Cloud souverain France : où sont vraiment stockées vos données ?
25 mai 2026
Un hébergement annoncé à Paris. Un contrat signé en deux clics. Une conformité que l'on croit acquise. Pour beaucoup de PME françaises, la question de la localisation des données semble réglée dès lors que le prestataire affiche des serveurs « en Europe ».
La réalité juridique est tout autre. Ce qui détermine qui peut accéder à vos données, ce n'est pas l'adresse du datacenter — c'est la nationalité de l'entreprise qui l'exploite. Cette confusion entre localisation physique et juridiction légale est aujourd'hui la principale faille de souveraineté du tissu économique français.
Une signature. Un hébergeur américain. Une faille de souveraineté. C'est pourquoi le cloud souverain France n'est plus un sujet de spécialistes, mais une décision de gestion. Cet article fait le point sur les enjeux réels, sans paranoïa ni naïveté.
Le cadre extraterritorial : CLOUD Act et FISA 702
Deux textes américains s'appliquent quel que soit le lieu d'hébergement des serveurs.
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act), promulgué le 23 mars 2018, autorise les autorités judiciaires américaines à exiger d'une entreprise soumise au droit des États-Unis la communication des données de ses clients — y compris si ces données sont stockées en France. Le critère déclencheur est le contrôle de l'entité juridique, pas l'emplacement du serveur. Si vous stockez vos fichiers chez la filiale européenne d'un groupe américain, la maison mère reste tenue de répondre aux injonctions outre-Atlantique.
La section 702 du FISA (Foreign Intelligence Surveillance Act) relève d'une autre logique : le renseignement. Là où le CLOUD Act s'inscrit dans une enquête pénale encadrée par un mandat, la section 702 autorise des agences comme la NSA à collecter massivement les communications de personnes non américaines situées hors des États-Unis, directement auprès des infrastructures des fournisseurs américains, sans mandat individualisé.
Le garde-fou principal de la section 702 s'est par ailleurs fragilisé. Fin janvier 2025, l'administration américaine a démis trois des cinq membres du Privacy and Civil Liberties Oversight Board (PCLOB), l'instance indépendante chargée d'évaluer la légalité de ces programmes. Privé de quorum, le PCLOB ne peut plus rendre de rapport collégial — affaiblissant les garanties sur lesquelles repose l'accord de transfert UE–États-Unis.
Même les nouvelles offres « souveraines » des acteurs américains n'échappent pas à ce lien de subordination. L'AWS European Sovereign Cloud, ouvert le 15 janvier 2026 depuis la région de Brandebourg (Allemagne) et opéré par des filiales de droit allemand au personnel résidant dans l'UE, reste détenu in fine par Amazon.com Inc. Or, le droit américain considère que la société mère conserve la « possession, garde ou contrôle » des données détenues par ses filiales étrangères. Le cloisonnement opérationnel ne rompt pas le lien juridique.
RGPD et transferts de données : un cadre instable
Cette exposition place les PME françaises dans une situation de fragilité vis-à-vis du RGPD. Son chapitre V (articles 44 à 49) interdit le transfert de données personnelles vers un pays tiers sans garantie d'un niveau de protection essentiellement équivalent à celui de l'Union européenne.
Or, l'histoire des accords transatlantiques est une succession d'invalidations :
- Safe Harbor (2000) : invalidé par la CJUE en 2015 (arrêt Schrems I).
- Privacy Shield (2016) : invalidé en 2020 (arrêt Schrems II), la CJUE jugeant la surveillance américaine incompatible avec les droits fondamentaux européens.
- Data Privacy Framework (DPF, décision d'adéquation du 10 juillet 2023) : le cadre actuel — déjà contesté.
La validité du DPF est attaquée sur deux fronts. Le député Philippe Latombe a porté un recours en annulation (affaire T-553/23) : rejeté par le Tribunal de l'Union européenne le 3 septembre 2025, il a fait l'objet d'un pourvoi devant la CJUE le 31 octobre 2025. En parallèle, l'association NOYB de Max Schrems prépare ses propres actions. Plusieurs autorités européennes de protection des données recommandent déjà aux entreprises de préparer des stratégies de sortie vers des solutions immunisées contre le droit américain.
La jurisprudence confirme cette fragilité. Lors d'une audition au Sénat français le 10 juin 2025, le directeur des affaires juridiques de Microsoft France, Anton Carniaux, a reconnu sous serment ne pas pouvoir garantir que les données de ses clients français ne seraient jamais transmises au gouvernement américain : « Non, je ne peux pas le garantir. »
Pour une PME, la conclusion est simple : aujourd'hui, les transferts vers les fournisseurs US certifiés DPF sont légaux ; demain, une invalidation (Schrems III) reste possible ; dans tous les cas, le CLOUD Act s'applique indépendamment du DPF.
Cloud souverain : de quoi parle-t-on vraiment ?
Un cloud souverain est un service dont l'opérateur, l'infrastructure et les données relèvent exclusivement du droit français ou européen — sans porte d'accès par une juridiction étrangère.
Le piège est connu : de nombreux fournisseurs américains proposent des « régions » en France. Vos données y sont physiquement stockées, mais restent juridiquement soumises au droit américain. Un datacenter à Paris ne rend pas vos données souveraines : le lieu de stockage est une question de latence et de performance, pas de souveraineté.
| Critère d'évaluation | Cloud souverain français | Cloud américain localisé en Europe |
|---|---|---|
| Nationalité de l'éditeur | Française/européenne (sans actionnariat US) | Américaine (société mère soumise au droit US) |
| Droit applicable | Français et européen exclusivement | Droit US (CLOUD Act et FISA applicables) |
| Régime extraterritorial | Immunisé contre les lois non-européennes | Soumis aux injonctions des tribunaux américains |
| Gouvernance des accès | Contrôlée par des entités européennes | Contrôle ultime de la maison mère US |
| Certification | Éligible SecNumCloud (ANSSI) | Inéligible (critère d'immunité requis) |
Cette exigence est formalisée par le référentiel SecNumCloud (version 3.2) de l'ANSSI, qui impose non seulement un haut niveau de sécurité technique (chiffrement, cloisonnement, audits), mais aussi une immunité aux lois extraterritoriales d'États tiers. Non obligatoire pour les PME, il reste le repère de confiance le plus exigeant.
Enfin, toutes les données n'exigent pas le même niveau de protection. Le secret professionnel (avocats, experts-comptables), les données de santé et la propriété intellectuelle relèvent d'une forte exigence de souveraineté ; un fichier marketing public, beaucoup moins. La vraie question n'est pas « tout ou rien », mais « quoi protéger en priorité ».
Trois scénarios concrets
Scénario 1 — L'avocat et le secret professionnel
Maître Sophie est associée d'un cabinet d'affaires parisien, une profession soumise au secret professionnel. Son collaborateur, Marc, partage les pièces de procédure via une solution de stockage américaine « hébergée en Europe ». L'un de leurs clients fait l'objet d'une enquête pénale transatlantique menée par le FBI. En s'appuyant sur le CLOUD Act, le ministère de la Justice américain adresse une injonction à la maison mère du fournisseur, assortie d'un gag order qui interdit d'alerter le cabinet. Les pièces couvertes par le secret professionnel sont transmises sans que Marc ni Maître Sophie ne le sachent — une violation de l'article 226-13 du Code pénal que la localisation des serveurs en France n'a pas empêchée.
Scénario 2 — L'espionnage industriel par rebond
Nicolas dirige le bureau d'études d'une PME de machines de précision. Un stagiaire, Antoine, dépose des plans de CAO sur un espace de stockage cloud américain personnel pour travailler le week-end, le réseau interne étant bridé. Dans le cadre d'un programme de renseignement économique relevant de la section 702 du FISA, ces flux transitant par une infrastructure américaine sont exploitables par un accès légal indirect — sans la moindre intrusion sur le réseau de l'entreprise. Quelques mois plus tard, une machine concurrente identique sort aux États-Unis, ruinant des années de recherche et développement.
Scénario 3 — Le rançongiciel et les sauvegardes synchronisées
Alexandre administre les systèmes d'un groupement de cabinets de radiologie. Un collaborateur, Julien, ouvre une pièce jointe piégée. Avant de chiffrer les serveurs locaux, les attaquants repèrent les identifiants de la sauvegarde synchronisée vers un cloud américain, suppriment l'historique et exfiltrent 50 Go de dossiers médicaux pour une double extorsion. Faute de copie immuable et déconnectée, Alexandre ne peut rien restaurer : activité suspendue, notification à la CNIL sous 72 h et exposition aux sanctions de l'article 32 du RGPD sur la sécurité des données de santé.
L'impact business : chiffres et obligations légales
Les conséquences se mesurent en euros et en obligations légales précises.
- L'ANSSI a traité 1 366 incidents de sécurité en 2025, dont 128 compromissions par rançongiciel ; les exfiltrations de données ont bondi de +51 % (196 cas) — ANSSI, Panorama de la cybermenace 2025.
- Le coût moyen d'une cyberattaque atteint 1,5 M€ pour une entreprise française (baromètre CESIN 2025) et 58 600 € pour une TPE (cabinet Asterès).
- La Cour des comptes évaluait en 2025 l'impact d'une cyberattaque entre 5 % et 10 % du chiffre d'affaires annuel de la structure touchée.
- La CNIL a enregistré un record de 6 167 violations de données notifiées en 2025 (+9,5 % sur un an).
Côté conformité, la directive NIS2, dont la transposition française s'applique à compter de 2026, fait passer le périmètre des entités régulées d'environ 500 à 15 000 en France. Elle impose une notification des incidents majeurs sous 24 h et prévoit des amendes pouvant atteindre 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles.
Les bonnes pratiques de souveraineté
Deux principes structurent une politique robuste.
D'abord, la règle 3-2-1, recommandée par l'ANSSI (détaillée dans notre guide dédié) :
- 3 copies des données critiques (la production et deux sauvegardes) ;
- 2 types de supports différents ;
- 1 copie hors site, dont au moins une déconnectée ou immuable pour résister à un rançongiciel.
Ensuite, le chiffrement Zero-Knowledge : la clé est générée localement sur le poste de l'utilisateur et n'est jamais transmise au prestataire. Même contraint par une décision de justice étrangère, l'hébergeur ne livrerait que des blocs chiffrés indéchiffrables.
La bonne nouvelle, c'est que la souveraineté ne suppose pas de tout démanteler. Remplacer Google Workspace ou Microsoft 365 du jour au lendemain n'est pas réaliste pour la plupart des PME. La démarche pragmatique consiste à garder les outils de productivité tout en sécurisant la dernière ligne de défense : la sauvegarde. Des alternatives françaises existent par ailleurs pour la messagerie et la collaboration (BlueMind, Alinto, Wimi, Whaller), souvent hébergées chez des prestataires qualifiés SecNumCloud comme OVHcloud.
Checklist d'auto-évaluation
- Souveraineté de l'éditeur : la société qui édite votre solution de sauvegarde est-elle de droit français/européen, sans maison mère soumise au CLOUD Act ?
- Localisation : les serveurs sont-ils exclusivement en France ou dans l'EEE ?
- Clés de chiffrement : le chiffrement est-il Zero-Knowledge, vous laissant seul détenteur des clés ?
- Immuabilité : existe-t-il une copie immuable ou déconnectée, impossible à supprimer par un compte administrateur compromis ?
- Validation : un test de restauration complet a-t-il été réalisé avec succès au cours des six derniers mois ?
Si la réponse à l'une de ces questions est « non », la souveraineté de vos données reste exposée.
Ce qu'il faut retenir
| Question | Réponse courte |
|---|---|
| « Mes serveurs sont en France, c'est souverain ? » | Non, si le fournisseur est américain (CLOUD Act applicable) |
| « Le CLOUD Act peut vraiment toucher ma PME ? » | Oui, si vos données sont chez un fournisseur US |
| « Un cloud US "souverain" (AWS ESC) suffit-il ? » | Non : une filiale reste sous contrôle de sa maison mère US |
| « Dois-je quitter Google/Microsoft ? » | Pas forcément, mais sauvegardez sur un cloud souverain |
| « SecNumCloud est-il obligatoire ? » | Non pour les PME, mais c'est un repère de confiance |
| « Comment me protéger simplement ? » | Sauvegarde souveraine + chiffrement Zero-Knowledge |
| Caractéristique | Cloud US classique | Cloud US « souverain » (ex. AWS ESC) | Cloud souverain FR + Zero-Knowledge |
|---|---|---|---|
| Localisation des serveurs | US ou Europe | Europe uniquement | France uniquement |
| Nationalité de l'éditeur | Américaine (GAFAM) | Filiale d'un groupe américain | Française/européenne |
| CLOUD Act / FISA | Applicables | Applicables (contrôle maison mère) | Sans objet (immunité) |
| Clés de chiffrement | Détenues/accessibles par le fournisseur | Gérées par l'infra ou le client | Détenues par le seul client |
| Conformité RGPD | Fragile (risque DPF) | Fragile (structure contestable) | Maximale (aucun transfert hors UE) |
| Protection rançongiciel | Selon configuration | Selon configuration | Copies isolées et immuables |
La souveraineté numérique n'est pas un luxe réservé aux grandes administrations. C'est une question de bon sens : si vos données sont la base de votre activité, elles méritent d'être protégées par le droit français et par un chiffrement qui les rend illisibles pour quiconque — y compris votre prestataire.
BackHub est une solution française : entreprise de droit français, infrastructure hébergée en France, sauvegardes chiffrées Zero-Knowledge. Vos données sont protégées par le droit français et par un chiffrement que même nous ne pouvons pas déchiffrer. Découvrir BackHub
BackHub protège les données cloud et PC des entreprises françaises. Sauvegarde automatique, chiffrement Zero-Knowledge, restauration en un clic.
En savoir plus →Articles connexes
Protégez vos données avec BackHub
Sauvegarde automatique de vos fichiers cloud et PC. Chiffrement Zero-Knowledge. Restauration en un clic.
Commencer maintenant