IT

Vraiment supprimer les données dans le cloud, comment en être sûr ?

16 mai 2026 · 8 min de lecture · DeSnipperaar

Le bouton supprimer dans le cloud paraît définitif. Fichier disparu de l'interface, corbeille vidée, terminé. Mais derrière cette seule action se trouvent différents systèmes qui avancent chacun à leur propre rythme pour réellement effacer les données. Réplication entre centres de données, sauvegardes quotidiennes, systèmes de journalisation, instantanés de surveillance. Autant de copies qui ne suivent pas automatiquement la suppression. Pour les organisations responsables, c'est un thème important dans la politique de conservation et lors de l'abandon d'un fournisseur cloud.

Trois couches sur lesquelles agit une suppression

Couche 1. L'application

Ce que vous voyez en tant qu'utilisateur. Un document disparaît de Drive, un enregistrement est « archivé » dans un CRM, une boîte mail est vidée. À cette couche, il est presque toujours vrai que la donnée n'est que masquée. Dans la base de données sous-jacente, l'enregistrement existe encore, souvent avec un indicateur « supprimé ».

Couche 2. La base de données

Les enregistrements marqués comme supprimés sont périodiquement réellement retirés, parfois après 30 jours, parfois après 90, parfois seulement lors d'un nettoyage manuel. Les bases de données utilisent souvent le « soft delete » pour permettre la récupération après erreur et garder intacts les journaux d'audit.

Couche 3. Le stockage physique

C'est ici que réside la destruction réellement illisible. Sur les SSD d'un centre de données, le stockage physique n'est écrasé que lorsque de nouvelles données prennent sa place. Jusqu'à ce moment, les anciennes données reposent dans des cellules que le fournisseur ne considère plus comme occupées mais qui restent physiquement lisibles. Comment s'applique ici la distinction entre effacer et détruire, vous le lisez dans cet article. Pour le cloud, il y a aussi une quatrième couche, la réplication.

Ce que fait la réplication

Les fournisseurs cloud répliquent automatiquement les données sur plusieurs centres de données pour la fiabilité. Cela signifie qu'une suppression doit se propager à toutes les réplicas. AWS, GCP et Azure documentent que cela se produit en quelques secondes à quelques minutes pour les données en service. Mais.

• Les sauvegardes ont leur propre conservation et échappent souvent à la chaîne de suppression.
• Les instantanés réalisés pour des raisons opérationnelles sont conservés selon un cycle distinct.
• Les journaux et la surveillance contiennent souvent des fragments de données dans les chemins d'URL, les charges utiles ou les traces d'erreur.
• Les couches de cache peuvent retenir des copies brièvement, parfois aux points de bordure des CDN.

L'effacement cryptographique, un raccourci élégant

L'approche moderne dans le cloud d'entreprise s'appelle l'effacement cryptographique. Les données sont stockées chiffrées. À la suppression, c'est la clé qui est détruite plutôt que la donnée elle-même. Sans la clé, la donnée chiffrée est effectivement aléatoire, ce que la norme NIST 800-88 accepte comme une forme de Purge.

Avantage, la suppression est instantanée quel que soit le nombre de réplicas, car la clé est un objet unique. Inconvénient, vous faites confiance au fournisseur pour réellement détruire la clé et ne pas en garder une copie dans une archive de gestion de clés. Pour la plupart des clients et des cas d'usage, cette relation de confiance est acceptable. Pour les secteurs fortement régulés, c'est une raison d'exiger des garanties supplémentaires. Lisez-en plus sur les normes NIST et DIN.

Ce que la politique de conservation doit consigner

1. Quelles données relèvent de quel délai de conservation. Voir l'aide-mémoire des délais de conservation RGPD pour les délais légaux.
2. Combien de temps les sauvegardes existent et ce que cela implique pour les demandes de « droit à l'oubli ».
3. Ce qui se retrouve dans les journaux et les pistes d'audit et combien de temps ils sont conservés.
4. Comment votre fournisseur traite les suppressions. Suppression synchrone sur tous les centres de données, ou asynchrone ? En obtenez-vous une preuve ?
5. Les options d'effacement cryptographique par service.

Ce que votre fournisseur doit livrer

• Une attestation de suppression de données sur demande, avec date et périmètre.
• Un processus conforme à NIST 800-88 pour la couche physique (remplacement de disque, secure-erase).
• La documentation du cycle de sauvegarde et la manière dont les suppressions s'y propagent.
• Un SLA sur le délai de suppression, pas seulement sur la réplication.
• Des clauses contractuelles types au titre du RGPD pour le cloud transfrontalier.

Un bouton supprimer est une instruction, pas une destruction. Demandez explicitement à votre fournisseur la preuve que l'instruction est aussi exécutée au niveau physique.

Quand le cloud ne suffit pas

Pour certaines catégories de données, la suppression cloud ne suffit pas. Les dossiers de patients, les domaines couverts par le secret professionnel ou les secrets d'État doivent résider sur des supports dont vous pouvez prouver la destruction physique. L'effacement cryptographique est alors insuffisant. Vous voulez voir le disque lui-même déchiqueté. Pour le matériel sur site en fin de vie, c'est la voie standard. Lisez comment un disque dur est déchiqueté.

Plan d'action pratique pour un abandon

1. Inventoriez quelles données se trouvent dans le cloud et quels délais de conservation s'y appliquent.
2. Déterminez si l'effacement cryptographique suffit pour votre classification, ou si une destruction physique est nécessaire.
3. Demandez à votre fournisseur une attestation de suppression de données avec date et périmètre.
4. Pour les données hors du cloud (fichiers d'export, sauvegardes propres sur USB ou HDD), détruisez physiquement.
5. Conservez l'attestation et le certificat dans votre registre des traitements.

---

Votre organisation travaille-t-elle sur un abandon du cloud ? Écrivez-nous via desnipperaar.nl au sujet des restes physiques de vos sauvegardes sur site.