Tous les articles
Souveraineté · Archesia

Héberger ses données en France : ce que le RGPD exige vraiment

Cloud Act, RGPD, hébergement souverain : ce que votre entreprise doit savoir avant de confier ses documents à un outil cloud. Guide pratique.

En bref

  • Le RGPD n'interdit pas d'utiliser des services cloud étrangers, mais il impose des garanties que la plupart des outils américains ne peuvent pas fournir depuis l'entrée en vigueur du Cloud Act
  • Pour les documents sensibles (contrats, données clients, rapports confidentiels), un hébergement en France avec un modèle d'IA européen est le moyen le plus simple d'être conforme
  • Des alternatives souveraines existent aujourd'hui qui n'ont rien à envier aux outils américains en termes de qualité

On ne va pas tourner autour du pot : la plupart des entreprises françaises stockent leurs documents les plus sensibles sur des serveurs américains. Contrats, données clients, rapports financiers, échanges confidentiels. Tout ça dans Google Drive, Dropbox, ou SharePoint Online, hébergés aux États-Unis ou en Irlande.

Pendant longtemps, personne ne s’en souciait vraiment. Le RGPD était une formalité administrative, un bandeau cookies et une politique de confidentialité que personne ne lisait.

Les choses ont changé. Et pas qu’un peu.

Le problème concret

Prenons un cabinet de conseil qui stocke ses livrables dans Google Drive. Parmi ces documents : des analyses stratégiques pour un client du CAC 40, des données financières sensibles, des rapports de due diligence.

Ces fichiers sont hébergés sur les serveurs de Google. Google est une entreprise américaine, soumise au Cloud Act. Le gouvernement américain peut demander l’accès à ces données sans en informer le client, sans passer par la justice française, et sans que le cabinet en soit informé.

Ce n’est pas un scénario théorique. C’est la loi en vigueur depuis 2018.

Pour un cabinet de conseil qui facture sa confidentialité, pour une agence qui gère les données de ses clients, pour un avocat ou un notaire soumis au secret professionnel, c’est un risque qui devient de plus en plus difficile à ignorer.

Ce que dit le RGPD en pratique

Le RGPD n’interdit pas d’utiliser des services hébergés hors d’Europe. Il impose des conditions :

  • Base légale pour le transfert. En 2020, la Cour de justice de l’UE a invalidé le Privacy Shield (arrêt Schrems II), le principal accord qui autorisait le transfert de données entre l’Europe et les États-Unis. Un nouveau cadre (le Data Privacy Framework) a été adopté en 2023, mais sa solidité juridique est contestée par plusieurs juristes et associations, notamment parce que le Cloud Act n’a pas changé.
  • Analyse d’impact. Vous devez démontrer que le pays de destination offre un niveau de protection “essentiellement équivalent” à celui de l’UE. Tant que le Cloud Act est en vigueur, cette démonstration reste fragile pour les États-Unis.
  • Responsabilité du responsable de traitement. C’est vous qui êtes responsable, pas votre prestataire. Si vos données sont compromises via un accès Cloud Act, c’est votre entreprise qui est en infraction au RGPD.

En pratique Le RGPD ne dit pas “hébergez en France”. Il dit “garantissez un niveau de protection adéquat”. Pour les données sensibles d’entreprise, l’hébergement en France est simplement le moyen le plus direct et le plus sûr d’y parvenir.

Le Cloud Act : le vrai sujet

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act), adopté en 2018, autorise les autorités américaines à exiger l’accès aux données stockées par des entreprises américaines, quel que soit le pays où ces données sont hébergées.

Concrètement : même si Google héberge vos fichiers dans un datacenter en Belgique, le Cloud Act s’applique. Google est une entreprise américaine, donc soumise à cette loi.

Ce qui rend la situation particulièrement préoccupante :

  • Pas de notification obligatoire. L’entreprise américaine peut être tenue de ne pas vous informer de la demande d’accès.
  • Pas de recours direct. Vous n’avez pas voix au chapitre dans la procédure. C’est entre le gouvernement américain et le prestataire.
  • Portée large. Le Cloud Act ne se limite pas aux enquêtes criminelles. Il couvre aussi le renseignement économique.

Les options pour les entreprises françaises

La bonne nouvelle : l’écosystème cloud et IA français s’est considérablement renforcé ces dernières années. Il existe aujourd’hui des alternatives crédibles qui n’imposent plus de compromis sur la qualité.

L’hébergement souverain

Des hébergeurs français proposent un hébergement 100% français, dans des datacenters situés en France, opérés par des entreprises non soumises au Cloud Act.

L’IA souveraine

Mistral, entreprise française, propose des modèles d’intelligence artificielle performants qui peuvent être déployés sur des infrastructures européennes. Plus besoin d’envoyer vos données chez OpenAI ou Google pour bénéficier de l’IA.

Le choix, pas la contrainte

Pour certaines entreprises, la souveraineté totale est indispensable (professions réglementées, données critiques). Pour d’autres, le SaaS hébergé en France avec le choix du modèle d’IA est le bon compromis : vous décidez vous-même si vous préférez un modèle français ou un modèle américain selon vos usages.

L’essentiel La question n’est pas “français ou américain”. C’est “qui décide ?” Si c’est vous qui choisissez où vos données sont hébergées et quel modèle d’IA les traite, vous êtes en contrôle. Si c’est votre prestataire qui décide pour vous, vous avez un problème.

C’est l’approche qu’on a choisie pour Archesia. En mode SaaS, vos données sont hébergées en France, et vous choisissez le modèle d’IA qui vous convient. Pour les organisations qui ont des exigences plus fortes (professions réglementées, données critiques), Archesia peut aussi être installé directement sur vos propres serveurs, pour un contrôle total. Dans les deux cas, la conformité RGPD est assurée par conception, pas par paramétrage. Découvrir les trois modes d’hébergement en détail ou nous contacter.

Questions fréquentes

Le RGPD interdit-il d'utiliser Google Drive en entreprise ?

Non, le RGPD ne l'interdit pas formellement. Mais il impose des garanties de protection que Google, en tant qu'entreprise américaine soumise au Cloud Act, a du mal à fournir pleinement. Pour des documents non sensibles, le risque est faible. Pour des données confidentielles (contrats, données clients, rapports financiers), le risque est réel.

Que signifie "hébergement souverain" ?

Un hébergement est dit "souverain" quand les données sont stockées sur des serveurs situés en France (ou en Europe), opérés par une entreprise non soumise à des lois extraterritoriales étrangères (comme le Cloud Act). Plusieurs hébergeurs souverains français opèrent dans cet espace.

Mistral est-il aussi performant que GPT ou Claude ?

Sur les tâches documentaires en français (recherche sémantique, synthèse, analyse), Mistral offre des performances comparables. Son avantage principal est qu'il peut être déployé sur des infrastructures françaises, ce qui garantit que vos données ne quittent pas le territoire.

Ma PME est-elle vraiment concernée par le Cloud Act ?

Le Cloud Act s'applique indifféremment de la taille de l'entreprise. En pratique, le risque est proportionnel à la sensibilité de vos données. Si vous stockez des contrats clients, des données financières ou des informations confidentielles dans un outil américain, vous êtes concerné.

Devenez client fondateur.

Nous cherchons nos premiers clients pilotes pour tester Archesia sur des cas variés. En échange : tarifs privilégiés, contact direct avec les fondateurs, et développements sur-mesure selon vos besoins.

Nous contacter