Souveraineté des données en France et en Europe

Les données ont cessé d’être un sous-produit de l’activité pour devenir un actif stratégique. Dossiers médicaux, contrats, registre fiscal, sources d’un journaliste, jumeau numérique d’une ligne de production : leur valeur dépend de qui peut y accéder, selon quelles règles, et en vertu de quel droit.

La souveraineté des données répond à cette question. En deux mots : elle définit la loi applicable à une donnée et, en dernier ressort, qui peut en exiger la communication. Dans un paysage où les infrastructures cloud traversent les frontières, cette question n’a rien de théorique. Un dossier client hébergé à Francfort peut être soumis au droit américain si son prestataire est une filiale d’un groupe basé aux États-Unis.

Nous clarifions ici le cadre juridique en France et en Europe en détaillant les risques concrets pour les organisations françaises, et en vous proposant des leviers d’action pour reprendre le contrôle.

Définition de la souveraineté des données ?

La souveraineté des données désigne le principe selon lequel les données sont soumises aux lois du pays où elles ont été collectées, traitées ou stockées. Ce n’est pas un concept technique. C’est d’abord un concept juridique. Il répond à une question simple : quel État a autorité sur cette donnée ?

Le terme a pris son ampleur actuelle avec l’entrée en application du RGPD le 25 mai 2018. Le règlement européen protège les données personnelles des citoyens de l’Union, où qu’elles se trouvent physiquement. Cette extraterritorialité a marqué un basculement : la loi européenne suit la donnée, même si elle traverse l’Atlantique. Et à partir de là, la discussion sur la souveraineté a cessé d’être purement doctrinale.

Les trois composantes de la souveraineté

• Composante juridique : quel droit s’applique à la donnée, quelles autorités peuvent la réquisitionner, dans quelles conditions.
• Composante technique : où sont physiquement stockées les données, comment elles sont chiffrées, qui détient les clés.
• Composante contractuelle : quelles clauses encadrent la portabilité, la réversibilité, l’effacement sécurisé et les accès des sous-traitants.

Une organisation qui maîtrise ces trois composantes garde le contrôle de son patrimoine informationnel. L’absence d’une seule suffit à fragiliser l’ensemble. Un chiffrement irréprochable ne protège pas d’une réquisition judiciaire si les clés sont détenues par une entité soumise à un droit étranger.

Souveraineté, résidence et localisation : ne pas confondre

Les trois notions sont souvent utilisées comme synonymes. Elles ne le sont pas, et la nuance a des conséquences juridiques importantes.

Notion	Souveraineté des données	Résidence des données	Localisation des données
Nature	Juridique	Géographique	Réglementaire
Question posée	Quelle loi s’applique à la donnée ?	Dans quel pays sont les serveurs ?	La donnée doit-elle rester sur le territoire ?
Exemple	RGPD, CLOUD Act, FISA section 702	Datacenter à Gravelines ou à Francfort	Health Data Hub, données classifiées défense
Suit la donnée ?	Oui	Non, strictement physique	Souvent liée à la souveraineté

Un exemple pour fixer les idées

Une entreprise française stocke ses données clients chez un prestataire dont le siège social est aux États-Unis, sur des serveurs situés à Francfort. La résidence est allemande. La localisation peut être compatible avec le RGPD. Mais la souveraineté, elle, reste américaine : en vertu du CLOUD Act, les autorités américaines peuvent exiger l’accès à ces données, même si elles n’ont jamais quitté le sol européen.

C’est précisément cette dissociation qui a motivé la doctrine française « Cloud au centre » et l’émergence de la qualification SecNumCloud.

Pourquoi la souveraineté des données est devenue stratégique

Protection des données personnelles et conformité RGPD

Le règlement européen impose des contrôles stricts sur le traitement des données personnelles. Une entreprise qui transfère ses données vers une juridiction à moindre protection s’expose à des sanctions pouvant atteindre 4 % de son chiffre d’affaires annuel mondial. Les autorités de contrôle européennes ont mis en cause des transferts jugés non conformes, et la CJUE a confirmé la ligne dans l’arrêt Schrems II du 16 juillet 2020 (affaire C-311/18), qui a invalidé le Privacy Shield.

Sécurité nationale et résilience opérationnelle

Les infrastructures critiques (énergie, eau, santé, défense, finances) manipulent des données dont la compromission aurait des conséquences sur la continuité de l’État. Un rapport du Sénat publié en juillet 2022 estime qu’environ 80 % des données des citoyens et des entreprises françaises sont stockées sur des serveurs soumis à la législation extraterritoriale du CLOUD Act. Le chiffre, souvent cité, résume à lui seul l’enjeu.

Autonomie économique et géopolitique

Les tensions récentes ont démontré que la dépendance à des fournisseurs étrangers n’est pas neutre. Sanctions, restrictions d’exportation, risque d’une interruption de service à distance : autant de scénarios qui ont quitté le domaine de la fiction. Vincent Strubel, directeur général de l’ANSSI, a rappelé en janvier 2026 que la souveraineté du cloud couvre aussi la disponibilité des services, pas seulement la confidentialité des données. C’est un point souvent oublié.

Le 12 juin 2025, une communication en Conseil des ministres a structuré la stratégie française de souveraineté numérique autour de quatre axes : cartographier les dépendances, protéger les données via SecNumCloud, investir dans l’écosystème français et européen, et privilégier le logiciel libre. En janvier 2026, l’Assemblée nationale a voté la création d’une commission d’enquête sur les dépendances numériques.

Le cadre juridique français et européen

Le paysage réglementaire s’est densifié. Voici les textes qui structurent la souveraineté des données aujourd’hui.

• RGPD (Règlement général sur la protection des données), entré en application le 25 mai 2018. Il s’applique dès qu’une donnée concerne un résident européen, quel que soit le lieu de traitement. Son article 48 précise qu’une décision d’une autorité étrangère exigeant un transfert ne peut être reconnue sans accord international préalable.
• CLOUD Act (Clarifying Lawful Overseas Use of Data Act), signé en 2018 aux États-Unis. Il autorise les autorités américaines à exiger la communication de données détenues par des entreprises américaines, où qu’elles soient physiquement stockées. Conflit frontal avec l’article 48 du RGPD.
• FISA section 702 (Foreign Intelligence Surveillance Act). La NSA peut collecter les données de citoyens étrangers qui transitent par des infrastructures américaines. Cible explicite : la surveillance de masse.
• EU-US Data Privacy Framework, décision d’adéquation du 10 juillet 2023 visant à sécuriser les transferts de données vers les États-Unis après l’invalidation du Privacy Shield. Le cadre reste contesté.
• EU Data Act, applicable depuis septembre 2025. Il impose la portabilité des données et l’interopérabilité entre fournisseurs de services cloud.
• Directive NIS 2, qui renforce les obligations de sécurité des opérateurs d’infrastructures critiques.
• DORA (Digital Operational Resilience Act), applicable depuis le 17 janvier 2025. Ce règlement impose au secteur financier des exigences de résilience opérationnelle, y compris vis-à-vis de ses prestataires cloud.

La doctrine « Cloud au centre » et la qualification SecNumCloud

La France a formalisé sa réponse avec la stratégie « Cloud au centre », posée par une circulaire du 8 novembre 2018 et renforcée en 2021. Cette doctrine oblige les administrations à héberger leurs données sensibles sur des offres qualifiées SecNumCloud ou équivalentes.

SecNumCloud est le référentiel publié par l’ANSSI. Sa version 3.2, en vigueur depuis mars 2022, couvre près de 1 200 exigences, dont des critères stricts de protection contre les législations extraterritoriales. Concrètement, un prestataire qualifié SecNumCloud garantit qu’aucune autorité non européenne ne peut contraindre l’accès aux données hébergées.

La liste officielle des prestataires qualifiés est tenue à jour par l’ANSSI et consultable sur son site. Le périmètre s’élargit régulièrement. Fin décembre 2025, la qualification a été étendue à une offre hybride combinant un opérateur français et une technologie cloud américaine, ce qui a relancé le débat sur la définition même de la souveraineté.

Deux lectures coexistent. L’ANSSI retient une approche opérationnelle : tant que le contrôle effectif des données et des opérations appartient à un acteur européen, la souveraineté est acquise. D’autres défendent une définition plus stricte, adossée à une indépendance technologique complète, matérielle comme logicielle. Le débat n’est pas tranché.

Les défis concrets pour les organisations françaises

Pour une entreprise ou une administration française, la souveraineté des données se joue sur quatre fronts.

Choisir un fournisseur cloud aligné avec la doctrine nationale

SecNumCloud reste le repère le plus exigeant pour les données sensibles. La liste officielle tenue par l’ANSSI doit être consultée avant tout engagement contractuel. L’ISO 27001 ou la certification HDS ne suffisent pas : elles ne couvrent pas l’immunité extraterritoriale. Un prestataire peut être certifié HDS et rester soumis au CLOUD Act.

Sécuriser le traitement logiciel de la donnée

L’hébergement n’est qu’une couche. Les moteurs de recherche, les outils de traduction, les assistants IA, les plateformes d’analyse : ces logiciels traitent les données au plus près de leur contenu. Un outil de traduction en ligne non souverain peut exposer autant, voire plus, qu’un datacenter mal choisi. Les traductions en ligne figurent parmi les cas souvent évoqués pour illustrer ce risque.

Gouverner l’IA générative et les agents autonomes

Les prompts adressés aux IA génératives hébergées peuvent être journalisés, utilisés pour l’amélioration du service, voire l’entraînement des modèles selon les conditions d’usage du fournisseur. Leur usage dans un cadre souverain impose un contrôle du modèle, des données d’entraînement, et des journaux d’inférence. Des éditeurs européens proposent désormais des options de déploiement sur infrastructure contrôlée par le client.

Maintenir la résilience face aux interruptions de service

Les restrictions d’exportation récentes ont rappelé qu’un fournisseur peut suspendre ses services pour des raisons géopolitiques. La doctrine SecNumCloud couvre ce point via l’exigence d’autonomie opérationnelle du prestataire. Un fournisseur de technologie non européen ne doit disposer d’aucun levier lui permettant d’interrompre un service ou de cibler certains clients.

Les solutions techniques au service de la souveraineté des données

Aucune solution isolée ne garantit la souveraineté d’un système d’information. La réponse passe par la combinaison de plusieurs briques, à calibrer selon le niveau de sensibilité des données à protéger.

Hébergement cloud qualifié par l’ANSSI

Les prestataires qualifiés SecNumCloud 3.2 garantissent l’hébergement sous juridiction européenne avec immunité contre les législations extraterritoriales. La liste officielle est tenue à jour par l’ANSSI et consultable directement sur son site. Il convient de s’y référer avant tout engagement contractuel, car la liste évolue régulièrement.

Déploiement on-premise ou en environnement isolé

Conserver l’infrastructure au sein du périmètre de l’organisation reste le mode le plus strict. Il convient aux données classifiées défense ou à diffusion restreinte. Le déploiement air-gapped, totalement isolé d’Internet, protège des fuites par exfiltration réseau. Cette configuration est utilisée pour les systèmes les plus sensibles, notamment dans les secteurs régulés.

Chiffrement sous contrôle exclusif du client

Les dispositifs BYOK (Bring Your Own Key) et HYOK (Hold Your Own Key) permettent à l’organisation de conserver la maîtrise des clés cryptographiques. En mode BYOK, les clés restent accessibles au fournisseur cloud qui gère l’infrastructure. En mode HYOK, les clés restent exclusivement dans l’environnement du client. Sans accès à ces clés, un prestataire soumis au CLOUD Act ne peut pas fournir les données en clair aux autorités qui en feraient la demande. Le chiffrement devient alors un rempart juridique autant que technique.

Logiciels édités en Europe

Pour les couches applicatives qui traitent la donnée (recherche, analyse, traduction, IA générative), des éditeurs européens proposent des alternatives aux solutions extraeuropéennes. Le critère décisif n’est pas seulement l’origine du capital, mais la capacité à déployer le logiciel sur une infrastructure contrôlée par le client, à contrôler les données d’entraînement des modèles IA, et à garantir l’absence de dépendance technique aux écosystèmes soumis au droit extraterritorial.

Qualifications et labels à vérifier avant engagement

Plusieurs référentiels coexistent, avec des périmètres distincts :

• SecNumCloud 3.2 couvre l’hébergement cloud et inclut l’immunité extraterritoriale.
• HDS (Hébergement de données de santé) ne couvre pas l’immunité au CLOUD Act. Un prestataire américain peut être certifié HDS.
• Cloud de confiance correspond à une offre qualifiée SecNumCloud assortie de garanties de cloisonnement juridique.
• Qualification ANSSI (niveaux élémentaire, standard, renforcé) s’applique aux produits de sécurité : chiffrement, messagerie, détection.

Le choix dépend du cas d’usage. Un bon réflexe consiste à cartographier les traitements par niveau de sensibilité, puis à aligner chaque couche (hébergement, logiciel, clé de chiffrement) sur le référentiel adapté.

FAQ : tout savoir sur la souveraineté des données

01

Qu’est-ce que la souveraineté des données ?

La souveraineté des données désigne le principe selon lequel les données sont soumises aux lois du pays où elles ont été collectées, traitées ou stockées. C’est un concept juridique qui détermine quelle autorité peut exiger leur communication, indépendamment de la localisation physique des serveurs.

02

Quelle est la différence entre souveraineté et résidence des données ?

La résidence est géographique : elle désigne le pays où sont physiquement hébergés les serveurs. La souveraineté est juridique : elle détermine quel droit s’applique à la donnée. Des données peuvent résider en Allemagne et rester soumises au droit américain si leur prestataire est une filiale d’un groupe américain

03

Le CLOUD Act américain s’applique-t-il aux données stockées en France ?

Oui, dès lors que le prestataire cloud est une entreprise américaine ou une filiale d’un groupe américain. Les autorités américaines peuvent exiger la communication des données, même hébergées sur le sol français. Pour contrer ce risque, la qualification SecNumCloud intègre des critères d’immunité extraterritoriale.

04

Qu’est-ce que la qualification SecNumCloud de l’ANSSI ?

SecNumCloud est le référentiel de qualification publié par l’ANSSI pour les prestataires de services cloud. Sa version 3.2, en vigueur depuis mars 2022, couvre près de 1 200 exigences techniques, organisationnelles et juridiques. Elle impose notamment une protection contre les lois extraterritoriales comme le CLOUD Act et le FISA.

05

Le RGPD garantit-il la souveraineté des données ?

Le RGPD protège les données personnelles des citoyens européens, mais il ne garantit pas à lui seul la souveraineté. Un prestataire peut être pleinement conforme au RGPD tout en étant soumis au CLOUD Act. La souveraineté exige un contrôle juridique complet, qui dépasse le seul cadre de la protection des données personnelles.

06

Comment une entreprise française peut-elle garantir la souveraineté de ses données ?

Plusieurs leviers se combinent : choisir des prestataires cloud qualifiés SecNumCloud pour les données sensibles, sélectionner des logiciels éditeurs européens ou avec déploiement on-premise, chiffrer les données avec des clés sous contrôle exclusif, et formaliser dans les contrats les clauses de portabilité, de réversibilité et d’effacement sécurisé

En synthèse

La souveraineté des données ne se résume pas à la géographie des serveurs. Elle repose sur un empilement de choix juridiques, techniques et contractuels dont la cohérence d’ensemble fait la robustesse. Un hébergeur SecNumCloud est une brique nécessaire. Ce n’est pas la totalité du chantier.

Les organisations qui prennent la mesure de ce sujet aujourd’hui gagnent en résilience et en confiance auprès de leurs parties prenantes. Celles qui tardent accumulent une dette technique et réglementaire difficile à rembourser.