Microdiag
Microdiag
Microdiag
Fonctionnalités Pour qui Tarifs Outils Blog FAQ À propos
Connexion Essai gratuit
Actualités

Hébergement France et conformité RGPD : ce que ça change concrètement

Données hébergées en France, DPA disponible, chiffrement bout-en-bout. Ce que la souveraineté numérique signifie réellement pour une PME soumise au RGPD — et ce que Microdiag documente automatiquement.

Équipe Conformité 22 février 2026 8 min Mis à jour : 20 mai 2026
Sommaire

Depuis janvier 2026, aucune donnée traitée ou stockée par Microdiag ne quitte le territoire français. Ce n’est pas un argument marketing — c’est une décision d’architecture avec des implications juridiques et techniques concrètes pour vous.

Le problème Cloud Act que la plupart des éditeurs ignorent

Le Cloud Act américain (2018) autorise les autorités américaines à exiger l’accès aux données stockées par des entreprises US, même si ces données sont physiquement sur des serveurs européens. AWS, Microsoft Azure, Google Cloud, Salesforce — tous sont concernés par cette loi, quel que soit l’emplacement de leur datacenter.

Pour un cabinet d’avocat, un cabinet médical, un comptable ou tout prestataire qui gère des données couvertes par le secret professionnel : héberger sur un cloud US, même “en région Paris”, expose potentiellement vos données à une requête américaine sans voie de recours européenne.

Le RGPD interdit en principe les transferts de données vers des pays tiers sans garanties adéquates. Le Cloud Act crée un conflit de droit directement avec cet article — un conflit que le Comité Européen de la Protection des Données a documenté en 2019 et qui reste non résolu.

Ce que “hébergement France” signifie exactement

Toutes les données Microdiag — rapports d’audit, logs de surveillance, données de postes, événements de sécurité — sont stockées sur infrastructure OVHcloud, en datacenter SBG (Strasbourg) et GRA (Gravelines), France métropolitaine.

OVHcloud est une entreprise française, non soumise au Cloud Act américain. En cas de réquisition judiciaire, c’est la procédure française (commission rogatoire internationale, accords bilatéraux) qui s’applique — pas une National Security Letter américaine.

Concrètement pour vous :

  • Vos données de diagnostic et vos rapports de sécurité ne transitent jamais hors UE
  • Les backups OVH Object Lock que vous activez via Microdiag Business sont stockés dans les mêmes datacenters
  • L’architecture réseau est documentée et disponible dans votre DPA sur demande

Le DPA Microdiag — ce qu’il couvre

Un DPA (Data Processing Agreement / Accord de sous-traitance) est obligatoire dès que vous confiez des données personnelles à un prestataire. C’est l’article 28 du RGPD.

Le DPA Microdiag couvre :

  • La nature et finalité du traitement (surveillance de postes Windows, génération de rapports)
  • Les catégories de données traitées (identifiants de machines, logs système, données d’inventaire logiciel)
  • La durée de conservation (logs : 90 jours glissants, rapports : 3 ans)
  • Les mesures de sécurité techniques (chiffrement en transit TLS 1.3, au repos AES-256, accès par token signé)
  • Les sous-traitants ultérieurs (OVHcloud uniquement, avec leur propre DPA disponible)
  • La procédure de notification en cas de violation de données (72h conformément à l’article 33 RGPD)

Pour votre registre des traitements, Microdiag apparaît comme sous-traitant dans la ligne “surveillance des systèmes d’information”. La finalité : sécurité et maintenance des postes de travail. La base légale recommandée : intérêt légitime (sécurité du SI) ou obligation légale si vous êtes soumis à NIS2.

Demander votre DPA

Le DPA Microdiag est disponible sur demande pour tout abonné Essentiel, Pro ou Business.

Contacter l’équipe conformité →

Ce que Microdiag documente pour votre dossier RGPD

Inventaire des logiciels (article 32 RGPD)

L’Audit Flash génère un inventaire complet des logiciels installés sur chaque poste : éditeur, version, date d’installation. Cela vous permet d’identifier rapidement les logiciels non référencés dans votre registre des traitements — et de détecter d’éventuels logiciels indésirables qui collecteraient des données à votre insu.

État des mises à jour de sécurité

Le RGPD exige des “mesures techniques appropriées” pour sécuriser les données. Un poste avec des mises à jour de sécurité manquantes depuis 3 mois ne satisfait pas à cette exigence. Microdiag fournit un tableau de bord de l’état des mises à jour par poste, exportable en PDF pour votre DPO ou votre assureur.

Comprendre pourquoi les mises à jour Windows sont une priorité sécurité →

Surveillance comportementale (Sentinelle Pro)

La détection d’intrusions en temps réel via l’agent Wazuh produit des logs d’événements de sécurité horodatés. Ces logs constituent une trace d’audit exploitable en cas d’incident : vous pouvez démontrer que vous aviez une surveillance active, quand l’incident a démarré, et quelles actions correctives ont été prises.

Pour votre assureur cyber, c’est souvent la différence entre une indemnisation complète et un refus basé sur “absence de mesures de protection adaptées”.

Comment fonctionne l’agent Wazuh dans Sentinelle Pro →

Rapport mensuel exportable

L’abonnement Pro et Business inclut un rapport mensuel de conformité : état SMART des disques, postes non conformes, CVE détectées et non patchées, événements de sécurité du mois. Format PDF, prêt à archiver dans votre dossier de conformité RGPD.

Secteurs avec exigences renforcées

Certains secteurs ont des obligations qui vont au-delà du RGPD standard :

Santé : hébergement HDS (Hébergeur de Données de Santé) obligatoire pour les données médicales. Microdiag ne prétend pas être HDS-certifié — mais pour les données de surveillance des postes (logs système, inventaire logiciel), l’hébergement France suffit. Les données médicales elles-mêmes doivent être dans un environnement HDS certifié.

Juridique : le Conseil National des Barreaux recommande l’hébergement France pour les données couvertes par le secret professionnel. L’architecture Microdiag (OVHcloud France, Cloud Act-proof) est compatible avec ces recommandations.

Comptabilité : les données comptables doivent être conservées 10 ans. Microdiag ne stocke pas vos données comptables — il surveille les postes qui les hébergent. Vérifiez que votre logiciel comptable est lui-même conforme.

Secteur public : les marchés publics imposent souvent l’hébergement en France ou en Europe. Microdiag satisfait à cette exigence pour la surveillance des postes.

En résumé — ce que vous pouvez dire à votre client ou auditeur

“Nos postes sont surveillés par Microdiag Sentinel, hébergé en France sur OVHcloud. Nous disposons d’un DPA signable. Les mises à jour de sécurité sont appliquées et documentées. Les sauvegardes sont en Object Lock (immuables 30 jours). Un rapport mensuel de conformité est généré automatiquement.”

C’est le niveau de documentation que la CNIL et les auditeurs attendent d’une PME qui prend au sérieux ses obligations — sans les 50 000 € d’un cabinet de conseil spécialisé.

Pour aller plus loin sur les obligations RGPD de votre structure, consultez notre checklist RGPD 2026 pour TPE-PME. Et pour comprendre les risques techniques qui justifient ces mesures, notre guide ransomware 2026.

Sources : Règlement (UE) 2016/679 (RGPD), avis CEPD 2/2019 sur le Cloud Act, recommandations CNIL sur la sécurité des données personnelles, documentation OVHcloud. Article mis à jour mai 2026.

Vous avez trouvé cet article utile ?
LinkedIn
À lire également
Actualités
Nouveautés v4.7.4 : IA plus rapide, UI repensée

Diagnostic 2x plus rapide, nouveau dashboard dark, intégration Netbird renforcée.

Lire l'article