Souveraineté des données : pourquoi les SGP doivent exiger un hébergement français

Cloud Act, RGPD, secret professionnel — les enjeux de l'hébergement des données financières
9 min de lecture

Les SGP immobilières manipulent des données parmi les plus sensibles du secteur financier : patrimoine des associés, revenus, identité, structure de détention, conformité réglementaire. Le choix de l'hébergement de ces données n'est pas un sujet technique secondaire — c'est une décision stratégique aux implications juridiques, réglementaires et commerciales.

Cartographie des risques juridiques par type d'hébergeur

CritèreCloud US (AWS/Azure/GCP)Cloud EU non qualifiéCloud souverain (SecNumCloud)
Cloud ActSoumisNon soumisNon soumis
FISA 702ApplicableNon applicableNon applicable
RGPD art. 48Conflit potentielConformeConforme
Secret professionnel SGPRisque de violationProtegeProtege
DORA (UE 2022/2554)Risque TIC identifiéRisque réduitRisque minimal
Certification ANSSINon éligiblePossibleOui (SecNumCloud 3.2)

Le problème du Cloud Act américain

Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act), adopté par le Congrès américain le 23 mars 2018 (Pub.L. 115-141), autorise les autorités américaines (FBI, DOJ, SEC) à exiger des fournisseurs de services cloud américains la production de données stockées à l'étranger, y compris en Europe.

Concrètement, si une SGP utilise Amazon Web Services (AWS), Microsoft Azure ou Google Cloud Platform pour héberger ses données, ces données sont potentiellement accessibles aux autorités américaines — même si les serveurs sont physiquement situés en France.

Cette situation est en contradiction directe avec :

  • Le RGPD (règlement (UE) 2016/679, article 48) — qui interdit les transferts de données vers des pays tiers sans garanties appropriées
  • Le secret professionnel des SGP — Les SGP sont tenues au secret professionnel en vertu de l'article L.533-24 du Code monétaire et financier. La divulgation de données d'associés à une autorité étrangère constituerait une violation de ce secret.
  • L'arrêt Schrems II (CJUE, 16 juillet 2020, affaire C-311/18) — La Cour de justice de l'UE a invalidé le Privacy Shield, considérant que le droit américain n'offre pas un niveau de protection équivalent au RGPD, notamment en raison des programmes de surveillance de masse (FISA 702, EO 12333)

Le Data Privacy Framework : une solution incomplète

Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d'adéquation pour les États-Unis : le EU-US Data Privacy Framework (DPF). Ce cadre permet les transferts de données vers les entreprises américaines auto-certifiées.

Cependant, le DPF ne résout pas le problème du Cloud Act :

  • Le Cloud Act est une loi fédérale distincte du DPF — il n'est pas affecté par la décision d'adéquation
  • L'association NOYB (dirigée par Max Schrems) a annoncé dès juillet 2023 son intention de contester le DPF devant la CJUE ("Schrems III")
  • L'autorité de protection des données française (CNIL) a publié en 2024 des recommandations appelant à la prudence pour les données sensibles

Pour les SGP, le risque juridique est clair : confier des données d'associés à un cloud américain expose à un conflit potentiel entre le Cloud Act et le RGPD, sans certitude sur le cadre juridique applicable.

La réponse : l'hébergement souverain

L'hébergement souverain désigne l'utilisation de fournisseurs de cloud dont le siège social, les capitaux et les opérations sont intégralement situés dans un pays de l'UE, hors du champ d'application du Cloud Act et des lois de surveillance étrangères.

Les principaux acteurs français

  • Scaleway (filiale du groupe Iliad/Free) — Datacenters à Paris (DC2, DC4) et Amsterdam. Infrastructure 100% française. C'est l'hébergeur utilisé par Ragindeed.
  • OVHcloud — Leader européen du cloud, coté à Euronext Paris. Datacenters en France (Roubaix, Strasbourg, Gravelines) et en Europe.
  • Outscale (filiale de Dassault Systèmes) — Cloud souverain certifié SecNumCloud par l'ANSSI. Le plus haut niveau de certification de sécurité en France.
  • NumSpot (joint-venture Docaposte, Dassault Systèmes, Bouygues Telecom, Banque des Territoires) — Cloud souverain lancé en 2023, visant la certification SecNumCloud.

La certification SecNumCloud

Délivrée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information), la qualification SecNumCloud (référentiel version 3.2, publié en mars 2022) garantit :

  • Localisation des données en France
  • Immunité aux lois extra-européennes (le prestataire ne peut pas être contraint par une loi étrangère)
  • Niveau de sécurité vérifié par l'ANSSI (audits réguliers)
  • Continuité de service et plans de reprise d'activité documentés

La doctrine "Cloud au centre" de l'État français (circulaire du Premier ministre du 5 juillet 2021) impose l'utilisation de cloud qualifié SecNumCloud pour les données sensibles des administrations. Cette exigence influence progressivement le secteur privé, notamment les secteurs réglementés (finance, santé).

L'argument commercial de la souveraineté

Au-delà de la conformité juridique, l'hébergement souverain est devenu un argument commercial différenciant pour les SGP :

Exigence des investisseurs institutionnels

Les investisseurs institutionnels (assureurs, caisses de retraite, fonds de pension) intègrent de plus en plus les critères de cybersécurité et de souveraineté dans leur due diligence. L'ASPIM a publié en 2023 une recommandation sectorielle sur la cybersécurité des SGP, incluant le choix de l'hébergement parmi les critères évalués.

Conformité DORA

Le règlement européen DORA (Digital Operational Resilience Act, règlement (UE) 2022/2554), applicable à partir de janvier 2025, impose aux entités financières (dont les SGP) des exigences de résilience opérationnelle numérique, incluant la gestion des risques liés aux prestataires tiers de services TIC. L'utilisation d'un hébergeur soumis à une juridiction extra-européenne est identifiée comme un facteur de risque dans les guidelines de l'ABE (Autorité bancaire européenne).

Ragindeed : 100% Scaleway, 100% France

L'ensemble de l'infrastructure Ragindeed est hébergée chez Scaleway :

  • Calcul et stockage — Clusters Kubernetes Scaleway Kapsule (datacenters Paris DC2/DC4)
  • Stockage objet — Scaleway Object Storage (compatible S3) pour les documents et les sauvegardes
  • Base de données — PostgreSQL managé Scaleway, avec pgvector pour les embeddings
  • Réseau — Réseau privé Scaleway VPC, pas d'exposition directe à Internet pour les données

Les documents de nos clients ne transitent jamais par un serveur hors de France. Les modèles d'IA (embeddings, extraction) sont exécutés sur l'infrastructure Scaleway, pas via des API cloud américaines.

Impact financier d'une violation de souverainete

Les conséquences financières d'une violation du RGPD par transfert non autorise de données vers les États-Unis sont considérables :

  • Amendes RGPD : jusqu a 20 millions d euros ou 4% du chiffre d affaires mondial (article 83 du RGPD)
  • Sanctions ACPR : amendes pouvant atteindre 100 millions d euros pour les entités financières (article L.612-39 CMF)
  • Risque de réputation : publication systématique des sanctions par la CNIL et l ACPR. Impact sur la collecte.
  • Perte de clients institutionnels : les investisseurs institutionnels (assureurs, caisses de retraite) excluent de plus en plus les prestataires non souverains de leur due diligence.
  • Coût de migration d urgence : en cas de décision judiciaire invalidant le cadre de transfert (Schrems III), migration en urgence estimée entre 50 000 et 200 000 EUR pour une SGP de taille moyenne.

Coût comparatif 5 ans

PosteCloud USCloud FR
Hébergement/an8k10k
Conformité/an15k5k
Risque juridique/an50k0
Total 5 ans365k75k

Checklist souverainete pour les SGP

  1. Auditer tous les prestataires cloud actuels (hébergement, SaaS, backups)
  2. Identifier les données sensibles (identité associés, patrimoine, conformite LCBFT)
  3. Vérifier la juridiction de chaque prestataire (siège social, actionnariat, droit applicable)
  4. Évaluer le risque Cloud Act pour chaque prestataire américain
  5. Planifier la migration vers un hebergeur souverain pour les données sensibles
  6. Documenter la conformite RGPD de chaque transfert (article 44 et suivants)
  7. Mettre a jour le registre des traitements (article 30 RGPD)
  8. Former les équipes aux enjeux de souverainete

Chronologie règlementaire de la souverainete des données

DateÉvénementImpact SGP
2016RGPD adopté (règlement UE 2016/679)Cadre de protection des données personnelles
2018Cloud Act américain (Pub.L. 115-141)Risque d acces aux données par les autorités US
2020Arret Schrems II (CJUE C-311/18)Invalidation du Privacy Shield
2021Doctrine Cloud au centre (circulaire PM)SecNumCloud pour les données sensibles de l Etat
2022DORA adopté (règlement UE 2022/2554)Resilience operationnelle numérique obligatoire
2023Data Privacy Framework UE-USNouveau cadre de transfert (fragile, Schrems III annoncé)
2025DORA applicableExigences TIC pour les SGP
2027AMLR applicable (règlement UE 2024/1624)Nouvelles exigences sur les données LCBFT

Les sanctions concrètes en cas de non-conformite

Les autorités françaises et européennes sanctionnent de plus en plus sévèrement les manquements a la protection des données :

AutoritéSanctionMontantMotif
CNILCriteo (juin 2023)40 M EURCollecte de données sans consentement
CNILAmazon France (dec 2020)35 M EURCookies sans consentement
CNILGoogle LLC (jan 2022)150 M EURCookies
APD IrelandMeta (mai 2023)1,2 Md EURTransfert UE vers US sans base légale
ACPRDecision 2022-06100k EURDéfaut dispositif LCBFT

La sanction Meta de 1,2 milliard d euros (mai 2023) est la plus élevée jamais prononcée sous le RGPD. Elle concerne precisement le transfert de données vers les États-Unis sans base légale adequate apres l invalidation du Privacy Shield.

Les criteres d évaluation d un hebergeur souverain

Tous les hebergeurs français ne sont pas équivalents en termes de souverainete. Voici les criteres discriminants :

CritèreDescriptionVérification
Siege socialDoit etre en France ou dans l UEKbis, statuts
ActionnariatPas de controle par une entité extra-UEOrganigramme actionnarial
Droit applicableDroit français/UE uniquementCGV, contrat d hébergement
Localisation serveursFrance métropolitaineAudit physique ou certificat
CertificationSecNumCloud 3.2 (ANSSI) ou en coursRegistre ANSSI
Sous-traitantsPas de sous-traitant extra-UE pour les donnéesRegistre des sous-traitants

Le positionnement des principaux acteurs français

ActeurSecNumCloudDatacenters FRParticularité
Scaleway (groupe Iliad)En coursParis DC2/DC4, AmsterdamHébergeur de Ragindeed
OVHcloudEn coursRoubaix, Strasbourg, GravelinesLeader européen du cloud
Outscale (Dassault Systèmes)QualifieFrancePremier qualifié SecNumCloud IaaS
NumSpot (Docaposte+)En coursFranceJoint-venture La Poste, Dassault, Bouygues

Questions fréquentes des SGP sur la souverainete

Peut-on utiliser Microsoft 365 pour les documents sensibles ?

Microsoft 365 (Teams, SharePoint, OneDrive) est soumis au Cloud Act. Pour les documents sensibles (identité des associés, patrimoine, conformite LCBFT), il est recommandé d utiliser une solution souveraine pour le stockage et le traitement, tout en conservant Microsoft 365 pour la collaboration bureautique. C est exactement le modele propose par Ragindeed : les documents restent dans SharePoint, mais le traitement intelligent (OCR, extraction, embeddings) s effectue sur infrastructure souveraine.

Le Data Privacy Framework suffit-il ?

Le DPF (juillet 2023) est une décision d adéquation de la Commission européenne. Il permet les transferts vers les entreprises US auto-certifiées. Mais il ne résout pas le Cloud Act (loi fédérale distincte). L association NOYB a annoncé un recours (Schrems III). Pour une SGP, le risque juridique de s appuyer uniquement sur le DPF est réel.

Que faire des données deja hebergees chez un cloud US ?

La migration ne doit pas etre précipitée. Etapes recommandées : 1) Inventaire des données hebergees et de leur sensibilité. 2) Classification par niveau de risque (données personnelles, données financières, données LCBFT). 3) Migration prioritaire des données les plus sensibles. 4) Conservation temporaire des données moins sensibles avec mesures de protection renforcées (chiffrement coté client, pseudonymisation). 5) Migration complète dans un delai de 12 a 18 mois.

Vos données restent en France. Ragindeed est 100% hébergé chez Scaleway. En savoir plus →

Automatisez l'analyse de vos baux commerciaux. Ragindeed détecte les anomalies d'indexation, les clauses non conformes et les échéances critiques en 15 minutes. Lancer le Scan de Santé Baux →

Partager cet article
SharePoint et gestion documentaire immobilière : le guide d'intégration
Comment connecter votre SharePoint à une plateforme d'analyse IA pour automatiser votre gestion documentaire