La publication du plan stratégique 2025-2028 de la CNIL marque un tournant pour toutes les organisations qui manipulent des données personnelles à grande échelle. L’autorité française précise ses priorités pour les prochaines années : intelligence artificielle, protection des mineurs, cybersécurité, résilience des systèmes et encadrement des usages numériques du quotidien. En parallèle, elle affirme une stratégie européenne et internationale axée sur une coopération renforcée, la diffusion de standards élevés et une influence accrue du modèle européen.
Pour les entreprises, cela ne signifie pas seulement plus de textes à suivre, mais une exigence renforcée de preuve : preuve de conformité, preuve de maîtrise des risques et preuve de bonne fin de vie des données comme des supports qui les hébergent. Dans ce contexte, chez Destrudata IT, nous voyons la destruction des supports de données (disques durs, SSD, matériel informatique) comme un maillon de plus en plus stratégique de cette nouvelle feuille de route CNIL.
1. Ce que dit la stratégie 2025-2028 de la CNIL : priorités, contrôles et sécurité
Le plan stratégique 2025-2028 ne modifie pas le RGPD, mais il précise clairement où la CNIL compte concentrer ses efforts de contrôle et d’accompagnement. Quatre grandes priorités se dégagent :
- L’intelligence artificielle, avec l’articulation entre le futur AI Act et le RGPD, l’encadrement des modèles d’IA et des enquêtes renforcées sur les outils utilisés par le grand public comme par les entreprises.
- La protection des mineurs, qui implique une vigilance accrue sur les plateformes, les réseaux sociaux, les jeux et les services éducatifs en ligne.
- La cybersécurité et la résilience, avec un accent fort sur la sécurité des systèmes d’information, la gestion des vulnérabilités et le traitement des violations de données.
- Les usages numériques du quotidien, notamment applications mobiles, identité numérique et parcours clients, afin de garantir un cadre de confiance.
La CNIL porte aussi une stratégie européenne et internationale visant à rationaliser la coopération avec ses homologues, promouvoir des standards élevés de protection des données et renforcer l’influence du modèle européen.
Pour les entreprises, deux messages sont clairs :
- Les sujets de sécurité et de gestion des risques resteront au cœur des contrôles, y compris lorsqu’il s’agit de la fin de vie des données.
- La capacité à documenter concrètement ce qui est fait, politiques, procédures, contrats de sous-traitance, preuves d’effacement ou de destruction des supports, devient un critère central de responsabilité.
Service de destruction de disques durs
2. Du RGPD à la pratique : conservation, effacement et destruction des supports
Le RGPD impose que les données personnelles ne soient pas conservées plus longtemps que nécessaire au regard de la finalité du traitement. En pratique, chaque organisation doit définir des durées de conservation, distinguer la base active, l’archivage intermédiaire et un éventuel archivage à plus long terme, puis organiser ce qu’il advient des données à l’échéance.
Sur le plan théorique, l’accent est mis sur la donnée : effacement, anonymisation, restriction. Dans la réalité opérationnelle, ces données résident sur des supports physiques : disques durs, SSD, bandes de sauvegarde, serveurs, équipements réseau, terminaux mobiles. Tant que ces supports existent et restent lisibles, des informations peuvent potentiellement être reconstituées, même après suppression logique des fichiers ou effacement d’une base de données.
Le RGPD consacre aussi le principe « d’accountability » (responsabilité). Une organisation doit pouvoir prouver qu’elle respecte les règles, à travers une documentation solide : registre des traitements, politiques internes, procédures, contrats de sous-traitance, preuves d’effacement ou de destruction, registres d’incidents.
Dès lors, une question très concrète se pose : lorsque la durée de conservation est atteinte, que faire matériellement des supports sur lesquels des traces de données peuvent subsister ? Effacement logique, réemploi interne, revente, mise au rebut, destruction interne, recours à un prestataire spécialisé. Chaque option doit être évaluée en fonction du risque résiduel et de la capacité à démontrer que les données ne sont plus accessibles.
Dans ce cadre, la destruction des supports informatiques devient un enjeu stratégique. Elle ne se limite plus à une opération logistique de fin de vie du matériel informatique, elle sert à rendre irréversible l’effacement des données sensibles et à sécuriser la preuve de bonne exécution des obligations issues du RGPD.
3. 2026-2028 : ce que la CNIL va regarder de plus près sur la destruction des supports
La stratégie 2025-2028 réaffirme le rôle de contrôle et de sanction de la CNIL, notamment en matière de sécurité, de violations et de gestion des risques. Une violation de données couvre la destruction, la perte, l’altération ou la divulgation non autorisée de données personnelles, qu’elle soit accidentelle ou illicite. La mauvaise gestion de supports destinés à être détruits, par exemple un lot perdu, volé ou non tracé, peut donc constituer une violation à part entière.
- Responsabilité du responsable de traitement et des sous-traitants : Les organisations doivent clarifier leur rôle, responsable de traitement ou sous-traitant, et assumer les obligations associées. Lorsqu’une entreprise confie la destruction de ses supports à un prestataire, elle reste responsable de vérifier que celui-ci respecte le RGPD et fournit des preuves suffisantes.
- Traçabilité et preuve de destruction : Les registres de supports, les inventaires de sortie de parc, les certificats de destruction, ainsi que les rapports ou photos d’intervention deviennent des éléments essentiels. Ils permettent de démontrer, en cas de contrôle ou de litige, que les supports contenant des données ont été traités conformément aux exigences.
- Qualité des méthodes de neutralisation des supports : Les référentiels techniques distinguent différentes approches : effacement logique, purge avancée, destruction physique. Pour certains contextes à risque élevé, données sensibles, volumes massifs, data centers, secteurs réglementés, la destruction physique s’impose comme référence, car elle neutralise le support lui-même et non uniquement la couche logique.
- Gestion des incidents et notification : Un support égaré ou détourné avant destruction peut déclencher une obligation de notification de violation à la CNIL et parfois aux personnes concernées si le risque est jugé significatif.
L’enjeu pour les organisations est double : réduire au maximum le risque résiduel lié aux supports physiques et être capables de documenter précisément ce qui a été fait, à quelle date, sur quels lots et par quels intervenants. La destruction des supports de données devient ainsi un sujet que la CNIL peut examiner à travers le prisme de la sécurité, de la gouvernance et de l’accountability. C’est exactement sur ce terrain que nous intervenons en tant que prestataire spécialisé dans la destruction de matériel informatique.
Service de destruction de disques durs
4. Vers une stratégie de destruction alignée sur la feuille de route CNIL 2025-2028
Face à la montée des exigences en matière de sécurité et de preuve, la destruction des supports doit faire partie intégrante de la stratégie de conformité. Il ne s’agit plus de faire détruire quelques disques de manière ponctuelle, mais de mettre en place une politique structurée et documentée, cohérente avec le plan CNIL 2025-2028.
Une organisation peut structurer sa démarche autour de quelques axes :
- Cartographier les supports et les flux : Identifier où se trouvent les supports contenant des données personnelles, data centers, sites distants, systèmes de sauvegarde, postes et terminaux, quelles données ils hébergent et selon quels scénarios ils sortent de parc.
- Définir des scénarios de fin de vie : Prévoir les cas de réutilisation interne avec effacement logique conforme à un référentiel reconnu, et les cas où seule la destruction physique apporte un niveau de sécurité suffisant, par exemple pour les supports les plus sensibles, les environnements multi-clients ou les volumes les plus critiques.
- Encadrer les sous-traitants : S’assurer que les prestataires chargés de la destruction des supports sont bien qualifiés comme sous-traitants au sens du RGPD, avec des contrats écrits, des instructions claires, des audits possibles et des certificats de destruction exploitables en cas de contrôle.
- Intégrer la destruction aux procédures de sécurité : Relier la destruction des supports aux processus de gestion des incidents et des violations de données, afin que la situation d’un support perdu ou détourné avant destruction soit immédiatement détectée, traitée et documentée.
Chez Destrudata IT, nous intervenons précisément dans cette logique : destruction physique sur site, traçable et documentée, avec inventaires, certificats et rapports d’intervention. Nous aidons les entreprises à transformer une opération technique en preuve tangible de maîtrise des risques. Notre rôle n’est pas seulement de broyer des supports, mais aussi de fournir les éléments qui permettront de démontrer, à un auditeur ou à la CNIL, que la fin de vie des données a été gérée de manière conforme et proportionnée aux enjeux.
Conclusion
La stratégie 2025-2028 de la CNIL ne modifie pas le texte du RGPD, mais elle en renforce clairement la lecture opérationnelle. Les contrôles orientés sécurité se multiplient, les attentes en matière de résilience augmentent et la capacité des organisations à prouver leur conformité devient centrale. Dans ce contexte, la destruction des supports de données ne peut plus être considérée comme un sujet annexe réservé aux seules équipes techniques. Elle devient un levier structurant d’accountability, à la croisée des rôles du DPO, du RSSI, des équipes de production et des achats.
Mettre en place une stratégie de destruction structurée, documentée et alignée sur les principaux référentiels permet de réduire fortement le risque de fuite lié aux matériels en fin de vie et de disposer, en cas de contrôle ou d’incident, de preuves concrètes à produire.
En tant que spécialiste de la destruction de matériel informatique, nous accompagnons les organisations qui souhaitent passer d’une gestion ponctuelle de leurs disques, serveurs et supports obsolètes à une véritable politique de destruction des supports intégrée à leur gouvernance des données. La contrainte réglementaire devient alors un atout : un meilleur contrôle des risques, une conformité plus robuste et un signal clair envoyé aux clients, partenaires et autorités sur le sérieux accordé à la protection des données.
Service de destruction de disques durs