Avant de confier vos données à un prestataire IT, vous demandez un accord de confidentialité (NDA). C'est bien. C'est même indispensable. Mais c'est loin d'être suffisant.
Un NDA est un document juridique. Il ne chiffre rien, ne contrôle aucun accès, ne surveille aucun flux. Il fixe des obligations — et prévoit des sanctions. Mais entre la signature et le recours en justice, il y a un gouffre que seules des mesures techniques et organisationnelles concrètes peuvent combler.
Ce que le NDA protège réellement
L'accord de confidentialité reste un pilier contractuel essentiel. Voici ce qu'il apporte concrètement dans une relation avec un prestataire informatique :
Obligation juridique de non-divulgation
Le prestataire s'engage formellement à ne pas divulguer vos informations confidentielles à des tiers. C'est la base de toute relation de confiance en infogérance.
Durée de confidentialité définie
Le NDA cadre la durée de l'obligation — par exemple, 3 ans après la fin du contrat (cf. nos CGV, Art. 16). Sans cette clause, la confidentialité s'éteint avec le contrat.
Base légale pour recours
En cas de fuite avérée, le NDA fournit la base contractuelle pour engager la responsabilité du prestataire. Sans accord écrit, prouver une obligation de confidentialité est bien plus difficile.
Protection du secret des affaires
Le NDA s'articule avec la protection du secret des affaires (article L151-1 du Code de commerce), dont la durée de protection est illimitée tant que le secret est maintenu.
Les limites du NDA face à la réalité technique
Le NDA est un outil juridique. Or, la protection de vos données chez un prestataire IT est d'abord un problème technique et organisationnel. Voici ce que le NDA ne couvre pas :
Un NDA ne chiffre pas vos données
L'accord de confidentialité interdit la divulgation — mais il ne rend pas les données illisibles. Si les sauvegardes de votre prestataire ne sont pas chiffrées, n'importe quel technicien ayant accès au stockage peut lire vos fichiers. Le NDA ne fait que punir après coup, il n'empêche rien techniquement.
Un NDA ne contrôle pas les accès techniques
Qui a accès à vos serveurs ? Avec quels droits ? Le NDA ne dit rien sur la gestion des accès, les comptes à privilèges, l'authentification multi-facteurs ou la séparation des environnements. Un administrateur système voit tout — sauf si des mesures techniques l'en empêchent.
Un NDA ne protège pas contre la négligence
Failles non corrigées, mots de passe faibles, sous-traitants mal encadrés, sauvegardes non testées... Les incidents de sécurité sont rarement le fait d'une divulgation volontaire. Ils résultent de négligences techniques que le NDA n'adresse pas.
La preuve est quasi impossible
Même en cas de fuite, comment prouver que c'est votre prestataire qui en est à l'origine ? Sans journaux d'accès immuables, sans convention de preuve, sans traçabilité des opérations, le NDA reste une arme sans munitions.
Les 5 piliers qui comptent plus que le NDA
Pour protéger réellement vos données chez un prestataire IT, exigez ces 5 garanties techniques et organisationnelles. Elles transforment l'engagement juridique du NDA en protection effective.
Chiffrement côté client
Le chiffrement côté client (client-side encryption) est la seule garantie technique absolue : même le prestataire ne peut pas lire vos données. Les clés de chiffrement restent chez vous — pas chez votre infogérant.
Exemple concret : les sauvegardes Proxmox Backup Server (PBS) chiffrent les données avec une clé détenue uniquement par le client. Le prestataire stocke des blocs chiffrés qu'il ne peut pas déchiffrer, même avec un accès root au serveur de sauvegarde.
Hébergement souverain
Un NDA français ne vous protège pas si vos données sont hébergées aux États-Unis. Le Cloud Act permet aux autorités américaines d'accéder aux données stockées par des entreprises américaines, quel que soit le pays d'hébergement. C'est pourquoi nous proposons une infogérance serveur souveraine, opérée intégralement en France.
Ce qu'il faut exiger : hébergement en France, opéré par une société française, sur une infrastructure non soumise à des juridictions extraterritoriales. C'est la seule façon de garantir que le RGPD s'applique pleinement.
Encadrement des sous-traitants
Votre prestataire fait-il appel à des sous-traitants ? Si oui, sont-ils soumis aux mêmes obligations de confidentialité ? Un NDA qui ne couvre pas la chaîne de sous-traitance est un NDA troué.
Ce qu'il faut exiger : NDA en cascade avec chaque sous-traitant, DPA (Data Processing Agreement) conforme au RGPD, droit d'audit, et liste des sous-traitants communiquée au client (cf. nos CGV, Art. 5.7).
Séparation des environnements
La mutualisation sauvage des environnements est un risque majeur. Si vos données côtoient celles d'autres clients sur le même serveur, sans isolation, un incident chez un voisin peut compromettre vos données.
Ce qu'il faut exiger : isolation réseau (VLAN dédié), machines virtuelles séparées, stockage isolé, et idéalement des clusters dédiés pour les environnements sensibles.
Traçabilité et journaux immuables
Sans logs, pas de preuve. Sans preuve, le NDA est inutile. La traçabilité est le chaînon manquant entre l'obligation juridique et la capacité à la faire respecter. Encore faut-il que les horodatages soient fiables — une désynchronisation NTP rend la corrélation entre sources impossible et compromet la valeur probante des journaux.
Ce qu'il faut exiger : journaux d'accès immuables (write-once), convention de preuve contractuelle, durée de rétention définie (minimum 90 jours), et accès client aux logs sur demande (cf. nos CGV, Art. 8).
L'approche RDEM Systems
Chez RDEM Systems, le NDA n'est pas un argument commercial — c'est le minimum contractuel. Voici ce que nous mettons en place concrètement :
Hébergement Equinix France
3 datacenters Equinix en région parisienne, opérés par une société française, hors Cloud Act.
Sauvegardes chiffrées côté client
Proxmox Backup Server avec chiffrement client-side. Nous ne pouvons pas lire vos sauvegardes, même si nous le voulions.
NDA systématiques avec sous-traitants
Chaque prestataire tiers signe un NDA et est soumis à des obligations au moins équivalentes aux nôtres (CGV, Art. 5.7).
Confidentialité 3 ans post-contrat
Obligation de confidentialité maintenue 3 ans après la fin du contrat, sans limite pour le secret des affaires (CGV, Art. 16).
PCA/PRA documenté
Plans de continuité et de reprise d'activité testés, avec réplication inter-sites via fibres noires dédiées.
Coopération en cas d'incident
Notification sous 24h, préservation des preuves 90 jours minimum, coordination avec les autorités (CGV, Art. 8.2).
7 questions à poser à votre prestataire IT
Avant de signer un contrat d'infogérance, posez ces 7 questions. Si votre prestataire ne sait pas y répondre clairement, c'est un signal d'alerte.
Où sont hébergées mes données physiquement ?
Exigez le nom des datacenters, le pays, et la juridiction applicable. Méfiez-vous des réponses vagues ("dans le cloud").
Mes sauvegardes sont-elles chiffrées ? Qui détient les clés ?
Le chiffrement côté serveur ne suffit pas si le prestataire détient les clés. Demandez du chiffrement côté client.
Faites-vous appel à des sous-traitants ? Sont-ils sous NDA ?
Demandez la liste des sous-traitants et vérifiez que des accords de confidentialité en cascade existent.
Comment sont isolés mes environnements des autres clients ?
VLAN dédiés, VMs séparées, stockage isolé. La mutualisation sans isolation est un risque majeur.
Quels journaux d'accès conservez-vous et pendant combien de temps ?
Sans traçabilité, pas de preuve. Exigez des logs immuables avec une rétention minimum de 90 jours.
Quel est votre délai de notification en cas d'incident de sécurité ?
Le RGPD impose 72h pour la CNIL. Un bon prestataire s'engage sur 24h envers ses clients.
Que se passe-t-il à la fin du contrat ? Suppression des données, restitution ?
Clause de réversibilité, suppression certifiée des données, et maintien de la confidentialité post-contrat.
Le NDA est le plancher, pas le plafond
L'accord de confidentialité reste indispensable — c'est le socle contractuel minimum de toute relation avec un prestataire IT. Mais le confondre avec une protection effective, c'est confondre la serrure avec le coffre-fort.
Ce qui protège réellement vos données, c'est la combinaison du NDA avec des mesures techniques vérifiables : chiffrement côté client, hébergement souverain, sous-traitants encadrés, environnements isolés et traçabilité complète. Exigez les deux.
La directive NIS2 renforce ces exigences en matière de sauvegardes et de résilience — découvrez notre analyse sur la conformité NIS2 et sauvegardes. Et pour comprendre ce qui différencie un prestataire souverain d'un revendeur, consultez pourquoi choisir RDEM Systems.
Besoin d'un prestataire IT qui va au-delà du NDA ?
Chez RDEM Systems, la confidentialité ne se limite pas à un document signé. Découvrez nos engagements concrets en matière de protection des données.