Checklist RGPD fin de vie parc IT

01 — Cadre RGPDCe que disent l'article 32 et l'article 28.

Avant même de parler de checklist, il faut se remettre le cadre en tête. La fin de vie d'un parc informatique est un traitement de données au sens du RGPD, dès lors que les disques ont contenu des données personnelles — ce qui est le cas par défaut sur un poste de travail, un smartphone pro ou un serveur interne.

Trois textes structurent la mission :

Article 32 — Sécurité du traitement. Le responsable de traitement (vous) doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. L'effacement ou la destruction en fin de vie font partie de ces mesures. Une donnée qui n'aurait pas dû survivre, qui réapparaît sur un appareil revendu, constitue une violation de sécurité.
Article 28 — Sous-traitant. Dès que vous confiez le parc à un prestataire, ce prestataire devient un sous-traitant au sens du RGPD. Vous devez encadrer la relation par un contrat écrit qui reprend les dix obligations listées à l'article 28. C'est ce qu'on appelle un DPA (Data Processing Agreement).
Lignes directrices EDPB. Le Comité européen de la protection des données précise que la responsabilité finale reste chez vous, même si vous déléguez à un sous-traitant. Si le prestataire sous-traite lui-même à un transporteur, un broyeur ou un atelier de reconditionnement, ces "sous-traitants ultérieurs" doivent aussi être encadrés (article 28.4).

Autrement dit : le jour où vous signez le bon d'enlèvement, vous engagez votre conformité. La checklist RGPD fin de vie parc IT qui suit sert à ne rien oublier avant cette signature. Elle est formulée du point de vue du DPO ou du responsable conformité qui doit valider. Nous, prestataire, devons pouvoir répondre "oui" sur chacun des 12 points — sinon vous ne devriez pas signer.

Note méthodologique

Cette checklist est construite à partir des recommandations CNIL (fiches "Fin de vie" 2023 et 2024) et du guide ANSSI sur le déclassement des supports. C'est le protocole que nous appliquons pour encadrer un enlèvement B2B. Elle n'a pas force de loi — elle condense l'état de l'art à date.

02 — ChecklistLes 12 points à valider avant signature.

Nous avons regroupé les 12 points en quatre blocs logiques : cadrage (01–03), prestataire (04–06), opérations (07–09), clôture (10–12). À chaque point, la question à vous poser, la référence réglementaire, et la preuve que nous devons pouvoir vous fournir.

Checklist DPO — enlèvement de parc 12 points · imprimable

Le périmètre est documenté

Inventaire précis des matériels enlevés : type, modèle, numéro de série ou IMEI, nombre, localisation. Un bon de commande vague ("environ 150 postes") est insuffisant. Le DPO doit voir la liste.

Réf. Art. 30 RGPD · registre de traitement

Le registre est mis à jour

L'enlèvement constitue un traitement : il doit apparaître dans le registre des activités de traitement, avec la finalité, la base légale, la durée de conservation des logs, et le sous-traitant désigné.

Réf. Art. 30 RGPD · tenue du registre

L'analyse d'impact est faite si nécessaire

Pour un gros volume ou des données sensibles (santé, finance, RH), une AIPD peut être requise. Pour un parc bureautique standard, une évaluation simplifiée suffit généralement — mais elle doit exister par écrit.

Réf. Art. 35 RGPD · AIPD / PIA

Le prestataire est qualifié

Références vérifiables, siège social identifiable, KBIS, assurance RC pro. Pour RR-IT : SARL au SIREN 887 500 197, siège 15 Hauterive, 35600 Redon, RCS Rennes. Ce n'est pas un label — c'est la base minimale.

Réf. Art. 28.1 RGPD · garanties suffisantes

Le DPA est signé

Contrat écrit qui reprend les dix points de l'article 28 (voir section 03 ci-dessous). Pas d'enlèvement sans DPA signé des deux côtés. Si le prestataire propose juste un bon de commande, c'est non.

Réf. Art. 28.3 RGPD · contrat écrit obligatoire

Les sous-traitants ultérieurs sont listés

Transporteur, atelier de reconditionnement, prestataire de broyage : tous doivent être nommés, avec leur rôle et leurs propres engagements. Le prestataire principal reste responsable vis-à-vis de vous.

Réf. Art. 28.2 et 28.4 · cascade sous-traitance

La chaîne de transport est sécurisée

Véhicule dédié ou mutualisé entre missions RR-IT, scellés numérotés, feuille de route signée au départ et à l'arrivée, délai maximum. Pour un parc sensible, traçabilité GPS sur demande. Scellé rompu = incident à signaler.

Réf. Art. 32 RGPD · mesures techniques

Le protocole d'effacement est documenté

Méthode (logiciel d'effacement développé en interne, conforme NIST SP 800-88, ou destruction physique en secours), outil utilisé, norme de référence. Notre protocole détaillé : voir effacement des données.

Réf. Art. 5.1.f RGPD · intégrité et confidentialité

Les délais sont contractualisés

Combien de jours entre l'enlèvement et l'effacement effectif ? Entre l'effacement et la destruction du dossier client ? Pour RR-IT : effacement sous 10 jours ouvrés, certificat sous 15 jours, archive 10 ans.

Réf. Art. 5.1.e RGPD · limitation de conservation

Le certificat d'effacement est conforme

Un certificat par appareil, avec numéro de série ou IMEI, date, méthode, résultat de vérification, signature numérique. Voir section 04 pour le détail de ce qui fait un bon certificat. Pas de certificat collectif vague.

Réf. Art. 32.1.d · preuve des mesures

Le processus d'incident est écrit

Si un appareil disparaît en transit, si un scellé est rompu, si un disque résiste à l'effacement : qui appelle qui sous combien d'heures ? Vous disposez de 72h pour notifier la CNIL. Le sous-traitant doit vous alerter immédiatement.

Réf. Art. 33 RGPD · notification de violation

Le dossier de clôture est archivable

Bon de commande + DPA + inventaire + feuille de route + certificats d'effacement + photos de perçage (si applicable) + BSD numérique émis via Trackdéchets (obligatoire DEEE depuis 2022) + attestation de sortie de registre. Un PDF unique, indexable par numéro de série, exploitable en audit.

Réf. Art. 5.2 et 24 · accountability

Douze cases à cocher, dans cet ordre. Si un seul point reste ouvert le jour J, la signature attend. Cette checklist RGPD fin de vie parc IT peut paraître lourde — mais l'alternative, c'est une violation de données à notifier à la CNIL six mois plus tard, quand un disque réapparaît sur LeBonCoin. On préfère la paperasse.

À télécharger

La checklist imprimable au format PDF.

Un PDF d'une page, avec les 12 cases à cocher et les références réglementaires en note de bas de page. Imprimable, agrafable au dossier, relisable en réunion DSI–DPO. Gratuit, sans formulaire.

Télécharger la checklist PDF Demander un audit

03 — Contrat DPACe qui doit figurer dans le contrat de sous-traitance.

Le DPA (Data Processing Agreement) est le contrat qui encadre la relation entre vous, responsable de traitement, et nous, sous-traitant. L'article 28 du RGPD liste dix obligations qui doivent toutes y apparaître, sous peine de nullité du contrat. Voici ce que nous proposons par défaut — et ce que vous devez vérifier.

Clause Ce qui doit être écrit

ObjetDescription précise du traitement : "enlèvement, transport, effacement et/ou destruction de X appareils en fin de vie", avec dates et lieux.

DuréeDurée du traitement (un trimestre, un contrat cadre annuel) et durée de conservation des certificats (10 ans par défaut chez nous).

NatureNature des données : bureautique standard, données RH, données clients, données médicales — le niveau de sensibilité impacte les mesures techniques.

FinalitéUnique finalité : "sortir les données du parc de manière irréversible, puis valoriser ou recycler le matériel". Pas de clause ouverte sur "analyses statistiques".

InstructionsLe sous-traitant n'agit que sur instruction documentée. Un bon de commande signé vaut instruction ; un appel téléphonique ne vaut rien.

ConfidentialitéEngagement du personnel à la confidentialité, y compris intérimaires et stagiaires. Clause de confidentialité dans les contrats de travail à produire sur demande.

SécuritéListe des mesures techniques et organisationnelles : locaux fermés, traçabilité d'accès, effacement conforme NIST SP 800-88, archivage chiffré.

Sous-traitantsAutorisation écrite préalable (générale ou spécifique) pour chaque sous-traitant ultérieur, avec information du responsable en cas de changement.

DroitsAssistance pour répondre aux demandes d'exercice des droits (accès, effacement) — en pratique limitée en fin de vie, mais clause obligatoire.

Fin de missionÀ la fin du contrat : restitution ou suppression des données résiduelles (logs, copies), et certificat attestant de la suppression.

Un DPA qui oublie un de ces dix points est un DPA boiteux. Si le prestataire refuse d'en rédiger un, ou propose un document qu'il ne veut pas négocier, c'est un signal faible. La relation de confiance commence ici.

Le cas particulier du flux international

Si les appareils ou les données transitent hors UE (par exemple via un centre de reconditionnement en Afrique du Nord, ou un sous-traitant logistique basé hors EEE), des clauses contractuelles types (CCT) s'ajoutent. Nous opérons uniquement en France et dans l'UE — ce cas ne s'applique pas chez RR-IT, mais à vérifier chez d'autres prestataires.

04 — CertificatCe qui fait un bon certificat d'effacement.

Un certificat "bateau" ressemble à ceci : "Les matériels de la société X ont été effacés conformément aux standards, le 14 février 2026." C'est inutile en audit. Un bon certificat doit permettre à un auditeur, cinq ans après, de retrouver l'appareil précis et la méthode utilisée. Voici le niveau de détail attendu.

Champ Contenu attendu

IdentifiantNuméro de série (PC, serveur), IMEI (smartphone) ou Service Tag — non falsifiable, rattaché à un appareil physique unique.

ModèleMarque, modèle précis, capacité du support, année. Permet de recroiser avec l'inventaire DSI.

HorodatageDate et heure précises (UTC) de début et fin d'effacement. Utile pour reconstituer la chronologie en cas d'incident.

MéthodeStandard de référence et outil : ex. NIST SP 800-88 Purge via notre logiciel d'effacement développé en interne, ou Secure Erase ATA, ou destruction physique sous-traitée. Pas "effacement sécurisé".

RésultatSuccès, échec, échec partiel avec destruction physique en secours. Le certificat doit dire la vérité, pas masquer les cas limites.

VérificationMéthode de contrôle (lecture de secteurs aléatoires post-effacement, rapport externe PhoneCheck pour smartphones). Sans vérification, l'effacement n'est pas démontré.

OpérateurIdentifiant de la personne ou du poste de travail qui a réalisé l'opération. Sur demande (pas imprimé sur le certificat client, mais archivé).

SignatureSignature numérique du document (PAdES) avec horodatage qualifié. Permet de détecter toute modification ultérieure du PDF.

Notre certificat tient sur une page A4, un appareil par certificat, regroupés en un PDF unique par mission. Le tout est archivé dix ans, consultable par référence client ou par numéro de série. Pour un exemple concret, voir notre dossier effacement des données.

Piège fréquent

Méfiez-vous des certificats qui mentionnent "effacement selon ISO 27001". ISO 27001 est une norme de management, pas une méthode d'effacement. La norme d'effacement proprement dite est NIST SP 800-88 rev. 1 (l'ancienne DoD 5220.22-M est aujourd'hui dépassée). Un certificat précis cite la norme technique, pas la norme de management.

05 — Sous-traitantsLe transporteur, le broyeur, les autres.

La chaîne d'enlèvement mobilise rarement une seule entreprise. Entre vous et le broyeur final, il peut y avoir 2 à 4 intervenants. Chacun doit être connu, encadré, et listé dans le DPA. Voici la composition typique d'une mission RR-IT et les garanties que nous demandons à nos propres sous-traitants. La checklist RGPD fin de vie parc IT doit pouvoir tracer chaque maillon.

Le transporteur

Deux cas : soit nous effectuons le transport nous-mêmes avec notre véhicule utilitaire depuis Redon, soit nous mandatons un transporteur partenaire pour les longues distances. Dans les deux cas :

Véhicule dédié ou mutualisé. Pour les parcs sensibles, véhicule dédié. Pour une flotte bureautique standard, mutualisé avec d'autres enlèvements RR-IT est acceptable — jamais mutualisé avec des flux tiers.
Scellés numérotés. Bacs ou cartons scellés avec numéro unique consigné sur la feuille de route, à la prise en charge et à la réception. Le client signe le numéro de scellé au départ.
Traçabilité. Feuille de route papier + confirmation numérique d'arrivée dans notre atelier. GPS sur demande pour les missions sensibles, avec suppléments.
Assurance transport. Responsabilité du transporteur couverte à hauteur de la valeur déclarée. Pour du parc usagé, la valeur marchande est faible ; le risque RGPD reste.

L'atelier de reconditionnement

Après effacement, une partie du parc part en reconditionnement — c'est ce qui permet de valoriser le matériel plutôt que de le détruire. Notre partenaire reconditionnement est TeamClic, réseau de 4 magasins en Bretagne–Pays de la Loire (Redon, La Flèche, Pontchâteau, Ploërmel), spécialiste réparation–reconditionnement. Dans tous les cas, l'effacement a eu lieu avant l'entrée en atelier reconditionnement. Le reconditionneur ne voit jamais les données.

Le broyeur, en dernier recours

Quand un disque ne peut pas être effacé logiquement (défaillant, chiffré sans clé, trop ancien), deux voies : perçage mécanique multi-points dans notre atelier (minimum 2 trous traversants par plateau HDD, 1 trou par puce NAND SSD, photo d'archive), ou broyage industriel sous-traité. RR-IT n'a pas de broyeur en interne — nous sommes transparents là-dessus. Pour les broyages à particules < 6 mm, nous mandatons un prestataire DEEE agréé qui nous fournit un certificat de destruction nominatif, que nous vous transmettons. Une mission peut donc produire trois types de preuves : certificats d'effacement + photos de perçage archivées + certificats de destruction sous-traitée, avec un numéro de série par ligne.

Important : chacun de ces intervenants — transporteur, reconditionneur, broyeur — est un sous-traitant ultérieur au sens de l'article 28.4. Vous pouvez demander la liste complète à tout moment. Si nous changeons un partenaire en cours de mission, nous vous prévenons. Voir aussi notre dossier parc informatique pour la logistique détaillée.

Nos sous-traitants actuels, listés honnêtement

Transporteur — flotte RR-IT en propre sur Bretagne et Pays de la Loire (rayon ~200 km autour de Redon). Au-delà, sous-traitance à transporteur spécialisé, nommé dans le DPA de la mission.
Reconditionneur — partenariat TeamClic (4 magasins, 15+ collaborateurs, atelier réparation et reconditionnement). Effacement réalisé en amont par RR-IT ; TeamClic ne voit jamais les données personnelles.
Broyeur / filière matière — sous-traitance à prestataire DEEE agréé (filière locale ou nationale type Ecologic / Ecosystem selon le volume). Nommé au cas par cas dans le DPA, avec attestation de destruction nominative archivée.

06 — IncidentQue faire si quelque chose tourne mal.

Un incident n'est pas une exception — statistiquement, sur 1000 appareils, deux ou trois vont poser un problème. Un disque défaillant qui refuse l'effacement. Un scellé rompu à l'arrivée. Un bac égaré dans un entrepôt de transit. La différence entre un bon prestataire et un mauvais, c'est la gestion de l'incident, pas son absence.

La règle des 72 heures

Le RGPD vous impose (article 33) de notifier la CNIL d'une violation de données personnelles dans les 72 heures après en avoir pris connaissance. Cela signifie que votre sous-traitant doit vous informer sans délai — nous visons 4 heures, ouvrées ou non, dès qu'un incident est qualifié. Un prestataire qui attend de "voir si c'est grave" vous met en infraction.

Scénario Procédure RR-IT

Scellé rompuAppareils mis en quarantaine, photographie du scellé, alerte client sous 4h, inventaire contradictoire sous 48h. Si perte confirmée : notification.

Appareil perduRecherche 24h, alerte client immédiate si non retrouvé, dépôt de plainte, notification violation. Chaque numéro de série / IMEI est tracé, la perte est documentable.

Effacement échouéDisque mis en destruction physique programmée (perçage interne ou broyage sous-traité), certificat de destruction émis. Pas de matériel défaillant revendu — règle absolue.

Erreur de livraisonSi un colis arrive chez le mauvais destinataire : rappel immédiat, traçabilité, aucune ouverture avant instruction. Incident mineur mais tracé.

Tous ces scénarios sont formalisés dans notre runbook interne. Le DPO côté client reçoit un appel, pas un email noyé. Nous fournissons les éléments factuels en moins de 24h pour que vous puissiez, vous, décider si une notification CNIL est requise — la décision finale est de votre ressort, pas du nôtre. Pour la mission type d'un end-of-life DSI complet, voir end-of-life DSI.

On ne juge pas un prestataire sur l'absence d'incident — personne n'y échappe. On le juge sur la vitesse et la clarté de la remontée. Principe de travail — RR-IT

Pour aller plus loin

Effacement des données — protocole NIST 800-88→ End-of-life DSI — mission type complète→ Parc informatique — logistique et volumes→ Entreprises — page pro RR-IT→ Tous les dossiers RR-IT→

checklist RGPD fin de vie parc IT — 12 points avant de signer.