Souveraineté des données après le Data Privacy Framework : pourquoi l'hébergement européen devient une question d'architecture
Le Data Privacy Framework UE-États-Unis reste valable pour l'instant, mais il est en cours de réexamen. Pourquoi le lieu d'hébergement, le contrôle de l'opérateur et la souveraineté des clés ne sont pas des cases à cocher de conformité, mais des décisions d'architecture à longue demi-vie.
Quiconque transfère des données personnelles vers les États-Unis s’appuie depuis 2023 sur la décision d’adéquation relative au Data Privacy Framework UE-États-Unis (DPF). En septembre 2025, le Tribunal de l’Union européenne a rejeté un recours dirigé contre elle, ce qui laisse au cadre sa valeur de base juridique. Mais l’affaire n’est pas close : fin octobre 2025, un pourvoi a été formé devant la Cour de justice de l’Union européenne (affaire C-703/25 P). Un nouveau renversement, un « Schrems III », n’est pas exclu.
Cette incertitude n’est pas une raison de paniquer, mais une bonne occasion de hisser une question du niveau de la conformité à celui de l’architecture.
Pourquoi c’est plus qu’une case à cocher
La manière commode de gérer les transferts de données consiste à les traiter comme une question contractuelle : tant qu’une décision valable ou des clauses contractuelles types existent, le transfert est couvert. C’est juste sur le plan juridique, mais cela méconnaît le risque réel. Toute base juridique pour les transferts vers des pays tiers est sous réserve depuis des années. Le Safe Harbor est tombé en 2015, le Privacy Shield en 2020, et le cadre actuel fait l’objet d’un contrôle judiciaire. Aligner son architecture sur une base juridique qui vacille tous les quelques années, c’est intégrer une dépendance que l’on ne contrôle pas.
La question la plus robuste n’est pas « le transfert est-il couvert », mais « le transfert a-t-il seulement lieu ». Des données qui ne quittent pas l’UE et auxquelles aucun pays tiers n’a accès n’ont besoin d’aucune décision d’adéquation.
Trois décisions d’architecture
Le lieu d’hébergement. L’endroit où les données résident physiquement est la première décision, et la plus visible. Un centre de données à Francfort plutôt que dans une région américaine en est le fondement, mais ne suffit pas à lui seul, car le lieu ne dit rien, à lui seul, du contrôle.
Le contrôle de l’opérateur. Ce qui est déterminant, c’est qui a, en droit et en fait, accès aux données et à l’infrastructure. Un serveur situé dans l’UE mais exploité par une entreprise soumise à un droit tiers assorti d’obligations de communication étendues ne résout le problème qu’à moitié. La question du droit applicable à l’opérateur relève donc de l’architecture, et pas seulement du contrat.
La souveraineté des clés. Qui détient les clés contrôle l’accès. Un chiffrement où seul le client dispose des clés rend techniquement inopérant tout accès par un tiers, même s’il était juridiquement contraint. La souveraineté des clés fait passer le contrôle d’une promesse à une propriété technique.
La souveraineté par défaut, et non en rattrapage
Ces trois décisions ne se modifient qu’à grand-peine et à grands frais après coup. Elles ont leur place au début d’une architecture, et non dans un projet qui ne démarre qu’une fois qu’un tribunal a renversé la décision suivante. C’est exactement ce que signifie la souveraineté dès la conception : non pas sécuriser un transfert après coup, mais une conception qui rend le transfert problématique inutile dès le départ.
Dans notre plateforme, l’hébergement européen à Francfort est le réglage par défaut, et non l’option premium. Le point lui-même est cependant indépendant du fournisseur : qui règle tôt le lieu, le contrôle de l’opérateur et la souveraineté des clés se rend indépendant du prochain revirement judiciaire.
Le Data Privacy Framework survivra peut-être au réexamen actuel, ou non. Une architecture qui ne dépend pas de la réponse est, dans les deux cas, le choix le plus serein.