Un poste mis au rebut ou, simplement, changeant d'utilisateur contient encore sur son disque dur les données de l'ancien utilisateur, à moins que quelqu'un n'ait songé à les effacer. Ces données peuvent être confidentielles voire sensibles. Certains fichiers peuvent contenir des données personnelles soumises au RGPD. La question qui se pose évidemment est : qui va effacer ces données ? Selon une étude réalisée par le cabinet Coleman Parkes sur la commande de l'éditeur Blancco Technology Group, la réponse est tout sauf évidente. Et ces données non-effacées constituent donc une faille de sécurité pouvant engager la responsabilité de l'organisation au titre du RGPD.

Officiellement, 96 % des entreprises françaises ont mis en place une politique d'effacement des données. Mais 51 % ne l'ont pas communiquée en interne. 21 % des répondants pensent qu'elle n'est pas clairement définie. 75 % n'ont pas mis en oeuvre de politique de nettoyage récurrent (on en dit même pas « régulier »). Si 15 % des répondants dans le monde estiment être responsables du nettoyage de leurs propres postes, 23 % supposent que le responsable est leur supérieur hiérarchique. Cela n'empêche pas 57 % des répondants français d'être persuadés que le responsable de l'effacement des données a bien été défini. Or les responsables cités sont très variés : responsable des opérations (27%), responsable juridique (24%), responsable de la conformité (15%) et seulement ensuite 14 % pour un membre de la DSI et 10 % pour le DPO.

En cas de mise au rebut d'un matériel, 98 % des répondants reconnaissent ne pas effacer immédiatement les données. 29 % reconnaissent mettre plus d'un mois avant de s'en préoccuper. 45 % des entreprises externalisent l'opération de nettoyage.