Aller au contenu principal
Souveraineté Guide pratique PME

Héberger les données critiques en France ou dans l'UE

Vos données critiques sont-elles hébergées sur des serveurs situés en France ou dans l'UE ?

En bref — ce que vous devez retenir

Stocker vos données critiques chez un hébergeur américain, même avec un datacenter en Europe, expose potentiellement ces données au CLOUD Act américain. Un hébergeur français ou européen indépendant des grandes plateformes américaines offre une protection juridique plus forte.

? Nature du problème

Le CLOUD Act (2018) oblige les entreprises américaines à fournir aux autorités US les données qu'elles hébergent, où qu'elles se trouvent dans le monde — y compris dans des datacenters européens. AWS, Microsoft Azure et Google Cloud sont des entreprises américaines soumises au CLOUD Act même pour leurs datacenters parisiens.

"Hébergé en Europe" ne signifie pas "protégé des lois américaines" si l'hébergeur est une entité américaine. Pour les données véritablement sensibles (données médicales, données financières, brevets, données stratégiques), un hébergeur souverain français s'impose.

Comment corriger — étape par étape

  1. Identifiez vos données critiques : données clients sensibles, données financières, propriété intellectuelle, données de santé
  2. Vérifiez où elles sont hébergées actuellement : chez un acteur américain (AWS, Azure, Google) ou un acteur européen indépendant ?
  3. Pour une migration souveraine, évaluez : OVH (France, cotée en bourse à Paris), Scaleway (France, groupe Iliad), Hetzner (Allemagne), Infomaniak (Suisse), Outscale (filiale Dassault Systèmes, certifié SecNumCloud)
  4. Priorisez la migration des données les plus sensibles en premier
  5. Pour le cloud souverain certifié (secteur public, défense) : Numspot, S3NS (Thales × Google, architecture de confiance)

! Incidents réels

Groupe pharmaceutique — France, 2022

Documents de R&D hébergés sur OneDrive (Microsoft 365). Une demande des autorités américaines dans le cadre d'un litige commercial a forcé Microsoft à transmettre des données hébergées dans leur datacenter irlandais. L'entreprise n'avait aucun recours.

DSI — collectivité territoriale, Lyon, 2023

"On a migré nos données RH et financières de AWS vers Scaleway. Le coût était équivalent, la performance similaire, et notre DPO a pu signer un contrat de traitement sans les complexités du CLOUD Act. La tranquillité d'esprit n'a pas de prix."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →