Souveraineté des données du Trust Center : hébergement UE vs. souveraineté UE

La plupart des plateformes Trust Center américaines proposent désormais un hébergement dans l'UE. La case est cochée. Le centre de données est à Francfort ou Dublin. Votre équipe achats voit « hébergé dans l'UE » et passe au point suivant.

Mais résidence des données et souveraineté des données ne sont pas la même chose. Et pour un Trust Center en particulier — une plateforme qui stocke et partage votre documentation de sécurité la plus sensible — la distinction a des conséquences commerciales et juridiques.

La distinction

La résidence des données signifie que vos données sont physiquement stockées dans l'UE. Les serveurs sont dans des centres de données européens. Les bits résident sur le sol européen.

La souveraineté des données signifie que vos données sont soumises à la juridiction légale européenne — et uniquement à la juridiction légale européenne. Aucun gouvernement étranger ne peut contraindre le fournisseur à remettre vos données en vertu de sa propre législation nationale.

Vous pouvez avoir la résidence sans la souveraineté. Une entreprise constituée aux États-Unis exploitant des centres de données dans l'UE fournit la résidence. Mais en tant qu'entité juridique américaine, elle reste soumise au droit américain — y compris le CLOUD Act.

Vous ne pouvez pas avoir la souveraineté sans la résidence. Mais la résidence seule ne suffit pas.

Pourquoi c'est encore plus important pour les Trust Centers

Chaque outil SaaS fait face à la question résidence vs. souveraineté. Mais pour la plupart des catégories — gestion de projet, CRM, communication — la sensibilité des données est modérée. Le risque pratique d'une demande CLOUD Act ciblant vos tickets Jira est faible.

Les Trust Centers sont différents. Par conception, ils contiennent la documentation la plus sensible sur votre posture de sécurité :

Rapports de tests de pénétration détaillant les vulnérabilités et l'état de remédiation
Documentation d'architecture de sécurité décrivant votre infrastructure
Preuves de conformité incluant rapports d'audit, évaluations de contrôles et périmètres de certification
Listes de sous-traitants avec flux de données et localisations de traitement
Documentation de réponse aux incidents incluant les analyses post-incident
Résumés de politiques internes révélant la structure de votre programme de sécurité

C'est précisément le type d'information qui rend la question de la souveraineté opérationnellement pertinente, et non théorique. Si un gouvernement étranger peut légalement contraindre l'accès aux données de votre Trust Center, il peut accéder à une vue structurée, actuelle et exhaustive de votre posture de sécurité — quelque chose qui nécessiterait normalement un effort de renseignement considérable pour être compilé.

Le problème du CLOUD Act

Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) donne aux forces de l'ordre américaines le pouvoir de contraindre les entreprises constituées aux États-Unis à produire des données en leur possession, garde ou contrôle — indépendamment de l'endroit où ces données sont physiquement stockées.

Cela crée un conflit direct avec le RGPD. L'article 48 stipule que tout transfert de données personnelles vers une autorité d'un pays tiers sur la base d'un jugement d'un tribunal étranger ou d'une décision administrative ne sera reconnu ou applicable que s'il est fondé sur un accord international. Le CLOUD Act n'est pas fondé sur un tel accord.

Le fournisseur est pris entre deux systèmes juridiques :

Le droit américain dit : Remettez les données lorsqu'un ordre juridique valide vous est présenté.
Le droit de l'UE dit : Ne remettez pas les données sauf si la demande passe par les canaux appropriés d'entraide judiciaire.

Pour votre Trust Center, cela crée un problème pratique : votre documentation de sécurité la plus sensible est stockée sur une plateforme où un gouvernement étranger dispose d'un mécanisme légal pour exiger l'accès, indépendamment de l'emplacement physique des données.

« Mais cela n'est jamais arrivé à un Trust Center »

C'est probablement vrai. Les demandes CLOUD Act ont ciblé les communications, les données financières et les preuves pénales — pas les plateformes Trust Center. Mais le mécanisme juridique existe, et l'exposition de conformité est réelle.

Plus important encore, c'est déjà un facteur d'approvisionnement. Les acheteurs enterprise européens — en particulier dans les secteurs réglementés — incluent l'exposition au CLOUD Act dans leurs évaluations de risques fournisseurs. Si votre plateforme Trust Center crée un risque CLOUD Act, ce risque se propage à chaque client qui s'appuie sur votre Trust Center pour sa propre conformité de chaîne d'approvisionnement.

Il ne s'agit pas de savoir si une demande aura lieu. Il s'agit de savoir si le risque structurel existe et si les équipes conformité de vos clients le signaleront.

Ce que « hébergé dans l'UE » signifie réellement chez les fournisseurs américains

Les plateformes Trust Center américaines proposent généralement un hébergement UE via l'une de ces configurations :

Région de centre de données UE

Le fournisseur exploite (ou loue) des serveurs dans des centres de données UE. Vos données au repos sont dans l'UE. C'est une véritable résidence des données.

Mais l'entité juridique du fournisseur — la personne morale qui contrôle l'infrastructure, emploie les ingénieurs et répond aux ordres juridiques — est aux États-Unis. Le CLOUD Act suit l'entité juridique, pas les données.

Instance spécifique UE

Certains fournisseurs proposent une instance UE séparée — parfois avec un domaine séparé, une équipe support séparée ou des frontières opérationnelles séparées. C'est une posture plus robuste qu'un simple choix de région.

Mais si l'instance UE est exploitée par une filiale d'une maison mère américaine, le CLOUD Act peut atteindre la maison mère. Et si les équipes support, ingénierie ou opérations sont partagées entre les instances US et UE, la séparation pratique peut être moins robuste que ce que le marketing suggère.

Hébergement UE au niveau entreprise

De nombreux fournisseurs américains proposent l'hébergement UE uniquement aux niveaux de prix entreprise. Cela signifie :

Les start-ups et entreprises mid-market sont par défaut sur un hébergement US
L'hébergement UE est un surcoût, pas une option par défaut
L'architecture de l'entreprise n'a pas été conçue UE-first ; l'hébergement UE a été ajouté par la suite

Pour le marché des Trust Centers en particulier, cela crée une dynamique ironique : les entreprises les plus concernées par NIS2 (la longue traîne d'entités importantes, dont beaucoup sont mid-market) sont celles qui ont le moins de chances d'accéder aux fonctionnalités d'hébergement UE.

Ce que requiert une véritable souveraineté des données

Pour qu'un Trust Center offre une véritable souveraineté des données, il faut plus qu'un centre de données dans l'UE.

Structure juridique UE

Le fournisseur doit être constitué dans un État membre de l'UE — pas en tant que filiale d'une maison mère américaine, mais en tant qu'entité dont les obligations juridiques ultimes sont envers les autorités européennes. C'est la seule défense structurelle contre les lois extraterritoriales d'accès aux données.

Infrastructure UE par défaut

L'hébergement UE doit être la configuration par défaut, pas un surcoût entreprise. Si vous devez négocier ou payer un supplément pour l'hébergement UE, la plateforme n'a pas été conçue pour la souveraineté UE — elle a été conçue pour des opérations US avec l'UE comme marché secondaire.

Souveraineté opérationnelle

Les interactions de support, le traitement des logs, les analytics et les données opérationnelles doivent tous rester dans la juridiction UE. Une plateforme qui stocke le contenu de votre Trust Center dans l'UE mais traite les données opérationnelles aux États-Unis présente une faille de souveraineté.

Souveraineté de la chaîne de sous-traitants

Les sous-traitants du fournisseur comptent aussi. Si la plateforme Trust Center utilise des services d'analytics, de monitoring ou d'infrastructure basés aux États-Unis, ces sous-traitants peuvent créer une exposition au CLOUD Act même si le fournisseur principal est basé dans l'UE. Un Trust Center véritablement souverain opère avec une chaîne de sous-traitants UE.

Comment évaluer la souveraineté en pratique

Lors de l'évaluation de la posture de souveraineté d'une plateforme Trust Center, posez ces questions :

Structure juridique : Où le fournisseur est-il constitué ? Y a-t-il une maison mère américaine, une société holding ou un investisseur majoritaire qui crée une exposition juridique aux États-Unis ?

Hébergement par défaut : L'hébergement UE est-il le défaut pour tous les clients, ou est-ce une fonctionnalité réservée au niveau entreprise ? Que se passe-t-il si vous commencez sur un niveau inférieur — vos données sont-elles par défaut hébergées aux États-Unis ?

Données opérationnelles : Où les logs, analytics, tickets de support et métadonnées opérationnelles sont-ils traités ? Cela est-il couvert par le même engagement d'hébergement UE que le contenu du Trust Center lui-même ?

Sous-traitants : Qui sont les sous-traitants du fournisseur ? Où sont-ils constitués et où traitent-ils les données ? La liste des sous-traitants est-elle publique, ou devez-vous signer un NDA pour la voir ?

Réponse aux incidents : Si un gouvernement étranger fait une demande d'accès aux données, quelle est la procédure documentée du fournisseur ? A-t-il publié un rapport de transparence ?

Conditions contractuelles : Le DPA traite-t-il explicitement le risque CLOUD Act ? Le fournisseur s'engage-t-il à contester les demandes extraterritoriales ?

La réalité de l'approvisionnement

Ce n'est pas un débat juridique abstrait. C'est un facteur d'approvisionnement qui devient de plus en plus déterminant chaque année.

Sous NIS2, les entités essentielles et importantes doivent aborder la sécurité de la chaîne d'approvisionnement. Leurs évaluations de risques fournisseurs incluent de plus en plus l'évaluation de la souveraineté des données — pas seulement « où sont les données » mais « qui peut y accéder légalement ».

Sous DORA, les entités financières doivent évaluer le risque lié aux tiers TIC, y compris l'environnement juridique et réglementaire de la juridiction du fournisseur. Un Trust Center sur une infrastructure contrôlée par les États-Unis crée un facteur de risque que les entités financières doivent documenter et justifier.

Les DPO, RSSI et équipes achats européens posent ces questions. Ils incluent des critères de souveraineté dans les appels d'offres. Ils signalent l'exposition au CLOUD Act dans les registres de risques fournisseurs.

Si votre Trust Center crée cette exposition pour vos clients, cela devient leur problème de conformité. Et les problèmes de conformité n'accélèrent pas les deals — ils les bloquent.

Sources

US CLOUD Act (H.R. 4943) — Dispositions d'accès extraterritorial aux données.
RGPD Article 48 — Transferts non autorisés par le droit de l'Union.
RGPD Article 28 — Obligations du sous-traitant et transparence des sous-traitants ultérieurs.
Directive (UE) 2022/2555 (NIS2) — Obligations de sécurité de la chaîne d'approvisionnement.
Règlement (UE) 2022/2554 (DORA) — Gestion des risques liés aux tiers TIC, y compris l'évaluation juridictionnelle.
Schrems II (Affaire C-311/18) — Arrêt de la CJUE invalidant le Privacy Shield, établissant un seuil plus élevé pour les transferts internationaux de données.