Ce que le RGPD exige vraiment sur l'hébergement des données

Le Règlement Général sur la Protection des Données ne parle pas directement d'« hébergement ». Il parle de transferts de données vers des pays tiers. C'est une distinction importante, car elle détermine l'ensemble des obligations applicables à une PME française qui choisit un prestataire cloud.

Les articles 44 à 49 du RGPD encadrent les conditions dans lesquelles des données personnelles peuvent être transférées en dehors de l'Espace Économique Européen (EEE). Trois mécanismes permettent ce transfert :

  • Une décision d'adéquation de la Commission européenne : le pays destinataire est reconnu comme offrant un niveau de protection équivalent à celui de l'UE. C'est le cas du Royaume-Uni, du Canada (secteur privé), du Japon ou encore d'Israël.
  • Des garanties appropriées : notamment les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, utilisées par la quasi-totalité des hyperscalers américains comme base légale.
  • Des dérogations pour situations particulières (article 49) : consentement explicite, exécution d'un contrat, raisons d'intérêt public. Ces dérogations sont strictement encadrées et ne peuvent pas servir de règle générale.

Pour les États-Unis, la situation est plus complexe. Depuis juillet 2023, le Data Privacy Framework UE-États-Unis constitue la troisième décision d'adéquation américaine après le Safe Harbor (invalide en 2015) et le Privacy Shield (invalide en 2020 par l'arrêt Schrems II). Les acteurs américains certifiés DPF peuvent de nouveau recevoir des données européennes. Mais ce cadre est déjà attaqué en justice et sa pérennité reste incertaine.

Point clé : Le RGPD n'interdit pas d'héberger des données hors de France, ni même hors de l'UE. Ce qu'il encadre strictement, ce sont les conditions de ce transfert et les garanties associées. Mais choisir un hébergement en France ou dans l'UE simplifie considérablement la chaîne de conformité.

20 M€ Amende CNIL maximale ou 4% du CA mondial annuel
42% des PME françaises ne savent pas où sont stockées leurs données clients
4,88 M$ Coût moyen d'une violation de données en 2024 (rapport IBM)
72h Délai légal pour notifier la CNIL après détection d'une violation

Hébergement en France vs hébergement en Europe : quelle différence ?

Sur le strict plan du RGPD, héberger des données en Allemagne, aux Pays-Bas ou en Irlande est légalement équivalent à un hébergement en France. Tous ces pays font partie de l'EEE. Aucun transfert au sens du RGPD n'a lieu.

Mais la conformité RGPD n'est pas la seule dimension à considérer. La souveraineté numérique est une couche supplémentaire qui concerne la maîtrise effective des données face aux lois étrangères. Un hébergeur européen qui détient une filiale américaine ou qui utilise des technologies américaines peut être soumis à des législations extra-territoriales.

C'est pour répondre à cet enjeu que l'ANSSI (Agence nationale de la sécurité des systèmes d'information) a développé la qualification SecNumCloud. Cette certification garantit qu'un service cloud est :

  • Hébergé et opéré sur le territoire européen
  • Sous contrôle d'entités juridiquement protégées des lois extra-européennes
  • Conforme à un référentiel de sécurité exigeant

Pour les données de santé, une certification spécifique s'impose : le statut d'Hébergeur de Données de Santé (HDS), obligatoire depuis 2018 pour tout prestataire traitant des données de santé à caractère personnel pour le compte d'un professionnel ou d'établissement de santé.

Si votre PME travaille dans la santé, la pharmaceutique, les assurances ou tout secteur gérant des données sensibles, la question ne se pose pas : il vous faut un prestataire certifié HDS. Pour le reste, SecNumCloud représente aujourd'hui le niveau de confiance le plus élevé disponible en France.

Le problème concret : les hyperscalers américains

AWS, Microsoft Azure, Google Cloud. Ces trois acteurs dominent le marché mondial du cloud. Ils ont tous déployé des datacenters en Europe, parfois même en France. Et ils sont tous certifiés DPF. La question légitime qu'un DSI peut se poser : est-ce suffisant pour être conforme ?

La réponse est nuancée, et elle tient à deux lois américaines.

Le CLOUD Act (2018)

Le Clarifying Lawful Overseas Use of Data Act autorise les autorités américaines à contraindre les entreprises américaines à fournir des données stockées à l'étranger, y compris en Europe. Cela concerne directement AWS (Amazon), Azure (Microsoft) et Google Cloud. Le fait que les données soient physiquement sur un serveur en Irlande ou en France ne les met pas hors d'atteinte du CLOUD Act.

La section 702 du FISA

Le Foreign Intelligence Surveillance Act permet aux agences de renseignement américaines de surveiller les communications électroniques étrangères sans mandat. C'est l'un des arguments centraux qui avait conduit à l'invalidation du Privacy Shield en 2020 (arrêt Schrems II de la CJUE).

Le Data Privacy Framework actuel tente de répondre à ces objections via des garanties renfocées. Mais Max Schrems et son association NOYB ont annoncé un recours contre ce nouveau cadre. Une troisième invalidation est possible. Les entreprises ayant basé leur conformité uniquement sur le DPF s'exposent à devoir tout reconfigurer à nouveau si ce cadre venait à être remis en cause.

Pour une PME française, ce n'est pas un risque théorique. C'est une fragilité juridique documentable qu'un contrôle CNIL ou un litige commercial pourrait exposer. Comme pour la directive NIS2, la conformité n'est pas qu'une formalité : c'est une gestion de risque opérationnel.

À retenir : Un datacenter américain en France n'est pas un datacenter français. La localisation physique des serveurs ne détermine pas la juridiction applicable à l'opérateur qui les gère. C'est la nationalité juridique de l'hébergeur qui compte.

Cloud souverain : les alternatives françaises crédibles

Le marché du cloud souverain français a maturé ces dernières années. Les alternatives aux hyperscalers américains existent, sont opérationnelles, et couvrent l'essentiel des besoins d'une PME.

OVHcloud

Premier acteur européen du cloud, OVHcloud est une société française cotée en bourse, avec des datacenters en France, en Allemagne, en Pologne, au Canada et en Asie. Certifié SecNumCloud sur ses offres Hosted Private Cloud, il couvre les besoins en infrastructure (IaaS), plateforme (PaaS) et stockage objet. Son positionnement prix est compétitif face aux hyperscalers pour les charges de travail courantes.

Scaleway

Filiale du groupe Iliad (Free), Scaleway est un acteur 100% français avec des datacenters à Paris et Amsterdam. Son catalogue couvre le cloud computing, le stockage objet, les bases de données managées et Kubernetes. Scaleway est en cours de qualification SecNumCloud sur certaines offres. Son API et son interface sont appréciées par les équipes techniques.

Outscale (Dassault Systèmes)

Outscale est la filiale cloud de Dassault Systèmes. C'est l'un des premiers acteurs français à avoir obtenu la qualification SecNumCloud. Son positionnement est davantage orienté vers les entreprises ayant des exigences de sécurité élevées et les administrations publiques. Les tarifs sont généralement supérieurs aux offres grand public.

NumSpot

NumSpot est une initiative plus récente, née d'un partenariat entre Banque des Territoires, Dexia, la Mutualité Française et Docaposte. Elle vise spécifiquement le secteur public et les industries réglementées (santé, éducation, collectivités). Sa qualification SecNumCloud est en cours.

Pour choisir entre ces alternatives, il faut évaluer plusieurs critères : la localisation juridique de l'hébergeur (actionnaire, droit applicable), le niveau de certification obtenu ou en cours, la couverture fonctionnelle (IaaS, PaaS, SaaS, stockage), la SLA et le support en français, et bien sûr le coût total. Le choix d'un bon partenaire cloud s'inscrit dans la même logique que le choix d'un prestataire informatique : les critères de crédibilité et de pérennité importent autant que le prix.

Les certifications à connaître

Le marché des certifications cloud est complexe. Voici ce que chaque label garantit réellement, sans raccourci.

Certification Autorité Ce qu'elle garantit Pertinence PME
SecNumCloud ANSSI (France) Sécurité élevée + protection contre les lois extra-européennes Recommandé si données sensibles
HDS ANS (France) Hébergement de données de santé à caractère personnel Obligatoire secteur santé
ISO 27001 ISO / auditeurs accrédités Système de management de la sécurité de l'information (SMSI) Bonne base, non suffisante seule
SOC 2 Type II AICPA (américain) Contrôles de sécurité, disponibilité, confidentialité Reconnu, mais juridiction américaine
CSA STAR Cloud Security Alliance Transparence sur les pratiques cloud security Complément utile, non suffisant
ISO 27701 ISO Extension ISO 27001 spécifique RGPD / vie privée Pertinent pour prouver la conformité RGPD

Un point fréquemment mal compris : ISO 27001 ne garantit pas la conformité RGPD. Elle certifie qu'un processus de gestion de la sécurité existe, pas que les données personnelles sont traitées conformément au droit européen. De la même façon, un prestataire certifié SOC 2 peut être soumis au CLOUD Act. Ne pas confondre sécurité technique et protection juridique.

Ces sujets de conformité recoupent également les obligations de la directive NIS2, entrée en vigueur en octobre 2024. Les PME sous-traitantes d'entités essentielles sont désormais concernées.

Check-list RGPD hébergement pour les PME

Voici les dix points à vérifier en priorité pour toute PME française utilisant des services cloud.

10 points de contrôle RGPD hébergement

  • Identifier précisément où sont stockées chaque catégorie de données personnelles (clients, salariés, prospects)
  • Vérifier la nationalité juridique de chaque hébergeur utilisé (pas seulement la localisation du datacenter)
  • S'assurer que les contrats incluent des Clauses Contractuelles Types (CCT) à jour pour tout hébergeur hors EEE
  • Demander à chaque prestataire cloud la liste de ses sous-traitants et leur localisation
  • Vérifier que le DPA (Data Processing Agreement) est signé avec chaque prestataire traitant des données pour votre compte
  • Documenter dans votre registre de traitements la base légale de chaque transfert hors UE
  • Mettre en place une procédure de notification en cas de violation (délai 72h CNIL)
  • Vérifier les certifications de vos hébergeurs (ISO 27001, SecNumCloud, HDS selon le secteur)
  • Tester régulièrement la possibilité de récupérer et migrer vos données (droit à la portabilité, plan de sortie)
  • Former les collaborateurs traitéant des données personnelles aux obligations RGPD applicables à leur périmètre

Cette check-list s'inscrit dans une démarche plus large de sécurisation de l'infrastructure IT. Si votre système d'information est vieillissant, la question de l'hébergement s'accompagne souvent d'une réflexion plus profonde sur la stratégie d'externalisation IT et sur les modèles hybrides. Une migration vers un cloud souverain est aussi l'occasion de moderniser l'architecture globale.

Ce que ça coûte vraiment

La question du coût revient systématiquement dès qu'on aborde les alternatives souveraines. La réalité est plus nuancée qu'un simple comparatif tarifaire.

Critère Hyperscaler américain (AWS/Azure/GCP) Cloud souverain français (OVH/Scaleway)
Coût infrastructure Référence marché -10% à +20% selon les services
Risque juridique CLOUD Act, FISA 702 Protection droit européen
Migration en cas d'invalidation DPF Reconfiguration complète Non applicable
Amende CNIL potentielle Jusqu'à 20 M€ ou 4% CA Risque réduit
Support en français Partiel selon offre Natif
Catalogue fonctionnel Très large Plus réduit, en expansion
Certifications sécurité ISO 27001, SOC 2 ISO 27001 + SecNumCloud disponible

Le vrai coût à calculer n'est pas le tarif mensuel de stockage. C'est l'exposition financière totale en cas d'incident. Une violation de données non notifiée dans les 72h expose à une amende. Un transfert illégal hors UE exposé lors d'un contrôle CNIL peut coûter plusieurs dizaines de milliers d'euros en frais juridiques et sanctions, indépendamment des dommages réputationnels.

Dans ce calcul, la différence de tarif entre un hyperscaler américain et un cloud souverain devient souvent marginale. Ce raisonnement rejoint la logique de la sécurisation de l'infrastructure IT : prévenir coûte toujours moins cher que subir.

58% des PME sanctionnées par la CNIL n'avaient pas de DPA signé avec leur hébergeur
3x Le Privacy Shield a été invalide trois fois depuis 2000. Un 4e retournement est possible.
217 Décisions de sanction CNIL en 2023, +50% vs 2021

Par où commencer

La conformité RGPD en matière d'hébergement n'est pas un projet de six mois qui mobilise toute la DSI. Pour une PME, c'est une démarche structurée en trois étapes.

Étape 1 : Cartographier l'existant

Avant toute décision, il faut savoir où en est la situation réelle. Cela signifie : lister tous les prestataires cloud utilisés (y compris les outils SaaS adoptés sans validation DSI, le shadow IT), identifier leur nationalité juridique, vérifier si un DPA est en place avec chacun, et catégoriser les données traitées. Cette cartographie prend en général une à deux semaines pour une PME de taille moyenne. C'est le fondement de tout le reste. Le sujet du cloud hybride se pose souvent à cette étape : certaines données peuvent rester sur des hyperscalers, d'autres doivent migrer.

Étape 2 : Identifier les données à risque

Toutes les données ne sont pas égales face au RGPD. Les données de santé, les données biométriques, les données relatives aux infractions pénales, les données d'enfants : ces catégories sont soumises à des obligations renfocées. Les données clients (nom, email, historique d'achat) sont moins sensibles mais restent concernées. Concentrer les efforts sur les données à risque élevé d'abord permet d'optimiser le temps et le budget. Pour les PME ayant des préoccupations de continuité d'activité en cas d'incident cloud, la question du Plan de Reprise d'Activité (PRA) est à traiter en parallèle.

Étape 3 : Choisir les bons prestataires certifiés

Une fois la cartographie faite et les priorités identifiées, le choix du ou des prestataires cloud peut se faire sur des bases objectives. Les critères à évaluer : la certification pertinente (SecNumCloud, HDS selon le secteur), la couverture fonctionnelle, la capacité de migration depuis l'existant, la SLA, le support. Ce n'est pas très différent de la démarche générale de sélection d'un partenaire IT : exiger des références vérifiables, des certifications contrôlées, et une transparence sur les sous-traitants.

Un dernier point pratique : ne pas attendre un contrôle CNIL ou un incident pour se poser ces questions. La CNIL dispose depuis 2022 de nouveaux outils de contrôle en ligne et peut initier des investigations ciblées sans déplacement. Les PME ne sont pas exemptées. Les sanctions sont proportionnées au chiffre d'affaires, pas à la taille de l'entreprise.

Besoin d'un diagnostic de votre infrastructure IT ?

Identifiez vos risques RGPD, vos points de vulnérabilité et les prestataires certifiés adaptés à votre situation en moins de 5 minutes.

Lancer le diagnostic Devenir partenaire IT Accéder à la plateforme ALTEZIA