L'expression "souveraineté des données" circule depuis au moins 2015, mais le paysage juridique sous-jacent a considérablement évolué ces 24 derniers mois. Si vous opérez une entreprise française ou européenne et que vos données clients sont chez un fournisseur cloud d'origine américaine, vous devez savoir ce qui a changé.
Le Cloud Act, brièvement
Le US Cloud Act, voté en 2018, oblige les sociétés américaines à fournir aux autorités US les données qu'elles "possèdent, ont en garde ou contrôlent" — quel que soit le lieu de stockage physique. La loi s'applique explicitement de manière extraterritoriale : un juge américain peut ordonner à Microsoft, Amazon ou Google de produire des données hébergées dans leurs datacenters européens.
L'effet pratique : un miroir à sens unique. Une entreprise UE hébergée chez un fournisseur US peut voir ses données accédées par les autorités américaines sans même être informée, ni opportunité de contester en justice.
Schrems II et son effet réel
En juillet 2020, la CJUE a invalidé le Privacy Shield UE-US, jugeant les lois de surveillance américaines (FISA Section 702, EO 12333) incompatibles avec les garanties RGPD. Les Clauses Contractuelles Types (SCCs) sont devenues le mécanisme principal, mais la cour a précisé qu'elles seules ne suffisent pas — chaque entreprise doit évaluer si les lois du pays destinataire écraseront les protections contractuelles. Pour les transferts US, cette évaluation est devenue de plus en plus difficile à faire de bonne foi.
Le Data Privacy Framework UE-US de 2023 a tenté d'adresser Schrems II, mais en 2024-2025, des recours juridiques remettent en cause sa solidité. À début 2026, le DPF est toujours en vigueur, mais plusieurs autorités de protection ont émis des recommandations encourageant des arrangements alternatifs.
Ce qui a changé en 2025-2026
La loi "Buy European Tech", votée fin 2025, oblige les entités du secteur public français et les Opérateurs de Services Essentiels (OSE) à démontrer que les workloads critiques sont hébergés sur une infrastructure non soumise aux lois extraterritoriales d'États tiers.
SecNumCloud 3.2, le cadre de qualification cloud de l'ANSSI, a été mis à jour en avril 2025 pour exiger une vérification de souveraineté — l'opérateur doit être contrôlé par des entités UE et non soumis à une compulsion juridique non-UE.
L'application de NIS2 a démarré en octobre 2024. Elle exige des entités essentielles et importantes une évaluation documentée du risque chaîne d'approvisionnement de leurs fournisseurs cloud. L'hébergement chez un fournisseur soumis au Cloud Act est un risque documentable.
Implications pratiques
Si vous êtes une SaaS française traitant des données clients, voici la question que vous devez pouvoir répondre par écrit : "Mon fournisseur cloud peut-il être contraint par un tribunal non-UE de remettre nos données clients sans notre consentement et sans notification ?" Si oui, vous avez un risque de souveraineté.
Pour les données de santé (HDS), les workloads du secteur public, et les opérateurs de services essentiels, ce risque n'est plus acceptable en 2026. Les choix sont : un fournisseur souverain français (FranceVPS), un fournisseur UE-only sans affiliations US, ou de l'auto-hébergé bare metal.
Ce que la souveraineté exige réellement
- Incorporation et contrôle UE — la maison-mère doit être domiciliée UE et non détenue majoritairement par des entités non-UE.
- Infrastructure physique en territoire UE — datacenters, équipements réseau, personnel opérationnel.
- Voies de compulsion juridique UE-only — l'opérateur ne doit pas être soumis aux lois extraterritoriales (Cloud Act, etc.).
- Souveraineté des sous-traitants — chaque sous-traitant traitant des données client doit satisfaire la même barre.
- Clés de chiffrement hors influence non-UE — sinon le chiffrement est théâtral.
C'est la barre que nous avons construite FranceVPS pour respecter. Nous sommes incorporés en France, nous opérons nos datacenters, nos sous-traitants sont tous UE.
Que faire ce trimestre
- Inventoriez vos flux de données. Listez chaque fournisseur cloud, SaaS, processeur de paiement, vendeur d'analytics. Documentez la juridiction de chaque maison-mère.
- Classez vos données. Toutes les données ne nécessitent pas d'hébergement souverain. PII clients, données santé, données secteur public, secrets commerciaux : oui. Analytics agrégées, assets marketing : généralement non.
- Migrez d'abord les données à risque élevé. Pas besoin de migration totale — déplacer les workloads gérant des données régulées ou sensibles vers une infrastructure souveraine adresse 80% du risque pour 20% du coût de migration.
Le paysage juridique continuera d'évoluer, mais la direction est claire : plus d'exigences de souveraineté, pas moins.