Archivage des données en entreprise: obligations légales, sauvegardes et copies immuables
Conserver ses données 5, 6 ou 10 ans ne suffit pas: encore faut-il pouvoir les restaurer, les vérifier et les protéger contre la suppression, le piratage ou la dépendance à un Drive.
L’archivage des données en entreprise est souvent abordé sous l’angle administratif: combien de temps faut-il garder les factures, les pièces comptables, les contrats, les bulletins de paie, les exports fiscaux ou les documents sociaux?
C’est évidemment le point de départ. Mais ce n’est pas le point d’arrivée.
Une entreprise peut avoir une durée de conservation correcte sur le papier et être incapable de produire un document le jour d’un contrôle, d’un litige, d’un audit ou d’une reprise après incident. Le vrai sujet n’est donc pas seulement: combien de temps doit-on conserver les données? C’est aussi: comment prouve-t-on que ces données seront encore disponibles, lisibles, intègres et restaurables dans plusieurs années?
Et sur ce point, beaucoup d’organisations découvrent que “tout est dans le Drive” n’est pas une stratégie d’archivage.
Les obligations de conservation: souvent 5 à 10 ans pour les documents courants
En France, les durées de conservation varient selon la nature des documents et le secteur d’activité. Il faut donc éviter les règles universelles du type “on garde tout 10 ans” ou “on purge tout au bout de 5 ans”.
Pour les documents les plus courants, les ordres de grandeur sont généralement les suivants:
- 5 ans pour de nombreux contrats ou conventions conclus dans une relation commerciale, la correspondance commerciale, certains documents bancaires, les documents relatifs aux contrats de travail, salaires, primes, indemnités et soldes de tout compte;
- 6 ans pour beaucoup de documents fiscaux sur lesquels l’administration peut exercer ses droits de contrôle;
- 10 ans pour les livres et registres comptables, les pièces justificatives comptables, les factures clients et fournisseurs, ainsi que les comptes annuels à partir de la clôture de l’exercice.
Il existe aussi des cas particuliers: certains documents immobiliers, garanties, dossiers juridiques, documents RH ou données sectorielles peuvent suivre des durées différentes. Et lorsqu’il y a des données personnelles, le RGPD impose de ne pas conserver indéfiniment “par confort”: il faut une durée justifiée, une séparation des données archivées si nécessaire, et des accès limités.
Autrement dit, l’archivage doit répondre à deux contraintes qui tirent parfois dans des directions opposées:
- conserver assez longtemps pour respecter les obligations légales, fiscales, sociales, contractuelles ou contentieuses;
- ne pas conserver plus que nécessaire les données qui n’ont plus de finalité justifiée, notamment les données personnelles.
Ce cadrage relève souvent du juridique, du DPO, de la direction administrative et financière, et des métiers. Mais une fois les durées décidées, l’infrastructure doit suivre. C’est là que les problèmes commencent.
La conservation n’a de valeur que si la restauration fonctionne
Dire “nous conservons les factures 10 ans” ne signifie pas grand-chose si personne ne sait où elles sont, dans quel format, avec quels droits, sur quel stockage, dans quelle sauvegarde et comment les restaurer.
Une politique d’archivage exploitable doit répondre à des questions très concrètes:
- où sont les données sources;
- où sont les archives;
- qui peut y accéder;
- comment les droits sont revus dans le temps;
- quelle est la durée de rétention par catégorie;
- comment les suppressions légitimes sont réalisées;
- comment les sauvegardes sont chiffrées;
- comment l’intégrité est contrôlée;
- comment une restauration est testée;
- qui est responsable en cas d’incident.
Un document archivé n’est pas seulement un fichier “rangé quelque part”. C’est un actif de preuve, de continuité et parfois de conformité. Il doit donc rester lisible malgré les changements de logiciels, les migrations, les départs de collaborateurs, les changements de prestataires, les incidents de sécurité et l’évolution de l’infrastructure.
La question utile n’est pas “avons-nous une copie?”. La question utile est: avons-nous déjà restauré cette copie, avec succès, dans des conditions proches du réel?
Le piège du Drive: pratique, mais pas suffisant
Google Drive, OneDrive, Dropbox et les espaces cloud équivalents ont un avantage évident: ils rendent les fichiers accessibles, partageables et synchronisés. Pour le travail quotidien, c’est confortable.
Mais un Drive n’est pas automatiquement une solution d’archivage conforme, souveraine et restaurable.
Plusieurs limites doivent être regardées sans naïveté.
D’abord, la synchronisation n’est pas une sauvegarde. Une suppression, un chiffrement, une corruption ou une mauvaise manipulation peut se propager rapidement sur les postes et les espaces partagés. Les corbeilles et historiques de versions aident dans certains scénarios, mais ils ne remplacent pas une politique de sauvegarde indépendante, surveillée et testée.
Ensuite, il y a la dépendance au compte et à l’éditeur. Si le compte administrateur est compromis, si les droits sont mal configurés, si une application tierce obtient trop d’autorisations, ou si un attaquant prend la main sur la console d’administration, les données et les partages peuvent être exposés ou détruits. À cela s’ajoute un point rarement anticipé: l’éditeur peut limiter, suspendre ou fermer un compte en cas de non-respect réel ou supposé de ses conditions d’utilisation. Même si la situation finit par se résoudre, le délai de support peut devenir incompatible avec les besoins de l’entreprise.
Il y a aussi le sujet de la souveraineté. Où sont les données? Quelle juridiction s’applique? Qui peut techniquement y accéder? Quelles garanties existent sur la réversibilité? Pour des archives comptables, sociales, contractuelles ou sensibles, ces questions ne sont pas secondaires.
Enfin, un Drive reste souvent un espace de travail vivant. On y crée des dossiers, on partage avec des clients, on invite des prestataires, on modifie des droits, on ajoute des automatisations. C’est exactement l’inverse de ce que l’on attend d’une archive critique: stabilité, traçabilité, accès limités, conservation maîtrisée et capacité de restitution.
Le bon usage d’un Drive peut faire partie du système d’information. Il ne doit pas être le seul endroit où repose la mémoire légale et opérationnelle de l’entreprise.
Trois sites géographiquement distincts, idéalement plusieurs providers européens
Pour les données critiques, une stratégie sérieuse doit sortir d’une logique de copie unique. L’objectif est de résister à plusieurs familles d’incidents:
- suppression ou erreur humaine;
- compromission d’un compte;
- chiffrement par rançongiciel;
- panne du stockage principal;
- indisponibilité d’un datacenter;
- incident réseau ou provider;
- litige ou blocage administratif sur un compte;
- perte d’accès à une console cloud.
Une approche robuste consiste à maintenir des copies redondantes sur trois sites géographiquement distincts, avec des dépendances aussi séparées que possible. Quand le contexte le justifie, ces sites doivent être opérés par des providers européens différents.
Le but n’est pas d’empiler des logos pour se rassurer. Le but est de réduire les dépendances communes: même compte client, même fournisseur, même région, même réseau, même plan de contrôle, même annuaire, même méthode d’administration.
En pratique, on peut par exemple distinguer:
- une copie proche de la production pour les restaurations rapides;
- une copie hors site chez un autre opérateur européen;
- une copie supplémentaire isolée, avec une rétention plus longue et une protection renforcée.
Le bon design dépend des volumes, des contraintes de restauration, de la sensibilité des données, du budget et des obligations de localisation européenne. Une archive comptable de quelques centaines de gigaoctets ne se traite pas comme un stockage de production de plusieurs dizaines de téraoctets. Mais le principe reste le même: éviter qu’un seul incident puisse détruire toutes les copies.
Superviser les sauvegardes, pas seulement les lancer
Beaucoup d’entreprises ont techniquement “des sauvegardes”. Moins nombreuses sont celles qui savent dire, chaque matin, si toutes les sauvegardes attendues ont bien abouti, si les volumes sont cohérents, si la rétention est respectée et si une restauration est possible.
Une sauvegarde non supervisée finit souvent par devenir une croyance.
Il faut surveiller au minimum:
- l’exécution des jobs;
- les échecs et les sauvegardes partielles;
- la durée des jobs;
- les volumes transférés;
- la capacité restante;
- le retard de réplication;
- les erreurs de vérification;
- l’expiration des rétentions;
- les changements soudains de volumétrie;
- les accès administratifs au système de sauvegarde.
Cette supervision doit déclencher de vraies alertes, pas seulement écrire une ligne dans un journal que personne ne lit. Si une sauvegarde échoue pendant trois semaines sans que personne ne le voie, elle n’existe plus opérationnellement.
Le sujet est encore plus important pour l’archivage longue durée. Plus l’horizon de conservation est long, plus les risques de dérive augmentent: formats qui changent, droits oubliés, clés de chiffrement mal gérées, comptes supprimés, scripts cassés, stockage saturé, provider migré, documentation obsolète.
Tester la restaurabilité et l’intégrité
Une stratégie de sauvegarde ne se valide pas dans l’interface qui affiche “succès”. Elle se valide par la restauration.
Les tests doivent être réguliers et documentés:
- restauration d’un fichier isolé;
- restauration d’un dossier complet;
- restauration d’une base de données;
- restauration sur un environnement séparé;
- contrôle des droits et métadonnées;
- vérification de l’intégrité;
- mesure du temps réel de récupération;
- validation métier du document restauré.
Pour les archives, il faut aussi vérifier la lisibilité. Retrouver un vieux fichier ne suffit pas si le format n’est plus exploitable, si le fichier est corrompu, si le chiffrement ne peut plus être déverrouillé ou si la personne habilitée à le lire n’a plus accès au bon outil.
Un bon test produit une preuve: date, périmètre, résultat, temps de restauration, écarts constatés, actions correctives. C’est cette discipline qui transforme une sauvegarde en dispositif défendable.
L’immuabilité: indispensable face au rançongiciel
Les attaques modernes ne se contentent pas de chiffrer la production. Les attaquants cherchent souvent à supprimer ou compromettre les sauvegardes avant de déclencher le chiffrement visible. C’est logique: une entreprise qui peut restaurer rapidement est moins susceptible de payer.
Il faut donc protéger les sauvegardes contre l’environnement qu’elles protègent.
L’immuabilité répond à ce besoin: pendant une durée définie, certaines sauvegardes ne peuvent pas être modifiées ou supprimées, même par un compte compromis dans le périmètre courant. Selon les technologies, cela peut passer par du stockage WORM, des verrous de rétention, des snapshots protégés, des dépôts append-only, des droits séparés ou des mécanismes de verrouillage côté provider.
L’important n’est pas le mot utilisé dans la plaquette commerciale. L’important est de vérifier le comportement réel:
- qui peut supprimer une sauvegarde;
- qui peut réduire une durée de rétention;
- quelles actions sont journalisées;
- comment les droits administrateur sont séparés;
- ce qui se passe si le compte principal est compromis;
- si l’immuabilité résiste à une erreur interne;
- comment on restaure depuis une copie verrouillée.
L’immuabilité n’empêche pas tous les incidents. Elle ne remplace pas les mises à jour, le durcissement, le MFA, la segmentation ou la supervision. Mais elle réduit fortement un risque critique: perdre la production et les sauvegardes dans la même attaque.
Une stratégie adaptée aux enjeux et au budget
Toutes les données n’ont pas besoin du même niveau de protection.
Certaines archives doivent être conservées longtemps mais peuvent être restaurées en quelques jours. D’autres doivent être récupérables en quelques heures. Certaines données sont sensibles juridiquement, d’autres surtout critiques pour l’exploitation. Dans tous les cas, les copies doivent rester en Europe; la différence se joue ensuite sur le niveau d’isolation, de rétention, d’immuabilité et de contrôle d’accès.
La bonne approche consiste à classifier:
- les données légalement obligatoires;
- les données critiques pour l’activité;
- les données sensibles ou personnelles;
- les données volumineuses mais peu critiques;
- les données à purger au terme de leur durée utile.
Ensuite seulement, on définit les fréquences, les rétentions, les sites, les providers, les niveaux d’immuabilité, les tests et les engagements de restauration.
Une stratégie trop faible expose l’entreprise. Une stratégie trop ambitieuse devient coûteuse, lourde à maintenir et finit parfois contournée. Le bon niveau est celui qui correspond aux risques réels, aux obligations, aux contraintes métiers et à la capacité d’exploitation.
Ce que Forget About IT peut mettre en place
Chez Forget About IT, nous abordons l’archivage et la sauvegarde comme un sujet d’infrastructure exploité dans la durée, pas comme une case à cocher.
Nous pouvons accompagner une entreprise sur l’ensemble du cycle:
- cadrage des données à conserver et des durées de rétention avec vos interlocuteurs internes;
- architecture de sauvegarde et d’archivage multi-sites;
- choix de providers européens distincts selon les contraintes de souveraineté, de budget et de restauration;
- mise en place de copies chiffrées, redondantes et isolées;
- immuabilité adaptée aux risques de suppression ou de rançongiciel;
- supervision des jobs, alertes et capacité;
- tests de restauration et contrôles d’intégrité;
- documentation des procédures;
- accompagnement en restauration ou en reprise après incident.
L’objectif n’est pas de vendre une architecture disproportionnée. L’objectif est de construire un dispositif cohérent: assez robuste pour protéger les données importantes, assez lisible pour être opéré, assez réaliste pour tenir dans le temps.
Pour une PME, un éditeur SaaS, un site e-commerce ou un réseau de franchises, la question n’est pas seulement de savoir où stocker les archives. La vraie question est: le jour où il faudra les récupérer, qui sait le faire, en combien de temps, et avec quelles preuves?
C’est précisément le type de sujet sur lequel nous pouvons intervenir: audit, conception, infogérance, supervision, sauvegardes, PRA et accompagnement sur mesure.
- Découvrir notre offre d’infogérance
- Lire notre article sur Proxmox Backup Server et le BaaS
- Nous contacter pour cadrer votre stratégie d’archivage et de sauvegarde
Sources
- Entreprendre Service Public - Quels sont les délais de conservation des documents pour les entreprises?
- CNIL - Les durées de conservation des données
- Cybermalveillance.gouv.fr - Rançongiciel ou ransomware: que faire si votre organisation est victime d’une attaque?
FAQ: archivage des données et sauvegardes en entreprise
Combien de temps une entreprise doit-elle conserver ses données ?
En France, les durées courantes varient selon la nature des documents: 5 ans pour de nombreux documents commerciaux ou sociaux, 6 ans pour beaucoup de documents fiscaux, et 10 ans pour les livres, registres et pièces comptables. Des règles sectorielles peuvent imposer d’autres durées.
Stocker des documents dans Google Drive ou OneDrive suffit-il pour l’archivage ?
Non. Un Drive est un espace de travail et de partage, pas une stratégie complète d’archivage et de sauvegarde. Il faut aussi gérer la souveraineté, les accès, la restauration, les copies hors périmètre, la supervision et les risques de suspension ou de compromission du compte.
Pourquoi faut-il des copies sur plusieurs sites géographiques ?
Parce qu’un incident peut toucher un site complet, un compte client, un provider ou une zone réseau. Répartir les copies sur plusieurs sites et, si possible, plusieurs providers européens réduit les dépendances communes.
Qu’est-ce qu’une sauvegarde immuable ?
Une sauvegarde immuable est protégée contre la modification ou la suppression pendant une durée définie. Elle limite le risque qu’un attaquant chiffre ou efface les sauvegardes après avoir compromis l’environnement principal.
À quelle fréquence faut-il tester les restaurations ?
La fréquence dépend de la criticité des données et du rythme des changements, mais les restaurations doivent être testées régulièrement, documentées, et rejouées après les évolutions importantes de l’infrastructure.
Forget About IT peut-il accompagner une stratégie d’archivage et de sauvegarde ?
Oui. Nous pouvons cadrer les données à conserver, concevoir l’architecture de sauvegarde, opérer les copies multi-sites, superviser les jobs, tester les restaurations et adapter le dispositif au budget et aux enjeux de l’entreprise.
Articles recommandés
Sécurité
DirtyClone (CVE-2026-43503): nouvelle faille Linux locale dans la famille DirtyFrag
DirtyClone est une nouvelle élévation de privilèges locale Linux liée au page cache et aux chemins réseau sk_buff. Les mitigations DirtyFrag réduisent l'exposition, mais ne remplacent pas le correctif noyau complet.
Sécurité
Maintenance WordPress: une obligation en 2026
WordPress reste le CMS dominant du web. Cette popularité en fait une cible privilégiée, même pour les sites qui pensent ne pas intéresser les attaquants.
Sécurité
HTTP/2 Bomb: une attaque DoS à qualifier sur nginx, Apache, Envoy, IIS et Pingora
HTTP/2 Bomb combine une amplification HPACK et un blocage de fenêtre HTTP/2 pour épuiser la mémoire de serveurs web exposés, parfois en quelques secondes.