Cloud souverain : pourquoi les collectivités doivent s'y intéresser

Le problème : vos données citoyennes chez des hébergeurs étrangers

La majorité des collectivités françaises utilisent aujourd'hui des services cloud hébergés par des entreprises américaines : Microsoft 365, Google Workspace, AWS. Ces outils sont performants, mais ils posent un problème fondamental de souveraineté.

Le Cloud Act

Depuis 2018, le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) autorise les autorités américaines à exiger l'accès aux données stockées par des entreprises américaines, y compris si ces données sont hébergées en Europe. Concrètement : les données d'état civil, les dossiers sociaux et les documents d'urbanisme de vos citoyens sont potentiellement accessibles par un gouvernement étranger.

Un risque juridique réel

Le RGPD interdit le transfert de données personnelles vers des pays ne garantissant pas un niveau de protection équivalent à l'UE. L'utilisation de services cloud américains place de fait les collectivités dans une zone grise juridique que plusieurs décisions de la CJUE ont déjà sanctionnée.

Qu'est-ce que le cloud souverain ?

Un cloud est dit souverain quand il répond à trois critères :

• Hébergement en France : les serveurs sont physiquement situés sur le territoire national
• Droit français : les données sont exclusivement soumises à la législation française et européenne
• Opérateur français : l'entreprise qui opère l'infrastructure est de droit français, sans actionnariat étranger majoritaire

Les acteurs français

• OVHcloud : leader européen, datacenters en France, certifié SecNumCloud (en cours)
• Scaleway : filiale d'Iliad (Free), datacenters à Paris et Amsterdam
• Outscale : filiale de Dassault Systèmes, qualifié SecNumCloud
• NumSpot : consortium Docaposte/Dassault/Bouygues/Banque des Territoires

SecNumCloud : le label de confiance

SecNumCloud est la qualification délivrée par l'ANSSI aux prestataires de services cloud qui respectent les exigences les plus strictes en matière de sécurité et de souveraineté. C'est le standard de référence pour les données sensibles des collectivités.

Ce que garantit SecNumCloud

• Protection contre les lois extraterritoriales (Cloud Act, FISA)
• Chiffrement des données au repos et en transit
• Audit de sécurité régulier par l'ANSSI
• Localisation des données exclusivement en France
• Gouvernance européenne de l'opérateur

Les données concernées en priorité

Toutes les données n'ont pas le même niveau de sensibilité. Voici les catégories à migrer en priorité :

Données critiques (migration urgente)

• État civil : actes de naissance, mariage, décès
• Données sociales : CCAS, aides sociales, quotient familial
• Données de santé : PMI, centres de santé municipaux
• Données fiscales : taxe de séjour, redevances

Données sensibles (migration recommandée)

• Urbanisme : permis de construire, PLU, cadastre
• Ressources humaines : paie, dossiers agents
• Marchés publics : offres, documents contractuels

Données courantes (migration souhaitable)

• Messagerie professionnelle
• Documents de travail collaboratifs
• Sites web et portails citoyens

Combien ça coûte ?

Contrairement aux idées reçues, le cloud souverain n'est pas nécessairement plus cher. Pour une collectivité de 10 000 à 50 000 habitants :

• OVHcloud Public Cloud : à partir de 20€/mois par serveur virtuel
• Stockage objet souverain : environ 0.01€/Go/mois
• Messagerie souveraine : 3 à 8€/utilisateur/mois

Le surcoût éventuel par rapport aux hyperscalers américains est généralement de l'ordre de 10 à 20%, largement compensé par la conformité juridique et la réduction du risque.

Par où commencer ?

1. Cartographier l'existant

Inventorier tous les services cloud utilisés, les données qu'ils hébergent et les contrats en cours. Un audit de souveraineté est le point de départ idéal.

2. Prioriser la migration

Commencer par les données les plus sensibles. Ne pas chercher à tout migrer d'un coup.

3. Choisir les bons partenaires

Privilégier les hébergeurs qualifiés ou en cours de qualification SecNumCloud. Vérifier les certifications (ISO 27001, HDS pour les données de santé).

4. Former les équipes

La migration technique n'est rien sans l'accompagnement humain. Les agents doivent être formés aux nouveaux outils.

La souveraineté numérique n'est pas un concept abstrait. C'est la garantie concrète que les données de vos citoyens restent sous la protection du droit français — et de personne d'autre.

Pour comprendre les conséquences concrètes d'une perte de contrôle sur les données, consultez nos cas concrets d'incidents sur des collectivités françaises.

SOCLE. accompagne les collectivités dans leur transition vers un hébergement souverain, du diagnostic initial à la migration opérationnelle. Nous consulter.