RGPD et sauvegarde des données : Ce que toute entreprise doit savoir

Depuis mai 2018, le RGPD (Règlement Général sur la Protection des Données) impose des obligations strictes aux entreprises. La sauvegarde et la sécurisation des données en font partie. Voici ce que vous devez absolument savoir pour éviter les amendes.

📋 RGPD : Les obligations en matière de sauvegarde

Principe d'intégrité et de confidentialité (Art. 5)

Le RGPD impose de garantir :

1. L'intégrité : Les données ne doivent pas être altérées ou perdues

1. La confidentialité : Protection contre accès non autorisé

1. La disponibilité : Accès aux données quand nécessaire

Concrètement : Vous devez pouvoir prouver que vos données sont sauvegardées, sécurisées et récupérables.

Mesures de sécurité appropriées (Art. 32)

L'article 32 exige la mise en œuvre de mesures techniques et organisationnelles :

1. ✅ Chiffrement des données

1. ✅ Capacité à garantir la disponibilité

1. ✅ Procédure de test et évaluation

1. ✅ Capacité à restaurer rapidement

Attention : Le niveau de sécurité doit être proportionnel aux risques !

Notification des violations (Art. 33-34)

En cas de fuite de données, vous avez 72 heures pour notifier :

1. La CNIL

1. Les personnes concernées (si risque élevé)

⚠️ Sans sauvegarde, impossible de :

1. Déterminer l'étendue de la violation

1. Restaurer les données

1. Prouver vos mesures de protection

Sanctions possibles

Amendes RGPD :

1. Jusqu'à 20 millions d'euros

1. OU 4% du chiffre d'affaires annuel mondial

1. Le montant le plus élevé s'applique !

Exemples réels :

1. Google : 50 millions € (2019)

1. Amazon : 746 millions € (2021)

1. TikTok : 5 millions € (2023)

🎯 Stratégie de sauvegarde conforme RGPD

Règle des 3-2-1-1-0 (version RGPD)

Evolution de la règle 3-2-1 classique :

2. 3 copies de vos données (original + 2 backups)

1. 2 supports différents (NAS + Cloud par exemple)

1. 1 copie hors site (protection sinistre)

1. 1 copie offline/immuable (protection ransomware)

1. 0 erreur lors des tests de restauration

Fréquence des sauvegardes

Selon criticité des données :

| Type de données | Fréquence | Rétention | Exemple | |----------------|-----------|-----------|---------| | Critiques | Temps réel / Continu | 30-90 jours | Base clients, compta | | Importantes | Quotidienne | 30 jours | Documents projets | | Standard | Hebdomadaire | 4 semaines | Archives | | Archivage légal | Mensuelle | 3-10 ans | Contrats, factures |

Calcul RPO/RTO :

1. RPO (Recovery Point Objective) : Perte de données max acceptable

1. RTO (Recovery Time Objective) : Temps de restauration max acceptable

Exemple : `` E-commerce :

1. RPO : 1 heure (perte max 1h de commandes)

1. RTO : 4 heures (reprise sous 4h max)

→ Backup toutes les heures + infra répliquée `

Chiffrement obligatoire

En transit :

1. TLS 1.2+ pour transferts réseau

1. VPN pour backups distants

1. HTTPS pour accès cloud

Au repos :

1. AES-256 minimum

1. Clés de chiffrement sécurisées (HSM, Azure Key Vault)

1. Chiffrement côté client (données chiffrées AVANT envoi cloud)

Gestion des clés : ` ❌ MAUVAIS : Clé stockée avec la sauvegarde

✅ CORRECT : Clé dans coffre-fort sécurisé séparé (Azure Key Vault, AWS KMS, HashiCorp Vault) `

Durée de conservation RGPD

Principe : Ne conserver que le temps nécessaire !

Durées légales :

1. Contrats : 5 ans après fin relation

1. Comptabilité : 10 ans

1. Paie : 5 ans

1. Données prospects sans réponse : 3 ans max

1. Logs de connexion : 6 mois - 1 an

1. Vidéosurveillance : 30 jours max

Purge automatique : `bash Exemple politique rétention :

1. Quotidienne : 30 jours

1. Hebdomadaire : 3 mois

1. Mensuelle : 1 an

1. Annuelle : 10 ans (archives légales)

→ Suppression automatique passé ces délais `

🛠️ Solutions de sauvegarde conformes RGPD

Solutions cloud (SaaS)

Critères de sélection :

1. ✅ Datacenters en UE (RGPD)

1. ✅ Certifications ISO 27001, SOC 2

1. ✅ Chiffrement de bout en bout

1. ✅ Garanties contractuelles (DPA)

1. ✅ Support GDPR (droit à l'oubli, portabilité)

Recommandations :

Microsoft Azure Backup

1. Avantages :

- Intégration Microsoft 365 - Datacenters FR/UE - Certifications RGPD - Versioning et soft delete

1. Prix : 0.15€/Go/mois

1. Idéal pour : PME sous Microsoft

Veeam Backup & Replication

1. Avantages :

- Solution leader marché - Support multi-cloud - Immutabilité des backups - Tests de restauration automatiques

1. Prix : À partir de 30€/mois/VM

1. Idéal pour : Infrastructures virtualisées

Acronis Cyber Protect

1. Avantages :

- Backup + antivirus + EDR - Protection anti-ransomware

1. Blockchain authentication

- Gestion centralisée

1. Prix : À partir de 5€/poste/mois

1. Idéal pour : All-in-one sécurité

Backblaze B2 (stockage objet)

1. Avantages :

- Très économique (6€/To/mois) - API S3-compatible - Pas de frais de sortie (egress) - Versioning inclus

1. Prix : 0.006€/Go/mois

1. Idéal pour : Archivage long terme

Solutions on-premise

NAS professionnels :

Synology / QNAP

1. Snapshots immuables

1. Réplication vers cloud

1. Chiffrement AES-256

1. Active Directory integration

1. Prix : 500-3000€ selon capacité

Configuration type PME : ` Synology DS920+ (4 baies) + 4x HDD 4To WD Red Pro + Package Hyper Backup + Réplication cloud Wasabi/B2 = ~1500€ initial + 10€/mois cloud `

TrueNAS

1. Open source gratuit

1. ZFS avec checksums

1. Snapshots illimités

1. Réplication intégrée

1. Prix : Gratuit (logiciel) + matériel

⚠️ Important : NAS sur site = risque incendie/vol → Cloud obligatoire en complément !

Solutions hybrides (recommandé)

Architecture optimale :

` [Production] ↓ [Backup local NAS] ← Restauration rapide (RTO court) ↓ [Réplication cloud] ← Protection sinistre ↓ [Archive froide] ← Conservation légale `

Avantages :

1. ✅ Restauration rapide (local)

1. ✅ Protection complète (cloud)

1. ✅ Coûts optimisés

1. ✅ Conformité RGPD

📄 Documentation obligatoire

Registre des traitements (Art. 30)

Vous devez documenter :

1. Nature des données sauvegardées

1. Finalité des sauvegardes

1. Durées de conservation

1. Mesures de sécurité (chiffrement, accès)

1. Localisation des sauvegardes

1. Sous-traitants (providers cloud)

Template registre : `markdown

Traitement : Sauvegarde données clients

Finalité : Garantir disponibilité et restauration

Base légale : Intérêt légitime (continuité activité)

Données concernées :

1. Nom, prénom

1. Email, téléphone

1. Historique achats

1. Données bancaires (tokenisées)

Destinataires :

1. Administrateurs IT (2 personnes)

1. Provider cloud : Azure (Microsoft Ireland)

Durée conservation :

1. Sauvegarde : 90 jours

1. Archive : 10 ans (obligation légale compta)

Mesures sécurité :

1. Chiffrement AES-256

1. Accès MFA uniquement

1. Logs d'accès conservés 1 an

1. Tests restauration trimestriels

Transferts hors UE : NON `

DPA (Data Processing Agreement)

Obligatoire avec tout sous-traitant (provider cloud) :

1. Clauses RGPD standard

1. Garanties de sécurité

1. Droits d'audit

1. Assistance en cas d'incident

1. Localisation des données

Vérifier avant signature :

1. [ ] Clauses contractuelles types UE validées

1. [ ] Engagement datacenters UE

1. [ ] Procédure notification violation < 24h

1. [ ] Assistance droit d'accès/rectification/effacement

1. [ ] Garantie de restitution des données

Plan de Reprise d'Activité (PRA)

Éléments clés :

1. 1. Inventaire des actifs critiques

1. 2. Procédures de restauration détaillées

1. 3. Ordre de priorité des restaurations

1. 4. Contacts d'urgence

1. 5. Tests réguliers (au moins annuel)

Exemple procédure : `markdown

Procédure restauration serveur principal

RPO : 4 heures RTO : 8 heures

Étapes :

1. 1. Notification équipe (< 15 min)

1. 2. Évaluation dommages (< 30 min)

1. 3. Décision restauration ou bascule (< 1h)

1. 4. Restauration données depuis backup J-1 (2-4h)

1. 5. Replay logs transactionnels (1h)

1. 6. Tests fonctionnels (1h)

1. 7. Mise en production (30 min)

Responsables :

1. Chef projet : Jean Dupont (06.XX.XX.XX.XX)

1. IT : Marie Martin (06.XX.XX.XX.XX)

1. Provider : Support 24/7 (+33.X.XX.XX.XX.XX)

Dernière mise à jour : 15/01/2024 Dernier test : 10/12/2023 (succès) `

🔍 Tests et audits

Tests de restauration obligatoires

Fréquence recommandée :

1. Critiques : Mensuel

1. Important : Trimestriel

1. Standard : Semestriel

1. PRA complet : Annuel

Types de tests :

1. Test basique (fichier unique) `bash Objectif : Vérifier intégrité backup Durée : 15 min Fréquence : Mensuel `

2. Test applicatif (base de données) `bash Objectif : Restauration DB complète Durée : 2-4h Fréquence : Trimestriel `

3. Test de bascule (PRA complet) `bash Objectif : Restauration infrastructure complète Durée : 1 journée Fréquence : Annuel Astuce : Planifier pendant jour férié `

Documentation tests : `markdown

Test restauration - 15/01/2024

Type : Restauration DB clients

Durée réelle : 3h20 (objectif 4h) ✅

Résultat : SUCCÈS

Points positifs :

1. Procédure claire et suivie

1. Restauration complète sans perte

1. Communication fluide équipe

Points d'amélioration :

1. Accélération requête clés chiffrement (20 min perdu)

1. Documenter étape validation intégrité

Actions :

1. [ ] Mettre à jour procédure (Jean, 22/01)

1. [ ] Pré-positionner clés (Marie, 25/01)

Prochaine date : 15/04/2024 ``

Audits de conformité

Audit interne (trimestriel) :

1. [ ] Backups effectués selon planning

1. [ ] Chiffrement activé et fonctionnel

1. [ ] Accès limités et logués

1. [ ] Documentation à jour

1. [ ] Durées de conservation respectées

Audit externe (annuel) :

1. Obligatoire si > 250 employés OU données sensibles

1. Par auditeur certifié (CNIL, ISO 27001)

1. Rapport d'audit conservé 3 ans

Auto-évaluation gratuite : → Questionnaire CNIL : https://www.cnil.fr/fr/RGPD-questionnaire

⚠️ Erreurs courantes à éviter

❌ Erreur #1 : Backup unique sur site

Problème : Incendie/inondation = perte totale

Solution : Toujours une copie cloud ou hors site

❌ Erreur #2 : Pas de test de restauration

Problème : 30% des backups sont inutilisables !

Citation célèbre : > "Ce qui compte n'est pas le backup, c'est le restore."

Solution : Tests réguliers obligatoires

❌ Erreur #3 : Backup sans chiffrement

Problème : Vol/perte = violation RGPD notifiable

Solution : Chiffrement systématique AES-256+

❌ Erreur #4 : Conservation illimitée

Problème : Non-conformité RGPD (minimisation)

Solution : Purge automatique selon durées légales

❌ Erreur #5 : Pas de DPA signé

Problème : Responsabilité partagée non définie

Solution : DPA obligatoire AVANT toute sauvegarde cloud

❌ Erreur #6 : Backup accessible en ligne

Problème : Ransomware peut chiffrer les backups !

Solution : Backup immutable ou air-gapped

❌ Erreur #7 : Oublier les sauvegardes SaaS

Problème : Microsoft/Google ne backupent PAS vos données !

Solution : Backup tiers pour Microsoft 365, Google Workspace

💰 Coûts réels d'une solution conforme

Budget type PME (50 postes)

Infrastructure : | Élément | Coût initial | Coût mensuel | |---------|--------------|--------------| | NAS Synology | 2000€ | - | | Disques 20 To | 1500€ | - | | Licences Veeam | - | 150€ | | Stockage cloud 500 Go | - | 50€ | | TOTAL AN 1 | 3500€ | 200€ | | TOTAL AN 2+ | - | 200€ |

Services : | Service | Fréquence | Coût | |---------|-----------|------| | Audit conformité | Annuel | 1500-3000€ | | Tests PRA | Annuel | 1000€ | | Formation équipe | Annuel | 500€ | | TOTAL/AN | | 3000-4500€ |

Budget global : 6500-8000€ an 1, puis 5500-7000€/an

ROI : Le coût de la non-conformité

Risques financiers :

1. Amende RGPD : jusqu'à 20M€ ou 4% CA

1. Perte de données : 100-500€ par enregistrement perdu

1. Arrêt d'activité : 8 000€/jour

1. Image de marque : Inestimable

60% des entreprises victimes de perte de données ferment dans les 6 mois !

✅ Checklist de conformité RGPD

Mise en conformité backup RGPD

Technique :

1. [ ] Stratégie 3-2-1-1-0 implémentée

1. [ ] Chiffrement AES-256 actif (transit + repos)

1. [ ] Backups immutables ou offline

1. [ ] Tests de restauration planifiés

1. [ ] Monitoring et alertes configurés

1. [ ] Logs d'accès conservés (6-12 mois)

Organisationnel :

1. [ ] Registre des traitements complété

1. [ ] DPA signés avec tous sous-traitants

1. [ ] PRA documenté et testé

1. [ ] Procédures de restauration écrites

1. [ ] Durées de conservation définies

1. [ ] Purge automatique configurée

Légal :

1. [ ] Base légale identifiée

1. [ ] Informations utilisateurs (mentions légales)

1. [ ] Procédure droit d'accès/rectification/effacement

1. [ ] Notification violation < 72h

1. [ ] Contrats fournisseurs conformes

1. [ ] Assurance cyber (recommandé)

Formation :

1. [ ] Équipe IT formée RGPD

1. [ ] DPO désigné (si obligatoire)

1. [ ] Procédure incident communiquée

1. [ ] Contacts d'urgence à jour

🚀 Plan d'action O'Reparo

Phase 1 : Audit (Semaine 1)

Audit gratuit :

1. État actuel des sauvegardes

1. Identification des risques

1. Évaluation conformité RGPD

1. Recommandations priorisées

Phase 2 : Mise en conformité (4-8 semaines)

Actions :

1. 1. Choix et déploiement solution backup

1. 2. Configuration chiffrement et sécurité

1. 3. Tests de restauration initiaux

1. 4. Rédaction documentation (registre, PRA)

1. 5. Formation équipe

Phase 3 : Maintien conformité (ongoing)

Services managés O'Reparo :

1. ✅ Monitoring 24/7 des backups

1. ✅ Tests automatiques mensuels

1. ✅ Alertes proactives

1. ✅ Support dédié

1. ✅ Audits trimestriels

1. ✅ Mises à jour réglementaires

À partir de 200€/mois pour PME

📞 Besoin d'aide ?

La conformité RGPD des sauvegardes est complexe mais obligatoire. Ne prenez pas de risques !

O'Reparo vous accompagne :

1. 🎯 Audit gratuit de votre conformité

1. 📋 Déploiement solutions clés en main

1. 🎓 Formation de vos équipes

1. 🛡️ Maintenance et support continus

1. ⚖️ Garantie conformité RGPD

Contactez-nous pour un diagnostic personnalisé !

---

Article mis à jour en janvier 2024 - Conformité RGPD, directive NIS2 et recommandations CNIL

Disclaimer : Cet article est informatif. Pour une conformité légale complète, consultez un juriste spécialisé RGPD.