Choose Language

Retour au blog
EU Data Sovereignty Cloud Providers 2026

Ton Cloud dit 'Région UE'. Tes données peuvent quand même finir devant des tribunaux américains.

Un arrêt de la Cour suprême des États-Unis vient d'affaiblir le fondement juridique des transferts de données entre l'UE et les États-Unis, et une loi américaine distincte rend la localisation des serveurs sans importance depuis des années. Voici ce qui a changé et pourquoi une véritable souveraineté des données européenne est plus importante que jamais.

Tu vérifies où sont stockées tes données, tu vois 'région UE', et tu penses être protégé. Pour la plupart des outils construits sur une infrastructure américaine, cette hypothèse est pourtant fausse. Un récent arrêt de la Cour suprême des États-Unis a en outre considérablement affaibli le fondement juridique des transferts de données entre l'UE et les États-Unis. Et une loi américaine distincte rend la 'région de serveur UE' sans importance depuis des années, un fait que de nombreuses entreprises ont ignoré ou qui, malheureusement, a échappé à la plupart d'entre elles.

Le fondement juridique vient de se fissurer

Le cadre de protection des données UE-États-Unis (Data Privacy Framework, DPF) permet aux entreprises de transférer légalement des données personnelles depuis l'UE vers des entreprises américaines certifiées. Ce cadre repose sur deux organismes américains censés agir comme garde-fous indépendants : la FTC, qui fait respecter les engagements en matière de protection des données, et le Privacy and Civil Liberties Oversight Board (PCLOB), qui supervise les agences de renseignement américaines.

En juin 2026, la Cour suprême des États-Unis a jugé, dans l'affaire Trump v. Slaughter, que la FTC n'était finalement pas indépendante du président, renversant ainsi un précédent vieux de plusieurs décennies qui protégeait les membres des agences contre un licenciement sans motif. La décision d'adéquation de l'UE de 2023 s'appuyait explicitement sur cette prétendue indépendance comme garantie pour les données des citoyens européens. Par ailleurs, le PCLOB a déjà perdu trois de ses quatre membres, tous licenciés par l'administration actuelle en janvier 2025. Un tribunal fédéral a toutefois jugé ces licenciements illégaux et ordonné leur réintégration, mais cette procédure reste non résolue et est aujourd'hui de facto suspendue dans l'attente de l'issue de l'affaire Trump v. Slaughter. Dans les faits, aucun des deux organismes de contrôle ne fonctionne actuellement comme l'institution indépendante que l'UE avait supposée lors de l'approbation du cadre.

Max Schrems et noyb ont annoncé qu'ils préparaient un recours juridique contre le DPF. S'il aboutit, ce serait le troisième accord de transfert de données UE-États-Unis à s'effondrer en une décennie, après le Safe Harbor en 2015 et le Privacy Shield en 2020. Il est important de préciser que le DPF n'a pas encore été invalidé. L'arrêt crée un fondement juridique pour une contestation, mais le cadre reste formellement en vigueur tant que la Commission européenne ne révise pas sa décision d'adéquation ou que les tribunaux de l'UE ne se prononcent pas contre lui à la suite d'une nouvelle plainte. Les deux effondrements précédents avaient laissé aux entreprises très peu de temps de transition pour trouver une nouvelle base juridique, et le même scénario est probable si le DPF connaît le même sort.

Le problème va bien au-delà d'un seul cadre juridique

Même en mettant de côté le Data Privacy Framework, une loi américaine distincte crée un problème structurel bien plus durable. Le CLOUD Act, adopté en 2018, oblige toute entreprise ayant son siège aux États-Unis à transmettre des données sur ordonnance judiciaire américaine valide, quel que soit l'endroit où ces données sont physiquement stockées.

C'est précisément ce point qui est constamment négligé, y compris par des entreprises qui pensent avoir déjà réglé le problème. Choisir une région de centre de données dans l'UE chez AWS, Azure, Google Cloud, Cloudflare, Vercel, Supabase et des fournisseurs similaires protège contre un problème juridique bien précis : le transfert non autorisé de données hors de l'UE au sens du RGPD. Cette protection reste toutefois discutée, certaines autorités de contrôle européennes estimant que l'exposition juridique d'une société mère américaine au titre du CLOUD Act ne constitue pas automatiquement un "transfert" au sens du RGPD nécessitant sa propre base juridique. En revanche, l'hébergement en région UE ne protège en aucun cas contre le CLOUD Act lui-même, car l'autorité de cette loi suit le siège social de l'entreprise, et non l'emplacement du serveur. AWS, Microsoft, Cloudflare, Vercel, Supabase et Google sont tous des entreprises américaines. Une citation à comparaître délivrée à Amazon à Seattle atteint les données clients hébergées dans la région Francfort d'Amazon exactement de la même manière qu'elle atteindrait des données situées dans l'Ohio.

Les hyperscalers le savent aussi

Ce n'est pas une préoccupation purement théorique que l'industrie aurait ignorée. Pour éviter de perdre des clients de plus en plus conscients de la problématique du CLOUD Act américain, AWS d'Amazon est même allé plus loin en ouvrant son European Sovereign Cloud début 2026. Il s'agit d'une infrastructure physiquement et logiquement distincte située à Brandebourg, en Allemagne, exploitée sous une structure d'entreprise entièrement gouvernée par l'UE, avec des directeurs généraux ressortissants de l'UE, et soutenue par un investissement de 7,8 milliards d'euros. Microsoft et Google ont suivi des démarches similaires via des partenaires locaux. Le fait que les hyperscalers mettent en place des structures juridiques et d'entreprise entièrement séparées pour résoudre ce problème constitue en soi un aveu qu'une simple case à cocher "région UE" n'a jamais été suffisante.

Malgré cela, Bruxelles continue de resserrer l'étau : en juin 2026, la Commission européenne a soumis Microsoft Azure et AWS à des obligations renforcées au titre du Digital Markets Act, précisément dans le but de limiter leur domination et de soutenir les alternatives européennes. La direction réglementaire est sans ambiguïté : elle s'éloigne de la confiance accordée à l'autocertification de souveraineté par des structures d'entreprise américaines.

Ce qui règle vraiment le problème

La seule solution structurelle consiste à choisir des fournisseurs sans société mère américaine et sans aucun lien juridique avec les États-Unis. Ces fournisseurs échappent d'emblée au champ d'application du CLOUD Act, car la loi qui impose la divulgation ne s'applique tout simplement pas à eux :

  • Aucune société mère américaine ni structure de propriété américaine
  • Aucun lien juridique avec les États-Unis qu'une citation à comparaître ou une ordonnance judiciaire pourrait atteindre
  • Résidence et traitement des données entièrement dans le cadre juridique de l'UE
  • Protection RGPD complète, sans que la question d'un "transfert" ne se pose
  • Souvent moins coûteux que les offres cloud souveraines des hyperscalers, car aucune structure juridique séparée n'est nécessaire

Quelques alternatives européennes bien connues :

OVHcloud est un fournisseur français et la plus grande entreprise d'infrastructure cloud ayant son siège dans l'UE. Elle propose des services complets de calcul, de stockage et d'hébergement sans propriété ni exposition juridique américaine, et se positionne explicitement comme l'alternative souveraine aux hyperscalers américains.

Scaleway est un autre fournisseur français, connu pour son infrastructure orientée développeurs, ses instances GPU pour les charges de travail d'IA, et une base d'utilisateurs croissante parmi les startups européennes qui souhaitent éviter dès le départ toute dépendance au cloud américain, plutôt que d'avoir à en sortir plus tard.

StackIT est la filiale cloud du groupe Schwarz, l'entreprise allemande derrière Lidl et Kaufland, spécialement conçue pour offrir aux entreprises européennes une alternative souveraine dotée de l'échelle opérationnelle nécessaire pour des charges de travail sérieuses.

Ionos est un fournisseur allemand bien établi proposant des services d'hébergement, d'infrastructure cloud et de noms de domaine, largement utilisé en Europe comme alternative simple et nativement conforme au RGPD face à l'hébergement basé aux États-Unis.

Aspect Hyperscaler américain (région UE) AWS European Sovereign Cloud / Azure Sovereign Cloud Fournisseur européen natif
Structure de propriété Société mère américaine Société mère américaine, entité juridique UE distincte Siège dans l'UE, aucune propriété américaine
Exposition au CLOUD Act Oui Réduite, mais contractuellement complexe, société mère toujours américaine Aucune, hors juridiction américaine
Question du "transfert" RGPD Discutée, ambiguë Conçue pour l'éviter Non applicable, aucun transfert n'a lieu
Surcoût Tarifs standards 20 à 30 % plus élevé Souvent moins cher que les offres cloud souveraines
Dépendance au DPF Élevée, si les données quittent l'UE Réduite Aucune

La souveraineté des données n'est pas une question marketing, mais une question de juridiction. Une entreprise européenne sans propriété américaine ne peut pas être contrainte par une ordonnance judiciaire américaine, car les tribunaux américains n'ont tout simplement aucune compétence juridique sur elle.

Si, en tant qu'organisation ou particulier, tu veux avoir la certitude que le droit de l'UE, et non le droit américain, s'applique à tes données à l'échelle mondiale, la seule solution durable consiste à choisir une infrastructure entièrement détenue et basée dans l'UE.

Tu en as assez que Google enregistre chacun de tes clics ? Tu n'as pas non plus envie d'utiliser des moteurs de recherche américains comme DuckDuckGo, qui, en arrière-plan, contribue à financer des entreprises telles que Microsoft via l'utilisation de Bing ? Alors essaie xPrivo Search, le moteur de recherche européen respectueux de la vie privée. xPrivo Search montre à quoi ressemble une recherche sans surveillance américaine : purement européenne, technologiquement indépendante, radicalement privée et dotée d’un index de recherche européen indépendant. Teste-le gratuitement et anonymement, et échappe aux géants de la tech et à la mainmise sur tes données : https://www.xprivo.com/search