Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) a profondément transformé le cadre juridique de la gestion des données personnelles en Europe. Pourtant, près de huit ans après son entrée en vigueur, de nombreuses entreprises conservent des pratiques de sauvegarde non conformes : hébergement hors UE, absence de chiffrement, politiques de rétention floues, contrats de sous-traitance incomplets. Les sanctions sont pourtant considérables : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Ce guide détaille les obligations du RGPD appliquées spécifiquement aux sauvegardes et les solutions concrètes pour s'y conformer.

Ce que le RGPD impose en matière de sauvegarde

Le RGPD ne contient pas d'article dédié exclusivement aux sauvegardes, mais plusieurs dispositions s'y appliquent directement. Trois articles fondamentaux encadrent les obligations des responsables de traitement et de leurs sous-traitants en matière de backup.

Le RGPD repose sur le principe de responsabilité (accountability) : il ne suffit pas d'être conforme, il faut pouvoir le démontrer. Vos pratiques de sauvegarde doivent donc être documentées, auditables et régulièrement vérifiées.

Articles clés :

Article 5 - Principes relatifs au traitement

L'article 5(1)(f) impose que les données personnelles soient traitées de manière à garantir une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle (intégrité et confidentialité). Les sauvegardes sont le mécanisme principal pour satisfaire cette exigence de protection contre la perte accidentelle.

Article 32 - Sécurité du traitement

L'article 32(1)(c) mentionne explicitement « la capacité de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ». C'est l'obligation directe de disposer de sauvegardes fonctionnelles et testées. L'article 32(1)(a) exige également la pseudonymisation et le chiffrement des données personnelles comme mesures de sécurité.

Article 28 - Sous-traitant

Lorsque vous confiez vos sauvegardes à un prestataire externe, celui-ci agit en tant que sous-traitant au sens du RGPD. L'article 28 impose un contrat écrit détaillant les instructions de traitement, les mesures de sécurité, les obligations de confidentialité et les conditions de restitution ou de suppression des données en fin de contrat.

Intégrité

Les données sauvegardées ne doivent pas être altérées

Confidentialité

Seules les personnes autorisées accèdent aux backups

Disponibilité

Restauration possible dans des délais appropriés

Hébergement des données : pourquoi la localisation compte

Le RGPD encadre strictement les transferts de données personnelles en dehors de l'Espace Économique Européen (EEE). L'arrêt Schrems II de la Cour de Justice de l'Union Européenne (juillet 2020) a invalidé le Privacy Shield et rendu les transferts vers les États-Unis particulièrement problématiques. Même le nouveau cadre EU-US Data Privacy Framework adopté en 2023 reste contesté et pourrait faire l'objet d'un « Schrems III ».

Le CLOUD Act américain (2018) permet aux autorités américaines d'exiger l'accès aux données stockées par des entreprises américaines, quel que soit le pays d'hébergement. Utiliser un fournisseur de sauvegarde soumis au droit américain (AWS, Azure, Google Cloud) expose donc potentiellement vos données personnelles à un accès extraterritorial incompatible avec le RGPD.

Pourquoi héberger en France :

Sécurité juridique maximale

Aucun risque de transfert hors UE, aucune clause contractuelle type (SCC) nécessaire. Le droit français et européen s'applique pleinement, sans zone grise juridique.

Protection contre les lois extraterritoriales

Un hébergeur français non soumis au CLOUD Act ni au FISA 702 ne peut pas être contraint de divulguer vos données à une puissance étrangère sans passer par les mécanismes d'entraide judiciaire internationaux.

Latence et performance optimales

Un datacenter en France offre des temps de transfert réduits pour les sauvegardes et les restaurations, un avantage concret pour respecter les exigences de l'article 32(1)(c) sur les « délais appropriés ».

NimbusBackup : 100 % France. Notre infrastructure est hébergée dans les datacenters Equinix en région parisienne, sur notre propre réseau autonome (AS206014). Aucune donnée ne quitte le territoire français. RDEM Systems est une société de droit français, non soumise au CLOUD Act.

Chiffrement : une obligation de moyens

L'article 32(1)(a) du RGPD cite explicitement le chiffrement parmi les mesures techniques de sécurité. Il s'agit d'une obligation de moyens : le responsable de traitement doit mettre en oeuvre un chiffrement adapté à la sensibilité des données et à l'état de l'art. En 2026, le standard de référence est l'AES-256, considéré comme incassable avec les technologies actuelles.

Bonnes pratiques de chiffrement pour les sauvegardes :

Chiffrement côté client (client-side encryption)

Les données doivent être chiffrées avant leur transmission au prestataire de sauvegarde. Ainsi, même en cas de compromission du serveur de backup, les données restent illisibles. Le prestataire ne dispose jamais des clés de déchiffrement.

Gestion sécurisée des clés

Les clés de chiffrement doivent être stockées séparément des données chiffrées. Le client conserve l'unique copie de sa clé de chiffrement. Un coffre-fort de clés (key vault) ou un module HSM peut renforcer cette gestion.

Chiffrement en transit (TLS 1.3)

La transmission des sauvegardes entre votre infrastructure et le serveur de backup doit être chiffrée via TLS 1.3 minimum, protégeant contre les interceptions réseau (attaques man-in-the-middle).

Chiffrement natif dans Proxmox Backup Server

PBS intègre nativement le chiffrement AES-256-GCM côté client. Lors de la configuration d'un job de sauvegarde, une clé de chiffrement est générée localement sur votre serveur Proxmox. Les données sont chiffrées avant déduplication et transmission. Le serveur PBS distant ne reçoit que des chunks chiffrés qu'il est incapable de déchiffrer.

Cette architecture « zero-knowledge » est conforme aux recommandations de la CNIL en matière de chiffrement des données confiées à un sous-traitant.

Droit à l'effacement et sauvegardes

L'article 17 du RGPD consacre le « droit à l'effacement » (souvent appelé « droit à l'oubli »). Toute personne peut demander la suppression de ses données personnelles lorsqu'elles ne sont plus nécessaires aux finalités du traitement. Mais comment concilier ce droit avec la nature même des sauvegardes, qui visent précisément à conserver des copies des données ?

Le défi : Supprimer une donnée spécifique dans une sauvegarde complète (full backup) ou incrémentale est techniquement complexe, voire impossible sans restaurer l'intégralité du backup, supprimer la donnée, puis recréer une nouvelle sauvegarde. Cette opération est impraticable à grande échelle.

Approche recommandée par les autorités :

Les autorités de protection des données, dont la CNIL et le Comité Européen de la Protection des Données (EDPB), reconnaissent que l'effacement immédiat dans les sauvegardes n'est pas toujours réalisable. La bonne pratique consiste à :

Supprimer la donnée dans les systèmes de production immédiatement

La donnée est effacée de toutes les bases de données actives et systèmes en ligne dès réception de la demande d'effacement valide.

Documenter la demande d'effacement

Consigner la demande avec la date de traitement et les systèmes concernés. En cas de restauration d'un backup, la donnée sera à nouveau supprimée conformément à la procédure documentée.

Laisser la rétention faire son oeuvre

Les sauvegardes contenant la donnée seront automatiquement supprimées à l'expiration de la politique de rétention. C'est pourquoi une durée de rétention maîtrisée et documentée est essentielle pour la conformité RGPD.

NimbusBackup permet de configurer des politiques de rétention granulaires par datastore PBS, garantissant que les sauvegardes contenant des données à effacer seront automatiquement purgées dans un délai maîtrisé et documenté.

Sous-traitance et contrat DPA

Confier ses sauvegardes à un prestataire externe constitue un acte de sous-traitance au sens de l'article 28 du RGPD. Le responsable de traitement doit conclure un Data Processing Agreement (DPA) — ou contrat de sous-traitance — qui encadre précisément les conditions de traitement des données personnelles par le prestataire.

Clauses obligatoires du DPA (Article 28) :

Objet et durée du traitement — Nature des données sauvegardées, catégories de personnes concernées, durée de conservation

Instructions documentées — Le sous-traitant ne traite les données que sur instruction du responsable de traitement

Mesures de sécurité — Description des mesures techniques et organisationnelles (chiffrement, contrôle d'accès, surveillance)

Sous-traitance ultérieure — Liste des sous-traitants secondaires, obligation d'information en cas de changement

Assistance aux droits des personnes — Le sous-traitant aide le responsable à répondre aux demandes d'accès, de rectification et d'effacement

Sort des données en fin de contrat — Restitution ou suppression des données et de toutes les copies existantes

Droit d'audit — Le responsable de traitement peut auditer ou faire auditer la conformité du sous-traitant

Attention : Un prestataire de sauvegarde qui refuse de signer un DPA conforme à l'article 28 du RGPD doit être écarté immédiatement. L'absence de contrat de sous-traitance constitue une infraction en elle-même, indépendamment de toute violation de données. Consultez le guide du sous-traitant de la CNIL pour un modèle de référence.

NimbusBackup fournit un DPA complet et conforme à l'article 28 du RGPD à tous ses clients. Ce contrat détaille les mesures de sécurité mises en oeuvre, la localisation des données (France exclusivement), les procédures de notification d'incident et les conditions de restitution des données en fin de contrat.

Durée de conservation et politique de rétention

Le principe de limitation de la conservation (article 5(1)(e) du RGPD) impose que les données personnelles ne soient conservées que le temps nécessaire aux finalités du traitement. Appliqué aux sauvegardes, cela signifie que vous devez définir et documenter une durée de rétention justifiée pour chaque catégorie de données.

Bases légales courantes pour la rétention :

Obligations comptables

10 ans pour les documents comptables (Code de commerce, art. L123-22). Les sauvegardes contenant des données de facturation peuvent être conservées en conséquence.

Données de santé

20 ans minimum pour les dossiers médicaux (Code de la santé publique, art. R1112-7). Les sauvegardes doivent respecter cette durée réglementaire.

Données contractuelles

5 ans après la fin de la relation contractuelle (prescription civile de droit commun, art. 2224 du Code civil).

Continuité d'activité

30 à 90 jours pour les sauvegardes opérationnelles destinées à la reprise après sinistre. Au-delà, une justification spécifique est nécessaire.

Dans Proxmox Backup Server, la politique de rétention se configure par datastore avec des règles précises : nombre de sauvegardes quotidiennes, hebdomadaires et mensuelles à conserver. Le garbage collector supprime automatiquement les snapshots expirés et les chunks orphelins, garantissant que les données ne sont pas conservées au-delà de la durée définie.

NIS2 et RGPD : convergence des obligations

La directive NIS2, entrée en vigueur en octobre 2024, renforce les exigences de cybersécurité pour les entités essentielles et importantes. Si le RGPD protège les données personnelles, NIS2 vise la résilience des systèmes d'information dans leur ensemble. Les deux cadres se renforcent mutuellement en matière de sauvegarde.

RGPD

- Protection des données personnelles
- Chiffrement (art. 32)
- Disponibilité des données (art. 32)
- Contrat sous-traitant (art. 28)
- Sanctions : 4 % du CA mondial

NIS2

- Résilience des systèmes d'information
- Chiffrement (art. 21)
- Continuité d'activité et backups (art. 21)
- Sécurité de la chaîne d'approvisionnement
- Sanctions : 2 % du CA mondial

En pratique, une stratégie de sauvegarde conforme au RGPD répond déjà à une large partie des exigences NIS2 en matière de backup : chiffrement, disponibilité, localisation européenne. NIS2 ajoute des exigences spécifiques sur les tests de restauration, la documentation des procédures et la sécurité de la chaîne d'approvisionnement. Consultez notre article dédié NIS2 et sauvegardes pour approfondir ces obligations.

Checklist conformité RGPD pour vos sauvegardes

Voici les points essentiels à vérifier pour garantir la conformité de vos sauvegardes au Règlement Général sur la Protection des Données :

Checklist RGPD - Sauvegardes

Hébergement en UE (idéalement France) — Données sauvegardées sur des serveurs situés dans l'Union Européenne, chez un hébergeur non soumis à des lois extraterritorialesChiffrement AES-256 côté client — Les données sont chiffrées avant transmission au prestataire, qui ne détient pas les clés de déchiffrementContrat DPA avec le prestataire — Data Processing Agreement conforme à l'article 28 du RGPD signé avec le fournisseur de sauvegardePolitique de rétention documentée — Durées de conservation justifiées par une base légale pour chaque catégorie de données sauvegardéesTests de restauration réguliers — Vérification trimestrielle de la capacité à restaurer les données dans des « délais appropriés » (art. 32)Journalisation des accès — Logs d'accès aux sauvegardes conservés et auditable pour tracer tout accès autorisé ou suspectProcédure de droit à l'effacement — Processus documenté pour traiter les demandes d'effacement incluant la gestion des données présentes dans les sauvegardes

Attention : Cette checklist couvre les exigences principales mais ne constitue pas un audit de conformité exhaustif. Selon votre secteur d'activité et la nature des données traitées, des obligations supplémentaires peuvent s'appliquer (données de santé, données bancaires, etc.). Consultez votre DPO ou un juriste spécialisé.

Comment NimbusBackup garantit la conformité RGPD

Toutes nos offres de sauvegarde Proxmox Backup Server sont conçues pour répondre aux exigences du RGPD. Chiffrement côté client, hébergement 100 % français, DPA fourni : la conformité est intégrée dès la conception (privacy by design, article 25 du RGPD). RDEM Systems propose également un hébergement souverain en datacenter Equinix Paris et une checklist souveraineté numérique pour auditer votre infrastructure.

Hébergement 100 % français

Datacenters Equinix en région parisienne, réseau propre AS206014. Aucun transfert hors France. Société française non soumise au CLOUD Act.

Chiffrement AES-256 côté client

Chiffrement natif PBS avant transmission. Vous seul détenez les clés. Architecture zero-knowledge conforme aux recommandations CNIL.

DPA conforme fourni

Contrat de sous-traitance conforme à l'article 28 du RGPD fourni systématiquement à tous les clients. Clauses de sécurité, audit et restitution incluses.

Rétention configurable

Politiques de rétention granulaires par datastore. Purge automatique des snapshots expirés par le garbage collector PBS.

Journalisation complète

Logs d'accès, de sauvegarde et de restauration conservés. Traçabilité complète pour vos audits de conformité RGPD.

Support et accompagnement

Équipe technique française. Assistance pour la configuration des politiques de rétention et la documentation de conformité.

Nos 6 offres PBS conformes RGPD :

Single Drive PBS (12 EUR/To) — Sauvegarde chiffrée sur un site, hébergement France
Double Drive PBS (22 EUR/To) — Géo-redondance sur 2 sites français distincts
AirGapped Drive PBS (34 EUR/To) — Isolation air-gap par rotation physique de disques
Drive Bank PBS (69 EUR/To) — Air-gap + coffre-fort bancaire sécurisé
Magnetic PBS (89 EUR/To) — HDD + archivage automatique sur bande LTO longue durée
Magnetic Bank PBS (149 EUR/To) — Bandes LTO en coffre-fort bancaire, conformité maximale

Découvrir NimbusBackup Demander un devis

Conclusion : la conformité RGPD de vos sauvegardes n'est pas optionnelle

Le RGPD fait peser des obligations claires sur la manière dont les données personnelles sont sauvegardées : chiffrement, localisation, durée de conservation, contrat de sous-traitance, droit à l'effacement. Ignorer ces obligations expose votre organisation à des sanctions financières considérables et, surtout, à une perte de confiance de vos clients et partenaires.

La bonne nouvelle, c'est qu'une stratégie de sauvegarde bien conçue répond naturellement à ces exigences. Hébergement souverain, chiffrement côté client, politiques de rétention documentées et contrat DPA solide : ces piliers protègent à la fois vos données et votre conformité réglementaire. Ils constituent également une base solide pour répondre aux exigences de la directive NIS2.

N'attendez pas un contrôle de la CNIL ou une violation de données pour mettre vos sauvegardes en conformité. Le coût d'une mise en conformité proactive est dérisoire comparé aux sanctions encourues et au préjudice réputationnel d'une fuite de données.

Sources et références

Des sauvegardes conformes au RGPD, dès aujourd'hui

Hébergement 100 % France, chiffrement AES-256 côté client, DPA inclus. Dès 12 EUR/To/mois.