Votre organisation s'appuie sur des dizaines de services cloud. E-mail dans Microsoft 365, CRM dans Salesforce, analytics dans Google Cloud, stockage de fichiers dans Dropbox. Chacun de ces services traite vos données dans une juridiction spécifique, sous des cadres juridiques spécifiques, avec des conditions de sortie spécifiques. La souveraineté des données est la question de savoir qui contrôle finalement ces données — et si vous pouvez les déplacer si nécessaire.

Pour les PME européennes, cette question est passée de théorique à urgente. La combinaison de l'application du RGPD, de l'arrêt Schrems II, du Data Act européen et du Digital Markets Act a créé un environnement réglementaire où savoir où se trouvent vos données et à quel point vous dépendez de fournisseurs spécifiques n'est plus optionnel. C'est une exigence de conformité.

Ce que signifie réellement la souveraineté numérique

La souveraineté numérique est plus large que la résidence des données. Elle couvre trois dimensions :

Souveraineté des données — qui a la juridiction légale sur vos données, et sous quelles conditions des gouvernements étrangers ou des tiers peuvent-ils y accéder. Lorsque vos données se trouvent sur des serveurs aux États-Unis, elles sont soumises au droit américain, y compris le CLOUD Act et la FISA Section 702, indépendamment des arrangements contractuels.

Souveraineté technologique — à quel point vous dépendez de fournisseurs spécifiques pour votre infrastructure critique. Si votre authentification passe par un seul fournisseur d'identité, votre stratégie de sauvegarde repose sur un fournisseur cloud et votre communication dépend d'une plateforme, vous avez un risque de concentration qui va au-delà de la protection des données.

Souveraineté opérationnelle — si vous pouvez extraire, migrer et poursuivre vos opérations si un fournisseur modifie ses conditions, augmente ses prix, est acquis ou devient indisponible. C'est la dimension du vendor lock-in que de nombreuses organisations sous-estiment jusqu'à ce qu'elles y soient confrontées.

Pourquoi c'est important maintenant

Plusieurs développements réglementaires ont convergé pour faire de l'évaluation de la souveraineté une nécessité pratique :

Les suites de Schrems II. La Cour de justice de l'Union européenne a invalidé le Privacy Shield en juillet 2020, et le cadre de remplacement EU-US Data Privacy Framework (adopté en juillet 2023) reste sous examen juridique. Les organisations transférant des données personnelles vers les États-Unis doivent réaliser des Transfer Impact Assessments (TIA) documentant la base juridique de chaque transfert et les mesures complémentaires en place.

EU Data Act. En vigueur depuis septembre 2025, le Data Act donne aux utilisateurs le droit de changer de fournisseur cloud et interdit aux fournisseurs d'imposer des coûts de changement déraisonnables. Il exige que les services cloud facilitent la portabilité des données dans des formats lisibles par machine.

Digital Markets Act. En désignant des contrôleurs d'accès (Alphabet, Amazon, Apple, Meta, Microsoft, ByteDance) et en exigeant l'interopérabilité, le DMA renforce le fait que les organisations ne doivent pas être enfermées dans des écosystèmes sans alternatives.

Maturité de l'application du RGPD. Les autorités de protection des données à travers l'Europe sont passées de l'orientation à l'application. La DPC irlandaise a infligé à Meta une amende de 1,2 milliard d'euros en 2023 pour des violations systématiques de transferts. Les petites organisations ne sont pas exemptées de ces exigences — elles font simplement l'objet d'un examen proportionnel.

Trois questions auxquelles chaque organisation devrait répondre

Avant de plonger dans les outils et les cadres, chaque organisation devrait pouvoir répondre à trois questions fondamentales de souveraineté :

1. Où se trouvent réellement nos données ?

Pas là où vous pensez qu'elles se trouvent — là où elles se trouvent réellement. Votre e-mail est peut-être hébergé dans l'UE, mais le service de filtrage des spams les traite via une infrastructure basée aux États-Unis. Votre stockage cloud a peut-être une région UE sélectionnée, mais les fonctionnalités IA du fournisseur peuvent acheminer les données via des points d'inférence mondiaux. Votre service de sauvegarde peut répliquer vers une juridiction que vous n'avez pas explicitement choisie.

Pour chaque service, documentez : le pays de traitement principal, les éventuels sous-traitants dans d'autres juridictions, et si les données sont transférées en dehors de l'EEE.

2. À quel point dépendons-nous de fournisseurs spécifiques ?

L'évaluation du vendor lock-in devrait couvrir plusieurs dimensions :

  • Exportabilité des données. Pouvez-vous exporter toutes vos données dans un format standard et lisible par machine ? Combien de temps cela prendrait-il ? Quel est le coût ?
  • Dépendance fonctionnelle. Si ce fournisseur disparaissait demain, des alternatives existent-elles qui pourraient le remplacer dans un délai raisonnable ?
  • Profondeur d'intégration. Combien d'autres systèmes dépendent des API, de l'authentification ou des formats de données de ce fournisseur ?
  • Verrouillage contractuel. Quels sont les délais de préavis, les pénalités de résiliation anticipée et les obligations de conservation des données après résiliation ?

3. Les transferts transfrontaliers sont-ils correctement protégés ?

Pour chaque transfert de données en dehors de l'EEE, vous devez documenter :

  • La base juridique (décision d'adéquation, clauses contractuelles types, règles d'entreprise contraignantes ou une dérogation)
  • Un Transfer Impact Assessment évaluant le cadre juridique dans le pays de destination
  • Les éventuelles mesures complémentaires (chiffrement, pseudonymisation, engagements contractuels)

Décisions d'adéquation de l'UE — la voie simple

La base juridique la plus simple pour les transferts internationaux est une décision d'adéquation de la Commission européenne. Ces décisions reconnaissent qu'un pays tiers offre un niveau de protection des données essentiellement équivalent à celui de l'UE.

Début 2026, les décisions d'adéquation couvrent : Andorre, Argentine, Canada (organisations commerciales sous PIPEDA), Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, République de Corée, Suisse, Royaume-Uni, Uruguay et les États-Unis (sous le EU-US Data Privacy Framework, limité aux organisations certifiées).

Si votre prestataire de services se trouve dans l'un de ces pays et opère dans le cadre pertinent, les transferts sont autorisés sans garanties supplémentaires. Pour tous les autres pays, des clauses contractuelles types et un TIA sont requis.

Le vendor lock-in comme risque de souveraineté

Le vendor lock-in est souvent discuté comme un risque commercial — coûts de changement, augmentations de prix, renouvellements de contrats défavorables. Mais c'est aussi un risque de souveraineté et de conformité.

Si vous ne pouvez pas exporter vos données d'un fournisseur, vous ne pouvez pas exercer les droits prévus par l'article 20 du RGPD (portabilité des données) au nom de vos personnes concernées. Si votre fournisseur est acquis par une entreprise dans une juridiction sans décision d'adéquation, votre base de transfert peut disparaître du jour au lendemain. Si votre fournisseur modifie sa liste de sous-traitants pour inclure des entités dans des juridictions problématiques, vous devrez peut-être vous y opposer dans le cadre de votre accord de traitement des données — et avoir un plan de sortie prêt si l'opposition échoue.

Le Data Act européen le confirme : les fournisseurs de services cloud doivent offrir l'export des données dans des formats couramment utilisés, à un coût raisonnable, avec des délais de préavis raisonnables. Mais l'obligation vous incombe de vérifier que vos fournisseurs respectent effectivement ces exigences — et d'avoir testé le processus d'exportation avant d'en avoir besoin sous pression.

Étapes pratiques pour l'évaluation de la souveraineté

Étape 1 : Inventorier tous les services par pays. Pour chaque service de données de votre organisation, documentez où les données sont principalement traitées et stockées. Incluez les sous-traitants et leurs juridictions.

Étape 2 : Évaluer les dépendances fournisseurs. Pour chaque service, évaluez l'exportabilité des données, la disponibilité d'alternatives, la profondeur d'intégration et les conditions contractuelles de sortie. Notez le risque de verrouillage.

Étape 3 : Documenter les garanties de transfert. Pour chaque transfert transfrontalier, enregistrez la base juridique, réalisez ou mettez à jour le Transfer Impact Assessment, et notez les éventuelles mesures complémentaires.

Étape 4 : Planifier les stratégies de sortie. Pour les services critiques, documentez un plan de migration. Dans quel format les données peuvent-elles être exportées ? Combien de temps prendrait la migration ? Quel est le coût ? Testez le processus d'exportation au moins annuellement.

Étape 5 : Réviser régulièrement. Les décisions d'adéquation peuvent être contestées. Les listes de sous-traitants des fournisseurs changent. De nouvelles réglementations entrent en vigueur. Faites de l'évaluation de la souveraineté une partie de votre révision annuelle de la protection des données.

Comment Readmodel® vous aide

Readmodel® fournit les outils pour exécuter chacune de ces étapes de manière systématique :

  • Suivi par pays — chaque service de données enregistre son pays de traitement, ce qui permet d'identifier facilement tous les traitements hors EEE d'un seul coup d'oeil.
  • Évaluation du vendor lock-in — le module de résilience évalue l'exportabilité des données, la dépendance fournisseur et l'état de préparation à la sortie pour chaque service.
  • Documentation du Transfer Impact Assessment — pour chaque transfert de données, vous pouvez documenter le type de transfert, le mécanisme juridique (SCCs, adéquation, BCRs) et les mesures complémentaires.
  • Vue d'ensemble de la souveraineté — le tableau de bord affiche la distribution géographique de vos services et met en évidence les risques de concentration.
  • Intégration ROPA — toute la documentation de transfert alimente directement votre registre des activités de traitement, prêt pour les demandes de l'autorité de contrôle.

La souveraineté des données n'est pas un projet ponctuel. C'est une discipline opérationnelle continue — comprendre où se trouvent vos données, qui les contrôle et ce qui se passe lorsque les circonstances changent. Les organisations qui la traitent comme telle trouveront la conformité moins contraignante et leur infrastructure numérique plus résiliente.