Datacenter souverain France et RGPD : guide complet 2026
Un datacenter souverain garantit que les données qu'il héberge restent sous juridiction française ou européenne, inaccessibles aux lois extra-territoriales comme le CLOUD Act américain. En 2026, c'est devenu un critère central pour les entreprises traitant des données sensibles, les acteurs publics et les associations soucieuses du RGPD natif. Ce guide explique tout : définition, certifications, hébergeurs français souverains, et critères de choix.
- Souverain = 3 conditions : datacenter en UE + société UE + aucune tutelle étrangère (CLOUD Act US notamment).
- Certifications clés : SecNumCloud (ANSSI, étalon-or FR), HDS (données santé), ISO 27001 (PME).
- AWS Paris ≠ souverain — datacenter France mais société US, donc CLOUD Act applicable.
- Pour PME : o2switch, OVHcloud Web Hosting, LWS. Pour santé : OVHcloud HDS, Claranet HDS. Pour admin/OIV : SecNumCloud (OVHcloud, Outscale, Numspot).
Qu'est-ce qu'un datacenter souverain ?
Un datacenter est souverain quand il satisfait trois conditions cumulatives :
- Implantation physique sur le territoire français (ou européen).
- Société exploitante ayant son siège social dans l'Union européenne.
- Aucune entité contrôlante n'est soumise à une loi extra-territoriale (CLOUD Act, FISA, etc.).
Cette définition stricte vient du référentiel SecNumCloud de l'ANSSI, devenu la norme française en 2024.
Pourquoi la souveraineté compte en 2026
Le CLOUD Act américain
Loi américaine de 2018 qui oblige toute entreprise sous juridiction US à fournir les données qu'elle détient, même stockées en Europe, à la demande du gouvernement américain. Concerne AWS, Microsoft Azure, Google Cloud, OVH États-Unis, etc. Texte officiel : Clarifying Lawful Overseas Use of Data Act (Congress US).
Même si un hébergeur américain met ses serveurs à Paris, ses dirigeants restent légalement obligés de coopérer avec la justice américaine. La donnée n'est pas réellement souveraine.
Le RGPD européen
Le RGPD (Règlement Général sur la Protection des Données) impose que les transferts de données personnelles hors UE soient encadrés par des garanties spécifiques (clauses contractuelles types, BCR, décision d'adéquation). La décision Schrems II (CJUE 2020) a invalidé le Privacy Shield US-UE, rendant les hébergeurs US juridiquement risqués.
Cas concrets où la souveraineté est obligatoire
- Données de santé : exige hébergement HDS (Hébergeur de Données de Santé)
- Données classifiées (administration) : exige SecNumCloud niveau 2 ou 3
- OIV / OSE (opérateurs d'importance vitale / services essentiels) : qualification SecNumCloud
- Marchés publics depuis 2024 : préférence pour fournisseurs souverains
Les certifications de souveraineté en 2026
| Certification | Émetteur | Niveau d'exigence | Cas d'usage |
|---|---|---|---|
| HDS | ASIP Santé | Hébergement de données de santé | Cliniques, mutuelles, applis santé |
| SecNumCloud | ANSSI | Cloud souverain qualifié | Administration, OIV, OSE |
| ISO 27001 | ISO | Sécurité de l'information (international) | Toute entreprise |
| ISO 27017 / 27018 | ISO | Sécurité cloud + données personnelles | Compléments à 27001 |
| TIA-942 / Tier (I-IV) | Uptime Institute | Fiabilité physique (redondance) | Disponibilité 99,99 % |
SecNumCloud est l'équivalent français du niveau « cloud souverain qualifié ». La liste officielle ANSSI des fournisseurs qualifiés contient en 2026 : OVHcloud, Outscale (3DS), Cleyrop, Numspot, Whaller.
Datacenters français souverains : la carte 2026
Île-de-France (Paris)
- OVHcloud Paris/Roubaix
- Outscale Paris (3DS, Dassault Systèmes)
- Equinix Paris (souveraineté partielle, US holding)
- Scaleway Paris (Iliad, français)
Auvergne-Rhône-Alpes (Clermont-Ferrand, Lyon)
- o2switch Clermont-Ferrand (Tier 4, propriétaire français)
- Cogent Lyon
- Equinix Lyon
Grand Est (Strasbourg)
- OVHcloud Strasbourg
- DC2 Strasbourg
Hauts-de-France (Roubaix)
- OVHcloud Roubaix (le plus grand site OVH)
Provence-Alpes-Côte d'Azur (Marseille)
- Interxion (Digital Realty) Marseille
Hébergeurs souverains accessibles aux PME et indépendants
Tous les datacenters certifiés ne sont pas accessibles aux petites structures. Voici les hébergeurs souverains de votre côté quand vous êtes une PME, un freelance ou une association :
o2switch (recommandé pour PME)
- Datacenter Clermont-Ferrand Tier 4
- Société française (siège Auvergne)
- Pas de CLOUD Act, droit français pur
- Offre unique illimitée à 7 €/mois
- Test complet d'o2switch →
OVHcloud Web Hosting
- Datacenters France (Roubaix, Strasbourg, Paris)
- Société française cotée Euronext
- Catalogue de hébergement mutualisé à serveurs dédiés et SecNumCloud
- À partir de 2,99 €/mois pour le mutualisé
- Test complet d'OVHcloud →
Infomaniak (Suisse, juridiction protectrice)
- Datacenters Suisse (Genève) — juridiction stricte sur protection des données
- Pas un membre UE mais reconnu adéquat par la Commission européenne
- Particulièrement adapté aux entreprises sensibles à la confidentialité
- À partir de 5,75 €/mois
- Test complet d'Infomaniak →
PlanetHoster (choix géographique)
- Choix du datacenter au moment de la souscription : France (Paris), Canada (Québec), Suisse
- Société québécoise mais filiale française
- À partir de 5,99 €/mois
- Test complet de PlanetHoster →
Comment choisir son datacenter souverain ?
Cas 1 : site personnel ou petit commerce sans données sensibles
Tout hébergement français standard suffit. Privilégiez o2switch, OVHcloud Web Hosting, LWS ou Infomaniak. Pas besoin de certification SecNumCloud.
Cas 2 : PME avec données clients sensibles
Privilégiez un hébergeur français avec ISO 27001 minimum. Notre recommandation : o2switch ou OVHcloud Web Hosting.
Cas 3 : Application traitant des données de santé
Obligatoire : certification HDS. Fournisseurs : OVHcloud HDS, Claranet HDS, ASP Serveur HDS.
Cas 4 : Administration ou OIV/OSE
Obligatoire : SecNumCloud Niveau 2 ou 3. Fournisseurs : OVHcloud Bare Metal Pod, Outscale, Numspot.
Le piège de la « souveraineté apparente »
Méfiez-vous des hébergeurs qui affichent « datacenter France » sans préciser la nationalité de la société. Trois cas à éviter :
- AWS Paris : datacenter France, société américaine → CLOUD Act applicable
- Microsoft Azure France Central : idem
- Google Cloud Paris : idem
Ces options ne sont pas des solutions souveraines au sens SecNumCloud, malgré la localisation physique en France.
FAQ
Quelle différence entre hébergement français et hébergement souverain ?
Un hébergement français a ses serveurs en France. Un hébergement souverain ajoute deux conditions : société française (UE) et pas de tutelle étrangère via une loi extra-territoriale (CLOUD Act US).
Le CLOUD Act s'applique-t-il à un hébergeur français hébergeant chez AWS Paris ?
Non, sauf si l'hébergeur français a une filiale aux États-Unis. Si l'hébergeur est 100 % français mais utilise l'infrastructure AWS, AWS reste soumis au CLOUD Act donc les données sont vulnérables.
Faut-il une certification SecNumCloud pour une petite entreprise ?
Non. SecNumCloud est destinée aux administrations, OIV, OSE et grandes entreprises sensibles. Pour une PME, ISO 27001 est largement suffisant.
Combien coûte un hébergement souverain ?
Le mutualisé souverain démarre à 2,99 €/mois (OVHcloud). Le cloud souverain qualifié SecNumCloud commence vers 100 €/mois pour une VM basique.
Comment vérifier que mon hébergeur est vraiment souverain ?
Vérifiez : siège social en UE, datacenters en UE, capital majoritairement européen, certifications (HDS / SecNumCloud / ISO 27001).