Données hébergées en Europe : la localisation ne suffit pas face à l’extraterritorialité du droit

De la localisation au contrôle

Dans le cadre de nombreux projets IT, en particulier dans les environnements cloud, la localisation des données dans l’Union européenne s’est imposée au fil des années. Pour de nombreuses entreprises, notamment dans des secteurs réglementés, cette localisation est devenue un critère.

Cette approche repose sur l’idée, trop largement répandue, selon laquelle l’hébergement des données dans l’Union européenne permettrait de les sécuriser. Or, face à des environnements cloud qui ne connaissent plus de frontières, portés par des entités globales, cette lecture apparaît aujourd’hui insuffisante.

L’hébergement sur un territoire donné revêt une importance certaine, mais il ne saurait, à lui seul, constituer une garantie suffisante de maîtrise des données face à l’application de droits de pays tiers.

Certains États peuvent, au travers de leur droit interne, imposer à des entreprises relevant de leur juridiction la communication de données, bien que celles-ci soient physiquement stockées à l’étranger.

Une donnée peut être physiquement stockée dans l’UE tout en étant contrôlée par une entité soumise à un droit étranger. C’est bien ici la limite du critère de localisation. Certains États peuvent, au travers de leur droit interne, imposer à des entreprises relevant de leur juridiction la communication de données, bien que celles-ci soient physiquement stockées à l’étranger.

Cette logique se retrouve dans le droit américain. Le CLOUD Act, sous certaines conditions, peut exiger d’un fournisseur de services de communication électronique, ou de services cloud soumis à la juridiction américaine, la communication de données ; dès lors que celles-ci sont « in its possession, custody or control », indépendamment du lieu où elles sont hébergées.

Ce glissement du critère de localisation vers une approche fondée sur l’accès aux données s’illustre de manière particulièrement nette dans la jurisprudence européenne, notamment dans l’arrêt Schrems II.

La Cour de justice de l’Union européenne y rappelle qu’en matière de transfert de données à caractère personnel, le niveau de protection ne doit pas être apprécié uniquement au regard des flux de transfert effectifs, mais également au regard des lois du pays tiers susceptibles de permettre l’accès aux données par les autorités.

Dans ce prolongement, l’interprétation du Règlement général sur la protection des données (RGPD) a évolué sans modification de son texte. Le raisonnement ne repose plus uniquement sur l’existence d’un transfert effectif de données hors de l’Union, mais sur la possibilité juridique et effective d’y accéder depuis un pays tiers.

Cela transparaît de l’évolution de l’environnement réglementaire européen. L’Union européenne a en effet progressivement structuré un corpus de textes qui ne se limite plus à la seule question de la localisation, mais qui vise plus largement la maîtrise des données, leurs conditions d’accès et les dépendances vis-à-vis des fournisseurs.

Au niveau national, ce changement de paradigme se traduit de manière très concrète au travers du référentiel SecNumCloud, piloté par l’ANSSI, qui impose d’aller au-delà du critère de localisation. SecNumCloud repose sur une logique de contrôle effectif des données et impose des exigences d’indépendance juridique des prestataires afin de limiter l’exposition à des droits étrangers.

La notion de contrôle face à l’extraterritorialité du droit

La communication de données, par une entité visée par une demande d’une autorité, suppose que celle-ci dispose d’un pouvoir effectif de contrôle sur les données concernées. L’entité, afin de satisfaire à la demande, doit donc être en mesure d’accéder aux données ou de les obtenir. À défaut, la demande se heurtera à une impossibilité d’exécution, faute pour l’entité de pouvoir transmettre les données demandées.

Ce point est essentiel. Cela signifie que le simple fait pour une société d’appartenir à un groupe international qui a une société sœur établie sur un territoire donné ne suffit pas à ce que les autorités de ce territoire puissent sommer la société sœur de lui communiquer des données en possession de la société établie en dehors de ce territoire. L’autorité devra démontrer que la société sœur établie au sein du territoire dispose d’un contrôle effectif sur ces données.

Dans ce contexte, l’organisation juridique et technique des acteurs joue un rôle déterminant. Une séparation effective entre entités, ou encore une gestion autonome des infrastructures peuvent contribuer à exclure l’existence d’un contrôle, et ainsi limiter la portée de demandes émanant d’autorités étrangères.

À l’inverse, une intégration forte des systèmes ou des droits étendus au sein d’un groupe sont des éléments susceptibles d’établir l’existence d’un contrôle, et donc de justifier une demande d’accès.

Le cas OVHcloud

L’importance de cette distinction apparaît de manière particulièrement nette dans la décision rendue le 19 septembre 2025 par la Cour de justice de l’Ontario[1] dans l’affaire OVH.

Dans cette affaire, les autorités canadiennes ont demandé à l’entité mère du groupe OVH, établie à Paris, et à sa filiale canadienne, de communiquer des données associées à des adresses IP, alors même que celles-ci étaient hébergées hors du Canada, notamment en France.

La société mère contestait cette demande en s’appuyant sur la structure juridique du groupe. OVH a fait valoir que les entités, juridiquement distinctes, n’avaient en leur possession que les données en lien avec leurs propres activités. La société mère arguait également qu’en tant qu’entité établie en France, sans présence juridique propre au Canada, elle ne relevait pas directement de la compétence des autorités canadiennes.

La Cour a rejeté les arguments de la société française en se basant sur une analyse fonctionnelle du groupe OVH et du contrôle effectif que peuvent avoir les entités du groupe sur les données qu’elles hébergent. Elle a considéré que le critère déterminant n’était ni la localisation des données, ni leur propriété au sens juridique, mais bien la capacité effective, pour la société mère et sa filiale, d’y accéder ou de les obtenir dans le cadre normal des activités du groupe.

En analysant l’organisation d’OVH, la juridiction a décidé que le groupe fonctionnait comme une entreprise intégrée, au sein de laquelle la société mère est en mesure d’obtenir les données détenues par ses filiales étrangères.

Cette décision n’est cependant pas exempte de critiques. La Cour a retenu par exemple l’existence d’un lien entre la société mère et le Canada en s’appuyant, entre autres, sur la présence commerciale du groupe, comme son site internet et des éléments de sa communication marketing, plutôt que sur une démonstration effective de ses activités sur le sol canadien.

Enfin, la Cour estime que dès qu’une entité soumise au droit canadien dispose d’un pouvoir de contrôle sur les données, leur localisation devient indifférente. Le fait qu’elles soient stockées en France ne fait pas obstacle à leur communication à une autorité canadienne.

Vers une approche opérationnelle de la souveraineté des données

Les effets extraterritoriaux du droit doivent en tout cas conduire les organisations à revoir leurs critères d’analyse en matière d’hébergement et de gouvernance des données.

Il est nécessaire de rapprocher les analyses juridiques et techniques afin d’intégrer de bonnes pratiques dans le processus de contractualisation.

Derrière une offre présentée comme « unifiée » sur le sol européen, plusieurs entités d’un même groupe peuvent intervenir : société contractante, entité exploitant l’infrastructure, support technique, etc. Or, il ne peut être exclu que certaines de ces entités soient soumises à des législations extra-européennes en disposant d’un certain niveau de contrôle, ou à tout le moins de capacités d’accès, sur les données hébergées dans le cadre du service.

Il faut identifier précisément quelles sociétés interviennent dans la fourniture du service, et leurs possibilités d’accès aux données.

Dans ce contexte, l’analyse ne doit plus se limiter à l’identité de l’entité signataire du contrat ou au lieu d’hébergement annoncé par le fournisseur.

Il faut identifier précisément quelles sociétés interviennent dans la fourniture du service, et leurs possibilités d’accès aux données. Cette cartographie opérationnelle permettra d’apprécier plus concrètement l’exposition à des droits extraterritoriaux.

De la même manière, plusieurs clauses doivent faire l’objet d’une attention particulière. Il faut être particulièrement attentif aux droits d’administration accordés au fournisseur, aux conditions de support technique et d’accès à distance, aux flux de données entre entités du groupe, et aux engagements prévus en cas de demande émanant d’une autorité étrangère.

Certains accès résultent moins de l’architecture technique elle-même que de l’organisation contractuelle du service et des droits accordés aux différentes entités qui interviennent dans son exploitation. La vraie souveraineté impose donc une approche transversale, qui associe étroitement les équipes juridiques, techniques et opérationnelles.