Bonjour,
 
Suite à un gros upgrade de sa connexion internet, j'ai proposé à un client ("petite" commune) de renforcer*
son système de sauvegarde en ajoutant une sauvegarde régulière vers Synology C2. Le client est déjà équipé en  
Synology et le rapport qualité prix de l'offre me semble plutôt bon (je l'utilise déjà par ailleurs).
 
Le problème c'est que le nouveau responsable m'affirme que réglementairement les données de la commune ne doivent
pas sortir de France (Synology C2 "garantie" un stockage en Europe).
 
Mes questions :
 
- Avez-vous connaissance de cette obligation ? Un lien vers un texte de loi ?  
 
- Est-ce qu'il y a des exceptions prévues (type de données ...) ?
 
- Auriez-vous à me conseiller un service comparable à Synology C2 qui propose ce type de garanties "géographiques"  
(avec si possible un compatibilité directe avec "Hyper-Backup" ).
 
 
D'avance merci,
 
 
 
 
 
* : Les données sont déjà sauvegardées sur plusieurs équipements qui sont répartis dans plusieurs locaux géographiquement distants.

Bonjour,
À ma connaissance, il faut que le stockage soit en Europe et pas forcément en France.
En effet, lors d'appel d'offres n'importe qui en Europe peut répondre.

Tu peux stocker où tu veux.
Il faut que ce soit conforme RGPD.
C'est à dire y compris hors Europe mais dans la cadre défini par le RGPD : https://www.cnil.fr/fr/transferer-d [...] ors-de-lue

Merci pour vos réponses.
 

 
C'est aussi l'impression que j'avais mais le nouveau responsable semble très sur de lui ... J'aimerais des arguments "incontestables".
 

 
Merci pour le lien, mais est-ce qu'il n'y a pas des règlements propres à la fonction publique qui serait plus exigeants que la RGPD ?
(Comme il y en a par exemple il me semble pour les données de santé).

J'ai pas accès mais il semblerait qu'il y ait des trucs là dans la lois ASAP
https://www.acteurspublics.fr/artic [...] -letranger

À une époque ça devait être pas très reglo, mais depuis la loi Asap c'est autorisé.
Regarde de ce côté la.

Y a pas un organisme type CNIL qui pourrait te répondre si tu leur envoi la question par mail, en plus si le gars ta répondu des cracks t'aurai le mail comme preuve.
 
Par contre pas sur que se mettre le responsable à dos soit une solution pérenne si tu veux conserver ce client.

Sinon faire aussi la demande à Synology.

La loi ASAP As Soon As Possible parle du DMP et données de santé : https://www.editions-legislatives.f [...] s-de-sante  
 
Cette histoire de stocker les données uniquement en France c'est peut-être en rapport avec le Health Data Hub, ou les données de santé sont dans le cloud Azure de Microsoft et que certaines données remontent aux USA

 
Merci, je pense que c'est bien là la piste qu'il faut que je creuse ...
 
Par contre, je n'ai pas non plus accès à cet article et je ne trouve rien dans le texte de loi en rapport avec ce qui est annoncé par "acteurspublics".
 

 
Comme dit plus haut, que se soit sur légifrance ou ailleurs, je ne trouve rien de concluant, aurais-tu une référence précise à me fournir ?  
 

 
Écrire à la CNIL ? Pourquoi pas ... J'ai peut-être perdu la confiance dans ce type d'institution mais j'aurais tendance à penser qu'ils ne "perdent" pas leur temps à répondre à ce type de questions ...
 
Ensuite, je ne pense pas qu'il soit intelligent de répondre au client seulement ce qu'il veut entendre. Je n'ai en aucun cas remis en cause ce que le responsable disait, j'ai juste dis que j'allais me renseigner.
Les budgets sont suffisamment serrés pour éviter des dépenses inutiles dans des produits "spécifiques" alors que des solutions "standard" (et de qualité) sont disponibles.
 

 
Je ne suis pas certain que Synology ai un service juridique dédié à ce type de problématiques pour des solutions qu'ils facturent quelques dizaines d'euros par an.
 

 
Les données de santé sont une autre problématique. Pour les "simples" données publiques, il semblerait que ça ai/avait à voir avec leur qualification de "trésor national" non exportable, mais c'est à confirmer ...

salut pour être dedans à l'heure actuel le raisonnement du responsable administratif de ta petite commune ne me disait rien.
Mais après recherches il a effectivement raison...pour le moment !
Les structures publiques qui n'hébergeaient pas leur données sur le territoire national étaient dans l'illégalité d'après la note  - circulaire suivante :  
https://francearchives.fr/file/f7ac [...] c_9151.pdf
cette dernière a été retirée est n'est donc plus opposable.
C'est donc le code du patrimoine qui régit le traitement des données publiques à l'article L111.1 qui sont considérées comme des trésors nationale qui ne peuvent quitter le territoire.
Ce dispositif perdurera jusqu'à la fin de ce mois où la France devra abroger toute exigence de localisation de données en vertu du règlement UE.
On va donc entrer dans une période de flou car le droit européen doit être transposé en droit national.
Voila pour le côté légal.
 
 
 
 

Vous parlez de règlement, mais il n'y a que les directives qui sont transposables dans le droit national

P.S. : je crois que vous faites référence à ça : https://questions.assemblee-nationa [...] 7800QE.htm, donc il va y avoir une suppression d'une transposition d'une directive pour coller au RGPD

Salut,
 
Je suis surpris par le propos. La solution de sauvegarde n’a de sens que vis à vis des risques à couvrir et pas d’une évolution technique sur une des briques de l’architecture du SI.
 
De mon point de vue, ta démarche à été maladroite. Pourquoi renforcer la sauvegarde des données de cette collectivité ? Cette question a du sens que si ton client ne respecte pas ses obligations ou que des frictions existent avec la solution actuelle (techniques, financières, organisationnelles).
 
Si tu es convaincu que c’est le cas, propose à ton client de l’accompagner ton client dans un état des lieux de la sécurité des données. Tu as plusieurs outils à ta disposition comme l’approche CIA/DICP et même des outils fournis aux collectivités par la CNIL tel que PIA. Vous serez en mesure de cartographier manquements et opportunités qui conduiront à des projets, et donc du business pour toi.
 
Par expérience, le service public est une jungle règlementaire. Ton client sera toujours le mieux placer pour t’expliquer à quelles obligations il est soumis. Et ce côté réglementaire et légal n’est qu’un aspect car la première vocation d’une collectivité est de fournir des services aux administrés.
 
Et ce dernier point est souvent important pour comprendre certaines postures adoptées dans les collectivités et agence de l’état. Mets toi dans les baskets d’un maire qui serait dans les clous réglementairement mais qui utiliserait un service hébergés hors de France . En cas de pépin ses administrés ne lui feront pas cadeaux.

 
c'est cela. Vu sur un autre site mais on parle bien de cette mise en adéquation.

 
c'est surtout la responsabilité personnelle encouru par le maire qui est l'enjeux de la conformité vis à vis de la loi d'une part et de la continuité du service public d'autre part.
Les administrés du tant que ca marche peu importe la localisation du serveur.
Je pense que tu fais plutôt allusion à l'opposition politique dans le conseil en cas de problème qui elle ne le raterait pas en effet.
Après de là à ce que cela se traduise dans l'urne, c'est une autre histoire.
 
Je te rejoins sur le côté technique, au vu de la description qui a été faite d'une toute petite commune, pourquoi rajouter une couche supplémentaire