Sécurité des données

RGPD et fin de vie du matériel informatique

Ce que le règlement impose avant de céder, recycler ou réformer un équipement : effacement, responsabilité, sanctions, et preuves à constituer.

Mis à jour le 1 juin 20269 min de lecture

Ce que dit le RGPD sur le matériel en fin de vie

Le RGPD n'évoque pas explicitement le « matériel en fin de vie », mais ses principes s'y appliquent pleinement. L'article 32 impose de garantir la sécurité des données par des mesures techniques appropriées, ce qui inclut leur effacement avant qu'un support ne quitte le contrôle de l'organisation. Les principes de limitation de la conservation et d'intégrité-confidentialité (article 5) vont dans le même sens : une donnée qui n'a plus à être conservée doit être supprimée de façon sûre.

Concrètement, dès qu'un ordinateur, un serveur ou un disque sort du parc, ses données personnelles doivent être rendues irrécupérables. La cession d'un matériel non effacé constitue une faille de sécurité au sens du règlement.

Qui est responsable ?

La règle est souvent mal comprise : le responsable de traitement, c'est-à-dire l'organisation propriétaire des données, demeure responsable même lorsqu'il confie le matériel à un tiers. Faire appel à un prestataire de rachat ou de recyclage ne transfère pas la responsabilité juridique.

Le prestataire agit comme sous-traitant au sens de l'article 28 du RGPD. Cela impose un contrat de sous-traitance définissant les obligations de sécurité, les instructions du responsable et les garanties apportées. En clair, on peut déléguer l'exécution de l'effacement, jamais la responsabilité de s'assurer qu'il a bien eu lieu.

Les risques en cas de manquement

Négliger l'effacement avant cession expose à des conséquences lourdes et cumulatives.

20 M€ / 4 %

Sanction maximale, ou 4 % du chiffre d'affaires mondial.

RGPD, art. 83

72 h

Délai pour notifier une violation de données à la CNIL.

RGPD, art. 33

64 %

Des organisations ont subi une violation liée à une élimination de matériel.

Rapports ITAD, 2024

Au-delà de la sanction financière, une fuite de données issue d'un matériel mal traité déclenche l'obligation de notifier la violation à la CNIL sous 72 heures, parfois d'informer les personnes concernées, et entame durablement la confiance des clients et partenaires. Pour une organisation, le coût réputationnel dépasse souvent l'amende elle-même.

Quelles données sont concernées ?

Toutes les données personnelles sont visées, et un poste de travail en contient bien plus qu'on ne l'imagine : fichiers de travail, courriels, identifiants enregistrés, historiques de navigation, données de clients ou de salariés. Les serveurs concentrent des volumes encore plus sensibles.

Les données particulières (santé, données bancaires, informations relatives aux salariés) appellent une vigilance renforcée, mais le principe reste le même : avant la sortie du parc, l'ensemble doit être effacé de façon sécurisée, quel que soit le niveau de sensibilité apparent.

Les supports que l'on oublie

Le réflexe se limite souvent aux ordinateurs et aux serveurs. Or de nombreux équipements stockent des données sans qu'on y pense, et constituent autant de failles potentielles au moment de leur sortie du parc.

  • Serveurs et baies de stockage (NAS, SAN) : ils concentrent les données les plus sensibles.
  • Smartphones, tablettes et clés USB : mobiles, faciles à oublier et riches en données.
  • Disques externes et supports de sauvegarde : souvent rangés, puis oubliés.

Un inventaire exhaustif des supports, au-delà des seuls postes de travail, est donc le point de départ d'une conformité réelle.

Les obligations concrètes

Traduite en pratique, la conformité repose sur une courte liste d'actions vérifiables :

  • Inventorier les équipements et supports contenant des données.
  • Effacer les données de façon sécurisée, selon une norme reconnue (NIST SP 800-88).
  • Documenter chaque effacement par un certificat par équipement.
  • Encadrer l'intervention du prestataire par un contrat de sous-traitance (article 28).
  • Assurer la traçabilité de bout en bout, de l'enlèvement à la preuve d'effacement.

Internaliser ou externaliser l'effacement ?

Une organisation peut effacer elle-même ses équipements ou confier l'opération à un prestataire. L'internalisation est envisageable pour de petits volumes, à condition de disposer d'outils conformes, de compétences à jour et d'un dispositif de certification, ce qui représente un coût rarement justifié au regard des volumes traités.

L'externalisation à un prestataire spécialisé apporte la conformité documentée (certificats unitaires, contrat de sous-traitance) et permet de coupler l'effacement à la valorisation du matériel par le rachat. Dans les deux cas, la responsabilité juridique reste celle de l'organisation : externaliser ne dispense jamais de vérifier que le prestataire prouve réellement ce qu'il fait.

RGPD et AGEC : deux logiques complémentaires

Le RGPD et la loi AGEC poursuivent des objectifs différents, mais convergents pour la fin de vie d'un parc. Le RGPD protège les données ; la loi AGEC impose de privilégier le réemploi et interdit la destruction d'équipements fonctionnels. Loin de s'opposer, les deux se satisfont d'une même solution.

Un effacement sécurisé et certifié répond au RGPD tout en préservant le support, ce qui permet son réemploi conformément à l'AGEC. C'est précisément ce que permet le rachat : sécuriser la donnée et valoriser le matériel dans une seule opération documentée.

Comment se mettre en conformité

Pour une organisation, la mise en conformité de la fin de vie du parc tient en quelques décisions structurantes : formaliser une procédure de sortie des équipements, choisir un prestataire capable de prouver son effacement et de fournir un contrat de sous-traitance, et archiver systématiquement les certificats obtenus.

Le détail des méthodes d'effacement est présenté dans la fiche l'effacement sécurisé : méthodes et normes, et le rôle de la preuve dans la fiche le certificat d'effacement.

Trois situations courantes

La fin de vie des données ne concerne pas que les grands renouvellements. Trois situations reviennent régulièrement :

  • Le renouvellement de parc : des dizaines ou centaines de postes sortent en même temps. L'effacement certifié et le rachat se traitent alors en une opération groupée.
  • La panne d'un poste : un ordinateur défectueux remplacé ne doit pas être jeté tel quel. Si le disque est lisible, on l'efface ; sinon, on le détruit, dans les deux cas avec un justificatif.
  • Le départ d'un salarié : un poste réaffecté doit être réinitialisé de façon sûre avant d'être confié à un autre utilisateur, surtout s'il contenait des données sensibles.

Dans chaque cas, le principe est constant : aucune donnée ne change de mains sans effacement documenté.

À retenir

Sources

Vos questions sur le RGPD et le matériel.

Faire racheter mon parc

Oui. Le RGPD impose la destruction sécurisée des données personnelles avant toute cession, recyclage ou mise au rebut d'un équipement. Cette obligation découle du principe de sécurité du traitement (article 32) et s'applique tant qu'un support contient des données.

Le responsable de traitement, c'est-à-dire l'organisation propriétaire des données, reste responsable. Confier l'effacement à un prestataire ne transfère pas cette responsabilité : le prestataire agit comme sous-traitant, encadré par un contrat au titre de l'article 28 du RGPD.

Les violations du RGPD peuvent être sanctionnées jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. S'ajoutent l'obligation de notifier la violation à la CNIL sous 72 heures et un risque réputationnel important.

Non. La conformité se prouve par des documents : un contrat de sous-traitance conforme à l'article 28, et un certificat d'effacement par équipement. C'est cette traçabilité, et non une promesse, qui sera examinée lors d'un contrôle de la CNIL ou d'un audit.

Oui. Un rachat structuré intègre l'effacement certifié des données, documenté par un certificat par équipement, et s'appuie sur un contrat de sous-traitance. L'organisation dispose ainsi des preuves attendues, tout en valorisant son parc.

# À lire aussi

Votre ancien parc informatique vaut de l'argent. Récupérez-le.

Envoyez-nous la liste de votre matériel : vous recevez une cotation sans engagement, nous organisons l'enlèvement partout en France, et vous repartez avec le règlement, les rapports d'effacement RGPD et la traçabilité complète.

  • Cotation sans engagement
  • Enlèvement organisé partout en France
  • Effacement RGPD, un rapport par équipement
  • Atelier près de Grenoble, sans sous-traitance

Sans engagement · Partout en France · Effacement RGPD documenté

Ordinateurs portables professionnels reconditionnés par Destock Info