Une amende de 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Des sanctions pénales pour les dirigeants. Une mise en demeure publique qui détruit la réputation d’une entreprise en quelques heures. Ce ne sont pas des scénarios hypothétiques : ce sont les conséquences réelles d’un manquement aux obligations réglementaires en matière de protection des données.
En 2026, les entreprises françaises évoluent dans un cadre réglementaire exigeant, qui s’est considérablement renforcé avec l’entrée en vigueur de la directive NIS2 et le durcissement de l’application du RGPD. La sauvegarde des données n’est plus seulement une bonne pratique informatique : c’est une obligation légale dont le non-respect expose l’entreprise à des sanctions concrètes.
Dans cet article, nous décryptons ce que chacun de ces textes impose précisément en matière de sauvegarde, qui est concerné, et comment mettre en place une solution conforme sans se perdre dans la complexité juridique.
1. RGPD : ce que le règlement européen impose réellement sur la sauvegarde
Le RGPD ne mentionne pas explicitement la sauvegarde — et c’est précisément le piège
Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis mai 2018, ne contient pas de paragraphe intitulé « obligations de sauvegarde ». C’est ce qui conduit de nombreuses entreprises à penser qu’elles ne sont pas concernées. C’est une erreur d’interprétation qui peut coûter très cher.
Le RGPD impose en réalité plusieurs obligations qui impliquent directement une stratégie de sauvegarde robuste :
Article 5 — Intégrité et confidentialité des données
L’article 5.1.f du RGPD exige que les données personnelles soient traitées de façon à garantir « une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle« .
En clair : si vous perdez des données personnelles suite à une panne matérielle, un ransomware ou une erreur humaine, et que vous n’aviez pas de sauvegarde, vous êtes en violation de l’article 5 du RGPD.
Article 32 — Mesures techniques et organisationnelles de sécurité
C’est l’article le plus directement lié à la sauvegarde. Il impose aux entreprises de mettre en place « des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement » ainsi que « des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique« .
Ces deux exigences se traduisent concrètement par :
- Une sauvegarde régulière et automatisée des données personnelles
- Un chiffrement des sauvegardes pour garantir la confidentialité en cas d’accès non autorisé
- Un plan de reprise d’activité (PRA) testé permettant de restaurer les données dans des « délais appropriés »
- Une isolation des sauvegardes par rapport aux systèmes de production
Article 33 — Notification des violations de données
En cas de perte de données personnelles, le RGPD impose de notifier la CNIL dans les 72 heures suivant la découverte de l’incident. Si les données perdues concernent des personnes à risque (données de santé, données financières, données d’enfants), les personnes concernées doivent également être informées.
Une sauvegarde externalisée à jour réduit considérablement l’ampleur de cette notification : si vous pouvez restaurer les données rapidement, l’impact sur les personnes concernées est limité, ce qui allège vos obligations déclaratives.
Les sanctions RGPD applicables en France
| Type de violation | Sanction maximale | Exemples réels |
|---|---|---|
| Violation des principes fondamentaux (art. 5, 6, 9) | 20 M€ ou 4 % du CA mondial | Meta : 1,2 Md€ (2023), Amazon : 746 M€ (2021) |
| Manquement aux mesures de sécurité (art. 32) | 10 M€ ou 2 % du CA mondial | Plusieurs PME françaises sanctionnées par la CNIL depuis 2022 |
| Défaut de notification (art. 33) | 10 M€ ou 2 % du CA mondial | Délai de 72h non respecté après incident |
💡 Ce que la CNIL vérifie en priorité lors d’un contrôle
Lors d’un contrôle CNIL, les inspecteurs demandent systématiquement : quelles données personnelles traitez-vous ? Où sont-elles stockées ? Comment sont-elles sauvegardées ? Qui y a accès ? Avez-vous testé votre plan de restauration ? L’absence de sauvegarde chiffrée et isolée est l’un des manquements les plus fréquemment constatés et sanctionnés.
2. NIS2 : la directive qui change tout pour les entreprises françaises en 2024-2026
Qu’est-ce que la directive NIS2 ?
La directive NIS2 (Network and Information Security 2) est la refonte de la directive NIS originale de 2016. Transposée en droit français en 2024, elle élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité et renforce les exigences techniques.
Là où NIS1 ne concernait qu’une centaine d’Opérateurs de Services Essentiels (OSE) en France, NIS2 concerne potentiellement plus de 15 000 entités françaises, réparties en deux catégories :
| Catégorie | Secteurs concernés | Taille minimale |
|---|---|---|
| Entités essentielles | Énergie, transports, santé, eau, infrastructure numérique, administration publique, espace | 250 salariés ou 50 M€ de CA |
| Entités importantes | Services postaux, gestion des déchets, chimie, alimentation, industrie manufacturière, numérique, recherche | 50 salariés ou 10 M€ de CA |
Les sous-traitants et fournisseurs de ces entités peuvent également être soumis à NIS2 si leur compromission peut affecter les services de leurs clients essentiels — ce qui élargit encore le périmètre réel.
Ce que NIS2 impose concrètement en matière de sauvegarde
L’article 21 de la directive NIS2 liste les mesures de sécurité obligatoires. Plusieurs d’entre elles impliquent directement la sauvegarde :
- Gestion des sauvegardes et reprise après sinistre (art. 21.2.c) : les entités doivent mettre en place des « politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement » et des « politiques et procédures en matière de sauvegarde, de gestion des sauvegardes et de reprise des activités après sinistre« .
- Continuité des activités (art. 21.2.c) : les entités doivent être capables de maintenir ou rétablir rapidement leurs services en cas d’incident, ce qui implique un PRA documenté et testé.
- Sécurité de la chaîne d’approvisionnement (art. 21.2.d) : si vous traitez des données pour des entités NIS2, votre propre niveau de sécurité — y compris vos sauvegardes — doit être conforme.
- Chiffrement (art. 21.2.h) : les sauvegardes doivent être chiffrées de bout en bout, avec des clés dont la gestion est documentée et sécurisée.
Les sanctions NIS2 : bien plus lourdes que NIS1
| Catégorie d’entité | Amende maximale | Responsabilité dirigeants |
|---|---|---|
| Entités essentielles | 10 M€ ou 2 % du CA annuel mondial | Oui — responsabilité personnelle des dirigeants possible |
| Entités importantes | 7 M€ ou 1,4 % du CA annuel mondial | Oui — en cas de négligence caractérisée |
La nouveauté majeure de NIS2 : la responsabilité personnelle des dirigeants. Les membres de la direction peuvent être tenus personnellement responsables en cas de manquement grave aux obligations de cybersécurité. Ignorer NIS2 n’est plus seulement un risque pour l’entreprise — c’est un risque pour les dirigeants eux-mêmes.
NIS2 et sauvegarde souveraine : le lien direct
NIS2 impose que les mesures de sécurité tiennent compte des « risques posés par la chaîne d’approvisionnement« . Recourir à un prestataire de sauvegarde soumis au Cloud Act américain introduit précisément ce type de risque : une autorité étrangère peut accéder à vos données sans votre consentement, en violation des exigences de confidentialité et d’intégrité imposées par NIS2.
Une sauvegarde externalisée souveraine hébergée en France, opérée par une entité de droit français, est la réponse naturelle à cette exigence.
3. ANSSI : les recommandations de référence en France
Le rôle de l’ANSSI
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est l’autorité nationale française en matière de cybersécurité. Elle publie des guides de bonnes pratiques, accompagne les organisations dans leur mise en conformité NIS2, et intervient en cas d’incident majeur affectant des infrastructures critiques.
Ses recommandations n’ont pas toutes force de loi, mais elles constituent la référence opposable en cas de litige ou de contrôle : si une entreprise n’a pas suivi les recommandations ANSSI et subit un incident, sa responsabilité est engagée.
Les recommandations ANSSI sur la sauvegarde
Le guide ANSSI « Sécuriser les sauvegardes » (PA-022) formule plusieurs recommandations directement applicables :
- Règle 3-2-1 obligatoire : l’ANSSI recommande explicitement la mise en œuvre de la règle 3-2-1 comme minimum pour toute organisation traitant des données sensibles.
- Immuabilité des sauvegardes : l’ANSSI recommande que les sauvegardes soient stockées en mode immuable (technologie WORM) pour résister aux ransomwares qui ciblent les sauvegardes.
- Isolation réseau : les sauvegardes ne doivent pas être accessibles depuis le réseau de production. Une compromission du réseau ne doit pas permettre l’accès aux sauvegardes.
- Chiffrement systématique : toutes les sauvegardes doivent être chiffrées, avec un algorithme reconnu (AES-256 minimum) et une gestion sécurisée des clés.
- Tests de restauration réguliers : l’ANSSI recommande des tests de restauration au moins trimestriels pour valider l’intégrité et l’opérationnalité des sauvegardes.
- Documentation et traçabilité : les politiques de sauvegarde doivent être documentées, les logs de sauvegarde conservés, et les procédures de restauration formalisées.
Le label SecNumCloud : le standard souverain de référence
L’ANSSI délivre la qualification SecNumCloud aux prestataires de services cloud qui répondent à des exigences très strictes de sécurité et de souveraineté. Un prestataire qualifié SecNumCloud offre les garanties les plus élevées du marché français :
- Contrôle de l’immunité vis-à-vis des lois extra-européennes (Cloud Act, FISA)
- Localisation garantie des données en France
- Niveau de sécurité technique audité et certifié par l’ANSSI
- Transparence totale sur la chaîne d’hébergement
Pour les entités essentielles NIS2, les organismes publics et les entreprises traitant des données très sensibles (santé, défense), recourir à un prestataire SecNumCloud est fortement recommandé, voire exigé dans certains contextes.
4. Synthèse : ce que votre sauvegarde doit respecter pour être conforme
Voici les exigences cumulées du RGPD, de NIS2 et des recommandations ANSSI, traduites en critères techniques concrets pour votre solution de sauvegarde :
| Exigence | RGPD | NIS2 | ANSSI |
|---|---|---|---|
| Sauvegardes régulières et automatisées | ✓ Art. 32 | ✓ Art. 21 | ✓ PA-022 |
| Chiffrement des sauvegardes (AES-256) | ✓ Art. 32 | ✓ Art. 21.2.h | ✓ PA-022 |
| Isolation réseau (air-gap ou immuabilité) | ✓ Art. 32 | ✓ Art. 21 | ✓ PA-022 |
| Copie hors site géographiquement distincte | ✓ Art. 32 | ✓ Art. 21 | ✓ Règle 3-2-1 |
| Plan de reprise d’activité (PRA) documenté | ✓ Art. 32 | ✓ Art. 21.2.c | ✓ PA-022 |
| Tests de restauration réguliers | ✓ Art. 32 | ✓ Art. 21 | ✓ Trimestriel |
| Rétention longue durée (selon secteur) | ✓ Art. 5 | ✓ Art. 21 | ✓ PA-022 |
| Hébergement dans l’UE (hors Cloud Act) | ✓ Art. 44-49 | ✓ Art. 21.2.d | ✓ SecNumCloud |
| Journalisation et traçabilité des accès | ✓ Art. 30 | ✓ Art. 21 | ✓ PA-022 |
5. Les secteurs soumis à des obligations renforcées
Au-delà du cadre général RGPD + NIS2, certains secteurs font l’objet d’obligations spécifiques supplémentaires en matière de sauvegarde et de protection des données :
- Santé (HDS) : les hébergeurs de données de santé doivent être certifiés Hébergeur de Données de Santé (HDS) selon le référentiel de l’ANS. Les sauvegardes de données de santé doivent impérativement être confiées à un prestataire certifié HDS. La durée de conservation minimale est de 20 ans pour les données médicales.
- Finance et banque (DSP2, DORA) : le règlement DORA (Digital Operational Resilience Act), entré en application en janvier 2025, impose aux entités financières des exigences très strictes de résilience opérationnelle numérique, incluant des tests de restauration documentés et des politiques de sauvegarde auditables.
- Défense et sous-traitants industriels (IGI 1300) : les entreprises traitant des informations classifiées ou sensibles dans le cadre de marchés de défense sont soumises à l’Instruction Générale Interministérielle n°1300, qui impose le recours à des systèmes d’information souverains pour le stockage et la sauvegarde.
- Collectivités territoriales : soumises à NIS2 pour leurs services numériques essentiels, avec une obligation de notification des incidents à l’ANSSI sous 24 heures.
6. Comment se mettre en conformité concrètement
La mise en conformité réglementaire en matière de sauvegarde n’est pas un projet de 6 mois. Elle peut être structurée en quatre étapes pragmatiques :
Étape 1 — Cartographier vos données personnelles et sensibles
Identifiez quelles données vous traitez, leur classification (personnelles, sensibles, critiques), leur localisation actuelle et les systèmes qui les produisent. C’est la base de votre registre des traitements RGPD (obligatoire pour toutes les entreprises).
Étape 2 — Évaluer votre dispositif de sauvegarde actuel
Votre sauvegarde actuelle est-elle chiffrée ? Isolée du réseau de production ? Testée régulièrement ? Hébergée en France ? Couvre-t-elle Microsoft 365, vos bases de données, vos VMs ? Un audit de quelques heures permet d’identifier les écarts avec les exigences RGPD/NIS2.
Étape 3 — Mettre en place une solution conforme
Déployer une solution de sauvegarde externalisée souveraine répondant à l’ensemble des critères du tableau ci-dessus : chiffrement AES-256, immuabilité WORM, hébergement France, isolation réseau, versioning long durée.
Étape 4 — Documenter et tester
Formaliser la politique de sauvegarde (fréquence, rétention, responsables), documenter les procédures de restauration, planifier des tests trimestriels et conserver les preuves (logs, rapports de test). Cette documentation est ce que la CNIL ou l’ANSSI vous demandera en cas de contrôle.
7. FAQ — Conformité réglementaire et sauvegarde
Mon entreprise est-elle concernée par NIS2 ?
NIS2 concerne les entreprises de plus de 50 salariés ou 10 M€ de CA dans les secteurs listés par la directive (énergie, santé, transports, numérique, alimentation, chimie, etc.). Les sous-traitants de ces entreprises peuvent également être concernés. En cas de doute, l’ANSSI a mis en ligne un outil d’auto-évaluation sur son site pour déterminer si votre organisation entre dans le périmètre NIS2. Même si vous n’êtes pas formellement concerné, les exigences NIS2 constituent un référentiel de bonnes pratiques pertinent pour toute entreprise.
Le RGPD impose-t-il une durée minimale de conservation des sauvegardes ?
Le RGPD n’impose pas de durée minimale universelle — il exige que la durée de conservation soit proportionnée à la finalité du traitement. En pratique, les durées varient selon le type de données : données comptables (10 ans légaux), données RH (5 ans minimum après départ du salarié), données clients (3 à 5 ans après la dernière interaction), données de santé (20 ans). Votre politique de sauvegarde doit aligner les durées de rétention sur ces obligations légales sectorielles.
Que risque concrètement un dirigeant de PME en cas de violation RGPD liée à une sauvegarde insuffisante ?
En cas de perte de données personnelles résultant d’un défaut de sauvegarde, l’entreprise s’expose à une amende CNIL pouvant atteindre 10 M€ ou 2 % du CA mondial (article 32). Pour NIS2, le dirigeant peut être tenu personnellement responsable en cas de négligence caractérisée, avec des sanctions pouvant inclure une interdiction temporaire d’exercer des fonctions de direction. Sans compter le coût de réputation lié à la publication des décisions de la CNIL, qui est systématique pour les amendes significatives.
AWS ou Azure en Europe sont-ils conformes au RGPD pour la sauvegarde ?
Non, pas entièrement. AWS, Azure et Google Cloud sont des entreprises américaines soumises au Cloud Act, qui prime sur toute décision de justice européenne. Même avec des datacenters en France ou en Allemagne, les autorités américaines peuvent contraindre ces fournisseurs à livrer vos données sans vous en informer. La CJUE a invalidé le Privacy Shield en 2020 précisément pour cette raison. Pour une conformité RGPD complète — notamment pour les données sensibles — le recours à un prestataire de droit français, hors d’atteinte du Cloud Act, est la seule garantie robuste.
Comment prouver sa conformité en matière de sauvegarde lors d’un contrôle CNIL ?
La CNIL applique le principe d’accountability (responsabilisation) : vous devez être capable de prouver que vous avez mis en place des mesures appropriées. En pratique, cela signifie disposer de : un registre des traitements à jour mentionnant les mesures de sauvegarde, une politique de sauvegarde documentée (fréquence, rétention, chiffrement, localisation), des logs de sauvegarde conservés, des rapports de tests de restauration datés, et un contrat avec votre prestataire précisant les garanties de sécurité et de localisation des données.
Conclusion — La conformité n’est pas une contrainte, c’est une protection
RGPD, NIS2, ANSSI : ces trois cadres réglementaires convergent vers les mêmes exigences fondamentales. Des sauvegardes chiffrées, isolées, testées, hébergées en France, avec une traçabilité documentée. Ce ne sont pas des contraintes bureaucratiques : ce sont des mesures qui protègent réellement vos données, votre activité et votre responsabilité de dirigeant.
La bonne nouvelle est que la mise en conformité n’est pas un chantier inextricable. Une solution de sauvegarde externalisée souveraine bien choisie coche l’ensemble des cases réglementaires en une seule mise en place, et vous fournit la documentation nécessaire pour justifier votre conformité lors d’un contrôle.
Ne laissez pas la réglementation vous surprendre : agissez avant l’incident, pas après.
Pour aller plus loin sur ce sujet :
- Sauvegarde externalisée : définition complète et fonctionnement en 2026
- Règle 3-2-1 sauvegarde : pourquoi elle est indispensable en 2026
- Ransomware, panne matérielle, erreur humaine : les 3 menaces pour vos données
- RGPD, NIS2, ANSSI : ce que la réglementation impose en matière de sauvegarde
- Serveurs, M365, SaaS : quelles données sauvegarder en priorité ?
- Notre solution de sauvegarde externalisée souveraine
