« Avant de recycler les PC, il faut détruire les données sensibles »

01net. : En quoi le recyclage des équipements informatiques représente-t-il un risque pour les entreprises ?

Paul Dujancourt : Lorsqu'une entreprise se sépare d'un équipement destiné à être recyclé, celui-ci est généralement en état de fonctionnement. Si l'on ne prend pas ses précautions, cela revient à distribuer librement ses données professionnelles et personnelles dans la nature. Les prestataires qui proposent des services de recyclage ne mettent pas réellement en avant cette question. Une entreprise qui n'est pas sensibilisée court alors un vrai risque.

Connaissez-vous un cas concret qui pourrait illustrer ce problème ?

Je peux vous en citer un. Une entreprise s'est tournée un jour vers un prestataire spécialisé pour recycler une vingtaine de PC. Ce prestataire devait naturellement effacer les données. L'entreprise n'a visiblement pas eu confiance puisqu'elle a finalement repris les équipements et nous a demandé de certifier que l'effacement avait bien été effectué. Ce qui n'était pas le cas.

Quelle démarche une entreprise doit-elle suivre pour se protéger le mieux possible ?

Si l'équipement est en bon état, il peut être reconditionné pour une nouvelle utilisation, soit dans un autre service, soit à l'extérieur par l'intermédiaire d'une revente ou d'une donation. Il faut alors effacer durablement toutes les données sensibles des disques durs avec un formatage bas niveau.

Cet effacement peut être effectué par le service informatique de l'entreprise ou par un prestataire tiers au moyen de logiciels spécialisés qui réécrivent tous les secteurs d'un disque. C'est une opération qui peut prendre quelques heures, mais qui se fait de manière totalement automatisée.

Et si l'équipement est en fin de vie ?

Dans ce cas, il sera démantelé. Les disques durs ne seront plus réutilisés et il faut soit les démagnétiser, soit les broyer. Cela prend beaucoup moins de temps que l'effacement durable, mais les outils sont relativement onéreux. C'est une solution plutôt utilisée par des grands comptes ou proposée par des prestataires spécialisés.

Quelle que soit la situation - reconditionnement ou démantèlement -, si l'on décide de passer par un prestataire tiers, il faut toujours penser à réclamer une fiche de traçabilité pour avoir confirmation de la destruction des données.

Qu'en est-il des assistants mobiles tels que les PDA ou les smartphones ?

L'effacement durable des données est alors plus compliqué. Si l'appareil peut être branché sur un ordinateur et s'il se comporte comme un volume de données, on peut utiliser un logiciel de formatage. Sinon, on est un peu coincé et il n'y a pas de solution toute faite. Cela dit, les données qui figurent sur ce type d'appareil sont quand même moins sensibles que celles que l'on peut trouver sur un PC.