Souveraineté & Données

« Hébergé en Europe » ne veut pas dire souverain

Q: Un service hébergé en Europe est-il forcément souverain ?

Non. Un fournisseur américain comme AWS, Microsoft Azure ou Cloudflare reste soumis au CLOUD Act même si ses serveurs sont à Paris ou Francfort. La souveraineté dépend de la propriété et du contrôle de l'entreprise, pas seulement de la localisation des serveurs.

Q: « Adéquat » au sens RGPD veut-il dire « souverain » ?

Non, ce sont deux axes distincts. L'adéquation (article 45 du RGPD) autorise un transfert de données vers un pays ou un cadre jugé suffisamment protecteur, comme le Data Privacy Framework UE-US. La souveraineté concerne le contrôle : un service peut être adéquat pour le transfert tout en restant soumis à un droit étranger comme le CLOUD Act.

C'est devenu le label rassurant par défaut : « données hébergées en Europe ». On le coche, on respire, on passe à autre chose. Le problème, c'est qu'il répond à la mauvaise question. Ce qui décide de la souveraineté de vos données, ce n'est pas l'adresse de vos serveurs — c'est la nationalité de l'entreprise qui les contrôle.

Fred Gaveau26 juin 2026~9 min de lecture

Posons-le franchement, parce que c'est l'esprit de ce blog : un serveur à Paris exploité par une entreprise américaine n'est pas un serveur souverain. Pas parce que l'hébergeur ment sur la localisation — il dit vrai. Mais parce que la localisation n'est pas le bon critère. Le critère, c'est : qui peut être légalement contraint de remettre la donnée, et sous quel droit ?

Le badge rassurant qui répond à côté

« Région Europe », « datacenter à Francfort », « stockage en France » : ces mentions sont partout, et elles ne sont pas fausses. AWS, Microsoft Azure, Google Cloud, Cloudflare — tous proposent des régions européennes, et y stockent réellement vos données.

Mais la souveraineté numérique ne se mesure pas en kilomètres. Elle se mesure en juridiction : sous quelle loi tombe l'entité qui détient et opère le service ? Et là, l'emplacement du serveur ne change rien à la nationalité de l'entreprise.

Le CLOUD Act, en une phrase

En 2018, les États-Unis ont adopté le CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Sa logique tient en une ligne : une entreprise soumise au droit américain doit remettre aux autorités US les données qu'elle contrôle, où qu'elles soient stockées dans le monde.

2018 le CLOUD Act consacre la portée extraterritoriale : la localisation des serveurs ne protège plus de l'accès américain.

Le texte est né précisément d'un litige sur ce point : dans l'affaire Microsoft v. United States, le gouvernement américain réclamait des e-mails stockés par Microsoft… dans un datacenter en Irlande. Le CLOUD Act a tranché le débat en faveur de l'accès, indépendamment du lieu de stockage. Conclusion pratique : pour un fournisseur américain, « hébergé à Dublin » ou « hébergé à Francfort » ne crée aucune barrière juridique vis-à-vis du droit US.

Et ce n'est pas qu'une querelle d'avocats. En 2020, la Cour de justice de l'Union européenne, dans l'arrêt Schrems II (C-311/18), a invalidé le Privacy Shield en pointant exactement ce risque : l'accès des autorités américaines aux données des Européens, sans recours équivalent. La donnée peut être à Paris ; le risque juridique, lui, traverse l'Atlantique.

« Adéquat » n'est pas « souverain » — deux axes différents

Ici, beaucoup de monde confond deux notions qui n'ont rien à voir. Démêlons-les, parce que c'est tout le piège.

L'adéquation (article 45 du RGPD) est une question de transfert légal : l'UE reconnaît que tel pays — ou tel cadre, comme le Data Privacy Framework UE-US de juillet 2023 — offre une protection jugée suffisante pour y envoyer des données. C'est une autorisation de transfert.
La souveraineté est une question de contrôle : la donnée échappe-t-elle, par nature, à une puissance extérieure à l'UE ? Un fournisseur peut être parfaitement « adéquat » au sens légal et totalement non-souverain.

Exemple net : un service américain certifié Data Privacy Framework est couvert pour le transfert (axe légal), mais reste soumis au CLOUD Act (axe souveraineté). Le Royaume-Uni bénéficie d'une décision d'adéquation — il n'en fait pas moins partie des « Five Eyes », l'alliance de renseignement (États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande). « Légalement transférable » et « hors d'atteinte d'un État tiers » sont deux choses distinctes.

À retenir

Souveraineté = propriété et contrôle (l'entreprise relève-t-elle de l'EEE ?). Adéquation = droit de transfert (peut-on légalement y envoyer la donnée ?). Un service peut cocher la seconde case sans cocher la première. C'est sur cet écart que se joue tout le reste.

Le vrai angle mort : les dépendances que vous ne voyez pas

Admettons que vous ayez choisi un hébergeur souverain pour votre site. Très bien. Mais votre page n'est pas qu'un serveur : c'est une constellation de services tiers qui se chargent dans le navigateur de vos visiteurs — et chacun reçoit, au minimum, leur adresse IP.

94 % des pages chargent au moins un service tiers, et de loin le plus répandu est américain (HTTP Archive, Web Almanac).

Polices Google, Google Analytics, Tag Manager, reCAPTCHA, YouTube embarqué, pixel Meta, CDN Cloudflare ou AWS CloudFront, chat, A/B testing, cartes… Le site médian en aligne des dizaines. Et les plus présents sur le web sont presque tous américains.

Les services tiers les plus répandus sont américains

Google Analytics

~55 % 🇺🇸

Cloudflare

~21 % 🇺🇸

Part des sites web utilisant ces services, ordres de grandeur d'après W3Techs (consulté 2026). Deux services parmi les plus déployés au monde, tous deux soumis au CLOUD Act — quelle que soit la région d'hébergement choisie. Et ce ne sont que les plus visibles.

Pire : certains traceurs se déguisent. Avec le CNAME cloaking, un sous-domaine d'apparence first-party (metrics.votresite.fr) pointe en réalité, via un enregistrement DNS, vers l'infrastructure d'un traceur tiers. À l'œil nu, ça ressemble à « chez vous ». En réalité, la donnée part ailleurs — souvent hors UE. C'est exactement le genre de dépendance qu'un audit honnête doit démasquer plutôt que laisser passer.

Hébergé en UE ≠ souverain : le test en pratique

La bonne méthode pour juger une dépendance ne consiste pas à lire la page « où sont vos données ». Elle consiste à se poser, service par service, trois questions :

Qui détient l'entreprise ? Société mère dans l'EEE, ou aux États-Unis / Royaume-Uni / Canada / Australie ? C'est le critère décisif.
La donnée quitte-t-elle le navigateur du visiteur ? Un appel réseau vers un domaine tiers transmet l'IP, et souvent davantage.
La dépendance est-elle déguisée ? Un sous-domaine first-party peut masquer un transfert hors UE via CNAME.

Personne ne fait ça à la main sur 40 requêtes. C'est précisément ce qu'un scanner de souveraineté automatise : il liste chaque service tiers réellement chargé, le classe par juridiction (🇪🇺 souverain / 🔴 non-souverain / 🟠 à vérifier), démasque le CNAME cloaking, et propose pour chaque dépendance une alternative européenne.

Curieux de votre propre site ? Notre checker de souveraineté liste vos dépendances hors UE en 90 secondes, gratuitement et sans inscription — score US/EU, traceurs démasqués et alternatives européennes.

Vérifier la souveraineté de mon site →

La bonne nouvelle : les alternatives existent

La souveraineté n'est pas un vœu pieux ni un sacrifice fonctionnel. Pour la quasi-totalité des briques d'un site, il existe une option établie dans l'UE :

Hébergement / cloud : OVHcloud, Scaleway, Clever Cloud, Hetzner.
Analytics : Snorklee, Matomo, Plausible, Piwik PRO.
CDN : Bunny CDN, Scaleway.
Polices : auto-hébergées, ou Bunny Fonts.
E-mail / marketing : Brevo, Mailjet, MailerLite.
Paiement : Mollie, Adyen ; anti-bot : DataDome, Friendly Captcha ; chat : Crisp.

L'objectif n'est pas de planter un drapeau. C'est de réduire l'exposition : moins de données qui quittent l'UE, moins de tiers soumis à un droit étranger, moins de zones grises à documenter. Chaque dépendance non-souveraine que vous remplacez est une dépendance de moins à justifier dans votre registre de traitements.

En clair

« Hébergé en Europe » est une mention utile, mais ce n'est qu'une moitié de réponse. La moitié qui compte vraiment — qui contrôle l'entreprise, à quel droit elle répond — reste sous la surface. Le CLOUD Act ne s'intéresse pas à l'adresse de vos serveurs ; il s'intéresse à la nationalité de votre fournisseur.

La souveraineté, ce n'est donc pas un label qu'on affiche. C'est une chaîne de dépendances qu'on regarde en face : son hébergeur, mais aussi ses polices, son analytics, son CDN, ses scripts tiers, et jusqu'aux traceurs déguisés en first-party. Snorklee est né de ce constat — une mesure d'audience 100 % souveraine, hébergée en France, sans dépendance américaine, sans cookie ni bandeau. Et le checker qui l'accompagne est là pour une chose : vous montrer, sans complaisance, ce que votre site embarque vraiment.

Ne vous fiez pas au badge. Regardez la chaîne.

FAQ

Un service hébergé en Europe est-il forcément souverain ?
Non. C'est le point clé : un fournisseur américain comme AWS, Microsoft Azure ou Cloudflare reste soumis au CLOUD Act même si ses serveurs sont à Paris ou Francfort. La souveraineté dépend de la propriété et du contrôle de l'entreprise, pas seulement de la localisation des serveurs.

Le CLOUD Act, c'est quoi exactement ?
Une loi américaine de 2018 qui oblige les entreprises soumises au droit US à remettre aux autorités les données qu'elles contrôlent, où qu'elles soient stockées dans le monde. Elle est née de l'affaire Microsoft v. United States, qui portait sur des données hébergées en Irlande. La localisation des serveurs ne crée donc pas de barrière juridique face au droit américain.

« Adéquat » au sens RGPD veut-il dire « souverain » ?
Non, ce sont deux axes distincts. L'adéquation (art. 45 RGPD) autorise un transfert de données vers un pays ou un cadre jugé suffisamment protecteur (par ex. le Data Privacy Framework UE-US). La souveraineté concerne le contrôle : un service peut être adéquat pour le transfert tout en restant soumis à un droit étranger comme le CLOUD Act.

Comment savoir si mon site dépend de services non-souverains ?
En listant chaque service tiers réellement chargé par la page et en le classant par juridiction. C'est ce qu'automatise un checker de souveraineté : il identifie les dépendances hors UE, démasque les traceurs en CNAME cloaking, et propose des alternatives européennes — gratuitement et en quelques secondes.

Existe-t-il des alternatives européennes crédibles ?
Oui, pour la quasi-totalité des briques d'un site : OVHcloud ou Scaleway pour l'hébergement, Matomo, Plausible ou Snorklee pour l'analytics, Bunny CDN pour le CDN, Brevo pour l'e-mail, Mollie pour le paiement, etc. Réduire l'exposition est rarement une question de disponibilité — plus souvent une question d'habitude.

Publié en juin 2026. Sources principales : CLOUD Act — Clarifying Lawful Overseas Use of Data Act, H.R. 4943 (2018) ; affaire Microsoft Corp. v. United States (litige sur des données hébergées en Irlande, à l'origine du texte) ; CJUE, arrêt Schrems II, C-311/18 (16 juillet 2020, invalidation du Privacy Shield) ; décision d'adéquation UE-US Data Privacy Framework (10 juillet 2023) ; alliance de renseignement « Five Eyes ». Prévalence des services tiers : HTTP Archive, Web Almanac (chapitre Third Parties) et W3Techs (parts d'usage, ordres de grandeur, consultés en 2026). Information générale, pas un conseil juridique individualisé — pour un cas précis, consultez un DPO ou un juriste qualifié.