Ouvrez n'importe quelle plaquette de logiciel MJPM : « Hébergé en France » figure presque systématiquement dans les arguments commerciaux. Et c'est devenu si banal qu'on oublie de poser la vraie question : de quelle "France" parle-t-on ?

Ce qu'il faut retenir

« Hébergé en France » ne dit rien sur le droit qui s'applique à vos données. Un datacenter peut être physiquement à Roubaix tout en étant juridiquement soumis aux autorités américaines.

01.La distinction qui change tout

Quand un éditeur affirme être « hébergé en France », deux interprétations sont possibles, et la différence est colossale :

🇺🇸

« France » physique seulement

Le serveur est géographiquement sur le sol français, mais l'opérateur (ou sa maison-mère) est une entreprise de droit américain.

  • Exemples : AWS Paris, Azure France, GCP Paris
  • Datacenter à 30 km de chez vous
  • Société-mère à Seattle ou Redmond
Soumis au Cloud Act
🇫🇷

« France » physique et juridique

Le serveur est en France et l'opérateur est une société de droit français ou européen, sans capital de contrôle américain.

  • Exemples : OVH, Scaleway, Outscale
  • Datacenter en France
  • Société de droit français
Hors Cloud Act
Schéma 1 — Les deux interprétations possibles de « hébergé en France ».

02.Le Cloud Act, en clair

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi américaine de 2018. Elle permet aux autorités américaines (FBI, justice fédérale) d'accéder aux données détenues par toute entreprise sous juridiction américaine, où qu'elles soient stockées physiquement dans le monde.

Concrètement : si votre éditeur héberge sur AWS Paris, vos données sont en France géographiquement, mais juridiquement accessibles aux autorités américaines sur réquisition — sans que ni vous, ni l'éditeur, ni le juge français ne soient nécessairement informés.

Pour des dossiers de protection juridique des majeurs (jugements, identité, comptes bancaires, dossiers médicaux), c'est une question de fond. La CNIL et l'ANSSI ont d'ailleurs émis plusieurs recommandations sur le sujet.

03.Le panorama des hébergeurs

Voici les opérateurs qu'on retrouve le plus souvent derrière les logiciels métier en France, avec leur statut juridique réel :

Hébergeur Datacenter Droit applicable Cloud Act
OVHcloud 🇫🇷 France Français Non
Scaleway 🇫🇷 France Français Non
Outscale (Dassault) 🇫🇷 France Français · qualifié SecNumCloud Non
Clever Cloud 🇫🇷 France Français Non
AWS Paris 🇫🇷 France 🇺🇸 Américain (Amazon) Oui
Azure France 🇫🇷 France 🇺🇸 Américain (Microsoft) Oui
Google Cloud Paris 🇫🇷 France 🇺🇸 Américain (Google) Oui
"Bleu" (Microsoft × Capgemini × Orange) 🇫🇷 France Français · partenariat sous Azure À surveiller
Tableau 1 — Datacenter ≠ droit applicable. La même mention "Hébergé en France" recouvre des réalités opposées.

04.Comment vérifier en 3 minutes

Vous n'avez pas besoin d'être avocat ni DSI pour faire la vérification. Voici la méthode :

  1. Demandez l'opérateur exact à votre éditeur : pas seulement "le cloud" ou "France", mais le nom de l'hébergeur (ex : "OVHcloud, datacenter SBG3 à Strasbourg").
  2. Vérifiez les mentions légales de cet hébergeur : la rubrique "Mentions légales" ou "Politique de confidentialité" indique le statut juridique. Si la maison-mère est aux États-Unis : Cloud Act applicable.
  3. Cherchez les certifications : SecNumCloud (qualification ANSSI) et HDS (Hébergeur de Données de Santé, si vous traitez des données médicales) sont les deux références françaises sérieuses. Le label "ISO 27001" tout seul n'écarte pas le Cloud Act.
Red flag

L'éditeur ne peut pas vous donner le nom de son hébergeur, ou le donne mais ne sait pas si la société-mère est américaine. C'est une réponse à laquelle un éditeur sérieux a réfléchi avant que vous posiez la question.

Et concrètement, vous en faites quoi ?

Si votre éditeur actuel héberge chez un acteur soumis au Cloud Act, ce n'est pas une catastrophe immédiate — la majorité des dossiers ne déclenchera jamais de réquisition US. Mais c'est une posture de risque qu'il faut connaître, documenter, et idéalement traiter à terme : soit en faisant migrer l'éditeur vers un hébergeur français, soit en changeant d'éditeur.

Si vous êtes en cours de choix : c'est un critère de discrimination pertinent. À prestations équivalentes, un éditeur hébergé chez un acteur de droit français est plus solide pour un MJPM. Et les acteurs français du cloud sont aujourd'hui matures techniquement — l'argument "le cloud US est plus performant" ne tient plus en 2026.

Et chez Aidalys ?

Aidalys héberge en France juridique

Aidalys, éditeur de ce guide, applique le critère qu'il défend : hébergement chez un opérateur français de droit français, hors juridiction Cloud Act. Tout est documenté.

Voir la page sécurité d'Aidalys ↗