu'il contient. Les conséquences peuvent être graves : violation de données personnelles, sanctions RGPD, atteinte à la réputation. Pourtant, les solutions existent et sont accessibles. Ce guide fait le point sur les normes de référence et les obligations qui s'imposent aux DSI.

Le risque des données résiduelles

Un disque dur ou un SSD "formaté" au sens commun du terme — c'est-à-dire via la fonction de formatage standard de Windows ou macOS — ne supprime pas les données. Il se contente de marquer l'espace comme disponible. Les données physiques restent présentes sur le support et sont récupérables par n'importe quel logiciel de forensique en quelques minutes.

Ce risque est loin d'être théorique. Des études régulières montrent que des équipements revendus sur des marchés de seconde main contiennent encore des données sensibles : identifiants d'accès, courriels professionnels, documents contractuels, fichiers RH. En tant que responsable du traitement au sens du RGPD, votre entreprise reste juridiquement responsable de ces données — même après la cession physique du matériel.

Les sanctions RGPD pour violation de données peuvent atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, selon le montant le plus élevé. Une fuite de données due à un disque non effacé constitue une violation caractérisée du principe de minimisation et d'intégrité des données (Article 5 du RGPD).

Les normes d'effacement certifié

Trois normes internationales font référence en matière d'effacement certifié. Elles diffèrent par leur niveau de sécurité, leur applicabilité selon le type de support, et les contraintes opérationnelles qu'elles imposent.

NIST 800-88 (Clear, Purge, Destroy)

La norme américaine NIST Special Publication 800-88 est aujourd'hui la référence mondiale pour les entreprises privées et les administrations. Elle distingue trois niveaux d'intervention :

Clear : effacement logiciel standard, suffisant pour les supports destinés à une réutilisation interne en environnement de confiance
Purge : effacement cryptographique ou réécriture multi-passes, adapté aux supports destinés à quitter le périmètre de l'entreprise
Destroy : destruction physique irréversible (déchiquetage, fusion), réservée aux supports contenant des données hautement sensibles ou classifiées

Pour la grande majorité des entreprises, le niveau Purge est le standard approprié avant tout rachat ou recyclage.

HMG Infosec Standard 5

Développé par le National Cyber Security Centre britannique, ce standard est reconnu dans de nombreux pays européens. Il définit deux niveaux :

Baseline : une passe de réécriture aléatoire, acceptée pour la plupart des environnements commerciaux
Enhanced : trois passes (deux aléatoires + une de vérification), recommandé pour les données sensibles ou les secteurs réglementés (santé, finance, défense)

DoD 5220.22-M

Ce standard du Département de la Défense américain, longtemps considéré comme la référence, est aujourd'hui dépassé pour les supports modernes (SSD, Flash). Les fabricants de disques SSD et les autorités de sécurité s'accordent sur le fait que la méthode Purge du NIST 800-88 est plus efficace et mieux adaptée aux architectures de stockage actuelles. La mention DoD sur une offre d'effacement est souvent un indicateur que le prestataire n'a pas mis à jour ses pratiques.

Effacement logiciel vs destruction physique

Le choix entre effacement logiciel et destruction physique n'est pas seulement une question de niveau de sécurité — c'est aussi une question de valeur économique.

L'effacement logiciel certifié (niveau Purge NIST ou HMG Enhanced) permet de conserver l'intégrité physique du support. Un SSD correctement effacé peut être revendu et atteindre 30 à 60 % de sa valeur d'origine selon l'âge et l'état. C'est l'approche recommandée pour la grande majorité des équipements professionnels sortants.

La destruction physique (déchiquetage, démagnétisation) est irréversible et appropriée pour des cas spécifiques : données classifiées, disques endommagés qu'on ne peut pas effacer logiciellement, ou équipements soumis à des réglementations sectorielles strictes (défense, santé). Elle supprime définitivement toute valeur marchande du support.

La destruction systématique de tous les disques n'est pas une bonne pratique — c'est une erreur économique qui peut coûter plusieurs milliers d'euros par lot sur un parc de taille moyenne.

Le certificat d'effacement

Le certificat d'effacement est le document qui matérialise et prouve l'effacement. Il constitue votre pièce maîtresse en cas d'audit CNIL ou de litige. Un certificat conforme doit mentionner :

Le numéro de série du support
Le type de support (HDD/SSD) et sa capacité
La norme d'effacement appliquée
La date et l'heure de l'opération
Le résultat de la vérification post-effacement
L'identité et les coordonnées du prestataire

L'Article 5.2 du RGPD impose le principe d'accountability : il ne suffit pas d'effacer les données, il faut pouvoir démontrer qu'on l'a fait. Sans certificat nominatif par numéro de série, vous ne pouvez pas prouver la conformité de votre démarche.

Conservez ces certificats pendant au moins cinq ans. En cas d'incident, ils constituent votre défense principale.

Comment nous procédons

Chez rachat-parc-informatique.com, chaque support de stockage fait l'objet d'un effacement certifié avant toute opération de test ou de reconditionné. Nous appliquons le niveau Purge de la norme NIST 800-88 pour l'ensemble des SSD et HDD traités.

Un certificat d'effacement nominatif est généré automatiquement pour chaque numéro de série et transmis au client sous forme de rapport consolidé à la clôture du dossier. Ce document liste l'ensemble des supports traités, la norme appliquée, et les résultats de vérification.

Pour les cas nécessitant une destruction physique (données classifiées, supports défectueux), nous effectuons le déchiquetage en conformité avec la norme DIN 66399 et fournissons un certificat de destruction distinct.

Si vous souhaitez connaître la valeur de votre parc tout en garantissant la conformité RGPD de votre démarche, consultez d'abord notre checklist de préparation pour structurer votre inventaire.