| Réponse rapide |
|---|
|
Choisir l'hébergement d'un logiciel RGPD souverain revient à vérifier une chaîne, pas un seul maillon. Le registre des traitements, les analyses d'impact (AIPD) et les preuves de conformité que vous y stockez sont des données à caractère personnel : leur protection juridique dépend autant de la nationalité de l'éditeur et de sa chaîne capitalistique que de l'adresse du serveur. En 2026, la réglementation en vigueur (RGPD, jurisprudence Schrems II, Data Act) impose au DPO d'objectiver ce choix sur des preuves. Cette page fournit la grille d'évaluation qui distingue la souveraineté physique de la souveraineté juridique, et situe l'hébergement d'IZIRO dans ce cadre.
La souveraineté d'un logiciel RGPD découle d'un faisceau de critères vérifiables, pas de la seule localisation des serveurs. Droit applicable à l'éditeur, exposition au Cloud Act, certifications ISO 27001, HDS et SecNumCloud, chiffrement et réversibilité forment la grille qu'un DPO vérifie avant tout choix d'hébergement.
| Souveraineté numérique |
| Capacité d'une organisation à garder le contrôle juridique et technique de ses données, à l'abri de l'application de lois étrangères. Elle combine la localisation des données, le droit applicable à l'hébergeur et à l'éditeur, et des garanties de sécurité auditables. |
La confusion la plus fréquente assimile « données en France » et « données souveraines ». Ce sont deux notions distinctes. Un logiciel peut héberger ses serveurs en France tout en restant exposé à une injonction étrangère si son éditeur, ou la maison-mère de son hébergeur, relève du droit américain. Pour départager les solutions, un DPO évalue six critères cumulatifs :
La résidence des données en France garantit que les serveurs physiques restent sur le territoire national, sans assurer l'immunité aux lois étrangères. Un datacenter OVH à Roubaix protège contre la délocalisation des registres et AIPD ; il ne neutralise pas le Cloud Act quand l'éditeur relève d'un droit extraterritorial.
La localisation en France répond à une exigence concrète : conserver la maîtrise physique des données et éviter tout transfert hors de l'Union européenne. Le Chapitre V du RGPD (articles 44 à 49, Règlement UE 2016/679) interdit en principe tout transfert vers un pays tiers, sauf décision d'adéquation ou garanties appropriées ; un simple accès distant par un hébergeur tiers constitue déjà un transfert. Héberger en France ferme cette question à la racine. Mais la localisation ne dit rien du droit qui s'applique à l'entité qui exploite l'infrastructure.
OVHcloud, hébergeur français basé à Roubaix, fournit une localisation des données en France et en Europe. C'est un signal de sérieux, nécessaire mais insuffisant. La localisation chez OVH apporte :
Scaleway, filiale du groupe Iliad, constitue une alternative française crédible à OVH. Comparer deux hébergeurs souverains revient à confronter localisation, exposition au droit américain et certifications, plutôt que les seules grilles tarifaires.
| Type d'hébergeur | Localisation des données | Soumission au droit américain | Certifications usuelles |
|---|---|---|---|
| OVHcloud (FR) | France / UE | Non (société de droit français) | ISO 27001, HDS, SecNumCloud (offres dédiées) |
| Scaleway (FR) | France / UE | Non (groupe Iliad) | ISO 27001, HDS |
| Hyperscaler US | Régions UE possibles | Oui (Cloud Act applicable) | ISO 27001, parfois HDS |
Le Cloud Act, loi américaine de 2018, autorise les autorités US à exiger les données de tout fournisseur soumis au droit américain, où qu'elles soient stockées, France comprise. Le risque réel tient à la nationalité de l'éditeur et de sa chaîne capitalistique, jamais à la seule adresse du datacenter.
| Cloud Act |
Loi fédérale américaine (Clarifying Lawful Overseas Use of Data Act, 2018) qui autorise les autorités des États-Unis à exiger d'un fournisseur soumis au droit américain la communication de données, y compris stockées sur des serveurs situés dans l'Union européenne. |
Le périmètre du Cloud Act ne dépend pas de l'emplacement du serveur, mais du lien de l'entreprise avec le droit américain. Sont concernés :
La décision d'adéquation EU-US Data Privacy Framework (Commission européenne, 10 juillet 2023) rétablit un cadre de transfert vers les États-Unis, mais elle reste contestée (recours Latombe) et ne neutralise pas l'accès des autorités américaines aux données détenues par un fournisseur soumis à leur droit. Seul un hébergement souverain, opéré par une entité non assujettie au droit américain, supprime ce risque.
Un éditeur de droit français, hébergeant ses données en France via un prestataire non soumis au droit américain, place ses traitements hors du champ d'application des injonctions extraterritoriales. La souveraineté juridique est donc une condition cumulative : localisation française des serveurs, ET éditeur de droit européen, ET hébergeur non contrôlé par une entité tierce. Vérifier l'un sans les autres laisse une faille ouverte.
L'arrêt Schrems II (CJUE, affaire C-311/18, 16 juillet 2020) a invalidé le Privacy Shield au motif que les programmes de surveillance américains ne garantissent pas un niveau de protection équivalent à celui de l'Union. Ses conséquences pratiques pour le DPO sont directes :
Trois certifications structurent la confiance : ISO/IEC 27001:2022 atteste un système de management de la sécurité auditable, HDS autorise l'hébergement de données de santé selon l'article L.1111-8 du Code de la santé publique, et SecNumCloud, qualifié par l'ANSSI, ajoute des critères d'immunité aux lois extraterritoriales.
| Certification | Périmètre | Niveau de garantie | Pertinence pour un logiciel RGPD |
|---|---|---|---|
| ISO 27001 | Système de management de la sécurité de l'information | Standard international | Socle minimum exigible |
| ISO 27701 | Extension vie privée d'ISO 27001 | Renforcé sur la donnée personnelle | Différenciant sur la protection des données |
| HDS | Hébergement de Données de Santé (référentiel ANS) | Obligatoire santé / mutuelle / EHPAD | Indispensable pour les secteurs santé |
| SecNumCloud | Qualification ANSSI, résistance aux lois extra-UE | Maximum (souveraineté juridique) | Recommandé pour le secteur public sensible |
ISO/IEC 27001:2022 certifie un système de management de la sécurité de l'information audité par un organisme accrédité : c'est la preuve normative la plus citée de maîtrise des risques d'un hébergeur, à distinguer d'une simple déclaration de conformité. La certification HDS, exigée par l'article L.1111-8 du Code de la santé publique, est obligatoire pour héberger des données de santé et impose des garanties renforcées de sécurité et de localisation. Elle dépasse le seul secteur médical : un logiciel RGPD destiné à un hôpital en a besoin, mais le HDS constitue aussi un signal de sérieux pour tout traitement sensible, RH ou bancaire compris.
| SecNumCloud |
| Qualification délivrée par l'ANSSI (référentiel v3.2, 2022) qui impose des critères techniques, organisationnels ET juridiques d'immunité aux lois extraterritoriales : siège, capital et contrôle situés dans l'Union européenne. C'est le standard français du « cloud de confiance ». |
SecNumCloud va plus loin que la localisation ou ISO 27001 : il garantit qu'aucune entité tierce ne peut contraindre l'hébergeur à livrer les données. Ses exigences combinent :
Le schéma européen EUCS, en cours d'élaboration au niveau de l'ENISA, vise à harmoniser cette certification à l'échelle de l'Union ; le débat porte précisément sur l'inclusion ou non de critères d'immunité aux lois extraterritoriales. C'est une évolution à surveiller pour les marchés sensibles.
L'article 32 du RGPD impose le chiffrement des données au repos et en transit. Une architecture sur serveurs dédiés, conteneurisée via Docker et à surface d'attaque réduite, garantit confidentialité, disponibilité et résilience. IZIRO applique ce socle technique à l'ensemble des registres, AIPD et preuves hébergés en France.
L'article 32 du RGPD exige des mesures techniques proportionnées au risque : chiffrement, intégrité, disponibilité et capacité de restauration. L'hébergeur étant un sous-traitant ultérieur au sens des articles 28.2 et 28.4, ses garanties doivent être contractualisées et documentées. Au-delà du seul chiffrement, un hébergement robuste repose sur :
Documenter cet hébergeur dans son registre relève d'une bonne pratique : voir comment paramétrer la gestion des sous-traitants et le suivi des DPA dans un logiciel RGPD.
La réversibilité contractuelle garantit la récupération des données dans un format exploitable en cas de résiliation. Le Data Act, règlement UE 2023/2854, encadre ce droit et la migration entre fournisseurs cloud. Un logiciel RGPD doit exporter registres, AIPD et preuves sans verrouillage propriétaire.
| Réversibilité |
| Capacité contractuelle et technique à récupérer l'intégralité de ses données dans un format exploitable lors d'un changement de prestataire, sans dépendance ni perte d'historique. Le Data Act (Règlement UE 2023/2854) en fait un droit encadré pour les services cloud. |
La souveraineté reste théorique si vous ne pouvez pas reprendre vos données. Un logiciel RGPD souverain doit garantir :
Cette logique vaut aussi à l'entrée : il est possible de migrer un registre Excel sans perte d'historique grâce à une reprise qualifiée des données.
Évaluer la souveraineté d'un logiciel RGPD repose sur six critères vérifiables : localisation des serveurs en France, droit applicable à l'éditeur, exposition au Cloud Act, certifications ISO 27001, HDS et SecNumCloud, niveau de chiffrement et clause de réversibilité. Cette grille départage les solutions sur des preuves, pas des arguments commerciaux.
| Critère | Question à poser au fournisseur | Signal de conformité | Statut IZIRO |
|---|---|---|---|
| Localisation | Où sont stockées physiquement mes données ? | France / UE | Hébergement en France |
| Droit applicable | De quel droit relève l'éditeur ? | Société de droit français | Éditeur français |
| Cloud Act | Suis-je exposé à une loi extraterritoriale ? | Hors champ du Cloud Act | Hors champ |
| Certifications | L'infrastructure est-elle certifiée ? | ISO 27001, HDS | Prestataire certifié ISO 27001 et HDS |
| Chiffrement | Les données sont-elles chiffrées ? | Au repos et en transit | Chiffrement appliqué |
| Réversibilité | Puis-je récupérer mes données ? | Exports sans verrouillage | Exports PDF du registre et du pack de preuve |
La CNIL recommande d'évaluer l'exposition aux lois extraterritoriales et de privilégier des hébergeurs non soumis à un droit tiers pour les traitements sensibles. Appliquer ces six critères, c'est aussi mesurer l'écart entre une solution réellement souveraine et une offre simplement localisée. La même rigueur s'applique au choix de modèle : comparer une solution open source à un SaaS conforme RGPD revient à confronter ces mêmes garanties d'hébergement et de réversibilité.
IZIRO héberge l'intégralité des données en France, sur serveurs dédiés conteneurisés, via un prestataire certifié ISO 27001 et HDS. Édité par une société de droit français, le logiciel place registres, AIPD et preuves hors du champ du Cloud Act, avec chiffrement et réversibilité, dès 28 €/mois.
IZIRO (ex-ProDPO) applique l'ensemble de cette grille sans en faire une option facturée. Les données sont hébergées en France chez un prestataire dont les certifications ISO 27001 et HDS ont été maintenues lors de la transition de marque, sur une architecture renforcée à base de serveurs dédiés et de conteneurisation Docker. Concrètement, le DPO dispose de :
Cette base technique sert plus de 150 organisations et s'adapte aussi bien à une PME qu'à un DPO mutualisé pilotant plusieurs entités. Le détail complet est consultable sur la page fonctionnalités du logiciel RGPD IZIRO.
En 2026, la souveraineté d'un logiciel RGPD ne se décrète pas : elle se prouve sur six critères. Localisation en France, droit applicable à l'éditeur, immunité au Cloud Act, certifications ISO 27001 et HDS, chiffrement et réversibilité. IZIRO réunit ce socle par conception, plaçant vos registres, AIPD et preuves à l'abri des injonctions extraterritoriales tout en restant pleinement réversibles. Le bon réflexe pour un DPO n'est pas de demander « où sont mes données », mais « qui peut légalement y accéder ». C'est à cette question que répond un hébergement réellement souverain.
Non. Chez IZIRO, l'hébergement souverain en France est inclus dans l'abonnement dès 28 €/mois, sans surcoût ni option payante. La souveraineté n'est pas un service premium facturé en supplément : elle fait partie du socle, au même titre que les certifications ISO 27001 et HDS du prestataire. Essai gratuit 15 jours, sans engagement.
Elles restent disponibles et récupérables. L'infrastructure d'IZIRO repose sur des serveurs dédiés certifiés et sauvegardés, conçus pour garantir la disponibilité et la résilience exigées par l'article 32 du RGPD. La continuité de service couvre registres, AIPD et preuves de conformité, évitant toute perte d'historique sur vos traitements actifs comme archivés.
Oui. L'hébergeur est un sous-traitant ultérieur au sens de l'article 28 du RGPD et doit apparaître dans votre cartographie. IZIRO contractualise son prestataire d'hébergement avec maintien des certifications HDS et ISO 27001, et fournit les éléments nécessaires pour documenter cette chaîne de sous-traitance dans votre registre, sécurisant votre accountability (Art. 5.2).
Oui, sous conditions cumulatives. Un éditeur de droit français, hébergeant ses données en France via un prestataire non soumis au droit américain, place le traitement hors du champ d'application des injonctions extraterritoriales US. La souveraineté juridique dépend autant de la nationalité de l'éditeur et de la chaîne capitalistique que de la localisation physique des serveurs.
Seuls les profils que vous autorisez, avec traçabilité. IZIRO applique un cloisonnement des accès par entité et par profil (lecture seule, éditeur, administrateur) et une journalisation des accès. Les référents métiers ne voient que leur périmètre, et aucune modification n'est publiée au registre sans validation du DPO, garantissant la confidentialité exigée par l'article 32.
Oui, c'est recommandé même pour des traitements courants. Registres, AIPD et preuves de conformité contiennent souvent des données RH, clients ou bancaires sensibles à l'extraterritorialité. IZIRO héberge l'intégralité de ces données en France sur infrastructure certifiée, vous évitant d'avoir à arbitrer la sensibilité traitement par traitement et sécurisant l'ensemble par défaut.
Hébergez votre conformité RGPD en France, en toute souveraineté.
Testez IZIRO gratuitement pendant 15 jours, sans engagement, à partir de 28 €/mois — ou réservez une démo de 30 minutes avec notre équipe.