Où sont stockées vos données ? La question paraît simple. La réponse l'est rarement. Entre le RGPD européen, le Cloud Act américain, les certifications SecNumCloud et le marketing autour de la « souveraineté numérique », il est facile de s'y perdre.
Voici ce que dit réellement la loi, et ce que ça implique pour le choix d'un hébergeur.
Le RGPD : le cadre européen
Le Règlement Général sur la Protection des Données (RGPD) s'applique à toute entreprise qui traite des données personnelles de résidents européens, quel que soit le lieu de stockage.
Points clés pour l'hébergement :
- Transferts hors UE — transférer des données personnelles en dehors de l'Espace économique européen nécessite des garanties juridiques spécifiques (décision d'adéquation, clauses contractuelles types, etc.).
- Sous-traitant — l'hébergeur est un sous-traitant au sens du RGPD. Il doit offrir des « garanties suffisantes » en matière de sécurité et de protection des données.
- Responsabilité — le responsable du traitement (l'entreprise cliente) reste responsable du choix de son sous-traitant. Choisir un hébergeur non conforme, c'est prendre un risque juridique.
Le Cloud Act : le problème américain
Le Cloud Act (2018) autorise les autorités américaines à demander l'accès aux données stockées par des entreprises américaines, même si ces données sont hébergées en dehors des États-Unis.
Concrètement : si vous hébergez vos données chez AWS, Azure ou Google Cloud — même dans leur région « Paris » — ces données sont potentiellement accessibles aux autorités américaines, car l'entité mère est soumise au droit américain.
Important : le Cloud Act et le RGPD sont en contradiction directe. Le RGPD interdit le transfert de données sans base légale. Le Cloud Act l'exige. Les entreprises américaines sont prises entre deux feux juridiques, et leurs clients européens en subissent les conséquences.
SecNumCloud : le label français
SecNumCloud est une qualification délivrée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Elle certifie qu'un prestataire cloud respecte un niveau élevé de sécurité.
Depuis la version 3.2, SecNumCloud inclut des critères d'immunité aux lois extra-européennes : l'hébergeur ne doit pas être soumis au droit d'un pays tiers (comme le Cloud Act). En pratique, cela exclut les filiales d'entreprises américaines.
SecNumCloud n'est pas obligatoire pour tous. Mais il l'est pour les données sensibles de l'État français, et il devient de plus en plus demandé par les grandes entreprises et les collectivités.
Héberger en France : nécessaire ou suffisant ?
La localisation des serveurs en France est un premier pas, mais ce n'est pas suffisant en soi.
Ce qui compte
- L'entité juridique de l'hébergeur (droit français/européen)
- L'absence de soumission à des lois extra-européennes
- La transparence sur la chaîne de sous-traitance
- Les mesures de sécurité techniques et organisationnelles
Ce qui ne suffit pas
- Un datacenter « en France » géré par une entité américaine
- Un label « souverain » auto-déclaré
- Un hébergeur européen qui sous-traite à un cloud américain
- Un contrat qui ne précise pas le lieu de stockage
Les questions à poser à son hébergeur
- Où sont physiquement les serveurs ? — Pays, ville, datacenter précis.
- Quelle est l'entité juridique ? — Droit français, européen, américain ?
- Y a-t-il de la sous-traitance ? — Et si oui, à qui, où, sous quel droit ?
- Quelles certifications ? — des certifications comme ISO 27001, SecNumCloud ou HDS attestent d'engagements vérifiés. Vérifier lesquelles sont détenues (et non simplement mentionnées).
- Que se passe-t-il en cas de réquisition judiciaire ? — Quelle procédure, quelle transparence ?
Chez Datacampus : société française (SAS), serveurs en France (datacenter Cassin1, Futuroscope), zéro sous-traitance cloud, zéro dépendance à un éditeur américain. Vos données restent sous droit français.
— Datacampus