L'argument « nos données sont hébergées à Frankfurt » circule beaucoup dans les pitchs commerciaux cloud. Pour un solopreneur IA qui répond à l'appel d'offres d'une grande entreprise, ou pour une startup qui prépare son premier audit DPO, il semble rassurant. Et il est partiellement vrai : la localisation physique du serveur compte. Mais elle ne suffit pas.
La raison est un principe général de droit international, pas une règle technique : la juridiction applicable à une société détermine les obligations légales de cette société, indépendamment de l'emplacement de ses serveurs. C'est la distinction localisation versus juridiction, et cet article est là pour l'expliquer clairement, sans alarmisme, et avec les conséquences pratiques concrètes — dont celles du Data Act (Règlement UE 2023/2854, en application depuis le 12 septembre 2025).
Microsoft a lancé son programme EU Data Boundary (EUDB) à partir de janvier 2023, avec un déploiement progressif achevé sur la plupart des services courant 2024. L'engagement est précis : les données client et les données de diagnostic des utilisateurs résidents EU/EEE des services Microsoft 365, Azure, Power Platform, et Dynamics 365 sont stockées et traitées exclusivement dans l'Union européenne et en Suisse.
Ce n'est pas une promesse marketing vague. Microsoft publie les documentation techniques détaillées de l'EU Data Boundary (microsoft.com/en-us/trust-center/privacy/european-data-boundary-eudb), avec les périmètres de services couverts, les exceptions documentées, et les mécanismes de vérification. Pour un grand compte ou une PME qui gère des données RH ou clients sensibles, activer l'EU Data Boundary représente une amélioration concrète du niveau de conformité RGPD Art. 44-49.
Ce que Microsoft fait ici mérite d'être reconnu : c'est un investissement structurel important, une architecture de ségrégation des données non triviale à déployer à cette échelle, et une réponse aux préoccupations légitimes des clients européens. Un déploiement Microsoft correctement configuré avec EU Data Boundary activée reste un choix légitime et défendable pour de nombreux cas d'usage professionnels.
Voici le principe qui échappe à la plupart des analyses de conformité cloud orientées PME : la localisation physique d'un serveur n'efface pas la juridiction applicable à la société qui opère ce serveur.
Microsoft Corporation est une société de droit américain, constituée dans l'État de Washington, cotée au NASDAQ, dont les dirigeants opèrent depuis les États-Unis. À ce titre, elle est soumise au droit américain — et notamment à deux textes qui permettent aux autorités américaines d'accéder à des données hébergées par des sociétés américaines, y compris sur des serveurs situés à l'étranger :
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) : autorise les autorités fédérales américaines, sous ordonnance judiciaire, à exiger d'une société américaine qu'elle fournisse des données stockées sur ses serveurs, quelle que soit leur localisation géographique. Cette exigence peut porter sur des données hébergées en Europe.
FISA Section 702 (Foreign Intelligence Surveillance Act) : autorise les agences de renseignement américaines à surveiller des communications de personnes non-américaines hébergées par des fournisseurs soumis à la juridiction américaine. Le programme PRISM, révélé par Edward Snowden en 2013, est le cas d'application le plus documenté.
Important : ces deux textes ne s'appliquent pas automatiquement et massivement à chaque client cloud. Le CLOUD Act requiert une ordonnance judiciaire spécifique. FISA Section 702 cible en principe des personnes non-américaines soupçonnées d'activités relevant de la sécurité nationale. Pour la grande majorité des TPE et solopreneurs IA, le risque réel d'activation de ces mécanismes est faible. Mais pour un DPO qui documente les risques résiduels, la possibilité existe et doit être mentionnée dans le Transfer Impact Assessment (TIA) — la CJUE l'a confirmé dans l'arrêt Schrems II de juillet 2020 (Data Protection Commissioner v. Facebook Ireland Limited, C-311/18).
Pour ne laisser aucun doute sur la neutralité de l'analyse : ce principe de juridiction applicable indépendamment de la localisation physique concerne tous les grands fournisseurs mondiaux, quel que soit le pays d'origine.
| Fournisseur | Pays de la société mère | Texte juridique de rattachement | Résidence EU disponible |
|---|---|---|---|
| Microsoft Azure | États-Unis | CLOUD Act 2018 + FISA 702 | Oui (EU Data Boundary) |
| Amazon Web Services | États-Unis | CLOUD Act 2018 + FISA 702 | Oui (régions EU) |
| Google Cloud | États-Unis | CLOUD Act 2018 + FISA 702 | Oui (régions EU + Assured Workloads) |
| Alibaba Cloud / Qwen | Chine | Loi de sécurité nationale CN 2017 (art. 7) | Oui (régions EU disponibles) |
| Telegram | Dubaï (fondateurs RU) | Régime UAE — obligations d'assistance aux autorités sous pression diplomatique | Non garanti |
| OVHcloud / Scaleway / Hetzner | France / Allemagne | Droit français / allemand, pas de CLOUD Act, soumis à réquisitions judiciaires EU | Natif EU |
La loi de cybersécurité chinoise de 2017 et sa loi de sécurité nationale de 2017 imposent aux sociétés chinoises des obligations de coopération avec les services de renseignement chinois comparables dans leur portée extra-territoriale potentielle au CLOUD Act américain. Les acteurs EU (OVHcloud, Scaleway, Hetzner) restent soumis aux réquisitions judiciaires européennes, mais sans équivalent de la portée extra-territoriale du CLOUD Act.
Ce tableau illustre que le sujet n'est pas géopolitique mais juridique. La question n'est pas « quel pays aimer ou détester », c'est « quelle loi s'applique à mon fournisseur et quelles obligations en découlent pour mon TIA ».
Si vous utilisez Azure Frankfurt (ou AWS eu-west, ou Google Cloud europe-west1) avec des données personnelles de clients EU, voici les cinq actions documentaires que la situation actuelle rend nécessaires — indépendamment du bon vouloir de votre fournisseur.
1. Activer l'EU Data Boundary / les options de résidence EU et conserver la confirmation écrite dans votre registre. Ce n'est pas automatique sur tous les plans tarifaires.
2. Signer le DPA Art. 28 avec votre fournisseur, avec les Clauses Contractuelles Types UE (décision UE 2021/914, SCC) annexées. Microsoft, AWS, Google proposent tous ces documents en ligne — ils ne sont pas toujours signés par défaut.
3. Conduire un Transfer Impact Assessment (TIA) pour documenter le risque résiduel lié à la juridiction américaine (CLOUD Act, FISA 702). Ce document est exigé depuis l'arrêt Schrems II. Il doit mentionner la probabilité d'activation des mécanismes légaux américains dans votre contexte spécifique, et les mesures supplémentaires que vous avez activées (chiffrement fort, pseudonymisation, gestion des clés en dehors du périmètre du fournisseur).
4. Évaluer la pertinence d'une AIPD si votre traitement est à risque élevé (données de santé, données biométriques, profilage, traitement à grande échelle — Art. 35 RGPD).
5. Vérifier trimestriellement que la configuration EU Data Boundary est toujours active et que les contrats n'ont pas été modifiés silencieusement. Les conditions de traitement des grands fournisseurs cloud évoluent régulièrement.
Aucune de ces étapes n'est insurmontable. Mais elles ne sont pas optionnelles si vous traitez des données personnelles au sens RGPD Art. 4 et que vous opérez dans un contexte professionnel soumis à la CNIL ou à une autorité de contrôle européenne équivalente.
La discussion sur la souveraineté cloud se résumait jusqu'en 2024 à deux textes : RGPD (protection des données personnelles) et AI Act (transparence et conformité des systèmes IA). Depuis le 12 septembre 2025, date d'entrée en pleine application du Data Act (Règlement UE 2023/2854), une troisième dimension est devenue opérationnelle : le droit à la portabilité des données et à la liberté de changer de fournisseur cloud.
Le Data Act couvre un périmètre large — partage de données IoT, accès aux données des machines, obligations des cloud providers — mais ses chapitres V et VI sont directement pertinents pour les entreprises utilisant des services cloud professionnels.
Dès le 12 septembre 2025, les fournisseurs cloud (SaaS, IaaS, PaaS) doivent :
À partir du 12 janvier 2027 (délai de conformité sur les frais de migration), les fournisseurs ne pourront plus facturer de frais de migration pour le changement de fournisseur cloud. Les transferts de données sortants doivent être gratuits dans ce contexte.
La souveraineté n'est plus seulement une question de localisation ou de juridiction. C'est aussi votre capacité juridiquement garantie de partir librement d'un fournisseur cloud vers un autre — y compris depuis Azure Frankfurt vers OVHcloud ou Scaleway si vous décidez un jour d'éliminer le risque CLOUD Act.
Formulé positivement : vous avez le droit de choisir le cloud EU et d'en partir librement — et ce droit est maintenant exécutoire. Nuance importante : le Data Act interdit également à un État membre d'imposer une exigence de localisation forcée injustifiée (Art. 30). La souveraineté cloud n'est pas un nationalisme de l'hébergement ; c'est un droit à la liberté de mouvement et à l'absence de verrouillage.
POSITRONIA cartographie votre système IA et structure son analyse de chaque nœud cloud selon la logique du triptyque réglementaire :
C'est cette lecture contractuelle et réglementaire qui différencie POSITRONIA d'un scanner de vulnérabilités classique (Snyk, Trivy) : ces outils ne regardent pas les couches contractuelles et réglementaires — ils ne voient pas le risque CLOUD Act, et ils ne savent pas lire une clause de portabilité Data Act.
| Votre situation | Action prioritaire |
|---|---|
| Azure / AWS / GCP Frankfurt, EU Data Boundary non vérifiée | Vérifier l'activation + signer DPA + archiver dans registre Art. 30 |
| Azure / AWS / GCP Frankfurt, EU Data Boundary activée, TIA absent | Rédiger le TIA (risque CLOUD Act résiduel documenté) + mesures supplémentaires chiffrement |
| Données Art. 9 (santé, biométrie) sur cloud US-juridiction | AIPD obligatoire + envisager migration vers OVHcloud / Scaleway / Infomaniak (Routes C/D EUDAI) |
| Vous citez « données à Frankfurt » dans vos pitchs clients | Ajouter systématiquement « EU Data Boundary activée + TIA conduit » — sans ça, le DPO client retournera la phrase |
| Contrat cloud sans clause de portabilité (Data Act non intégrée) | Demander l'avenant contractuel à votre fournisseur — il est maintenant légalement obligatoire |
« Nos données sont à Frankfurt » est une information vraie mais incomplète. Elle décrit la localisation physique du serveur, pas la juridiction applicable à la société qui opère ce serveur. Microsoft, AWS, Google restent des sociétés de droit américain soumises au CLOUD Act, quelle que soit la géographie de leurs datacenters. Ce fait ne disqualifie pas ces acteurs — un déploiement correctement configuré (EU Data Boundary, DPA, CCT, TIA) reste légitime et défendable. Il impose simplement une documentation rigoureuse du risque résiduel.
Le Data Act ajoute une dimension nouvelle : la souveraineté cloud ne se mesure plus seulement à la localisation ou à la juridiction, mais aussi à votre liberté contractuelle garantie de changer de fournisseur. Ce droit est exécutoire depuis septembre 2025, et les frais de migration cloud seront interdits dès janvier 2027.
POSITRONIA structure votre conformité cloud autour de ce triptyque — RGPD, AI Act, Data Act — sur chaque nœud de votre système IA, et produit un rapport prêt à présenter à votre DPO ou à la CNIL.
Voir nos recommandations cloud EU souveraines — OVHcloud, Scaleway, Infomaniak, Hetzner classés par cas d'usage. Pour un audit cartographié de votre infrastructure cloud avec scoring triptyque réglementaire, découvrez les plans POSITRONIA-CORE.
Cet article s'appuie sur des textes publics : CLOUD Act (Public Law 115-141, 2018), FISA Section 702 (50 U.S.C. § 1881a), arrêt CJUE Schrems II (C-311/18, juillet 2020), Règlement UE 2023/2854 (Data Act), décision UE 2021/914 (SCC). Les analyses relatives aux risques résiduels constituent une interprétation juridique à usage pédagogique — elles ne remplacent pas l'avis d'un avocat ou d'un DPO qualifié. Pour un dossier de conformité opposable, consultez un expert référencé dans l'Annuaire EuTrustedIA.
Microsoft® et Azure® sont des marques déposées de Microsoft Corporation (US). AWS® est une marque déposée d'Amazon.com Inc. (US). Google Cloud® est une marque déposée de Google LLC (US). EuTrustedIA reconnaît la valeur commerciale de chacun de ces acteurs et ne prétend à aucune affiliation.
Rédaction aidée par IA Claude Sonnet 4.6 (Anthropic) — marquage AI Act Art. 50.2 anticipé. Production éditoriale et validation factuelle 100 % humaines, Laurent SOUHY, EuTrustedIA.