Guide

Standards de reprise de matériel informatique pour le réemploi.

Q: Faut-il détruire physiquement les disques systématiquement ?

Non, et c'est même à éviter sans justification : un disque détruit ne peut plus être réemployé, ce qui dégrade le bilan carbone de l'opération. Réservez la destruction physique aux cas qui la justifient : disques défectueux qui ne permettent pas une Purge fiable, disques chiffrés dont on a perdu la clé, données classées sensibles par votre politique interne.

Q: Un certificat d'effacement « par lot » est-il acceptable ?

Non, plus aujourd'hui. Les auditeurs internes comme les contrôleurs CNIL attendent une traçabilité unitaire : quel numéro de série a été effacé selon quelle méthode, quand, par qui, avec quel résultat. Un certificat global « Lot X : 120 disques effacés » vous expose en cas de contentieux — vous ne pouvez pas prouver que le disque problématique était bien dans le lot traité.

Q: Trackdéchets s'applique-t-il à tous les équipements IT ?

Non. La dématérialisation Trackdéchets s'applique aux déchets dangereux (BSDD) : écrans cathodiques, équipements contenant mercure ou substances spécifiques. Les DEEE non dangereux suivent les filières des éco-organismes (Ecosystem, Ecologic) avec leurs propres bordereaux. Pour un parc de PC portables standard, Trackdéchets ne s'applique qu'à la fraction réellement non-reconditionnable orientée en destruction.

Q: Quelle différence entre un reconditionneur et un opérateur ITAD ?

Les termes sont souvent utilisés de manière interchangeable, avec une nuance : un reconditionneur se concentre sur la remise en état et la revente d'équipements. Un opérateur ITAD (IT Asset Disposition) propose une prestation complète, souvent contractualisée avec des grands comptes, incluant l'enlèvement, la gestion documentaire, la destruction certifiée et la revente ou le recyclage. Beaucoup d'acteurs font les deux.

Q: Combien de temps conserver les certificats et les bons de cession ?

Les règles suivent le droit commun : 5 ans minimum pour les éléments comptables et RGPD, 10 ans pour les pièces fiscales. Les BSD ont leurs propres durées (5 ans producteurs et installations de traitement, 3 ans transporteurs). En pratique, archiver l'intégralité du dossier pendant 10 ans est une sécurité raisonnable — et pas coûteuse en stockage.

Q: Peut-on demander un audit sur site avant de confier le matériel ?

Oui, et c'est même recommandé pour des volumes importants. Un audit de 2 heures sur site d'un prestataire vous montre immédiatement la maturité de ses processus : zone sécurisée de réception, outillage d'effacement, système informatique de traçabilité, rigueur documentaire. Les prestataires sérieux acceptent et facilitent ce type d'audit.

Q: Qui est responsable en cas de fuite de données après la cession ?

Jusqu'à l'effacement certifié, le cédant reste responsable au sens du RGPD en tant que responsable de traitement initial. Après effacement certifié (certificat daté, horodaté, indexé par numéro de série), la responsabilité bascule vers le prestataire en cas de défaillance de sa méthode d'effacement. D'où l'importance d'exiger un certificat fiable et de le conserver.

Vous avez un parc IT à céder et vous voulez être sûr de bien faire. Ce guide détaille les standards attendus d'une opération propre — effacement, traçabilité, documentation — et comment qualifier le prestataire qui vous les fournira.

Mis à jour le 21 avril 20269 min de lecture

À retenir

Effacement « Purge » minimum

Le niveau NIST 800-88 « Purge » est attendu en environnement pro. « Clear » (format rapide) ne suffit pas pour des données professionnelles.

Un certificat par numéro de série

Le certificat par lot n'est plus acceptable : chaque équipement doit être traçable individuellement (SN, IMEI, MAC).

Trackdéchets pour les déchets dangereux

Les DEEE dangereux (écrans cathodiques, équipements à mercure, etc.) imposent un BSD dématérialisé depuis 2022.

Le bénéfice carbone vous appartient

La base ADEME attribue les kg CO₂e évités au cédant (vous), pas au reconditionneur. À faire figurer dans votre bilan CSRD ou RSE.

1. Pourquoi des standards ?

Céder un parc informatique à un reconditionneur a longtemps été considéré comme un acte administratif de second plan, souvent délégué à un prestataire externe sans contrôle. Trois évolutions simultanées ont changé la donne :

Le RGPD (2018) a rendu chaque responsable de traitement comptable du sort des données présentes sur les équipements cédés, même après l'externalisation.
La loi AGEC (2020) a rehaussé les obligations de traçabilité et de valorisation, en imposant notamment 20 % de réemploi dans la commande publique IT (article 58).
La CSRD (2024) impose à un nombre croissant d'entreprises de documenter leur bilan carbone — dont le bénéfice environnemental du réemploi fait partie.

Conséquence : le « on envoie tout chez le broker du coin » qui était courant il y a dix ans est aujourd'hui un risque juridique, réglementaire et réputationnel. Vos auditeurs internes, vos DPO et vos responsables RSE attendent désormais des preuves, pas des promesses.

2. Les trois piliers d'une reprise propre

Quelle que soit la taille du parc ou le profil du prestataire, une opération de reprise conforme repose sur trois piliers :

Sécurité des données : chaque support est effacé selon un standard reconnu, certifié, horodaté.
Traçabilité physique : chaque équipement est suivi individuellement, du départ de vos locaux à son devenir final (revente, pièces détachées, recyclage).
Documentation opposable : l'ensemble de l'opération est documenté dans un dossier restitué — pièces probantes conservables plusieurs années.

3. Standard 1 — L'effacement des données

La référence internationale en matière d'effacement de médias de stockage est la publication NIST SP 800-88 Rev. 1, complétée depuis 2022 par la norme IEEE 2883. Ces documents définissent trois niveaux :

Clear : effacement logique via commandes standards (ex : format, suppression logique). Protection contre la récupération par des outils grand public. Insuffisant pour des données pro.
Purge : effacement résistant à une récupération en laboratoire — commandes ATA Secure Erase pour SSD, effacement cryptographique pour disques chiffrés, overwriting multi-passes certifiés pour HDD. Niveau attendu pour les données professionnelles.
Destroy : destruction physique irréversible (broyage, dégaussing, incinération contrôlée). Obligatoire pour médias défectueux ou données hautement sensibles (classifiées, santé, défense).

Cas particuliers

SSD / NVMe : les commandes ATA Secure Erase (pour disques SATA) et NVMe Format (pour disques NVMe) sont les méthodes privilégiées. Un simple overwriting sur SSD est inefficace en raison du wear-leveling.
Disques chiffrés : l'effacement cryptographique (destruction de la clé) est très rapide et considéré comme conforme Purge par le NIST. Attention à bien s'assurer que le chiffrement était effectif avant la mise en rebut.
Mobiles et tablettes : le « factory reset » est considéré comme un effacement Purge sur les appareils récents (iOS ≥ 10, Android ≥ 7 avec chiffrement natif). Vérifier explicitement que le compte propriétaire a été dissocié (Find My, Knox…) pour éviter tout blocage du nouvel utilisateur.
Serveurs, baies de stockage, réseaux : chaque disque est traité individuellement. Les firmwares réseau (switches, routeurs) doivent également être réinitialisés à leurs paramètres d'usine.

4. Standard 2 — La traçabilité unitaire

Une opération sérieuse ne se pilote pas « par palette », mais à l'unité. Chaque équipement est identifié par son numéro de série (SN), complété du cas échéant par l'IMEI pour les mobiles et l'adresse MAC pour les équipements réseau.

La traçabilité unitaire répond à deux besoins distincts :

La chaîne de responsabilité : qui détient quoi, à quelle date ? L'équipement a-t-il quitté votre site le 12 mars à 10h30 dans le camion du transporteur X, et est-il arrivé chez le reconditionneur Y le 12 mars à 16h00 ? En cas de perte ou d'incident, la responsabilité peut être imputée précisément.
La restitution documentaire ciblée : « qu'est-il advenu du PC portable SN ABC12345 cédé en mars ? » doit pouvoir recevoir une réponse précise. Un audit CNIL qui s'intéresse à une donnée compromise ne se satisfait pas d'un « il était dans le lot ».

Les informations à tracer, minimum

Identifiant unitaire (SN, IMEI, MAC)
Modèle, marque, année de fabrication si disponible
État à la réception (fonctionnel, partiellement fonctionnel, non-fonctionnel)
Méthode d'effacement appliquée (niveau NIST, outil utilisé, horodatage)
Devenir final (revente en l'état, revente après pièces, filière DEEE, destruction)
Si revente : date de sortie et éventuellement nature du client (pas l'identité pour raisons commerciales, mais « grand compte »/« particulier »/« reconditionneur tiers » est utile).

5. Standard 3 — Les preuves documentaires

Le dossier remis par un prestataire sérieux en fin d'opération comprend typiquement :

Bon de cession signé : document contractuel qui matérialise le transfert de propriété, avec inventaire annexé.
Certificats d'effacement individuels : un par équipement, indexé par SN, mentionnant la méthode (niveau NIST), l'outil, la date, le technicien opérateur.
Attestation de réemploi : pour les équipements reconditionnés, attestation du nombre d'unités effectivement remises sur le marché — utile pour votre bilan AGEC et RSE.
Bilan carbone : attestation des kg CO₂e évités par le réemploi des équipements cédés, calculé sur base ADEME (étude impact reconditionnement 2022 ou ultérieure).
Bordereaux de suivi des déchets (BSD) : pour la fraction orientée en filière DEEE, avec indication de l'éco-organisme partenaire (Ecosystem, Ecologic) et du traitement final.
Rapport de synthèse : synthèse de l'opération, souvent en PDF, compilant les éléments ci-dessus.

6. Standard 4 — Qualifier le prestataire

Au-delà des livrables, la maturité du prestataire est elle-même un standard à vérifier. Les critères objectifs :

Inscription sur Trackdéchets (plateforme d'État) — vérifie la reconnaissance comme producteur, transporteur ou installation de traitement de déchets.
Agrément éco-organisme DEEE : partenariat déclaré avec Ecologic et/ou Ecosystem, les deux éco-organismes agréés en France.
Certifications qualité : ISO 9001 (qualité), ISO 14001 (environnement), ISO 27001 (sécurité information). Toutes ne sont pas obligatoires, mais leur présence signale une maturité processus.
Référencement R2 ou e-Stewards (pour les opérateurs anglo-saxons ou internationaux) : les deux principaux standards du secteur ITAD.
Assurance responsabilité civile professionnelle : avec un volet spécifique « données » dont le plafond correspond au risque porté.

Les critères qualitatifs, plus difficiles à objectiver mais tout aussi importants :

Utilise-t-il un logiciel métier dédié pour sa traçabilité (ou tracte-t-il les opérations dans un tableur) ?
Accepte-t-il un audit sur site avant contractualisation ?
A-t-il une politique d'effacement écrite, publique ou communicable ?
Peut-il citer des références clients de taille comparable à la vôtre ?

7. Le process type en 6 étapes

Une opération propre suit typiquement les étapes suivantes :

Inventaire amont et catégorisation : vous listez le matériel à céder, même de manière déclarative (approximative) — nombres, modèles, état global, localisation.
Cotation indicative : le prestataire émet une première cotation basée sur votre déclaration, avec hypothèses explicites sur l'état.
Enlèvement et audit de réception : logistique organisée par le prestataire, palettisation si nécessaire, puis audit unitaire à l'arrivée dans son atelier. Rapport d'écart si le déclaratif s'avère inexact.
Effacement et tests : application du niveau NIST approprié sur chaque disque, tests fonctionnels, catégorisation en grades (A, B, C, non-reconditionnable).
Cotation ferme et transfert : cotation définitive justifiée (rapport d'écart si différence avec l'indicatif), signature du bon de cession, règlement.
Reconditionnement ou filière DEEE : les équipements reconditionnables sont remis sur le marché (directement ou via pièces détachées), les non-reconditionnables orientés en filière DEEE avec BSD.

L'ensemble du processus prend généralement 2 à 4 semaines pour un parc standard, davantage pour les volumes très importants ou les contextes complexes (audit approfondi, effacement physique obligatoire, etc.).

~170 kg

CO₂e économisés par poste portable réemployé (vs fabrication neuve)

Source : ADEME — étude impact reconditionnement 2022

~25 %

Part des DEEE collectés effectivement réemployés en France

Source : ADEME — rapport DEEE

85 %

Objectif de valorisation des DEEE à horizon 2030 (Directive DEEE)

Source : Directive 2012/19/UE

8. Checklist d'évaluation d'un prestataire

Avant de contractualiser, cette grille synthétique vous permet de vérifier rapidement si le prestataire coche les cases essentielles. Prévoyez un rendez-vous dédié pour la parcourir point par point.

Inscription Trackdéchets vérifiable en ligne

Partenariat(s) éco-organisme(s) DEEE explicités

Politique d'effacement écrite et communicable (niveaux NIST appliqués, matrice par type de média)

Système de traçabilité unitaire par SN/IMEI démontrable (pas un tableur)

Échantillon de dossier type fourni (certificats, bons de cession, bilan carbone, BSD)

Capacité à produire un certificat d'effacement individuel, pas de lot

Bilan carbone livré automatiquement avec le dossier

Acceptation d'un audit sur site avant contractualisation

Assurance RC pro avec volet données, plafond à évaluer selon le risque

Références clients citables, de taille et secteur comparables

9. Les mauvaises pratiques à éviter

Les signaux faibles qui doivent vous faire interroger le choix d'un partenaire — ou vous faire poser plus de questions.

« On fait un reset complet » sans mention du niveau NIST : trop vague. Vous voulez savoir si c'est Clear, Purge ou Destroy, et sur quels types de média.
Certificat unique « Lot 42 : 120 disques effacés » sans détail unitaire : non opposable en cas de contentieux sur un équipement précis.
Destruction physique systématique sans justification : détruit la valeur, plombe le bilan carbone, et n'est pas nécessaire pour la plupart des parcs.
Prix « au poids » pour du matériel IT pro : signal d'une filière déchets plutôt que réemploi. Acceptable uniquement pour la fraction strictement destinée au recyclage.
Refus d'audit sur site : acceptable si argumenté (confidentialité, autres clients) mais pas en règle générale.
Opération sans BSD pour des équipements qui en requièrent : écrans cathodiques, équipements mercure, certains composants électroniques — contrôle Trackdéchets immédiat.
« On s'occupe de tout, ne vous inquiétez pas » : un prestataire sérieux ne minimise pas la complexité, il la structure et la documente. La trop grande légèreté est un signal.

10. Comment un outil métier industrialise les standards

Les standards ci-dessus sont exigeants. Sans outillage dédié, ils peuvent devenir impossibles à tenir à l'échelle — ou coûteux en main-d'œuvre administrative. C'est précisément ce que résolvent les plateformes métier spécialisées comme Remastr, utilisée par un réseau de reconditionneurs français :

Ce qu'un reconditionneur équipé Remastr livre automatiquement

Traçabilité unitaire native : chaque équipement est enregistré par SN/IMEI dès la réception, avec historique complet (qui l'a manipulé, à quelle date, quel statut).
Certificats d'effacement individuels : génération automatique par numéro de série, avec méthode, outil, technicien, horodatage. Impossible d'oublier.
Bilan carbone par lot : calcul automatique sur base ADEME des kg CO₂e évités par les équipements reconditionnés — attribué à vous, cédant, pour votre reporting CSRD.
Bon de cession et rapport d'écart : contractuels, signables électroniquement, générés sans ressaisie à partir des données métier.
Intégration BSD Trackdéchets : référencement des bordereaux émis pour la fraction DEEE, archivés dans le dossier.
Export documentaire complet : l'ensemble des pièces vous est restitué en un clic, dans un dossier daté et archivable 10 ans sans effort.

Concrètement, cela signifie qu'en travaillant avec un reconditionneur équipé, vous obtenez par défaut le niveau de rigueur documentaire attendu — sans avoir à le demander à chaque étape, sans avoir à auditer la cohérence entre des pièces produites dans trois outils différents.

11. Questions fréquentes

Qu'est-ce qui distingue un effacement NIST 800-88 « Clear » d'un effacement « Purge » ?

Le niveau Clear consiste à écraser les données via les commandes standards du système — rapide, mais théoriquement récupérable avec des outils spécialisés sur disques traditionnels. Le niveau Purge va plus loin : effacement cryptographique sur disques chiffrés, commandes ATA Secure Erase pour les SSD, ou overwriting multi-passes sur HDD. Pour les données professionnelles, le standard attendu est Purge. Le niveau Destroy (destruction physique par broyage ou dégaussing) reste obligatoire pour les médias défectueux ou les données les plus sensibles (défense, santé).

Faut-il détruire physiquement les disques systématiquement ?

Un certificat d'effacement « par lot » est-il acceptable ?

Trackdéchets s'applique-t-il à tous les équipements IT ?

Quelle différence entre un reconditionneur et un opérateur ITAD ?

Combien de temps conserver les certificats et les bons de cession ?

Peut-on demander un audit sur site avant de confier le matériel ?

Qui est responsable en cas de fuite de données après la cession ?

12. Sources et références

Les standards cités dans ce guide s'appuient sur les publications et textes de référence suivants. Ils évoluent régulièrement : consultez les versions en vigueur à la date de votre opération.

NIST SP 800-88 Rev. 1 — Guidelines for Media Sanitization
National Institute of Standards and Technology
IEEE Std 2883-2022 — Standard for Sanitizing Storage
IEEE
CNIL — Les bonnes pratiques en matière d'effacement sécurisé
CNIL
Loi AGEC — loi n° 2020-105 du 10 février 2020
Légifrance
Directive DEEE 2012/19/UE
Union européenne
ADEME — Évaluation de l'impact environnemental d'un ensemble de produits reconditionnés (2022)
ADEME
Trackdéchets — plateforme officielle des bordereaux dématérialisés
Ministère de la Transition écologique