Aller au contenu

Souveraineté numérique : héberger ses données en France en 2026

AWS Paris, Google Belgium, Azure France : quelles options concrètes pour les PME qui veulent garder leurs données en Europe ? Comparatif, coûts et limites.

Mis à jour le 23 June 2026

“Où sont mes données ?” C’est la question que nous posent systématiquement les dirigeants de PME alsaciennes depuis l’entrée en vigueur du RGPD. En 2026, entre le Data Privacy Framework, les régions cloud européennes et les offres “souveraines” françaises, le paysage s’est clarifié — mais les idées reçues persistent.

Faisons le point sur ce qui est réellement possible, ce qui est marketing, et ce dont votre PME a concrètement besoin.

L’état des lieux en 2026

Les régions cloud disponibles en France et en Europe

FournisseurRégion FranceRégions EuropeServices disponibles
AWSeu-west-3 (Paris, 2017)6 régions (Irlande, Francfort, Stockholm, Milan, Zurich, Espagne)~200 services
Google Cloudeurope-west9 (Paris, 2022)8 régions~150 services
Microsoft AzureFrance Central (Paris, 2018)10 régions~200 services
OVHcloudGravelines, Strasbourg, Roubaix4 régions EU~30 services

La réalité : les trois hyperscalers ont tous une présence physique en France avec des data centers aux normes les plus strictes (ISO 27001, SOC 2, HDS). Vos données ne “traversent pas l’Atlantique” si vous choisissez une région européenne.

Le cadre juridique

Le Data Privacy Framework (DPF), adopté en juillet 2023, autorise les transferts UE→US pour les entreprises certifiées. AWS, Google et Microsoft le sont.

Mais : le DPF est le troisième accord du genre après Safe Harbor (invalidé 2015) et Privacy Shield (invalidé 2020). La CJUE pourrait à nouveau l’annuler. C’est pourquoi la stratégie la plus robuste reste :

  1. Données at-rest en Europe (région Paris ou Francfort)
  2. Chiffrement avec clés que vous contrôlez
  3. Contrat incluant les clauses contractuelles types (CCT) en backup du DPF

AWS : la souveraineté pragmatique

Ce que garantit la région Paris (eu-west-3)

  • Localisation physique : 3 data centers en Île-de-France
  • Isolation : vos données ne quittent jamais la France sauf si VOUS configurez une réplication cross-region
  • Chiffrement : KMS avec clés gérées par vous (CMK), même AWS ne peut pas déchiffrer
  • Audit : CloudTrail enregistre chaque accès API, CloudWatch alerte sur les anomalies
  • Conformité : C5 (Allemagne), ENS (Espagne), HDS (France santé), CISPE Code of Conduct

Configuration recommandée pour une PME soucieuse de souveraineté

Région par défaut : eu-west-3 (Paris)
Backup/DR : eu-central-1 (Francfort) — reste dans l'UE
Chiffrement : AWS KMS avec CMK (Customer Managed Key)
Accès : IAM strict, MFA obligatoire, IP whitelisting
Audit : CloudTrail activé, logs dans un bucket S3 verrouillé (Object Lock)

Coût supplémentaire de cette configuration : environ 15% de plus qu’un déploiement sans contrainte de région (certains services sont légèrement plus chers à Paris qu’en Irlande). Pour une facture mensuelle de 500€, ça représente 75€/mois — le prix de la tranquillité.

AWS European Sovereign Cloud (annoncé)

AWS a annoncé un cloud souverain européen séparé, opéré par du personnel résident UE, avec des contrôles de souveraineté renforcés. Disponibilité prévue : 2025 (Allemagne en premier). Pour une PME, la région Paris standard avec les contrôles ci-dessus est déjà suffisante.

Google Workspace : les régions de données

Ce qui est disponible

Depuis 2022, Google Workspace offre le contrôle des régions de données sur les plans Business Standard et supérieurs :

  • Choix “Europe” : données at-rest stockées dans les data centers européens (Belgique, Pays-Bas, Finlande, Allemagne)
  • Choix “France uniquement” : pas encore disponible (la région Paris existe pour Google Cloud Platform, pas pour Workspace at-rest)

Ce que ça couvre

✅ Couvert par les régions de données :

  • Emails (Gmail)
  • Fichiers (Drive)
  • Agendas (Calendar)
  • Documents (Docs, Sheets, Slides)

⚠️ Partiellement couvert :

  • Les métadonnées (index de recherche, cache) peuvent être traitées hors région
  • Le transit réseau passe par les points de présence les plus proches (pas forcément européens)

❌ Non couvert :

  • Google Meet (streaming temps réel via le nœud le plus proche)
  • Google Chat (cache distribué globalement)

Configuration recommandée

  1. Plan Business Standard minimum (12,42€/user/mois pour les régions de données)
  2. Politique de région “Europe” activée dans la console Admin
  3. Client-Side Encryption (CSE) pour les documents les plus sensibles
  4. Access Transparency activé (journal des accès Google à vos données)

Les alternatives “souveraines” françaises

SecNumCloud : pour qui ?

La qualification ANSSI SecNumCloud est le graal de la souveraineté cloud française. En 2026 :

FournisseurStatut SecNumCloudPrix relatif
3DS OutscaleQualifié2-3x AWS
OVHcloudQualifié (partiel)1,5-2x AWS
Cloud TempleQualifié3-4x AWS
S3NS (Google + Thales)En coursPas encore public
Bleu (Microsoft + Orange/Cap)En coursPas encore public

Notre recommandation : SecNumCloud est pertinent pour les sous-traitants de l’État, les opérateurs d’importance vitale (OIV), et les données de santé (HDS). Pour une PME standard, c’est un surcoût de 200-400% sans bénéfice fonctionnel.

OVHcloud : l’alternative européenne

Points forts : prix compétitifs, data centers en France, support en français, pas de CLOUD Act Points faibles : catalogue de services limité (pas de serverless, IA basique, pas d’équivalent Bedrock/SageMaker), incident Strasbourg 2021 (incendie SBG2)

Pour qui : hébergement web, VPS, stockage objet basique. Pas pour des architectures cloud-native ou de l’IA.

Le vrai risque : le CLOUD Act

Le Clarifying Lawful Overseas Use of Data Act (2018) permet aux autorités américaines de demander l’accès aux données stockées par des entreprises US, même si les données sont physiquement en Europe.

En pratique pour une PME :

  • Les demandes CLOUD Act concernent les enquêtes criminelles graves (terrorisme, crime organisé)
  • AWS et Google publient leurs rapports de transparence : quelques milliers de demandes/an sur des millions de clients
  • Le chiffrement CMK (Customer Managed Key) rend les données illisibles même si le fournisseur est contraint de fournir l’accès physique
  • Le DPF + les CCT créent un cadre juridique de protection

La question pragmatique : votre PME a-t-elle des données qui intéresseraient le FBI ? Si non, le CLOUD Act est un risque théorique, pas opérationnel.

Notre recommandation par profil

PME standard (services, commerce, industrie)

AWS Paris (eu-west-3) + Google Workspace Europe

  • Meilleur rapport fonctionnalités/coût/souveraineté
  • Conformité RGPD validée
  • 200+ services disponibles

PME santé ou sous-traitant défense

AWS Paris avec HDS + chiffrement CMK

  • Certification HDS native sur eu-west-3
  • Audit CloudTrail + Security Hub
  • Pas besoin de SecNumCloud sauf exigence contractuelle explicite

PME qui veut zéro risque juridique US

OVHcloud + Google Workspace (Europe) ou attendre S3NS/Bleu

  • Surcoût de 50-100%
  • Perte fonctionnelle significative côté services managés
  • Pertinent uniquement si c’est une exigence contractuelle client

Plan d’action souveraineté pour votre PME

La démarche tient en une journée de travail. Commencez par inventorier vos données par sensibilité (public, interne, confidentiel, réglementé) — c’est probablement déjà fait si vous avez un registre RGPD. Configurez ensuite la région Europe ou France sur tous vos services cloud, ce qui prend quelques clics dans les consoles AWS et Google. Chiffrez les données confidentielles avec des clés que vous contrôlez (KMS sur AWS, CSE sur Workspace). Activez l’audit des accès avec CloudTrail ou Access Transparency. Et documentez le tout dans votre registre RGPD — c’est la même démarche, pas un travail supplémentaire.

Le tout prend une journée de travail et ne coûte presque rien en surcoût cloud.


LCMH déploie des architectures cloud souveraines pour les PME alsaciennes depuis 2017 (année d’ouverture de la région AWS Paris). Partenaire AWS Select, 8 certifications, spécialiste RGPD. Contactez-nous pour auditer la localisation de vos données.


À lire aussi


“Où sont mes données ?” — si vous ne pouvez pas répondre à cette question en 10 secondes, nous avons un problème à résoudre ensemble. Audit de localisation gratuit, résultats en 48h. Prenez rendez-vous →

Questions fréquentes

Mes données Google Workspace sont-elles stockées en France ?
Pas directement en France, mais en Europe. Avec les régions de données Google Workspace (disponibles sur Business Standard et supérieur), vous pouvez restreindre le stockage at-rest à l'Europe (data centers en Belgique, Pays-Bas, Finlande). Le contrôle granulaire 'France uniquement' n'existe pas encore chez Google.
AWS a-t-il une région en France ?
Oui. La région eu-west-3 (Paris) est opérationnelle depuis décembre 2017. Elle dispose de 3 zones de disponibilité et supporte la quasi-totalité des services AWS. Vos données restent physiquement en Île-de-France sauf si vous configurez une réplication vers une autre région.
Le cloud américain est-il compatible avec le RGPD ?
Oui, depuis le Data Privacy Framework (DPF) adopté en juillet 2023. AWS, Google et Microsoft sont certifiés DPF. Cependant, le DPF pourrait être invalidé (comme ses prédécesseurs Safe Harbor et Privacy Shield). Les régions européennes + chiffrement client sont la meilleure protection à long terme.
Qu'est-ce que SecNumCloud et en ai-je besoin ?
SecNumCloud est la qualification ANSSI pour les prestataires cloud de confiance. En 2026, seuls 3S2I (OVHcloud), Outscale et Cloud Temple sont qualifiés. C'est obligatoire pour les données 'diffusion restreinte' de l'État, mais pas pour les PME privées. Le rapport coût/fonctionnalités est défavorable pour la plupart des entreprises.
Puis-je utiliser AWS Paris pour être conforme au RGPD ?
Oui. Héberger vos données dans eu-west-3 (Paris) garantit qu'elles restent en France. Combiné avec le chiffrement KMS (clé gérée par vous), les contrôles d'accès IAM et CloudTrail pour l'audit, vous avez une architecture RGPD-compliant solide.
OVHcloud est-il une alternative crédible à AWS pour une PME ?
Pour l'hébergement basique (VPS, stockage, email) : oui, et souvent moins cher. Pour les services managés avancés (IA, serverless, bases de données managées, IoT) : non. L'écart fonctionnel est de 5 à 10 ans. Notre recommandation : AWS ou Google Cloud avec région européenne.

Articles similaires