Données dormantes : le risque RGPD caché dans vos fichiers

Votre NAS stocke des dossiers projets depuis 2018. Votre serveur partagé contient les fiches salariés d'anciens collaborateurs partis depuis cinq ans. Votre SharePoint archive des propositions commerciales avec les coordonnées de centaines de contacts, créées pour des appels d'offres jamais remportés.

Personne ne les consulte. Personne ne sait précisément ce qu'ils contiennent. Et pourtant, chacun de ces fichiers représente une infraction potentielle au RGPD — et une surface d'attaque réelle en cas d'incident.

Ce phénomène a un nom : les données dormantes. Pour les PME, il constitue le risque de conformité le plus étendu et le moins visible.

Les fichiers : le cœur du patrimoine data PME

Avant de parler de risque, il faut comprendre où vivent réellement les données d'une PME.

Les bases de données structurées — ERP, CRM, outils métier — sont visibles, administrées, sauvegardées. Elles font l'objet d'une attention IT régulière. Le cloud grandit, SharePoint et OneDrive accueillent de plus en plus de documents partagés.

Mais l'essentiel du patrimoine data reste dans les fichiers. Les données non structurées — fichiers, documents, emails, exports — représentent la grande majorité des données générées par les entreprises, et continuent de croître plusieurs fois plus vite que les données structurées (IDC, Global DataSphere Forecast).

Pour une PME, cela se traduit concrètement par : des NAS chargés d'archives depuis dix ans, des postes locaux avec des dossiers personnels de salariés partis, des exports CSV générés pour un projet ponctuel et jamais supprimés, des PDF de contrats expirés stockés "au cas où".

C'est là que le problème commence. Ces fichiers ne sont pas gouvernés. Ils ne sont pas inventoriés. Et ils contiennent souvent des données personnelles que personne ne soupçonne.

Ce que dit le RGPD : le principe de limitation de la conservation

L'article 5, paragraphe 1, alinéa e) du RGPD est explicite : les données personnelles doivent être conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

La règle est simple dans son principe : si la finalité qui justifiait la collecte a disparu, les données doivent être supprimées ou anonymisées. Un fichier de candidatures d'il y a six ans n'a plus de finalité active. Un export clients créé pour un projet clôturé non plus. Les conserver sans justification documentée, c'est violer l'article 5(1)(e) — pas une zone grise, une obligation légale.

Les autorités européennes de protection des données ont régulièrement sanctionné des organisations pour conservation excessive de données — des amendes atteignant plusieurs dizaines de millions d'euros pour des manquements à ce principe. En 2026, les contrôles s'intensifient et les exigences se durcissent. Le message est sans ambiguïté : l'absence de politique de conservation documentée est un risque réel, pas théorique.

Le ROT data : quand vos fichiers deviennent un passif

Dans la gouvernance des données, ce phénomène d'accumulation porte un nom précis : le ROT data — Redundant, Obsolete, Trivial. Des données qui ont eu une utilité, mais qui continuent de s'accumuler sans que personne ne s'en préoccupe.

Trois catégories concrètes dans une PME :

• Redondant — le même fichier client sauvegardé sur le NAS, dans SharePoint, et sur le poste local d'un commercial parti depuis deux ans. Trois copies, trois surfaces d'exposition.

• Obsolète — les contrats de prestataires expirés depuis cinq ans conservés "pour référence" dans un dossier partagé accessible à toute l'équipe. Ou les dossiers RH d'anciens salariés, conservés au-delà des durées recommandées.

• Trivial — les fichiers temporaires, brouillons, exports de test créés lors d'un projet. Ils contiennent pourtant souvent des données réelles — noms, emails, parfois des numéros de sécurité sociale extraits pour une vérification ponctuelle.

Ces fichiers ont un point commun : ils existent en dehors de tout système de gouvernance. Ils ne sont pas dans votre registre de traitements. Votre DPO ne les connaît pas. Et en cas de contrôle ou d'incident de sécurité, leur présence est un facteur aggravant.

Le double risque : compliance et sécurité

Les données dormantes créent simultanément deux types de risques.

Risque réglementaire. En cas de contrôle, l'absence de politique de conservation applicable et documentée constitue un manquement à l'obligation de responsabilité (Art. 5(2) RGPD). Le fichier de candidatures de 2019 encore présent sur votre serveur n'est pas une négligence pardonnable — c'est une infraction caractérisée.

Risque de sécurité. Les incidents liés à des exfiltrations de données ont augmenté de façon significative ces dernières années, selon l'ANSSI. La technique dominante du ransomware moderne — la double extorsion — consiste à exfiltrer les données avant de les chiffrer. Ce que les attaquants emportent, c'est l'ensemble de ce qui est stocké : y compris les fichiers dormants dont personne ne se souvenait.

Et c'est là que le problème se referme sur lui-même. En cas d'exfiltration, vous devez notifier l'autorité de contrôle dans les 72 heures (Art. 33 RGPD) en précisant la nature et le volume des données personnelles concernées. Si vous n'avez pas d'inventaire, vous ne pouvez pas rédiger cette notification correctement. Et l'incapacité à notifier dans les délais est elle-même une infraction supplémentaire.

Pourquoi les outils cloud-only ne suffisent pas

Une erreur courante consiste à croire que la migration vers le cloud résout le problème. Elle le déplace.

Les outils de gouvernance cloud surveillent ce qui est dans SharePoint, OneDrive, ou les espaces cloud d'entreprise. Ils ne voient pas les fichiers sur le NAS du bureau régional. Ils ne voient pas les archives sur le serveur Windows encore en production. Ils ne voient pas les postes locaux des équipes terrain.

Or c'est précisément là que le ROT data s'accumule depuis des années. Le cloud grandit, mais il s'ajoute aux fichiers locaux — il ne les remplace pas. Une stratégie de conformité qui ignore les fichiers locaux ignore l'essentiel du risque. Les deux axes doivent être couverts.

Ce que permet APOLLO Data Auditor

APOLLO Data Auditor adresse exactement ce problème. Son agent local scanne l'ensemble des fichiers — NAS, serveurs Windows et Linux, partages réseau, postes locaux, cloud OneDrive et SharePoint — et produit un inventaire complet des données personnelles détectées. Ce scan alimente quatre dimensions d'analyse : exposition financière RGPD et CCPA en euros et dollars, conformité par article, posture de protection et résilience, maturité et valeur des données.

Pas une déclaration — un scan. Pas une estimation — une mesure sur vos données réelles.

Déployable en 48h, sans modifier votre infrastructure, sans équipe dédiée.

contact@aiia-tech.com

© 2026 aiia-tech.com | Framework APOLLO™ - Méthodologie protégée.