Sécurité9 min de lecturePubli\u00e9 le

RGPD et RMM : comment superviser votre parc IT en restant conforme

Un outil de supervision informatique (RMM) collecte par nature des données techniques sensibles : adresses IP, noms de machines, versions d’OS, logiciels installés, sessions utilisateur actives. En Europe, ces données sont soumises au Règlement Général sur la Protection des Données (RGPD).

Quelles données un RMM collecte-t-il ?

  • Identifiants machine : hostname, adresse IP, adresse MAC, numéro de série
  • Télémétrie système : CPU, RAM, disque, processus actifs
  • Logiciels installés : noms, versions, éditeurs
  • Sessions utilisateur : comptes connectés, horaires de connexion
  • Événements système : logs Windows/Linux, erreurs, avertissements
  • Résultats d’antivirus : menaces détectées, fichiers en quarantaine

Certaines de ces données (adresse IP, sessions utilisateur) sont considérées comme des données personnelles au sens du RGPD.

Les obligations RGPD pour un prestataire IT

1. Base légale du traitement

La supervision IT repose généralement sur l’intérêt légitime (article 6.1.f) : assurer la sécurité et la disponibilité du système d’information. Documentez cette base légale dans votre registre de traitement.

2. Information des personnes concernées

Les utilisateurs dont les machines sont supervisées doivent être informés de la présence de l’agent RMM, des données collectées et de la finalité du traitement.

3. Localisation des données

Le RGPD n’interdit pas le transfert hors UE, mais il l’encadre strictement. Privilégiez un RMM dont les serveurs sont en Europe pour simplifier la conformité.

4. Durée de conservation

Ne conservez pas les données de télémétrie indéfiniment. Définissez une politique de rétention (ex : 7 jours pour les données brutes, 90 jours pour les agrégats).

5. Droit à l’effacement

Votre RMM doit permettre de supprimer les données d’un appareil ou d’un utilisateur sur demande, conformément à l’article 17.

Comment WezOps garantit la conformité RGPD

  • Hébergement en Europe (Belgique) — aucun transfert de données hors UE
  • Rétention automatique : 7 jours données brutes, 30 jours agrégats horaires, 90 jours agrégats quotidiens
  • Export des données : chaque utilisateur peut exporter ses données au format JSON (droit d’accès, article 15)
  • Suppression sur demande : fonction « Demander la suppression » dans les paramètres (droit à l’effacement, article 17)
  • Pas de données personnelles dans les logs Sentry : send_default_pii=False
  • Chiffrement : HTTPS/TLS en transit, connexions WebSocket sécurisées
  • Cookies minimaux : uniquement des cookies fonctionnels (JWT), pas de tracking tiers

Checklist RGPD pour votre outil RMM

  1. Vérifier l’emplacement des serveurs (EU = idéal)
  2. Documenter la base légale dans le registre de traitement
  3. Informer les utilisateurs de la supervision
  4. Configurer une politique de rétention des données
  5. Tester le droit à l’export et à la suppression
  6. Vérifier que le sous-traitant (éditeur RMM) propose un DPA (Data Processing Agreement)
  7. Activer le chiffrement sur toutes les communications

WezOps propose un Data Processing Agreement (DPA) sur demande pour tous les clients des plans payants.

Essayer WezOps gratuitement — supervision IT conforme RGPD, hébergée en Europe.

Envie de tester WezOps ?

Plan gratuit avec 3 appareils inclus. Sans carte bancaire.

Cr\u00e9er un compte gratuit