Synology, Object Lock, cloud français, chiffrement, RGPD et dossier de preuve : comment construire une architecture défendable plutôt qu’une simple sauvegarde.

Mise à jour : 15 juillet 2026 — Temps de lecture estimé : 22 minutes.

Un NAS peut contenir des années de factures, de contrats, de journaux techniques et de sauvegardes. Il peut répliquer ces données, les chiffrer et conserver plusieurs versions. Cela n’en fait pas automatiquement un coffre-fort numérique, encore moins un système d’archivage électronique juridiquement certifié.

L’inaltérabilité ne vient pas d’un boîtier. Elle vient d’un ensemble cohérent : des durées de conservation définies, des écritures verrouillées, des droits séparés, des journaux protégés, une copie hors site, des contrôles d’intégrité et des restaurations réellement testées.

Le Synology reste un excellent composant de cette architecture. Il apporte la proximité, la rapidité de restauration et la maîtrise locale. Mais la copie qui doit survivre au vol du NAS, à l’incendie, à la compromission d’un administrateur ou à un rançongiciel doit sortir de ce même domaine de panne et d’administration.

Héberger soi-même ne supprime pas les obligations. Cela déplace la responsabilité vers l’entreprise.

Sauvegarde, versionnement, snapshot et inaltérabilité : quatre notions différentes

Ces termes sont souvent employés comme s’ils désignaient la même protection. Ils répondent pourtant à des risques différents.

Notion Fonction principale Ce qu’elle ne garantit pas à elle seule
Sauvegarde Restaurer une donnée perdue, corrompue ou détruite L’impossibilité de modifier ou supprimer la copie
Versionnement Conserver plusieurs états successifs d’un fichier ou d’un objet La protection des anciennes versions contre un administrateur privilégié
Snapshot Photographier rapidement l’état d’un volume ou d’un partage Une copie physiquement séparée ni, pour un snapshot ordinaire, un verrouillage WORM
Inaltérabilité Empêcher l’écrasement ou la suppression d’une version pendant une durée définie La conformité juridique globale, la confidentialité, la disponibilité ou la qualité de la donnée archivée

Un RAID n’est pas davantage une sauvegarde : il améliore surtout la disponibilité en cas de panne d’un disque. Il ne protège ni d’une suppression logique, ni d’un chiffrement malveillant, ni d’une erreur répliquée, ni de la perte complète du NAS.

Il faut aussi distinguer un snapshot classique d’un snapshot réellement immuable. Depuis DSM 7.2, Synology propose WriteOnce et des snapshots immuables fondés sur le principe WORM, mais uniquement sur les modèles compatibles. Pendant leur période de protection, ces snapshots ne peuvent pas être supprimés par les voies normales d’administration. C’est une protection sérieuse contre la compromission d’un compte administrateur, mais elle reste locale au matériel et ne transforme pas le NAS, à elle seule, en archive légale.

L’inaltérabilité doit enfin être comprise dans un périmètre précis : quels objets sont verrouillés, par quel mécanisme, contre quels comptes, jusqu’à quelle date et avec quelles exceptions ? Une impossibilité absolue de destruction n’existe pas. Un stockage peut être physiquement détruit et un fournisseur peut cesser son activité. L’objectif réaliste est une inaltérabilité techniquement appliquée, limitée dans le temps, vérifiable et documentée.

Trois stratégies possibles

1. Tout conserver sur un Synology local

Cette approche offre des restaurations rapides, un coût relativement prévisible et une maîtrise directe de l’équipement. Elle peut combiner Btrfs, snapshots, WriteOnce, sauvegardes chiffrées et réplication vers un second volume.

Son défaut est structurel : le NAS, ses disques, son alimentation, son réseau et souvent ses comptes d’administration appartiennent au même domaine de panne. Deux volumes dans le même châssis améliorent l’organisation et la séparation logique, pas la résilience face à un incendie, un vol ou une destruction du matériel. S’ils partagent le même pool de stockage, leur séparation physique est encore plus faible.

2. Tout confier à un cloud

Le stockage objet apporte une séparation géographique, une forte durabilité et, selon l’offre, un verrouillage Object Lock. Il évite aussi d’exploiter un second site physique.

Mais le client devient dépendant du contrat, de la facturation, des mécanismes d’authentification, des coûts de sortie, de la politique de fermeture de compte et des outils du fournisseur. Une erreur de durée en mode Compliance peut en outre immobiliser des téraoctets — et leur coût — pendant des années.

3. Construire une architecture hybride

Pour une PME, l’approche la plus défendable est généralement hybride : une copie locale pour travailler et restaurer vite, une copie distante pour sortir du site, et au moins une copie que l’administrateur de production ne peut pas effacer.

Risque NAS local seul Cloud seul Architecture hybride
Restauration rapide d’un fichier Très bonne Variable Très bonne
Incendie ou vol du site Faible Bonne Bonne
Compromission de l’administrateur local Variable Bonne si comptes séparés et Object Lock Bonne si les identités sont réellement séparées
Dépendance à un fournisseur Faible Forte Limitée
Maîtrise des coûts de sortie Bonne Variable Variable, mais planifiable
Capacité à démontrer les contrôles Moyenne Variable selon les journaux disponibles Bonne si le dossier de preuve est tenu

Une architecture réaliste pour une PME

flowchart LR
    A[ERP ou application métier] -->|Export périodique| B[Synology : volume d’archives]
    B --> C[Snapshots immuables / WriteOnce]
    B -->|Sauvegarde chiffrée| D[Second NAS distant ou copie déconnectée]
    B -->|Paquets d’archives en écriture seule| E[Stockage objet en région française<br/>Object Lock / WORM]
    A --> F[Journaux, manifeste et empreintes SHA-256]
    F --> E
    K[Coffre de clés séparé] -. récupération .-> D
    K -. récupération .-> E
    E -->|Test périodique| R[Zone de restauration isolée]

Le flux vers le stockage objet doit utiliser des noms d’objets uniques et un compte de service au privilège minimal. Ce compte peut déposer de nouveaux objets, mais ne doit pas pouvoir supprimer les versions, modifier la politique de rétention, contourner le mode Governance ou administrer le compte cloud. Les identifiants du NAS principal ne doivent pas ouvrir le second NAS ni le compte propriétaire du stockage objet.

Cette architecture reprend la règle de sauvegarde 3-2-1 recommandée par l’ANSSI : trois copies, sur deux types de supports, dont une hors ligne. Dans la pratique, de nombreux responsables ajoutent « une copie immuable » et « zéro erreur non résolue lors des tests ». Cette extension est une convention opérationnelle, pas une obligation réglementaire universelle.

Une copie Object Lock accessible en ligne peut remplir le rôle d’une copie immuable, mais elle ne remplace pas toujours une vraie copie déconnectée. L’ANSSI et la CNIL recommandent toutes deux de conserver au moins une sauvegarde hors ligne ou géographiquement distincte et de tester régulièrement la restauration.

Ce qu’un Synology peut réellement apporter

Sous réserve du modèle, de DSM et du système de fichiers utilisés, un Synology peut fournir :

  • des volumes Btrfs et des snapshots rapides ;
  • des snapshots immuables et des dossiers WriteOnce sur les modèles compatibles ;
  • la réplication de snapshots vers un second NAS ;
  • des sauvegardes multiversions avec Hyper Backup ;
  • une destination S3 ou compatible S3 ;
  • un chiffrement côté client avant l’envoi ;
  • des contrôles programmés d’intégrité des sauvegardes ;
  • des comptes de service séparés, l’authentification multifacteur et l’export des journaux.

La documentation Hyper Backup précise qu’une sauvegarde chiffrée côté client nécessite son mot de passe ou sa clé pour être restaurée. Leur perte rend la sauvegarde inutilisable. La clé exportée ne doit donc pas rester uniquement sur le NAS ou dans le même compte cloud que la sauvegarde.

Une configuration locale minimale peut ressembler à ceci :

NAS Synology principal
├── Espace d’échange reçu de la production
├── Volume ou partage d’archives aux droits dédiés
├── Snapshots fréquents
├── Snapshots immuables selon une durée documentée
├── Tâche de sauvegarde chiffrée vers un second site
├── Dépôt en écriture seule vers le stockage objet WORM
└── Journaux exportés hors du NAS

La compatibilité doit être testée avec le logiciel de sauvegarde et le fournisseur objet. Certains dépôts de sauvegarde réécrivent des index, suppriment d’anciens blocs ou exécutent une rotation. Une rétention WORM appliquée sans tenir compte de ce fonctionnement peut provoquer des erreurs ou une forte accumulation de versions. Pour l’archive longue durée, des paquets autonomes en écriture seule, accompagnés de leurs manifestes, sont souvent plus simples à défendre qu’un dépôt propriétaire constamment modifié.

Les erreurs à éviter

  • utiliser le même compte administrateur sur la production, les sauvegardes et le cloud ;
  • donner à l’application métier des droits de suppression sur l’archive distante ;
  • conserver production et unique sauvegarde dans le même châssis ;
  • exposer directement l’administration du NAS sur Internet ;
  • synchroniser immédiatement toutes les suppressions sans rétention ;
  • stocker l’unique clé de déchiffrement à côté de la sauvegarde ;
  • confondre RAID, snapshot, sauvegarde et archive ;
  • activer plusieurs années de mode Compliance sans essai préalable ;
  • considérer qu’un résultat « tâche terminée » remplace un test de restauration.

Object Lock : Governance, Compliance et Legal Hold

Object Lock protège des versions d’objets et s’appuie sur le versionnement du bucket.

  • En mode Governance, les utilisateurs ordinaires ne peuvent pas supprimer une version protégée, mais un compte disposant d’un droit de contournement peut raccourcir la rétention ou la supprimer.
  • En mode Compliance, aucun utilisateur client, y compris un administrateur, ne peut normalement modifier ou supprimer la version avant l’échéance ni raccourcir sa durée.
  • Un Legal Hold bloque une version sans date de fin jusqu’à la levée explicite du gel par une personne autorisée. Il convient notamment aux contentieux, mais ne remplace pas une politique normale de conservation.

Activer Object Lock sur un bucket ne démontre pas que toutes ses anciennes versions sont déjà protégées. Selon le fournisseur et la configuration, la rétention par défaut peut ne concerner que les nouveaux dépôts. Le contrôle doit donc porter sur chaque objet ou échantillon de versions, avec son mode effectif et sa date retain-until.

Le mode Governance est utile pour valider les flux et les durées. Le mode Compliance est plus fort, mais aussi plus dangereux en cas d’erreur. Il faut tester le cycle complet — dépôt, contrôle, refus de suppression, expiration et restauration — avant de verrouiller la production pour plusieurs années.

Il faut également vérifier ce qui se passe lors de la résiliation ou de la suppression du compte. Une documentation peut annoncer qu’aucun administrateur ne peut effacer un objet tout en prévoyant un traitement particulier lors de la fermeture complète du compte. Cette question doit recevoir une réponse contractuelle, pas seulement commerciale.

Quatre offres françaises ou françaises d’origine à examiner

Le tableau suivant n’est pas un classement. Les fonctions et conditions peuvent évoluer ; elles doivent être confirmées dans le contrat, la région et la classe de stockage effectivement commandées.

Acteur Ce que documente l’offre en juillet 2026 Point de vigilance
OVHcloud Son Object Storage compatible S3 propose Object Lock avec versionnement, modes Governance et Compliance, et Legal Hold. Choisir explicitement la région, contrôler les journaux disponibles, les droits IAM, la réversibilité et le sort des objets lors d’une fermeture de compte.
Scaleway Object Lock est documenté sur Standard Multi-AZ, Standard One Zone et Glacier, avec modes Governance, Compliance et Legal Hold. La région fr-par est disponible. La documentation indique notamment que la suppression du compte constitue un cas particulier : ce scénario doit être analysé et contractuellement encadré. L’export d’Audit Trail doit être organisé pour une conservation longue.
Leviia Son stockage objet est compatible S3 ; sa documentation décrit le verrouillage d’objet WORM en mode Compliance et fournit un guide de connexion à Synology Hyper Backup. La documentation consultée indique encore Governance comme une fonction à confirmer. Localisation exacte, certifications, fermeture de compte et sous-traitants doivent être validés offre par offre.
Scality ARTESCA ARTESCA fournit du stockage S3 immuable avec Object Lock, politiques de rétention et mode Compliance. Il s’agit principalement d’un logiciel ou d’une appliance de stockage objet déployé sur une infrastructure maîtrisée, pas du même type de cloud public managé. L’exploitation et le durcissement restent largement à la charge du client ou de son intégrateur.

Le pays d’origine de la marque ne suffit pas. Pour chaque solution, il faut distinguer l’emplacement des données, celui des métadonnées et journaux, la société contractante, sa maison mère, ses sous-traitants, les accès de support, la juridiction applicable et le contrôle des clés.

La grille de comparaison utile

Critère Question à poser au fournisseur
Localisation Dans quels pays se trouvent les objets, métadonnées, sauvegardes internes et journaux ?
Société et juridiction Quelle entité signe le contrat et quelles lois peuvent lui imposer un accès ?
Immutabilité Object Lock est-il natif et compatible avec l’application de sauvegarde retenue ?
Mode WORM Governance, Compliance et Legal Hold sont-ils tous disponibles ?
Administration Qui peut raccourcir une durée, modifier une politique ou contourner le verrouillage ?
Fermeture du compte Les objets Compliance peuvent-ils disparaître lors d’une résiliation ou suppression du compte ?
Chiffrement Le chiffrement est-il réalisé avant l’envoi et qui détient les clés ?
Journaux Les accès, refus, changements IAM et politiques de rétention sont-ils exportables ?
Réversibilité Combien coûtent et combien durent la restitution de plusieurs téraoctets ?
Sous-traitants Quelles autres sociétés participent au service et au support ?
Contrat RGPD Les exigences de l’article 28 et les éventuels transferts sont-ils couverts ?
Test Une restauration complète et un essai de suppression interdite ont-ils été réalisés ?

Les « contradictions » de la CNIL sont surtout des tensions à organiser

Le mot contradiction est efficace dans un titre. Juridiquement, il est plus exact de parler d’objectifs simultanés qui doivent être conciliés. La CNIL ne demande pas de conserver et de supprimer la même donnée, au même moment, pour la même finalité. Elle demande de sécuriser les données encore justifiées et de ne pas les conserver au-delà de cette justification.

1. Conserver pour prouver, supprimer pour protéger

Le RGPD impose la minimisation et une durée de conservation liée à la finalité. Mais le droit à l’effacement n’est pas absolu : une obligation légale ou la constatation, l’exercice et la défense de droits en justice peuvent justifier une conservation. La CNIL donne elle-même l’exemple des factures qui restent conservées malgré la suppression d’un compte client. Les documents comptables et pièces justificatives sont, en France, conservés dix ans en application de l’article L.123-22 du Code de commerce.

La CNIL distingue la base active de l’archivage intermédiaire. Après l’usage courant, seules les données encore nécessaires à une obligation ou à un intérêt probatoire justifié doivent être isolées, rendues inaccessibles aux services opérationnels et soumises à des accès restreints.

Lorsqu’une donnée doit être effacée mais subsiste temporairement dans une sauvegarde immuable, une doctrine opérationnelle prudente consiste à :

  1. l’effacer des systèmes actifs et empêcher tout usage courant de la sauvegarde ;
  2. laisser expirer une rétention de sauvegarde préalablement justifiée et aussi courte que possible ;
  3. restaurer d’abord dans une zone isolée ;
  4. réappliquer les effacements, oppositions et rectifications intervenus depuis la sauvegarde avant toute remise en production ;
  5. consigner cette réconciliation dans le procès-verbal de restauration.

Cette procédure doit être validée selon le contexte par le DPO ou le conseil juridique. L’immutabilité ne peut pas servir de prétexte à une durée excessive choisie sans analyse préalable.

2. La sécurité exige des journaux qui contiennent eux-mêmes des données personnelles

Pour détecter une intrusion, il faut conserver des identifiants, adresses IP, horodatages, échecs d’authentification et opérations sensibles. Ces informations peuvent être des données personnelles.

La solution n’est ni de tout journaliser éternellement, ni de supprimer les traces trop tôt. La recommandation générale de la CNIL se situe habituellement entre six mois et un an, à adapter au risque, aux obligations applicables et à la finalité. Les journaux doivent être minimisés, protégés contre l’altération, consultables par un nombre réduit de personnes et ne jamais recueillir inutilement des mots de passe, secrets ou contenus complets.

3. Le cloud est acceptable, mais il n’externalise pas la responsabilité

Un prestataire peut fournir une infrastructure robuste sans connaître la bonne durée de conservation de chaque catégorie de données du client. Le responsable de traitement conserve donc son obligation de choisir, paramétrer, documenter et contrôler le service ; le sous-traitant possède également ses propres obligations au titre du RGPD.

La CNIL demande notamment un contrat conforme à l’article 28, la connaissance de toute la chaîne de sous-traitance, des garanties sur la localisation, le chiffrement, la traçabilité, les habilitations et des moyens de vérifier l’effectivité de ces garanties.

4. Une donnée hébergée en France n’est pas automatiquement « souveraine »

L’adresse du centre de données ne répond qu’à une partie de la question. Il faut aussi examiner la société qui opère le service, son groupe, les personnels de support, les sous-traitants, les transferts de télémétrie, le droit applicable et la possibilité pour le fournisseur de déchiffrer les données.

Le chiffrement côté client avec des clés exclusivement contrôlées par l’entreprise réduit fortement l’exposition, mais ne règle ni la disponibilité, ni la réversibilité, ni toutes les questions juridiques.

5. Chiffrer sans perdre la capacité de restaurer

Une archive chiffrée dont la clé est perdue est une archive détruite. Le plan doit donc conserver, dans un coffre séparé :

  • la clé ou le secret de récupération ;
  • la procédure de déchiffrement ;
  • les versions ou installateurs des logiciels indispensables ;
  • la description des formats et dépendances ;
  • deux personnes ou rôles autorisés à déclencher une récupération exceptionnelle.

La présence d’une clé dans un coffre ne suffit pas : sa lecture et une restauration complète doivent être testées périodiquement sans l’exposer dans les journaux ou les procès-verbaux.

Ce qu’il faut mettre dans un dossier d’inaltérabilité

Le dossier de preuve est ce qui permet de passer de « nous avons activé une option » à « voici ce qui était protégé, comment, par qui et avec quel résultat ».

A. Le périmètre

  • applications, serveurs et entités concernés ;
  • catégories de documents, bases et journaux inclus ;
  • données explicitement exclues ;
  • formats produits et règles de nommage ;
  • responsables métier, technique, sécurité, conformité et contrôle.

B. Le schéma d’architecture

Le dossier doit montrer les flux, protocoles, ports, comptes de service, frontières réseau, emplacements géographiques, clés et responsabilités. Il doit faire apparaître les domaines de panne partagés : même baie, même annuaire, même compte cloud ou même prestataire.

C. La politique de conservation

Une politique unique « tout garder dix ans » est rarement défendable. La matrice doit être établie par catégorie et par finalité.

Donnée Durée active Archivage ou sauvegarde Justification Fin de vie
Factures et pièces comptables Selon l’usage opérationnel 10 ans au total selon la règle comptable applicable Code de commerce, art. L.123-22 Expiration contrôlée, sauf gel contentieux
Contrats Pendant l’exécution Selon obligation et prescription applicables Exécution et défense des droits Destruction après validation et absence de gel
Journaux de sécurité Accès restreint dès la collecte En général 6 à 12 mois, à justifier Sécurité du SI Rotation et destruction tracées
Sauvegardes ERP Rétention glissante selon RPO/RTO Durée nécessaire à la reprise, pas archive perpétuelle Continuité et reprise d’activité Expiration automatique vérifiée
Documents RH Selon la gestion courante Durée propre à chaque document et texte Droit social, obligations et contentieux Procédure dédiée

Cette matrice est une méthode, pas une consultation juridique. Le point de départ des délais, les exceptions et les gels doivent être confirmés pour chaque activité.

Les finalités, catégories, destinataires, durées, transferts et mesures de sécurité doivent aussi être cohérents avec le registre des activités de traitement.

D. Les mécanismes techniques d’intégrité

Le dossier peut combiner :

  • une empreinte SHA-256 ou supérieure pour chaque fichier ;
  • un manifeste regroupant les empreintes et métadonnées ;
  • un cachet ou une signature du manifeste avec une clé distincte du stockage ;
  • un horodatage externe ;
  • un chaînage entre les manifestes successifs ;
  • Object Lock, WriteOnce ou snapshots immuables ;
  • un contrôle périodique des empreintes ;
  • l’export des journaux d’administration et des politiques de rétention.

Une empreinte SHA-256 seule prouve seulement qu’un contenu recalculé est identique au contenu de référence. Elle ne prouve ni qui a créé le fichier, ni quand il existait, ni que l’empreinte de référence n’a pas été remplacée. La signature du manifeste, sa conservation séparée et, lorsque l’enjeu le justifie, un horodatage électronique qualifié renforcent considérablement le dossier.

Exemple fictif de manifeste :

{
  "schema_version": 1,
  "archive_id": "PME-2026-07-15-0001",
  "created_at": "2026-07-15T22:30:00+02:00",
  "source": "erp-production",
  "file": "invoices-2026-07.tar.zst",
  "size_bytes": 184729332,
  "digest_algorithm": "SHA-256",
  "digest": "d2c7f1c4b6ee3c086dd7404da8fbb997209af68f28f8a6ff9c8dcad167daef29",
  "object_lock_mode": "COMPLIANCE",
  "retention_until": "2036-07-15T23:59:59Z",
  "storage_targets": [
    "synology-local",
    "nas-distant",
    "s3-france-object-lock"
  ],
  "signing_key_id": "archive-manifest-2026",
  "signature_file": "PME-2026-07-15-0001.manifest.p7s"
}

Le manifeste ne doit jamais contenir la clé de chiffrement ou un secret de connexion.

E. La gestion des accès

Le dossier recense les comptes nominatifs, comptes de service, MFA, procédures de création et révocation, revues périodiques et accès d’urgence. Dans une petite entreprise, la séparation des responsabilités ne nécessite pas forcément cinq salariés différents : elle peut reposer sur des identités distinctes, une double validation et des secrets séparés.

Au minimum, il faut distinguer :

Rôle Pouvoir attendu Pouvoir interdit
Application de production Déposer un export dans une zone d’échange Administrer la sauvegarde ou la rétention
Service d’archivage Lire l’échange et créer de nouveaux objets Supprimer les versions verrouillées
Responsable de conservation Définir les durées validées Modifier seul les données archivées
Administrateur de stockage Exploiter la plateforme Contourner seul une rétention Compliance
Contrôleur Lire les preuves et résultats de tests Modifier les archives ou politiques

F. Les preuves du verrouillage

  • export de la politique Object Lock et de la date de rétention ;
  • configuration des snapshots immuables ;
  • résultat d’une tentative de suppression avec le compte de production ;
  • résultat d’une tentative avec le compte d’administration prévu par le scénario ;
  • journaux de création et de modification des politiques ;
  • preuve de l’absence de droit de contournement dans le compte d’écriture ;
  • procédure et effet contractuel d’une fermeture de compte cloud.

Le test ne doit évidemment pas viser un objet métier unique : il faut utiliser un échantillon créé pour la recette.

G. La procédure de restauration

Elle couvre la restauration d’un fichier, d’une base et du système complet, l’ordre de redémarrage, les dépendances, le contrôle des empreintes et la réconciliation des effacements ou rectifications intervenus depuis la sauvegarde. La restauration doit d’abord se faire dans un environnement isolé, surtout après un rançongiciel.

H. Les procès-verbaux de tests

Chaque procès-verbal indique la date, l’opérateur, l’archive choisie, l’empreinte attendue et obtenue, la durée, les volumes restaurés, les anomalies, les corrections et la validation finale. Un test partiel régulier et un exercice complet moins fréquent répondent à des objectifs différents ; les deux doivent être planifiés.

I. Les contrats et prestataires

Le dossier contient le contrat de sous-traitance, les régions, les sous-traitants ultérieurs, les engagements de sécurité, les délais de notification d’incident, les niveaux de service, les certifications avec leur périmètre, la réversibilité, la restitution et la destruction en fin de contrat.

Une certification du fournisseur n’est utile que si elle couvre précisément le service, la région et les opérations achetés.

J. Le plan de destruction et de gel

Une archive inaltérable ne doit pas devenir éternelle. Il faut préciser qui fixe les durées, qui peut les prolonger, comment l’expiration est contrôlée, comment toutes les copies sont détruites, comment cette destruction est prouvée et comment un Legal Hold suspend la destruction en cas de contentieux.

Le plan doit aussi anticiper le coût d’une erreur : en mode Compliance, une durée trop longue n’est normalement pas réductible.

La valeur probante ne sort pas d’une case à cocher

L’article 1366 du Code civil reconnaît la force probante de l’écrit électronique lorsque son auteur peut être identifié et que son établissement et sa conservation permettent d’en garantir l’intégrité.

Object Lock contribue à cette intégrité. Un manifeste signé, un horodatage, des journaux chaînés et des contrôles réguliers renforcent la démonstration. Aucun de ces éléments, pris isolément, ne prouve toutefois que l’archive est complète, que sa source est authentique, que la bonne durée a été appliquée ou que sa restitution restera intelligible dans dix ans.

Pour un véritable système d’archivage électronique, la norme volontaire NF Z42-013 formalise des exigences fonctionnelles, organisationnelles et de sécurité. La certification NF 461 permet de faire auditer un système selon ce référentiel. Toutes les PME n’ont pas besoin de viser immédiatement une certification, mais ces textes montrent pourquoi un simple NAS ou un bucket WORM ne suffit pas à revendiquer un SAE certifié.

La règle à retenir est simple :

Le Synology est un composant technique. La conformité et la valeur probante viennent de l’ensemble formé par les procédures, les contrôles, la journalisation, la séparation des responsabilités et les preuves conservées.

Un NAS ne délivre pas, à lui seul, une conformité RGPD, une certification juridique, une archive fiscale conforme, une garantie absolue contre tous les administrateurs, une protection contre l’incendie ou un plan de continuité d’activité.

Un ordre de mise en œuvre raisonnable

  1. inventorier les documents, traitements, obligations et besoins de restauration ;
  2. définir les durées avant de choisir les mécanismes de verrouillage ;
  3. vérifier le modèle Synology, DSM, Btrfs, WriteOnce et les snapshots immuables ;
  4. séparer les réseaux, identités, comptes de service et secrets ;
  5. créer un format d’export autonome avec manifeste et empreintes ;
  6. tester Object Lock en Governance sur des données fictives ;
  7. valider le chiffrement, le coffre de clés et une restauration hors du NAS d’origine ;
  8. passer les flux validés en Compliance avec des durées maîtrisées ;
  9. exporter les journaux et preuves hors des systèmes qu’ils contrôlent ;
  10. signer un premier procès-verbal, puis programmer les contrôles et destructions.

La meilleure architecture n’est donc ni « tout local » ni « tout cloud ». C’est celle dans laquelle aucune erreur, aucun compte compromis et aucun incident physique unique ne peut détruire simultanément la production, la capacité de restauration et les preuves de ce qui a été conservé.


Cet article présente une méthode technique et organisationnelle générale. Il ne remplace pas l’analyse d’un DPO, d’un juriste, d’un expert-comptable ou d’un spécialiste de l’archivage pour les durées et régimes propres à chaque activité.