Pourquoi envisager une surveillance d'uptime hébergée dans l'UE
· 9 min de lecture
Vos données de surveillance contiennent des informations sensibles sur votre infrastructure. L'endroit où elles sont stockées impacte le RGPD, la souveraineté des données et le risque opérationnel.
Ce que contient une base de données de surveillance
La surveillance d'uptime contient des données sensibles auxquelles on pense rarement :
- La liste de toutes vos URL critiques et adresses IP.
- Les horodatages des pannes avec les détails de la réponse du serveur.
- Les configurations du mécanisme de vérification (en-têtes personnalisés, mots-clés attendus, détails SSL).
- Les contacts d'escalade - numéros de téléphone d'astreinte, identifiants de chat Telegram, URL de webhook.
- Les journaux de réponses - dumps de codes de statut, chaînes d'erreur, adresses IP des serveurs.
Pour un attaquant, c'est une carte de reconnaissance de votre infrastructure (recon map). Pour vous, c'est une liste de choses que vous ne devez ni perdre ni divulguer par inadvertance.
Schrems II et les services américains
Depuis 2020 (l'arrêt Schrems II de la Cour de justice de l'UE), le transfert de données personnelles vers les États-Unis n'est plus couvert par l'accord standard Privacy Shield (invalidé par Schrems II en juillet 2020). Actuellement (06/2026), c'est l'EU-US Data Privacy Framework adopté le 10 juillet 2023 qui s'applique ; il a été contesté par un recours (l'affaire Latombe) déposé en septembre 2023 ; le Tribunal de l'UE l'a rejeté le 3 septembre 2025, mais NOYB annonce son propre recours plus large - la pérennité à long terme du DPF reste incertaine. Pour une exploitation conforme au RGPD, cela signifie que l'utilisation d'un service de surveillance américain exige :
- Une analyse rigoureuse des raisons pour lesquelles vous transférez des données vers un pays tiers.
- Des clauses contractuelles types (Standard Contractual Clauses, SCCs) avec le fournisseur américain.
- Des mesures supplémentaires - généralement le chiffrement des données, y compris en transit.
- Une AIPD (Analyse d'Impact relative à la Protection des Données, DPIA) s'il s'agit de données sensibles.
En pratique, de nombreuses entreprises négligent cela. La plupart des entreprises européennes utilisent UptimeRobot ou Pingdom alors que leur surveillance contient les URL de systèmes de production et les contacts d'ingénieurs d'astreinte. Lors du premier audit RGPD sérieux, cela se révèle.
Deuxième raison : le US CLOUD Act
Indépendamment du RGPD, les États-Unis disposent du CLOUD Act de 2018 en vigueur. Il permet aux autorités américaines de réclamer des données aux entreprises américaines à l'insu du propriétaire des données et indépendamment du fait que les données soient stockées aux États-Unis ou dans une autre région (y compris les datacenters européens d'entreprises américaines).
Cela signifie que, du point de vue du CLOUD Act, même la région UE de Pingdom est équivalente à la région américaine dès lors qu'il s'agit d'une entreprise américaine. La juridiction est régie par la propriété de l'entreprise, et non par l'emplacement physique du serveur.
Troisième raison : le risque opérationnel
Les services américains facturent en USD. Avec un dollar fort, vous payez plus, avec un dollar faible, moins, le taux de change vous concerne donc chaque mois. Les fournisseurs de l'UE facturent en EUR.
De plus : en cas de problème, le support américain répond en anglais et avec un décalage horaire de 6 à 9 heures. Les fournisseurs de l'UE peuvent vous répondre dans votre langue pendant les heures de bureau.
ePulz.io en bref
ePulz.io est une surveillance d'uptime avec 3 nœuds workers : primary à Liptovský Hrádok, eu2 à Liptovský Mikuláš, eu1 à Bratislava. Concrètement, ce qu'il prend en charge aujourd'hui :
Types de moniteurs (12 types) : - HTTP / HTTPS (avec décomposition des temps - DNS, connect, TLS, TTFB, download) - Certificats SSL (expiration, émetteur, chaîne) - Port TCP - Ping ICMP - Enregistrements DNS (A, AAAA, MX, TXT, CNAME, NS) - Expiration de domaine (WHOIS) - Heartbeat (pour les tâches cron et les processus en arrière-plan) - Visual regression (comparaison de captures d'écran) - Surveillance navigateur (vrai Chromium headless) - Vérifications multi-step / JSONPath (disponibles sur les forfaits Profi et Business) - Moniteurs LAN (via un agent pull dans votre réseau)
Notifications : - E-mail (SMTP) - Telegram (liaison par utilisateur, plus un canal admin) - Webhook avec signature HMAC-SHA256 (global et surcharge par moniteur ; détection auto pour Slack, Discord, Microsoft Teams)
Autres fonctionnalités : - Pages de statut publiques - Multi-region consensus voting entre 3 nœuds workers pour les vérifications HTTP, TCP et ping (Liptovský Hrádok, Liptovský Mikuláš, Bratislava ; seuil par défaut 2 sur 3) - Générateur de bundle worker pour auto-héberger des workers régionaux supplémentaires - Interface en 14 langues (sk, cs, en, de, pl, hu, fr, es, it, pt, nl, ru, uk, tr) - outils publics gratuits (SSL, headers, DNS, WHOIS, IP geo, DNS propagation, ping, ports et plus)
Tarifs (vérifiés 06/2026) : - Période d'essai : 7 jours, 3 moniteurs, gratuit, sans carte bancaire - Standard : 4 EUR/mois, 15 moniteurs, intervalle 5 min, historique 30 jours - Profi : 9 EUR/mois, 25 moniteurs, intervalle 2 min, historique 90 jours - Business : 27 EUR/mois, 100 moniteurs, intervalle 1 min, historique 365 jours, visual regression
Hébergé à Liptovský Hrádok (primary), Liptovský Mikuláš (eu2) et Bratislava (eu1), les données ne quittent pas l'UE.
Quand un service américain convient
Soyons honnêtes - le RGPD a ses nuances. Si vous surveillez :
- Des sites statiques sans données personnelles (blog, marketing).
- Une API qui n'a pas de données client dans l'URL ni dans les en-têtes (headers).
- Des outils internes d'une équipe entièrement basée aux États-Unis.
Alors un service américain convient - le RGPD ne s'applique pas.
Si vous surveillez :
- Des systèmes de santé, financiers ou gouvernementaux.
- Un SaaS B2B avec des clients européens.
- Du e-commerce avec une clientèle européenne.
- Toute application où la surveillance contient des endpoints avec des données personnelles (ou même des identifiants pouvant être rattachés à des données personnelles).
Dans ces cas, un service hébergé dans l'UE a un sens pratique.
Migration
Si vous décidez de passer d'UptimeRobot ou Pingdom à un service de l'UE, la procédure est simple :
- Exportez la liste des moniteurs (URL, intervalles, codes de statut attendus).
- Importez-les dans le nouveau service (la plupart prennent en charge le CSV).
- Configurez les notifications vers les nouveaux canaux.
- Faites tourner en parallèle pendant 1 à 2 semaines et comparez les résultats.
- Une fois stabilisé, désactivez l'ancien fournisseur.
Pour 20 à 30 moniteurs, cela représente 2 à 4 heures de travail.
Articles liés
Essayez ePulz.io gratuitement - 7 jours sans carte de crédit.
Créer un compte