Le sujet n'est pas que théorique
Un cabinet d'expertise comptable détient les données financières de centaines d'entreprises et de milliers de salariés. Si demain une autorité étrangère exige l'accès à ces données, vous devez pouvoir refuser.
Or, certaines lois étrangères, notamment américaines, donnent à des autorités un droit d'accès sur les données stockées chez des entreprises sous leur juridiction, même si les données sont physiquement en Europe.
C'est ce qu'on appelle l'extraterritorialité, et c'est un vrai sujet pour les cabinets.
Le Cloud Act, un cas concret
Le CLOUD Act (Clarifying Lawful Overseas Use of Data) est une loi américaine de 2018 qui permet aux autorités américaines de demander à toute entreprise sous juridiction américaine l'accès aux données qu'elle stocke, où qu'elles soient dans le monde.
Concrètement, si vos données sont chez AWS, Microsoft Azure ou Google Cloud, ces fournisseurs peuvent légalement être contraints de les remettre à une autorité américaine, sans que vous en soyez nécessairement informé.
Ce n'est pas un risque hypothétique. Ce mécanisme a déjà été utilisé pour des données européennes.
Le faux confort des "régions Europe"
Quand un fournisseur cloud américain affiche une région Europe (eu-west-1, North Europe, etc.), les données y sont effectivement physiquement stockées. Mais l'entreprise propriétaire reste américaine, donc soumise au Cloud Act.
Stocker chez AWS Paris ne vous protège pas du Cloud Act. C'est un point souvent mal compris.
Ce qu'apporte un hébergement vraiment européen
Un hébergeur dont la maison-mère et le siège social sont dans l'UE n'est pas soumis au Cloud Act. La législation qui s'applique est celle du pays européen, donc principalement le RGPD.
Si une autorité étrangère réclame des données, l'hébergeur européen peut légalement refuser. Si une autorité européenne (juge français par exemple) les réclame, c'est avec un cadre clair et des recours possibles.
Les hébergeurs européens crédibles
Les principaux acteurs purement européens sont OVHcloud (France), Scaleway (France), IONOS (Allemagne et France), Hetzner (Allemagne), Aruba (Italie), ainsi que des acteurs spécialisés comme Outscale ou Clever Cloud.
Ces hébergeurs offrent aujourd'hui des niveaux de service comparables aux géants américains pour 90% des cas d'usage.
Comment vérifier l'hébergement de votre logiciel actuel
Quatre points à demander à votre fournisseur.
D'abord, où sont physiquement stockées les données ? Réponse précise attendue, avec le pays et idéalement le datacenter.
Ensuite, qui est la maison-mère de l'hébergeur ? Si c'est une entreprise américaine, ou contrôlée par un actionnaire américain majoritaire, c'est un risque Cloud Act.
Puis, quelle est la chaîne de sous-traitance ? L'hébergeur peut lui-même utiliser des sous-traitants. Demandez la liste.
Enfin, sous quelle législation tombez-vous en cas de conflit ? Si la réponse est "droit californien", vous savez ce qu'il vous reste à faire.
Le cas de Thaelys Ledger
Thaelys Ledger est hébergé chez IONOS, en Europe. IONOS est une filiale de United Internet AG, groupe allemand. Aucune entité américaine dans la chaîne de propriété.
Les données restent physiquement et juridiquement en Europe. Aucun transfert vers les États-Unis pour quelque raison que ce soit, y compris pour de l'entraînement de modèles IA.
Vous pouvez aussi obtenir, sur demande, le DPA (Data Processing Agreement) signé qui formalise nos engagements RGPD vis-à-vis de votre cabinet.
Conclusion
L'hébergement européen n'est pas un argument marketing. C'est une protection juridique concrète qui change votre exposition au risque réglementaire et géopolitique.
À l'heure où la souveraineté numérique devient un sujet stratégique, c'est aussi un argument de vente fort vis-à-vis de vos propres clients : "vos données restent en Europe, point".