Vos fichiers ont une nationalité (et elle n'est probablement pas la vôtre)

Ou : pourquoi « hébergé en Europe » ne veut pas dire « protégé par le droit européen ».

Il existe une fiction confortable dans le monde du cloud computing, et elle tient en une phrase : « nos données sont en Europe, donc elles sont protégées par le RGPD ». C’est faux. C’est faux depuis 2018 et l’adoption du CLOUD Act américain, et c’est faux d’une manière que la plupart des entreprises européennes n’ont toujours pas intégrée. Si vous avez lu le comparatif des clouds souverains européens qui sert de point de départ à ce guide, vous savez déjà que le contrôle juridique sur vos fichiers ne suit pas la géographie des serveurs — il suit le siège social de l’entreprise qui les opère.

Cette distinction est la seule qui compte vraiment quand on parle de souveraineté des données. Pas le marketing « cloud régional », pas les certifications collées sur une landing page, pas les promesses contractuelles d’un fournisseur qui sait pertinemment qu’il ne pourra pas les tenir face à une injonction fédérale américaine. La souveraineté, c’est une question juridique binaire : est-ce que le droit de votre pays s’applique à vos fichiers, oui ou non ?

Le Règlement Général sur la Protection des Données — le RGPD — est le texte le plus ambitieux que l’Europe ait produit en matière de protection des données personnelles. Son article 48 interdit explicitement le transfert de données vers une autorité étrangère sans accord d’entraide judiciaire. Le problème, c’est que le Cloud Act dit exactement l’inverse : toute société américaine doit fournir les données demandées par une autorité fédérale, quel que soit l’endroit où ces données sont stockées physiquement. Deux textes de loi, deux continents, deux conclusions incompatibles. Et vos fichiers sont au milieu.

Ce guide décompose cette contradiction en neuf questions concrètes — du Patriot Act au choix entre un hébergement suisse et un hébergement UE, en passant par les certifications qui veulent dire quelque chose et celles qui sont du décor.

Le droit comme infrastructure : pourquoi la juridiction est un choix technique

On traite souvent le cadre légal comme un sujet pour juristes. C’est une erreur d’ingénierie. Le cadre légal est une contrainte technique au même titre que la latence réseau ou la capacité de stockage : il détermine ce qui est possible, ce qui est risqué et ce qui est interdit. Un CTO qui choisit un fournisseur cloud sans vérifier la juridiction fait exactement la même erreur qu’un CTO qui déploie en production sans vérifier le SLA.

Quand une loi américaine peut lire vos emails européens

Le Cloud Act et le Patriot Act ne sont pas des épouvantails théoriques. Ce sont des mécanismes juridiques opérationnels, utilisés des milliers de fois par an. La différence entre les deux est temporelle — le Patriot Act date de 2001 et a été partiellement remplacé par le USA FREEDOM Act en 2015, le Cloud Act date de 2018 et a explicitement codifié l’extraterritorialité — mais le résultat pratique est le même : si votre fournisseur est américain, vos données sont accessibles aux autorités américaines. Le détail de comment le Patriot Act et le Cloud Act s’appliquent concrètement aux clouds américains vaut la lecture, ne serait-ce que pour mesurer l’ampleur du décalage entre le discours commercial et la réalité juridique.

Ce que le RGPD exige vraiment pour le stockage cloud

Le RGPD est un texte de 88 pages que tout le monde cite et que personne ne lit. Ce qui est dommage, parce que les obligations qu’il impose aux responsables de traitement sont assez précises — et assez contraignantes. La question n’est pas « est-ce que mon fournisseur est conforme RGPD ? » (ils le disent tous) mais « est-ce que les garanties contractuelles qu’il m’offre résistent à une demande d’accès extraterritoriale ? ». Ce que la loi exige réellement pour le stockage cloud traduit les articles 28, 32 et 48 en décisions concrètes.

Schrems II : l’arrêt qui a tout changé (et que tout le monde contourne)

En juillet 2020, la Cour de Justice de l’Union européenne a invalidé le Privacy Shield — l’accord qui permettait aux entreprises européennes de transférer des données vers les États-Unis en toute légalité apparente. L’arrêt Schrems II n’a pas juste fermé une porte : il a démontré que toutes les portes précédentes (Safe Harbor, Privacy Shield) étaient des illusions juridiques. L’impact de Schrems II sur les transferts de données hors UE explique pourquoi, six ans plus tard, la plupart des entreprises européennes sont techniquement en infraction.

Le Cloud Act vu du bureau d’un DSI européen

Le Cloud Act n’est pas un texte abstrait. C’est un risque opérationnel quantifiable. Si vous êtes DSI et que votre entreprise utilise Microsoft 365, Google Workspace ou AWS, vous avez un problème de conformité que vos clauses contractuelles ne résolvent pas. Les risques concrets du Cloud Act pour les entreprises européennes pose les chiffres sur la table.

Suisse ou Union européenne : quel hébergement choisir ?

La Suisse n’est pas dans l’UE, mais sa loi sur la protection des données (la nLPD, révisée en 2023) est alignée sur le RGPD. C’est un cadre juridique distinct avec des garanties comparables — et quelques avantages spécifiques, notamment l’absence d’accord d’entraide judiciaire automatique avec les États-Unis. Infomaniak, basé à Genève, opère sous ce cadre. La comparaison entre hébergement suisse et hébergement UE détaille les différences qui comptent.

Certifications cloud : lesquelles valent quelque chose ?

ISO 27001, ISO 27018, HDS, SecNumCloud, SOC 2 — le marché du cloud croule sous les certifications. Certaines sont des engagements réels audités par des tiers indépendants. D’autres sont des autocollants marketing qu’on obtient en remplissant un formulaire. Le guide des certifications cloud qui veulent dire quelque chose fait le tri.

Où sont les serveurs, et pourquoi ça compte encore

À l’ère du Cloud Act, la localisation physique des serveurs n’est plus suffisante pour garantir la protection des données. Mais elle reste nécessaire. Un serveur en Europe chez un opérateur européen, c’est la combinaison minimale. Pourquoi la localisation des datacenters reste un critère explique ce que « hébergé en Europe » devrait vraiment signifier.

Le cloud souverain européen en 2026 : qui reste debout ?

Le marché du cloud souverain européen a beaucoup évolué depuis les premiers projets (Andromède, Numergy — paix à leurs âmes). En 2026, les acteurs crédibles se comptent sur les doigts de deux mains : OVHcloud, Scaleway, Infomaniak, Hetzner, Clever Cloud, Outscale, plus une poignée de spécialistes. Le panorama du cloud souverain européen en 2026 les passe tous en revue.

Quand le datacenter chauffe votre quartier

La souveraineté n’est pas qu’une question juridique. C’est aussi une question écologique. Infomaniak récupère la chaleur produite par ses datacenters pour chauffer des logements à Genève — une approche qui transforme un centre de données en infrastructure urbaine. Le modèle écologique des datacenters Infomaniak est un angle souvent ignoré dans les comparatifs cloud, et c’est dommage.

Sur le même sujet

• Alternatives à Google Drive — le panorama complet des clouds qui respectent votre juridiction
• Prix, plans et ROI du cloud — combien coûte la souveraineté, concrètement
• Sécurité et chiffrement du cloud — le chiffrement qui complète le cadre légal
• Migration vers un nouveau cloud — comment quitter un cloud américain sans perdre vos fichiers
• Collaboration en équipe et partage — travailler ensemble sur un cloud souverain
• Synchronisation multi-device — vos fichiers partout, sous juridiction européenne
• Écosystème kSuite et intégrations — la suite complète qui remplace Workspace
• Usages spécifiques du cloud — santé, éducation, TPE : les obligations sectorielles
• Réversibilité et portabilité — sortir d’un cloud souverain doit être aussi simple qu’y entrer