Pendant près d'une décennie, les entreprises européennes se sont raconté une histoire rassurante. Tant que les données se trouvaient dans un centre de données à Francfort ou à Paris, la case de la conformité était cochée. On sélectionnait la région européenne dans la console AWS ou Azure, on signait le contrat de traitement des données et on considérait le sujet comme réglé.
Cette histoire est désormais remise en question. Une vague de lois et de mesures politiques de l'UE, qui traversera Bruxelles, Paris et Berlin en 2025 et 2026, le montre clairement : l'endroit où vos données sont stockées est bien moins crucial que la question de savoir qui contrôle l'entreprise qui les stocke. La résidence des données européennes seule ne suffit plus.
Ce changement a des conséquences immédiates pour chaque fournisseur de logiciels avec lequel vous travaillez, et il augmente considérablement les enjeux pour une catégorie en particulier : la plateforme de conformité, qui contient la preuve de la manière dont vous remplissez vos obligations légales. Cet article explique les propositions qui transforment le paysage, pourquoi la France est la plus pressante, ce que font l'Allemagne et les autres États membres, et ce que tout cela signifie pour votre choix de fournisseur.
Le problème pour lequel la résidence des données européennes n'a jamais été conçue
Le point de pression juridique est le CLOUD Act américain de 2018. Il permet aux autorités répressives américaines de contraindre tout fournisseur dont le siège social est aux États-Unis à divulguer les données qu'il contrôle, quel que soit l'endroit physique où ces données se trouvent dans le monde. Un serveur à Francfort, exploité par une entreprise américaine, reste donc accessible.
Pendant des années, cela a été traité comme un risque théorique. En juin 2025, cela a cessé d'être théorique. Lors d'une audition sous serment devant le Sénat français, les représentants légaux de Microsoft ont confirmé qu'ils ne pouvaient pas garantir que les données stockées dans l'UE seraient protégées contre les autorités américaines. Cet aveu a eu un impact considérable car il a confirmé ce que les régulateurs européens avaient soupçonné : la résidence des données et la souveraineté des données ne sont pas la même chose. La résidence concerne la géographie. La souveraineté concerne la juridiction et le contrôle. Une adresse européenne ne met pas un fournisseur détenu par les États-Unis hors de portée du droit américain.
Cette distinction est le moteur de presque toutes les propositions suivantes.
Le paquet de l'UE sur la souveraineté technologique et le cadre de souveraineté du cloud
Au niveau européen, la réaction a été double : d'abord créer un étalon de mesure, puis le lier aux règles qui régissent les fonds publics et les données sensibles.
Le Cloud Sovereignty Framework de la Commission européenne, détaillé à la mi-2025 et appliqué en 2026, fait passer la souveraineté d'un principe vague à quelque chose qu'une entité d'approvisionnement peut évaluer. Il évalue les services cloud sur la base de huit objectifs couvrant la souveraineté stratégique, juridique, opérationnelle et technologique, complétés par la transparence de la chaîne d'approvisionnement et la sécurité. Pour la première fois, un acheteur peut classer les fournisseurs en fonction de leur degré d'indépendance réelle vis-à-vis du contrôle non européen.
Le cadre n'est pas académique. En avril 2026, la Commission a lancé un appel d'offres pour des services de cloud souverain d'une valeur allant jusqu'à 180 millions d'euros sur six ans, et chacune des quatre offres retenues provenait de fournisseurs européens, sélectionnés spécifiquement pour leur conformité aux critères de souveraineté. Le message au marché était sans équivoque : la conformité au contrôle européen est désormais un avantage en matière d'approvisionnement.
Au-delà, il y a le paquet sur la souveraineté technologique, qui comprend le Cloud and AI Development Act (CADA) et un deuxième Chips Act. Des rapports de 2026 indiquent que la Commission envisage des restrictions qui interdiraient aux gouvernements des États membres d'utiliser des fournisseurs de cloud américains pour le traitement des données sensibles du secteur public dans des domaines tels que la santé, les finances et la justice. En novembre 2025, les États membres ont adopté une déclaration pour la souveraineté numérique européenne, un signal de la volonté politique derrière le travail technique de fond.
Pour les entreprises privées, le secteur public est l'indicateur précoce. Les exigences de souveraineté, qui commencent dans les marchés publics, ont une longue histoire d'influence sur les industries réglementées, puis sur les attentes des fournisseurs dans l'ensemble de l'économie.
France : l'impulsion la plus urgente
Aucun pays n'avance plus vite que la France. Sa certification SecNumCloud, gérée par l'ANSSI, l'agence nationale de la cybersécurité, est la norme de souveraineté la plus stricte d'Europe et l'aperçu le plus clair de la direction que le continent pourrait prendre.
SecNumCloud ne se contente pas de demander où sont stockées les données. Elle impose environ 1 200 exigences techniques et organisationnelles et établit de manière décisive des conditions de propriété : un fournisseur certifié ne doit pas être contrôlé au-delà de limites définies par des intérêts non-européens, et le personnel clé ainsi que les opérations doivent être basés au sein de l'UE. La logique est limpide. Si un fournisseur peut être légalement contraint par un gouvernement étranger, aucune encryption ou localisation des données, aussi forte soit-elle, ne comble entièrement la faille. La France s'efforce d'intégrer des exigences de souveraineté similaires à SecNumCloud dans le schéma de certification de cybersécurité à l'échelle de l'UE.
L'urgence de la France est en partie culturelle, en partie stratégique, mais l'argument sous-jacent devrait être pris au sérieux par tout responsable de la conformité : la seule protection durable contre la juridiction étrangère consiste à choisir un fournisseur que la juridiction étrangère ne peut pas atteindre.
Allemagne : Mesure, migration et un regard honnête sur la dépendance
L'Allemagne a emprunté une voie plus axée sur l'ingénierie pour atteindre le même objectif. En avril 2026, l'Office fédéral de la sécurité des technologies de l'information (BSI) a publié ses C3A-Kriterien, acronyme de Criteria enabling Cloud Computing Autonomy, qui rendent la souveraineté du cloud objectivement vérifiable pour la première fois, et ce, à travers six dimensions : la souveraineté stratégique, juridique, liée aux données, opérationnelle, liée à la chaîne d'approvisionnement et technologique.
Outre le travail de mesure, les organismes publics allemands ont commencé à agir. Le Bundestag a exploré ce que les observateurs appellent « l'Opération Souveraineté » afin de réduire la dépendance vis-à-vis des logiciels américains. Le Land de Schleswig-Holstein a migré des dizaines de milliers de comptes de messagerie et d'outils de productivité Microsoft vers des alternatives open source, et la Bundeswehr a conclu un contrat pluriannuel pour un environnement de bureau souverain.
Le point de données le plus significatif concerne le fossé entre l'intention et la réalité. Des sondages montrent qu'environ 82 % des entreprises allemandes souhaitent mettre fin à leur dépendance technique vis-à-vis des fournisseurs de cloud américains, tandis qu'environ 78 % restent dépendants dans la pratique. C'est précisément ce fossé qui constitue la zone de risque que les nouvelles règles visent à combler, et c'est précisément là que les entreprises prévoyantes commencent à agir.
Un continent qui n'est pas encore tout à fait unanime
Il serait trompeur de présenter cela comme un consensus européen établi. Lorsque la France a insisté pour inclure des exigences strictes de souveraineté et de propriété dans le schéma de certification à l'échelle de l'UE, un groupe d'États membres, dont le Danemark, l'Estonie, la Grèce, l'Irlande, les Pays-Bas, la Pologne et la Suède, a soulevé des objections. Ils ont fait valoir que des critères de propriété stricts pourraient fragmenter le marché intérieur et couper l'Europe de la meilleure technologie disponible.
Ce désaccord est important pour la planification. Il montre que l'objectif devient de plus en plus clair, tandis que le calendrier et les seuils précis sont encore en évolution. Les entreprises qui ne patientent pas jusqu'au texte final sont les mieux avisées. Elles réduisent leur exposition de manière précoce, de sorte que, quelle que soit la version finale des règles, elles sont déjà du bon côté.
Pourquoi cela impacte les plateformes de conformité plus fortement que presque tout le reste
Tout ce qui précède s'applique à chaque fournisseur de votre pile technologique. Votre e-mail, votre CRM, vos outils d'analyse, votre stockage : tous portent désormais une question de souveraineté. Mais il existe une catégorie où l'exposition est plus aiguë, et il est utile de préciser pourquoi.
Une plateforme de gestion de la conformité ne contient pas de données opérationnelles ordinaires. Elle contient la preuve de la manière dont vous remplissez vos obligations légales. Elle comprend vos preuves d'audit, vos évaluations des risques, vos registres d'activités de traitement, votre documentation d'incidents, votre cartographie des contrôles par rapport à des cadres tels qu'ISO 27001, NIS2, RGPD et DORA. Elle contient souvent les données personnelles de vos employés et les détails sensibles de votre situation de sécurité, y compris les points faibles.
Considérez la contradiction de déposer ces informations auprès d'un fournisseur soumis à une obligation de divulgation étrangère. Vous stockeriez la preuve de votre conformité européenne dans un système qu'une autorité non-européenne pourrait contraindre à divulguer. L'outil censé prouver votre contrôle sur les données serait lui-même une vulnérabilité en matière de souveraineté. Pour une plateforme de conformité, la souveraineté n'est pas une fonction parmi d'autres. Elle est le fondement sur lequel repose toute la proposition de valeur.
Telle est la conclusion pratique de l'évolution juridique : pour la plupart des fournisseurs, la souveraineté devient importante. Pour votre plateforme de conformité, elle ne devrait pas être négociable.
Résidence contre souveraineté : aperçu
Ce que les entreprises européennes devraient faire maintenant
Vous n'avez pas besoin de modifier l'intégralité de votre pile technologique du jour au lendemain, et vous ne devriez pas prétendre que les règles sont définitives tant qu'elles sont encore en cours de négociation. Voici à quoi ressemble une réaction mesurée.
Commencez par identifier l'emplacement de vos données les plus sensibles et qui contrôle en dernier ressort chaque fournisseur qui les détient. Séparez la question de la localisation des données de celle de la propriété et de la juridiction, car les deux ne sont pas identiques. Portez une attention particulière aux systèmes contenant des informations réglementées, personnelles ou sensibles en matière de sécurité, et traitez votre plateforme de conformité comme une priorité plutôt que comme une réflexion après coup. Lorsque vous identifiez des fournisseurs contrôlés par les États-Unis qui détiennent vos enregistrements les plus sensibles, commencez à évaluer des alternatives européennes avant qu'une réglementation ne vous impose une migration précipitée avec un délai inflexible.
La place de Kertos
C'est précisément pour cet environnement que Kertos a été conçu. Kertos est la plateforme de conformité européenne leader, développée et hébergée en Europe, et conçue spécifiquement pour les cadres réglementaires auxquels les entreprises européennes sont réellement soumises : RGPD, NIS2, ISO 27001, TISAX, DORA et le règlement européen sur l'IA. Il n'y a pas de société mère étrangère derrière les données ni d'exposition silencieuse au droit de divulgation non-européen. Kertos répond à la question de la souveraineté, qui plane désormais sur tant de fournisseurs, dès sa conception.
Ce fondement européen est renforcé par la personne qui a bâti la plateforme. Kertos a été fondée et est dirigée par le Dr Kilian Schmidt, un juriste allemand. Ce parcours n'est pas anecdotique. La conformité est, par essence, une discipline juridique, et une plateforme façonnée par une véritable expertise juridique reflète la manière dont les réglementations sont réellement interprétées et appliquées, plutôt que la vision qu'en aurait une simple liste de contrôle générique. Lorsque la personne qui définit l'orientation du produit comprend le droit de l'intérieur, le résultat est une orientation que vous pouvez défendre devant un auditeur ou une autorité de régulation.
Derrière la plateforme se trouve une équipe d'experts certifiés, accrédités par les principales autorités allemandes et européennes, garantissant que le soutien que vous recevez repose sur des normes professionnelles reconnues plutôt que sur des suppositions improvisées. À un moment où les entreprises européennes sont tenues de prouver non seulement leur conformité, mais aussi que les outils sur lesquels elles s'appuient sont eux-mêmes fiables et souverains, c'est précisément cette combinaison d'hébergement européen, de direction juridique et d'expertise certifiée qui est récompensée par le nouveau paysage.
Si vous souhaitez découvrir comment une plateforme de conformité véritablement européenne gère les obligations décrites dans cet article, vous pouvez réserver une démo avec l'équipe Kertos.
Foire aux questions
La résidence des données européennes est-elle encore pertinente ?
Oui, mais elle ne suffit plus à elle seule. Stocker des données dans l'UE est une base nécessaire. Ce que la nouvelle vague de réglementations ajoute, c'est la question du contrôle : si le fournisseur qui détient vos données peut être contraint par un gouvernement non-européen. La résidence répond au « où », la souveraineté répond au « qui ». Vous avez maintenant besoin des deux.
Quel est exactement le problème avec le CLOUD Act américain ?
Le CLOUD Act autorise les autorités américaines à contraindre les fournisseurs dont le siège social est aux États-Unis à divulguer les données qu'ils contrôlent, quel que soit l'endroit où ces données sont physiquement stockées. Un fournisseur détenu par les États-Unis, exploitant un centre de données dans l'UE, peut donc en principe être contraint de divulguer des données européennes. En juin 2025, Microsoft a confirmé sous serment devant le Sénat français que cela ne pouvait être exclu.
Cela signifie-t-il que je dois abandonner immédiatement tous les logiciels américains ?
Non. Les règles sont encore en cours de négociation, et les États membres ne sont pas entièrement d'accord sur les seuils. L'approche sensée consiste à évaluer votre exposition, à prioriser vos systèmes les plus sensibles et à agir de manière réfléchie, en commençant par les données dont la perte de contrôle serait la plus préjudiciable.
Pourquoi les plateformes de conformité sont-elles considérées comme présentant un risque plus élevé ?
Parce qu'une plateforme de conformité contient la preuve de la manière dont vous remplissez vos obligations légales, y compris les preuves d'audit, les évaluations des risques, les registres de données et les détails de votre posture de sécurité. Stocker ces informations dans un système soumis à des lois de divulgation étrangères compromet précisément le contrôle que la plateforme est censée attester.
Comment Kertos gère-t-il la question de la souveraineté ?
Kertos est une plateforme européenne, développée et hébergée en Europe, sans société mère non européenne et conçue dès le départ pour ne pas être exposée aux obligations de divulgation étrangères. Elle est bâtie pour les cadres réglementaires européens, dirigée par un juriste allemand et soutenue par des experts et expertes certifiés par les principales autorités allemandes et européennes.
