Se connecter Commencer
Retour au blog

Où vivent vraiment vos données

par Kaligon Team 3 min de lecture

« C’est dans la région UE » et « ça reste dans l’UE », ce sont deux phrases différentes. Le marketing de votre fournisseur les traite comme des synonymes. Votre auditeur, non. Et vous non plus.

Une région, c’est une indication de placement pour la copie principale de vos données. Rien de plus. Elle vous dit où la VM démarre et où se trouve le volume de bloc. Elle ne dit rien sur l’endroit où atterrissent les sauvegardes, sur le continent depuis lequel tourne le tableau de bord, ni sur l’endroit où se trouve l’ingénieur du support quand il ouvre une session dans votre compte. Choisir eu-west dans un menu déroulant, c’est le début de la conversation, pas la fin.

Résidence, souveraineté et le plancher RGPD

Ces trois notions sont souvent mélangées, alors séparons-les.

La résidence est physique : quel datacenter détient les octets au repos. C’est la partie facile, et celle que la plupart des fournisseurs honoreront effectivement.

La souveraineté est juridique : quelles lois peuvent atteindre les données et les personnes qui les exploitent. Un fournisseur dont le siège est aux États-Unis peut être contraint de livrer des données qui reposent à Amsterdam. Le disque n’a jamais quitté les Pays-Bas ; la juridiction, elle, a suivi la maison mère jusque chez elle. La résidence sans la souveraineté, c’est une demi-mesure rassurante.

Les règles de transfert du RGPD sont la partie contraignante pour les données européennes. Déplacer des données personnelles hors de l’EEE exige une base légale : une décision d’adéquation, des clauses contractuelles types, les bonnes garanties. « On réplique les sauvegardes vers us-east pour la durabilité », c’est un transfert transfrontalier, même si personne ne l’a décidé exprès. Le job de réplication, lui, ne lit pas le contrat.

Les points de fuite sournois

C’est rarement le plan de données qui pose problème. Les fuites se nichent dans la tuyauterie que personne ne capture en screenshot.

  • Les plans de contrôle. Vos VM tournent en eu-west, mais le panneau, l’API et le cerveau d’orchestration tournent souvent depuis une seule région d’origine. Chaque appel d’API, chaque métrique, chaque changement de config peut transiter par là. La charge de travail est locale ; les métadonnées sur votre charge de travail, elles, prennent l’avion.
  • Les sauvegardes et les snapshots. Les fonctions de durabilité adorent copier d’une région à l’autre par sécurité. Ingénierie sensée, surprise de conformité catastrophique. Vérifiez toujours où vit la seconde copie.
  • L’accès du support. Quand vous ouvrez un ticket et accordez un accès, où se trouve cet ingénieur ? Sous quelle juridiction ? Un niveau de support offshore peut constituer un transfert qui n’apparaît jamais dans votre diagramme d’architecture.
  • Les logs et la télémétrie. La journalisation centralisée est le canal d’exfiltration accidentelle par excellence. Adresses IP, identifiants d’utilisateurs, corps de requêtes — autant de données personnelles, toutes expédiées en douce là où se trouve le cluster de logs.

Posez ces quatre questions à votre fournisseur par écrit. Les silences en disent plus long que les réponses.

Comment Kaligon Cloud gère ça

Nous avons conçu notre architecture autour de ces points de fuite plutôt que de les rapiécer après coup.

Vos données restent dans la région que vous choisissez. Pas la copie principale avec astérisques — les données. Les volumes de bloc sont répliqués au sein de la région, les snapshots restent au sein de la région, et il n’y a aucun job de durabilité inter-régions surprise qui expédie une copie quelque part « par sécurité ». Aucun frais de sortie entre ressources d’une même région signifie aussi que vous n’êtes jamais financièrement poussé à éparpiller vos données. Le journal d’audit de 90 jours vous donne le qui-a-fait-quoi, au sein de la région, pour que vous puissiez le prouver plutôt que de le promettre.

Le RGPD, c’est le plancher, pas le plafond. Nous le traitons comme la barre minimale, pas comme le badge marketing. Et le support parle la langue dans laquelle vous déposez le ticket — assuré par des personnes dont la juridiction correspond à la promesse, pas par un niveau offshore qui devient discrètement un transfert.

La région devrait être une décision que vous prenez exprès, avec le tableau complet sous les yeux — sauvegardes, plan de contrôle, support, tout le toutim. Choisissez une région sur la page tarifs et ce que vous choisissez est ce que vous obtenez. Pas de petits caractères, pas de second continent que vous découvrez en plein audit.