< Infomaniak Network

Les données hébergées par une entreprise américaine en Europe : sont-elles vraiment souveraines ?

vendredi 22 mai 2026
|In Entreprise, Vie privée
|By Thomas Jacobsen

Qu’est-ce qu’un cloud souverain ?

Aujourd’hui, beaucoup de fournisseurs cloud se présentent comme « souverains ». Derrière cette étiquette, la réalité est souvent tout autre. Vos données peuvent être physiquement stockées en Suisse ou en Europe, et rester parfaitement accessibles depuis les États-Unis. Voici pourquoi la souveraineté des données est un enjeu stratégique, et comment éviter les pièges au moment de choisir votre fournisseur cloud.

Cet article s’appuie sur l’intervention de Léopold Jacquot, Principal Engineer chez Infomaniak, aux Swiss Cyber Security Days 2026.

La localisation des données : pourquoi « hébergé en Suisse/Europe » ne suffit pas

Commençons par l’illusion la plus répandue : la géographie.

Léopold Jacquot est Principal Engineer chez Infomaniak depuis neuf ans. Lors des Swiss Cyber Security Days 2026, il a résumé le problème en une image :

Imaginez un coffre-fort physiquement à Zurich, en acier suisse, avec une serrure suisse. Sauf que la clé est détenue par une entreprise à San Francisco. Le coffre est suisse. Son contenu ne l’est plus.

C’est exactement ce qui se passe avec vos données quand l’entreprise qui opère le serveur est soumise à une législation étrangère. Le CLOUD Act, une loi américaine en vigueur depuis 2018, oblige les entreprises technologiques américaines à fournir des données aux autorités, même si ces données sont stockées à l’étranger.

Concrètement : peu importe que le data center soit à Berne, à Francfort ou à Paris. Si l’entreprise qui le gère est américaine ou détenue par un groupe américain, vos données sont juridiquement accessibles depuis les États-Unis.

Pour les profils techniques, Léopold Jacquot va plus loin : ce qui compte vraiment, c’est qui détient les clés de chiffrement.

Vos données peuvent être chiffrées en AES-256, hébergées dans un data center européen, avec un SLA en béton. Mais si les clés sont gérées par un service opéré par AWS, Azure ou Google Cloud, c’est comme chiffrer vos données et envoyer la clé par la poste aux États-Unis.

La couche logicielle qui change tout (et qui rend dépendant)

La géographie n’est pas la seule fausse promesse.

Prenez une application développée par une entreprise européenne, vendue comme « 100% locale ». Sous le capot, elle tourne sur un système dont la licence appartient à un éditeur étranger, avec des serveurs de licences aux États-Unis. Tout fonctionne très bien. Jusqu’au jour où cet éditeur change ses conditions, augmente ses tarifs de 300% ou décide simplement de couper l’accès.

Certaines offres « cloud souverain » reposent entièrement sur des technologies étrangères. L’acteur local est en façade, mais la couche qui touche à vos données est contrôlée depuis l’étranger. On le voit partout en Europe : des partenariats entre acteurs du cloud européen et hyperscalers américains, présentés comme « souverains ». Mais quand on gratte un peu, la couche fondamentale reste contrôlée depuis l’étranger.

Le mythe du contrat blindé

Et puis il y a le contrat. On se dit :

Nos avocats ont négocié une clause de confidentialité solide, on est protégés.

Sauf qu’un contrat commercial est un accord entre deux parties privées. Il ne résiste pas à une demande légale d’un État. Face à une injonction juridique américaine, les clauses de confidentialité ne changent rien. Ce sont deux niveaux de protection fondamentalement différents.

Et cette logique ne s’applique pas qu’aux serveurs ou aux messageries. Elle s’applique à tout ce que nous confions à un service américain, y compris les prompts que vos équipes envoient chaque jour à Claude d’Anthropic, ChatGPT, Copilot de Microsoft ou Gemini de Google. Le contrat « entreprise » de ces services est un contrat commercial. Il ne fait pas le poids face à une injonction d’État.

CLOUD Act, RGPD, lois extraterritoriales : ce que dit vraiment le droit

  • Le CLOUD Act oblige toute entreprise de droit américain à fournir aux autorités les données qu’elle détient, y compris stockées hors des États-Unis.
  • Le RGPD encadre strictement les transferts de données personnelles vers des pays tiers.
  • Et le problème, c’est que ces deux textes entrent directement en conflit. L’arrêt Schrems II de la Cour de justice de l’Union européenne (2020) a d’ailleurs reconnu que la législation américaine n’offre pas un niveau de protection équivalent à celui de l’UE.

Conséquence concrète pour une entreprise européenne qui confie ses données à un fournisseur soumis au CLOUD Act : elle est exposée au risque de non-conformité RGPD, avec des sanctions pouvant atteindre 4% de son chiffre d’affaires mondial.

Ce risque s’est matérialisé en 2025. Le 6 février, un décret présidentiel américain place sous sanctions personnelles Karim Khan, procureur de la Cour pénale internationale. Dans les semaines qui suivent, il perd l’accès à sa messagerie Microsoft et bascule sur une alternative suisse. Le 20 août, les sanctions américaines sont étendues à plusieurs responsables de la CPI, dont le juge français Nicolas Guillou, qui voit ses cartes bancaires Visa et Mastercard bloquées et son accès coupé à plusieurs plateformes américaines (Amazon, Airbnb, Booking.com, Expedia). Le 31 octobre, la CPI annonce qu’elle remplacera Microsoft 365 par openDesk, suite open source développée par l’organisme public allemand ZenDiS, pour ses 1 800 postes de travail.

Une cascade qui démontre, en moins d’un an, ce qu’aucun argumentaire commercial n’avait réussi à faire admettre :

Un fournisseur soumis à une juridiction étrangère peut être contraint de couper l’accès à ses services, y compris à un magistrat international.

Le 10 juin 2025, devant la commission d’enquête du Sénat français sur la commande publique, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, est interrogé sous serment : peut-il garantir que les données des citoyens français ne seront jamais transmises aux autorités américaines sans l’accord des autorités françaises ? Sa réponse :

Non, je ne peux pas le garantir, mais cela ne s’est encore jamais produit.

Une réponse qui clôt, dans les faits, le débat sur la portée réelle des engagements contractuels face à une injonction d’État.

La vision d’Infomaniak : trois piliers pour une souveraineté réelle

Si elle ne tient ni à la géographie, ni au contrat, ni au marketing, où se trouve la vraie souveraineté numérique ? Pour Léopold Jacquot, la souveraineté est d’abord une question d’architecture, pas de localisation. Et chez Infomaniak, cette conviction se traduit en trois piliers concrets.

1. Maîtriser le logiciel, les data centers et le savoir-faire

Reprenons l’image du coffre-fort. Pour qu’il soit réellement souverain, il ne suffit pas qu’il soit en Suisse.

Il faut que le coffre, la serrure, la clé et l’entreprise qui les fabrique soient tous sous la même juridiction, et qu’aucun d’entre eux ne dépende d’un acteur étranger.

C’est cette logique qu’Infomaniak applique à chaque couche de son infrastructure. L’entreprise conçoit, opère et exploite ses data centers en Suisse, avec ses propres équipes. Les logiciels sont développés en interne, sur des fondations open source comme OpenStack, Ceph ou Kubernetes. Le réseau est configuré par les ingénieurs maison. Aucune dépendance stratégique vis-à-vis des hyperscalers étrangers : pas d’AWS en dessous, pas d’Azure en sous-traitance, pas de Google Cloud dans un recoin.

René Luria, CTO d’Infomaniak, résume cette approche en trois mots :

On construit. On possède. On opère.

Pour un développeur, cette maîtrise change tout au quotidien.

Quand un client demande quel chemin prennent ses données, on peut répondre avec précision : pas « quelque part dans le cloud », mais « sur tel serveur, dans tel data center, sur tel switch ». S’il faut tracer un paquet réseau de bout en bout pour résoudre un problème, c’est possible, parce que c’est notre réseau, pas celui d’un tiers.

Cette logique s’étend à l’énergie. Comme le rappelle Boris Siegenthaler, fondateur d’Infomaniak,

Une infrastructure qui dépend de sources d’énergie externes ou instables reste vulnérable. Infomaniak possède ses propres centrales solaires en Suisse et vise 50% d’autoproduction d’ici 2030.

Le D4, un data center d’Infomaniak inauguré en janvier 2025 à Genève, en est l’illustration la plus aboutie. Construit en sous-sol d’un écoquartier coopératif, il déploie 1 800 m² de salles serveurs et fonctionne à 100% à l’énergie renouvelable. Sa particularité : toute la chaleur produite par les serveurs et les composants est récupérée et injectée dans le réseau de chauffage à distance des Services Industriels de Genève.

À pleine charge, le D4 injectera 1,7 MW (soit 14,9 GWh par an) dans le réseau de chaleur, soit l’équivalent du chauffage de 6 000 logements en hiver et 20 000 douches de 5 minutes en été. Sans ce système, Genève devrait brûler 3 600 tonnes équivalent CO₂ de gaz naturel (ou 5 500 tonnes de pellets de bois) pour produire la même chaleur chaque année.

Le projet a reçu le Prix Suisse de l’Éthique et le Prix du développement durable du canton de Genève. Sa conception énergétique est documentée et partagée librement sur d4project.org, pour que d’autres acteurs puissent la reproduire.

2. Utiliser des services IA souverains sans exposer ses données

Imaginez un cabinet d’avocats qui utilise un assistant IA pour résumer un dossier client contenant des données sensibles couvertes par le secret professionnel. Le résumé est pertinent, le gain de temps réel. Sauf que ce dossier vient de transiter par des serveurs situés aux États-Unis, opérés par une entreprise soumise au CLOUD Act. L’information confidentielle a quitté le coffre-fort.

L’intelligence artificielle est devenue un angle mort de la souveraineté numérique. Selon les conditions d’utilisation de la plupart des assistants IA, les requêtes peuvent être conservées et utilisées pour améliorer le modèle.

Ce que vous envoyez peut nourrir le système, et demain, un tiers pourrait en bénéficier indirectement. Des chercheurs ont d’ailleurs démontré qu’il était possible d’extraire des données d’entraînement de ces modèles avec des attaques ciblées.

C’est pour répondre à cet enjeu qu’Infomaniak a développé Euria, son assistant IA, et AI Services pour les entreprises. Les modèles, basés sur des fondations open source comme Mistral, Qwen et Apertus, tournent sur les propres GPU d’Infomaniak, en Suisse. Aucune requête n’est conservée après traitement : ce que vous envoyez est traité, puis oublié.

Pas de logging des prompts, pas de réentraînement à partir de vos données. Le cycle de vie de votre information se résume à : entrée, traitement, sortie, oubli.

L’intégration est cohérente avec l’environnement collaboratif kSuite : Euria fonctionne avec Infomaniak Mail, kChat et kDrive, sans que vos données ne quittent l’écosystème souverain.

Ces modèles ne sont pas les plus puissants du marché, et ce n’est pas l’objectif :

Pour les usages professionnels courants (résumer un document, traduire un texte, analyser un fichier, transcrire un fichier audio) vous n’avez pas besoin du modèle le plus sophistiqué de la planète. Vous avez besoin d’un modèle fiable qui respecte vos données.

3. Un modèle économique qui ne monétise pas les données

Dernier point, et pas des moindres : quand un service est gratuit, comment se finance-t-il ? Dans la plupart des cas, en exploitant les données de ses utilisateurs. Ce n’est pas une accusation, c’est un modèle économique. Et il détermine directement ce qui est fait de vos informations.

Chez Infomaniak, le modèle est différent : vous payez pour un service, et c’est tout.

Chaque fonctionnalité est conçue pour collecter le strict minimum de données nécessaires à son fonctionnement. Pas de suivi publicitaire, pas d’outils d’analyse qui transmettent vos comportements à des tiers, pas de fingerprinting.

L’indépendance d’Infomaniak est structurellement protégée. L’actionnaire de référence d’Infomaniak est une fondation suisse d’utilité publique, qui détient la majorité des droits de vote sous forme d’actions spéciales non cessibles. Aucune OPA hostile, aucun rachat extra-européen ne sont techniquement possibles. Aucun investisseur ne peut imposer une logique court-termiste, ni faire pression pour monétiser les données dans l’espoir de gonfler les marges. Les choix stratégiques d’Infomaniak restent gouvernés par les valeurs inscrites dans la Charte des participations.

Cette indépendance se traduit aussi dans le code. Une part croissante des composantes des services Infomaniak est ouverte en open source sur GitHub, où chacun peut examiner, vérifier et contribuer à améliorer le code. Et pour renforcer la sécurité de l’ensemble, Infomaniak gère un programme de bug bounty qui récompense les chercheurs en cybersécurité signalant des vulnérabilités. Aucune dépendance cachée, aucune porte dérobée.

Ces engagements sont vérifiables. Infomaniak est certifiée B Corp, un label contraignant qui repose sur des audits indépendants réguliers, ISO 14001 pour la gestion environnementale et ISO 50001 pour la performance énergétique. Les émissions carbone sont compensées à 200%, et la durée de vie des serveurs est portée jusqu’à 15 ans, contre 3 à 5 ans dans l’industrie.

Comment choisir un cloud souverain : les 5 questions à se poser

Les critères habituels (hébergé en Europe, conforme au RGPD, clause de confidentialité incluse) ne suffisent plus.

Comme le rappelle Marc Oehler, CEO d’Infomaniak, il faut aller au-delà des grilles d’achat.

Voici cinq questions concrètes pour choisir un cloud souverain, inspirées de la keynote de Léopold Jacquot, qui permettent d’aller au-delà des étiquettes :

  1. Qui contrôle réellement vos données ? Quelle entreprise, dans quel pays, a accès à vos données et à vos clés de chiffrement, au-delà du lieu de stockage ?
  2. Toute la chaîne technique est-elle maîtrisée ? Logiciels, réseau, serveurs, énergie. Un seul maillon dépendant d’un acteur étranger suffit à fragiliser l’ensemble.
  3. Les technologies utilisées sont-elles vérifiables ? Un fournisseur qui s’appuie sur des logiciels open source offre une transparence que les solutions propriétaires ne permettent pas.
  4. Que se passe-t-il si le fournisseur est racheté ? En cas de changement de propriétaire, vos données suivent-elles ? Existe-t-il une procédure claire pour les récupérer et partir ?
  5. Le fournisseur peut-il résister à des pressions juridiques étrangères ? C’est la question la plus difficile à poser, et la plus importante.

La souveraineté numérique n’est pas un argument commercial. C’est une série de choix techniques, économiques et juridiques qui déterminent, en pratique, qui contrôle vos données et vos infrastructures.

La souveraineté des données ne se résume pas à une adresse géographique. La bonne question n’est pas « où sont mes données ? », c’est « qui peut y accéder, et dans quelles conditions ? ».

Le talk de Léopold Jacquot aux Swiss Cyber Security Days de 2026

Cloud souverain : les questions qu’on nous pose le plus

Le CLOUD Act s’applique-t-il aux entreprises européennes ?

Le CLOUD Act vise les entreprises de droit américain, mais dès qu’une entreprise européenne confie ses données à un fournisseur américain (Microsoft, Google, AWS) ou à une de leurs filiales européennes, elle est exposée. En tant que développeur, je le résume comme ça : ce n’est pas l’adresse du serveur qui compte, c’est la juridiction de l’entité qui a la main sur la stack et le logiciel qui traite les données. Et c’est l’entreprise européenne, en tant que responsable de traitement, qui supporte le risque RGPD. C’est pourquoi le choix d’un cloud européen indépendant devient stratégique.

Mes données hébergées en Suisse sont-elles protégées du CLOUD Act ?

Tout dépend de qui opère réellement le service, et de quelles technologies il utilise pour le faire. Si le fournisseur est une entreprise suisse de droit suisse, sans filiale ni structure aux États-Unis, le CLOUD Act ne s’applique pas à l’entité elle-même. C’est notre cas chez Infomaniak : entreprise suisse de droit suisse, data centers en Suisse, équipes en Suisse, aucune entité juridique outre-Atlantique. Mais ça ne suffit pas. Si la stack logicielle repose sur des briques propriétaires américaines (un hyperviseur, une base de données managée, un service de gestion des clés de chiffrement opéré par AWS, Azure ou Google Cloud) la dépendance subsiste. Une mise à jour bloquée, une licence révoquée, et l’opérateur suisse n’a plus la main. La géographie du data center ne fait pas la souveraineté. La couche logicielle non plus, si elle dépend d’un éditeur étranger.

Reste un dernier angle souvent négligé : le rachat éventuel du fournisseur. Une entreprise suisse aujourd’hui peut basculer demain sous une juridiction étrangère. C’est pour cette raison qu’Infomaniak est placée sous l’égide d’une fondation d’utilité publique qui garantit son indépendance dans la durée.

Quelle différence entre cloud souverain, cloud de confiance, SecNumCloud et les clouds souverains des hyperscalers ?

La question fondamentale à se poser est « à quelle juridiction est soumise la maison mère de l’entreprise qui opère mon service » ? Le CLOUD Act ne regarde ni où sont les données, ni qui appuie sur les boutons. Il regarde la nationalité juridique du groupe.

Avec ce filtre, le paysage devient lisible :

  • Les « clouds souverains » des hyperscalers (Microsoft, AWS, Google) sont opérés par des filiales européennes de groupes américains. Quelle que soit la qualité de l’isolation technique, la maison mère reste de droit américain. La juridiction américaine reste opposable.
  • Le cloud de confiance est un label français qui n’exige pas l’indépendance technologique. Les offres labellisées comme Bleu (Orange-Capgemini, technologie Microsoft) ou S3NS (Thales, technologie Google) reposent sur des briques sous licence d’hyperscalers américains. Ce sont des « clouds hybrides ».
  • SecNumCloud, qualification délivrée par l’ANSSI, va beaucoup plus loin : elle impose une immunité aux lois extraterritoriales, garantie par une maîtrise capitalistique européenne. C’est aujourd’hui le seul cadre français qui exclut structurellement le CLOUD Act. Il n’existe pas encore d’équivalent harmonisé au niveau européen.
  • Cloud souverain enfin n’est pas un label mais une notion sans définition légale unique. C’est pour cette raison que tout le monde s’en réclame, des opérateurs réellement indépendants aux filiales d’hyperscalers.

En résumé : un service peut être hébergé en Europe, opéré par des Européens, certifié par des organismes européens, et rester juridiquement accessible depuis Washington. La bonne question à poser à votre fournisseur n’est pas « êtes-vous souverain ? », mais « qui détient la maison mère, et sous quelle juridiction ? »

Mon fournisseur cloud peut-il être racheté par un acteur étranger ?

C’est la question la plus structurante sur le long terme. Une entreprise européenne aujourd’hui peut basculer demain sous une juridiction étrangère, du jour au lendemain, sans que vous puissiez vous y opposer. Vos données suivront.

Trois éléments à vérifier avant de signer :

  • La structure capitalistique. Qui détient les parts ? Une entreprise cotée, un fonds d’investissement ou une holding au capital ouvert peut être rachetée. Une fondation d’utilité publique actionnaire majoritaire, non : ses statuts l’en empêchent juridiquement.
  • Le siège juridique de la maison mère. Un fournisseur français ou suisse détenu majoritairement par un groupe américain est déjà, dans les faits, sous juridiction américaine.
  • L’historique du fournisseur. A-t-il déjà été racheté, fusionné, restructuré ? Quels engagements écrits prend-il sur sa pérennité capitalistique ?

Chez Infomaniak, la Fondation Infomaniak détient les droits de vote majoritaires en tant qu’actionnaire de référence. Cette structure rend une OPA hostile ou un rachat extra-européen juridiquement impossibles, indépendamment de la volonté des dirigeants. C’est un verrou structurel, pas une promesse contractuelle.

Le RGPD suffit-il à me protéger du CLOUD Act ?

Non, et c’est le malentendu le plus répandu chez les DSI.

  • Le RGPD interdit les transferts de données non encadrés,
  • le CLOUD Act les impose.

Les deux textes sont en conflit direct, et l’arrêt Schrems II l’a confirmé en 2020. Quand votre fournisseur est soumis aux deux, il finit par appliquer le droit américain. C’est ce qu’a reconnu Microsoft France au Sénat en juin 2025. Le RGPD est un texte protecteur, mais il ne crée pas un bouclier technique. Le seul vrai bouclier, c’est de ne pas dépendre d’une entité soumise à une juridiction extraterritoriale.

Une PME a-t-elle vraiment besoin d’un cloud souverain ?

Le bon critère, c’est la nature des données. Si une entreprise traite des données clients, des informations stratégiques, de la propriété intellectuelle ou de la donnée de santé, le risque RGPD est exactement le même que pour un grand groupe.

Pour des usages très standards (un site vitrine, une newsletter publique), un cloud public peut suffire. Mais dès que vous touchez à de la donnée sensible, le cloud souverain n’est plus un luxe, c’est un choix d’architecture rationnel. Et contrairement à une idée reçue, ce n’est pas plus cher : chez Infomaniak, à services équivalents, on est en général moins cher qu’AWS, Azure ou Google Cloud, et sans les frais de sortie qui plombent les factures à la fin du mois.

Quelles certifications possède Infomaniak ?

Infomaniak combine plusieurs certifications indépendantes comme ISO 27001, ISO 14001, ISO 50001, ISO 9001 et B Corp qui couvrent à la fois la sécurité, l’environnement et la gouvernance.

À cela s’ajoute une compensation carbone à 200% vérifiée par myclimate. D’autres certifications sont en cours d’obtention pour répondre aux exigences croissantes des secteurs réglementés.

En savoir plus