Les SGP immobilières manipulent des données parmi les plus sensibles du secteur financier : patrimoine des associés, revenus, identité, structure de détention, conformité réglementaire. Le choix de l'hébergement de ces données n'est pas un sujet technique secondaire — c'est une décision stratégique aux implications juridiques, réglementaires et commerciales.
Cartographie des risques juridiques par type d'hébergeur
| Critère | Cloud US (AWS/Azure/GCP) | Cloud EU non qualifié | Cloud souverain (SecNumCloud) |
|---|---|---|---|
| Cloud Act | Soumis | Non soumis | Non soumis |
| FISA 702 | Applicable | Non applicable | Non applicable |
| RGPD art. 48 | Conflit potentiel | Conforme | Conforme |
| Secret professionnel SGP | Risque de violation | Protege | Protege |
| DORA (UE 2022/2554) | Risque TIC identifié | Risque réduit | Risque minimal |
| Certification ANSSI | Non éligible | Possible | Oui (SecNumCloud 3.2) |
Le problème du Cloud Act américain
Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act), adopté par le Congrès américain le 23 mars 2018 (Pub.L. 115-141), autorise les autorités américaines (FBI, DOJ, SEC) à exiger des fournisseurs de services cloud américains la production de données stockées à l'étranger, y compris en Europe.
Concrètement, si une SGP utilise Amazon Web Services (AWS), Microsoft Azure ou Google Cloud Platform pour héberger ses données, ces données sont potentiellement accessibles aux autorités américaines — même si les serveurs sont physiquement situés en France.
Cette situation est en contradiction directe avec :
- Le RGPD (règlement (UE) 2016/679, article 48) — qui interdit les transferts de données vers des pays tiers sans garanties appropriées
- Le secret professionnel des SGP — Les SGP sont tenues au secret professionnel en vertu de l'article L.533-24 du Code monétaire et financier. La divulgation de données d'associés à une autorité étrangère constituerait une violation de ce secret.
- L'arrêt Schrems II (CJUE, 16 juillet 2020, affaire C-311/18) — La Cour de justice de l'UE a invalidé le Privacy Shield, considérant que le droit américain n'offre pas un niveau de protection équivalent au RGPD, notamment en raison des programmes de surveillance de masse (FISA 702, EO 12333)
Le Data Privacy Framework : une solution incomplète
Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d'adéquation pour les États-Unis : le EU-US Data Privacy Framework (DPF). Ce cadre permet les transferts de données vers les entreprises américaines auto-certifiées.
Cependant, le DPF ne résout pas le problème du Cloud Act :
- Le Cloud Act est une loi fédérale distincte du DPF — il n'est pas affecté par la décision d'adéquation
- L'association NOYB (dirigée par Max Schrems) a annoncé dès juillet 2023 son intention de contester le DPF devant la CJUE ("Schrems III")
- L'autorité de protection des données française (CNIL) a publié en 2024 des recommandations appelant à la prudence pour les données sensibles
Pour les SGP, le risque juridique est clair : confier des données d'associés à un cloud américain expose à un conflit potentiel entre le Cloud Act et le RGPD, sans certitude sur le cadre juridique applicable.
La réponse : l'hébergement souverain
L'hébergement souverain désigne l'utilisation de fournisseurs de cloud dont le siège social, les capitaux et les opérations sont intégralement situés dans un pays de l'UE, hors du champ d'application du Cloud Act et des lois de surveillance étrangères.
Les principaux acteurs français
- Scaleway (filiale du groupe Iliad/Free) — Datacenters à Paris (DC2, DC4) et Amsterdam. Infrastructure 100% française. C'est l'hébergeur utilisé par Ragindeed.
- OVHcloud — Leader européen du cloud, coté à Euronext Paris. Datacenters en France (Roubaix, Strasbourg, Gravelines) et en Europe.
- Outscale (filiale de Dassault Systèmes) — Cloud souverain certifié SecNumCloud par l'ANSSI. Le plus haut niveau de certification de sécurité en France.
- NumSpot (joint-venture Docaposte, Dassault Systèmes, Bouygues Telecom, Banque des Territoires) — Cloud souverain lancé en 2023, visant la certification SecNumCloud.
La certification SecNumCloud
Délivrée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information), la qualification SecNumCloud (référentiel version 3.2, publié en mars 2022) garantit :
- Localisation des données en France
- Immunité aux lois extra-européennes (le prestataire ne peut pas être contraint par une loi étrangère)
- Niveau de sécurité vérifié par l'ANSSI (audits réguliers)
- Continuité de service et plans de reprise d'activité documentés
La doctrine "Cloud au centre" de l'État français (circulaire du Premier ministre du 5 juillet 2021) impose l'utilisation de cloud qualifié SecNumCloud pour les données sensibles des administrations. Cette exigence influence progressivement le secteur privé, notamment les secteurs réglementés (finance, santé).
L'argument commercial de la souveraineté
Au-delà de la conformité juridique, l'hébergement souverain est devenu un argument commercial différenciant pour les SGP :
Exigence des investisseurs institutionnels
Les investisseurs institutionnels (assureurs, caisses de retraite, fonds de pension) intègrent de plus en plus les critères de cybersécurité et de souveraineté dans leur due diligence. L'ASPIM a publié en 2023 une recommandation sectorielle sur la cybersécurité des SGP, incluant le choix de l'hébergement parmi les critères évalués.
Conformité DORA
Le règlement européen DORA (Digital Operational Resilience Act, règlement (UE) 2022/2554), applicable à partir de janvier 2025, impose aux entités financières (dont les SGP) des exigences de résilience opérationnelle numérique, incluant la gestion des risques liés aux prestataires tiers de services TIC. L'utilisation d'un hébergeur soumis à une juridiction extra-européenne est identifiée comme un facteur de risque dans les guidelines de l'ABE (Autorité bancaire européenne).
Ragindeed : 100% Scaleway, 100% France
L'ensemble de l'infrastructure Ragindeed est hébergée chez Scaleway :
- Calcul et stockage — Clusters Kubernetes Scaleway Kapsule (datacenters Paris DC2/DC4)
- Stockage objet — Scaleway Object Storage (compatible S3) pour les documents et les sauvegardes
- Base de données — PostgreSQL managé Scaleway, avec pgvector pour les embeddings
- Réseau — Réseau privé Scaleway VPC, pas d'exposition directe à Internet pour les données
Les documents de nos clients ne transitent jamais par un serveur hors de France. Les modèles d'IA (embeddings, extraction) sont exécutés sur l'infrastructure Scaleway, pas via des API cloud américaines.
Impact financier d'une violation de souverainete
Les conséquences financières d'une violation du RGPD par transfert non autorise de données vers les États-Unis sont considérables :
- Amendes RGPD : jusqu a 20 millions d euros ou 4% du chiffre d affaires mondial (article 83 du RGPD)
- Sanctions ACPR : amendes pouvant atteindre 100 millions d euros pour les entités financières (article L.612-39 CMF)
- Risque de réputation : publication systématique des sanctions par la CNIL et l ACPR. Impact sur la collecte.
- Perte de clients institutionnels : les investisseurs institutionnels (assureurs, caisses de retraite) excluent de plus en plus les prestataires non souverains de leur due diligence.
- Coût de migration d urgence : en cas de décision judiciaire invalidant le cadre de transfert (Schrems III), migration en urgence estimée entre 50 000 et 200 000 EUR pour une SGP de taille moyenne.
Coût comparatif 5 ans
| Poste | Cloud US | Cloud FR |
|---|---|---|
| Hébergement/an | 8k | 10k |
| Conformité/an | 15k | 5k |
| Risque juridique/an | 50k | 0 |
| Total 5 ans | 365k | 75k |
Checklist souverainete pour les SGP
- Auditer tous les prestataires cloud actuels (hébergement, SaaS, backups)
- Identifier les données sensibles (identité associés, patrimoine, conformite LCBFT)
- Vérifier la juridiction de chaque prestataire (siège social, actionnariat, droit applicable)
- Évaluer le risque Cloud Act pour chaque prestataire américain
- Planifier la migration vers un hebergeur souverain pour les données sensibles
- Documenter la conformite RGPD de chaque transfert (article 44 et suivants)
- Mettre a jour le registre des traitements (article 30 RGPD)
- Former les équipes aux enjeux de souverainete
Chronologie règlementaire de la souverainete des données
| Date | Événement | Impact SGP |
|---|---|---|
| 2016 | RGPD adopté (règlement UE 2016/679) | Cadre de protection des données personnelles |
| 2018 | Cloud Act américain (Pub.L. 115-141) | Risque d acces aux données par les autorités US |
| 2020 | Arret Schrems II (CJUE C-311/18) | Invalidation du Privacy Shield |
| 2021 | Doctrine Cloud au centre (circulaire PM) | SecNumCloud pour les données sensibles de l Etat |
| 2022 | DORA adopté (règlement UE 2022/2554) | Resilience operationnelle numérique obligatoire |
| 2023 | Data Privacy Framework UE-US | Nouveau cadre de transfert (fragile, Schrems III annoncé) |
| 2025 | DORA applicable | Exigences TIC pour les SGP |
| 2027 | AMLR applicable (règlement UE 2024/1624) | Nouvelles exigences sur les données LCBFT |
Les sanctions concrètes en cas de non-conformite
Les autorités françaises et européennes sanctionnent de plus en plus sévèrement les manquements a la protection des données :
| Autorité | Sanction | Montant | Motif |
|---|---|---|---|
| CNIL | Criteo (juin 2023) | 40 M EUR | Collecte de données sans consentement |
| CNIL | Amazon France (dec 2020) | 35 M EUR | Cookies sans consentement |
| CNIL | Google LLC (jan 2022) | 150 M EUR | Cookies |
| APD Ireland | Meta (mai 2023) | 1,2 Md EUR | Transfert UE vers US sans base légale |
| ACPR | Decision 2022-06 | 100k EUR | Défaut dispositif LCBFT |
La sanction Meta de 1,2 milliard d euros (mai 2023) est la plus élevée jamais prononcée sous le RGPD. Elle concerne precisement le transfert de données vers les États-Unis sans base légale adequate apres l invalidation du Privacy Shield.
Les criteres d évaluation d un hebergeur souverain
Tous les hebergeurs français ne sont pas équivalents en termes de souverainete. Voici les criteres discriminants :
| Critère | Description | Vérification |
|---|---|---|
| Siege social | Doit etre en France ou dans l UE | Kbis, statuts |
| Actionnariat | Pas de controle par une entité extra-UE | Organigramme actionnarial |
| Droit applicable | Droit français/UE uniquement | CGV, contrat d hébergement |
| Localisation serveurs | France métropolitaine | Audit physique ou certificat |
| Certification | SecNumCloud 3.2 (ANSSI) ou en cours | Registre ANSSI |
| Sous-traitants | Pas de sous-traitant extra-UE pour les données | Registre des sous-traitants |
Le positionnement des principaux acteurs français
| Acteur | SecNumCloud | Datacenters FR | Particularité |
|---|---|---|---|
| Scaleway (groupe Iliad) | En cours | Paris DC2/DC4, Amsterdam | Hébergeur de Ragindeed |
| OVHcloud | En cours | Roubaix, Strasbourg, Gravelines | Leader européen du cloud |
| Outscale (Dassault Systèmes) | Qualifie | France | Premier qualifié SecNumCloud IaaS |
| NumSpot (Docaposte+) | En cours | France | Joint-venture La Poste, Dassault, Bouygues |
Questions fréquentes des SGP sur la souverainete
Peut-on utiliser Microsoft 365 pour les documents sensibles ?
Microsoft 365 (Teams, SharePoint, OneDrive) est soumis au Cloud Act. Pour les documents sensibles (identité des associés, patrimoine, conformite LCBFT), il est recommandé d utiliser une solution souveraine pour le stockage et le traitement, tout en conservant Microsoft 365 pour la collaboration bureautique. C est exactement le modele propose par Ragindeed : les documents restent dans SharePoint, mais le traitement intelligent (OCR, extraction, embeddings) s effectue sur infrastructure souveraine.
Le Data Privacy Framework suffit-il ?
Le DPF (juillet 2023) est une décision d adéquation de la Commission européenne. Il permet les transferts vers les entreprises US auto-certifiées. Mais il ne résout pas le Cloud Act (loi fédérale distincte). L association NOYB a annoncé un recours (Schrems III). Pour une SGP, le risque juridique de s appuyer uniquement sur le DPF est réel.
Que faire des données deja hebergees chez un cloud US ?
La migration ne doit pas etre précipitée. Etapes recommandées : 1) Inventaire des données hebergees et de leur sensibilité. 2) Classification par niveau de risque (données personnelles, données financières, données LCBFT). 3) Migration prioritaire des données les plus sensibles. 4) Conservation temporaire des données moins sensibles avec mesures de protection renforcées (chiffrement coté client, pseudonymisation). 5) Migration complète dans un delai de 12 a 18 mois.
Automatisez l'analyse de vos baux commerciaux. Ragindeed détecte les anomalies d'indexation, les clauses non conformes et les échéances critiques en 15 minutes. Lancer le Scan de Santé Baux →