Souveraineté des données et MarTech : le guide complet

Commençons par clarifier un malentendu très répandu. Beaucoup d’entreprises pensent que stocker leurs données « en France » ou « en Europe » suffit à garantir leur souveraineté.

Disons-le tout de suite, c’est une illusion dangereuse.

La souveraineté des données désigne la capacité d’une organisation à garantir que ses données restent sous un régime juridique qu’elle maîtrise.

Elle repose sur trois piliers distincts :

• La localisation physique. Où sont physiquement stockées les données ? Dans quel pays, dans quel data center ? C’est le critère le plus visible, mais aussi le plus insuffisant pris isolément.
• Le contrôle opérationnel. Qui opère l’infrastructure ? Qui gère les clés de chiffrement ? Qui a accès aux systèmes d’administration ? Un data center situé en France mais opéré par une équipe basée aux États-Unis ne garantit pas le contrôle opérationnel.
• L’immunité juridique. C’est le critère décisif. L’entité qui héberge vos données est-elle soumise à des lois extraterritoriales qui pourraient contraindre l’accès à ces données sans votre consentement, et parfois sans même que vous en soyez informé ? Si la réponse est oui, la souveraineté est compromise, quelle que soit la localisation.

La souveraineté numérique englobe un périmètre plus vaste. Au-delà du contrôle des données, elle pose la question de la maîtrise technologique : dépendez-vous de briques logicielles dont vous ne contrôlez ni l’évolution, ni la disponibilité, ni les conditions d’utilisation ?

Pour une entreprise, la souveraineté numérique se traduit concrètement par sa capacité à changer de prestataire sans perte de données (réversibilité), à récupérer l’intégralité de ses données dans un format exploitable (portabilité) et à ne pas être à la merci d’une décision unilatérale d’un éditeur.

L’affaire de la Cour pénale internationale illustre ce risque de manière frappante. En 2025, sous pression de l’administration américaine, Microsoft a coupé l’accès à la messagerie du procureur de la CPI. Du jour au lendemain et sans recours possible. Le procureur ne pouvait tout simplement plus utiliser son outil de travail.

Ce scénario, impensable il y a quelques années, démontre qu’un fournisseur soumis à une juridiction étrangère peut devenir un vecteur de pression géopolitique.

Pour vos outils CRM et MarTech, le parallèle est direct : que se passerait-il si votre éditeur CRM devait se conformer à une injonction américaine concernant les données de vos clients européens ?

Retour au sommaire de l’article

Deux textes de loi américains créent une tension structurelle avec le droit européen.

Si vous utilisez des outils édités par des entreprises américaines (ce qui est le cas de la majorité des stacks MarTech), vous êtes directement concerné :

• Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018), qui oblige les entreprises américaines à fournir aux autorités US les données qu’elles détiennent, conservent ou peuvent obtenir. Et ce, quelle que soit la localisation physique de ces données. Si vos données CRM sont stockées dans un data center parisien mais gérées par Salesforce (entreprise américaine), le CLOUD Act s’applique.
• La section 702 du FISA (Foreign Intelligence Surveillance Act), renouvelée jusqu’en 2026, qui autorise les agences de renseignement américaines (NSA notamment) à collecter sans mandat les données de citoyens non américains via les fournisseurs de communications électroniques. Les services cloud en font partie. Cette surveillance s’exerce sans notification au propriétaire des données et les fournisseurs peuvent être légalement contraints au silence (gag order).

L’incompatibilité avec le RGPD est structurelle :

• Le RGPD exige que les personnes concernées soient informées de l’accès à leurs données et disposent de voies de recours.
• Le CLOUD Act et le FISA 702 permettent exactement l’inverse : un accès discret, sans information, sans recours européen effectif.

En 2025, un rapport juridique commandé par le gouvernement allemand à l’Université de Cologne a posé un jalon important. Sa conclusion est sans ambiguïté : la localisation des données en Europe ne protège pas de l’accès américain si l’entité qui les contrôle est détenue par une maison-mère US.

Ce rapport cible explicitement le CLOUD Act et le FISA 702. Il démontre que le lien de contrôle capitalistique (une filiale détenue à 100 % par une entreprise américaine) suffit à rendre la juridiction américaine applicable. Peu importe que l’infrastructure soit en Allemagne, que les opérateurs soient européens ou que les données ne quittent jamais le sol de l’UE.

L’illustration la plus récente est l’AWS European Sovereign Cloud, lancé en janvier 2026 avec 7,8 milliards d’euros d’investissement. AWS le présente comme « sovereign-by-design » : infrastructure isolée, opérée exclusivement par des résidents européens, accès au code source local, etc. Sur le plan opérationnel, c’est impressionnant…sauf que la filiale reste sous contrôle capitalistique américain. C’est précisément ce lien que le rapport de Cologne identifie comme le vecteur d’exposition juridique.

Le sujet n’est plus théorique.

Plusieurs événements récents ont transformé la souveraineté numérique d’un débat politique en enjeu opérationnel :

• L’affaire CPI / Microsoft (2025). L’administration Trump a imposé des sanctions contre le procureur de la Cour pénale internationale. Microsoft, en tant qu’entreprise américaine, a coupé l’accès à sa messagerie. Un outil critique, rendu inaccessible par une décision politique étrangère.
• Le Health Data Hub (2025). Le gouvernement français a lancé un appel d’offres pour migrer la plateforme nationale de données de santé hors de Microsoft Azure, après des années de controverses sur l’hébergement de données de santé chez un acteur américain.
• L’audition Microsoft au Sénat français (2025). Le responsable juridique de Microsoft a été auditionné sur la portée du CLOUD Act, mettant en lumière les limites des engagements contractuels face aux obligations légales américaines.
• Gartner (février 2026). Selon le cabinet d’analyse, les investissements européens dans le cloud souverain vont plus que tripler entre 2025 et 2027, passant de 6,86 à 23,11 milliards de dollars. Les gouvernements restent les premiers acheteurs, suivis par les industries réglementées et les opérateurs d’infrastructures critiques. Il ne s’agit plus de rhétorique politique mais d’un mouvement pragmatique porté par des DSI qui raisonnent en termes de risques et de résilience.

Retour au sommaire de l’article

Posons le constat froidement. Lorsque nous réalisons un diagnostic du SI Client chez nos clients, nous observons systématiquement la même réalité : la majorité des briques de la stack MarTech sont éditées par des entreprises américaines.

Voici un panorama non exhaustif, classé par catégorie fonctionnelle :

Ce constat n’est pas un réquisitoire. Les solutions américaines sont souvent excellentes sur le plan fonctionnel, mais il est indispensable de prendre conscience de l’exposition juridique qu’elles créent pour vos données clients.

Toutes les données n’ont pas le même niveau de sensibilité. C’est pourquoi nous recommandons systématiquement à nos clients de cartographier leurs données avant toute réflexion sur la souveraineté :

• Les données d’identification (PII) : nom, prénom, email, téléphone, adresse postale. Ce sont les données les plus directement exposées en cas d’accès extraterritorial. Elles constituent le cœur de votre base CRM.
• Les données comportementales : historique de navigation, clics, ouvertures d’emails, parcours d’achat. Prises isolément, elles sont moins sensibles mais croisées avec les PII, elles permettent de reconstituer un profil complet de chaque client.
• Les données sensibles au sens du RGPD (article 9) : données de santé, opinions politiques, données biométriques, orientation sexuelle. Si vous traitez ce type de données (secteur santé, assurance, mutuelle…), l’exigence de souveraineté est maximale.
• Les données stratégiques : marges, pricing, conditions commerciales, données concurrentielles. Ce ne sont pas des données personnelles au sens du RGPD, mais leur exposition à un concurrent ou à une puissance étrangère représente un risque d’espionnage économique réel.

Chez CustUp, nous utilisons la notion de « golden data » pour désigner les données qui sont véritablement stratégiques pour votre business model. Ce sont ces données qui méritent le niveau de protection le plus élevé.

Beaucoup d’éditeurs américains mettent en avant leurs « régions européennes » : Salesforce a des datacenters en France et en Allemagne, Microsoft Azure propose des régions France, HubSpot héberge en Allemagne…

C’est rassurant en apparence, mais cela ne change rien sur le plan juridique.

Ce qui compte, ce n’est pas où sont les serveurs, c’est qui peut répondre à une injonction judiciaire américaine. Et la réponse est simple : toute entreprise américaine, ou toute entreprise sous contrôle d’une maison-mère américaine, est contrainte de se conformer au CLOUD Act. La localisation des données est sans incidence sur cette obligation.

Le critère que nous utilisons chez CustUp est le suivant : l’outil est-il opéré par une entité juridiquement indépendante du droit américain ? Si la réponse est non, la souveraineté n’est pas garantie, quel que soit le lieu d’hébergement. Cela ne signifie pas qu’il faut rejeter ces outils en bloc, mais cela signifie qu’il faut en avoir conscience et adapter votre architecture en conséquence.

Retour au sommaire de l’article

La qualification SecNumCloud, délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), est le plus haut standard de sécurité cloud en France. Dans sa version 3.2 (mars 2022), elle intègre des critères explicites de protection contre les lois extraterritoriales.

Concrètement, pour obtenir la qualification SecNumCloud, un fournisseur doit démontrer que :

• Son capital est contrôlé par des entités européennes (ou, pour les non-européens, passer par une co-entreprise UE).?
• Les opérations sont réalisées en France par du personnel habilité.
• L’architecture est immune aux injonctions de juridictions extra-européennes.

Fin 2025, les prestataires qualifiés SecNumCloud comprennent Cloud Temple, Outscale (Dassault Systèmes), OVHcloud, Oodrive, Worldline et, fait notable, S3NS (PREMI3NS) qui a obtenu la qualification en décembre 2025.

La doctrine « Cloud au centre » du gouvernement français impose aux administrations le recours à des solutions qualifiées SecNumCloud pour l’hébergement de données sensibles. De fait, ce standard irrigue progressivement le secteur privé, en particulier dans les secteurs réglementés : santé (HDS), finance, énergie, défense.

L’obtention de la qualification SecNumCloud par S3NS fin 2025 a relancé un débat fondamental au sein de l’écosystème.

S3NS est une co-entreprise créée par Thales (majoritaire) et Google Cloud. Le modèle est hybride : Google fournit la technologie (Compute Engine, Cloud Storage, BigQuery…) et Thales opère le service dans des datacenters français et contrôle les clés de chiffrement. Google n’a pas accès aux données en clair et ne peut donc pas répondre aux demandes du CLOUD Act.

Le directeur de l’ANSSI, Vincent Strubel, a précisé que le risque des lois extraterritoriales est traité « par le contrôle effectif des données et des opérations », pas par l’exclusion systématique des technologies non européennes.

Il y a deux visions qui s’affrontent :

• La souveraineté de contrôle (position ANSSI / S3NS) : un cloud peut utiliser une technologie étrangère s’il conserve le contrôle exclusif des données, des clés et des opérations. Ce qui compte, c’est l’indépendance opérationnelle.
• La souveraineté technologique complète (position des « puristes ») : dépendre d’une technologie américaine crée un risque structurel (kill switch, dépendance aux mises à jour, obsolescence programmée). La vraie souveraineté suppose une maîtrise de bout en bout.

Notre position chez CustUp est pragmatique : c’est la nature de vos données et votre niveau de risque acceptable qui doivent déterminer le degré de souveraineté requis. Pour des données de santé ou de défense, la souveraineté technologique complète se justifie. Pour un CRM commercial classique, la souveraineté de contrôle (type S3NS) peut être suffisante. L’important est de faire ce choix en connaissance de cause, pas par défaut.

• L’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) est un projet de certification cloud pan-européen porté par l’ENISA. Il prévoit trois niveaux (Basic, Substantial, High). Le débat central porte sur le niveau « High » : inclura-t-il une exigence d’immunité aux lois extraterritoriales, à l’image de SecNumCloud ? Certains pays européens, soucieux de ne pas froisser les hyperscalers américains, y sont réticents. L’ANSSI a annoncé qu’elle maintiendrait SecNumCloud si l’EUCS ne garantissait pas ce niveau d’exigence.
• Le Data Privacy Framework (DPF, 2023) est le dernier accord UE-US encadrant les transferts de données personnelles vers les États-Unis. Nous l’avons détaillé dans notre article sur le RGPD. Rappel essentiel : le DPF est un mécanisme de transfert, pas une garantie de souveraineté. Et sa solidité juridique reste incertaine : les deux accords précédents (Safe Harbor, Privacy Shield) ont été invalidés par la Cour de Justice de l’UE.

Retour au sommaire de l’article

Nous recommandons une approche par niveaux de sensibilité, directement intégrée à votre plan de collecte et à votre diagnostic de maturité data :

• Niveau 1 – Données critiques. Données de santé, données financières détaillées, secrets industriels, données liées à la défense ou à la sécurité nationale. Exigence : hébergement qualifié SecNumCloud ou équivalent. Acteurs 100 % souverains.
• Niveau 2 – Données sensibles. Données d’identification client (PII), données CRM nominatives, historiques transactionnels individualisés, données de scoring et segmentation. Exigence : hébergeur européen (capital et opérations UE), certification DPF vérifiée si éditeur US, chiffrement avec clés gérées par le client (BYOK), contrat avec clauses de réversibilité.
• Niveau 3 – Données standard. Analytics agrégés et anonymisés, contenus marketing, données de performance de campagnes sans PII, données publiques. Exigence : outils US acceptables avec mesures contractuelles standards (CCT, DPF). Le risque est faible et le coût d’une migration vers des alternatives souveraines ne se justifie généralement pas.

La souveraineté ne doit pas être un sujet traité après coup. Elle doit faire partie du cahier des charges dès le départ.

Voici les 8 questions que nous intégrons dans nos ateliers de cadrage :

1. Où sont stockées physiquement les données client ? Pays, datacenter, nombre de régions.
2. Qui contrôle les clés de chiffrement ? L’éditeur, un tiers ou vous-même ?
3. L’éditeur est-il soumis au CLOUD Act ? Est-ce une entreprise américaine ou une filiale d’entreprise américaine ?
4. Le contrat prévoit-il la réversibilité et la portabilité ? Pouvez-vous récupérer l’intégralité de vos données dans un format exploitable ?
5. L’éditeur dispose-t-il de certifications pertinentes ? DPF, SecNumCloud, HDS, ISO 27001, SOC 2 (selon le niveau de sensibilité requis).
6. Les sous-traitants sont-ils identifiés et localisés ? Un éditeur européen qui utilise des sous-traitants américains reste exposé.
7. Quel est le SLA en cas de coupure d’accès ? Scénario « CPI » : que se passe-t-il si l’éditeur coupe votre accès pour des raisons non techniques ?
8. Existe-t-il une alternative souveraine fonctionnellement équivalente ? À fonctionnalité comparable, quel est le surcoût d’une solution souveraine ?

Ces questions alimentent directement la réflexion sur l’organisation cible du SI Client. Elles ne remplacent pas l’évaluation fonctionnelle (qui reste prioritaire), mais elles ajoutent une dimension de risque juridique qui, en 2026, ne peut plus être ignorée.

L’écosystème européen n’a jamais été aussi riche. Si les alternatives souveraines étaient souvent limitées fonctionnellement il y a quelques années, la situation a considérablement évolué.

Voici les acteurs que nous suivons avec attention :

• CRM : Efficy (Belgique) propose une solution complète et mature, particulièrement adaptée aux mid-market et ETI. Sellsy (France) cible les TPE-PME avec une suite intégrée CRM + facturation. Axonaut (France) se positionne sur les petites structures. Eudonet (France) adresse les associations, l’enseignement supérieur et le secteur public.
• CDP : Imagino (France) et Mediarithmics (France) proposent des Customer Data Platforms souveraines capables de rivaliser avec les leaders du marché sur les cas d’usage les plus courants. Commanders Act (France) combine Tag Management et CDP. DinMo (France) adopte une approche composable.
• Marketing Automation : Brevo (ex-Sendinblue, France) est devenu un acteur majeur avec une couverture fonctionnelle très large. Actito (Belgique) se positionne sur le mid-market avec une orchestration omnicanale avancée. Splio (France) combine Marketing Automation et programme de fidélité.
• Centre de Contacts : Diabolocom (France), Kiamo (France) et Axialys (France) proposent des solutions cloud de gestion de Centre de Contacts hébergées en France. Vocalcom (France) complète l’offre sur le segment des grandes organisations.

Notre approche chez CustUp est systématiquement comparative. Lors de la sélection d’un CRM ou d’une CDP, nous intégrons désormais des acteurs souverains dans les shortlists. L’évaluation porte sur la fonctionnalité, le coût total de possession, la maturité de l’éditeur ET le niveau de souveraineté. L’objectif n’est pas d’imposer une solution souveraine par principe, mais de permettre un choix éclairé.

Retour au sommaire de l’article

Le cadre réglementaire et technologique continue d’évoluer rapidement. Voici les principales tendances à suivre :

• L’EUCS, si le niveau « High » intègre l’immunité extraterritoriale, créera pour la première fois une certification cloud pan-européenne équivalente à SecNumCloud. Cela harmoniserait les exigences entre les 27 États membres et donnerait aux entreprises un cadre de référence unique. Les négociations sont en cours et leur issue reste incertaine.
• Le Digital Omnibus (proposition de novembre 2025) prévoit une simplification du cadre réglementaire numérique européen. Parmi les mesures envisagées : l’intégration de la réglementation des cookies directement dans le RGPD et l’extension du délai de notification des failles de 72 à 96 heures. Si adopté, il pourrait aussi renforcer les obligations de portabilité des données entre prestataires cloud.
• Le portefeuille d’identité numérique européen (EUDI Wallet, 2026) va transformer la collecte de données client. Les utilisateurs pourront partager des attributs d’identité vérifiés (âge, adresse, nationalité) sans divulguer l’intégralité de leur pièce d’identité. La question de la souveraineté de l’infrastructure supportant ces wallets est évidemment centrale.
• NIS2 (applicable depuis octobre 2024) élargit les obligations de cybersécurité à un périmètre beaucoup plus vaste d’entreprises (entités essentielles et importantes). Les obligations de signalement d’incidents incluent potentiellement les accès imposés par des lois extraterritoriales, créant un conflit direct avec les obligations de silence du CLOUD Act.
• La souveraineté des données d’entraînement IA est le sujet émergent. Lorsqu’un éditeur CRM utilise l’IA pour enrichir ses fonctionnalités (scoring prédictif, recommandations, assistants conversationnels), les données de vos clients alimentent potentiellement des modèles entraînés sur des infrastructures américaines. La question « sous quelle juridiction sont traitées les données qui alimentent l’IA de mon CRM ? » deviendra incontournable.
• Le phénomène de « géopatriation » identifié par Gartner prend de l’ampleur. Environ 20 % des charges de travail actuellement hébergées chez les hyperscalers vont migrer vers des fournisseurs locaux. Ce mouvement est alimenté à la fois par les exigences réglementaires et par une prise de conscience des risques géopolitiques au niveau des directions générales.

Retour au sommaire de l’article

La souveraineté des données désigne la capacité d’une organisation à garantir que ses données restent sous un régime juridique qu’elle maîtrise. Elle repose sur trois piliers : la localisation physique des données, le contrôle opérationnel de l’infrastructure (qui opère, qui détient les clés de chiffrement) et l’immunité juridique face aux lois extraterritoriales. C’est ce dernier pilier qui est le plus souvent méconnu et le plus déterminant.

Oui. Salesforce et HubSpot sont des entreprises américaines soumises au CLOUD Act. Cela signifie que les autorités américaines peuvent, dans le cadre de procédures judiciaires, exiger l’accès aux données sous leur contrôle, même si ces données sont hébergées en Europe. Le Data Privacy Framework (DPF) encadre les transferts de données personnelles UE-US mais ne neutralise pas le CLOUD Act. Si vos données CRM contiennent des informations sensibles, une évaluation du risque s’impose.

Non. La localisation est une condition nécessaire mais insuffisante. Le rapport de l’Université de Cologne (2025), commandé par le gouvernement allemand, l’a confirmé : une filiale européenne détenue à 100 % par une maison-mère américaine reste soumise au droit américain. Ce qui compte, c’est le contrôle juridique : qui est l’entité responsable, sous quelle juridiction est-elle constituée et qui peut être contraint de fournir un accès aux données.

SecNumCloud est une qualification de cybersécurité délivrée par l’ANSSI, dans sa version 3.2 depuis mars 2022. Elle constitue le plus haut standard de sécurité cloud en France. Elle exige notamment une protection contre les lois extraterritoriales, un contrôle capitalistique européen et des opérations réalisées en France. Les prestataires qualifiés fin 2025 incluent Cloud Temple, Outscale, OVHcloud, Oodrive, Worldline et S3NS (PREMI3NS). La doctrine « Cloud au centre » impose son usage aux administrations pour les données sensibles.

Oui, et l’offre s’est considérablement enrichie. En CRM, on trouve Efficy (Belgique), Sellsy, Axonaut et Eudonet (France). En Marketing Automation, Brevo (ex-Sendinblue), Actito et Splio. En CDP, Imagino, Mediarithmics, DinMo et Commanders Act. En Centre de Contacts, Diabolocom, Kiamo, Axialys et Vocalcom. Ces solutions ne couvrent pas toujours l’intégralité du périmètre fonctionnel des leaders américains, mais elles progressent rapidement et méritent d’être évaluées dans tout processus de sélection.

La souveraineté doit être intégrée dès la phase de cadrage, pas après le déploiement. Commencez par classifier vos données en trois niveaux (critiques, sensibles, standard). Intégrez 8 questions clés dans votre cahier des charges : localisation des données, contrôle des clés de chiffrement, exposition au CLOUD Act, réversibilité, certifications, sous-traitants, SLA de coupure et alternatives souveraines. Incluez des acteurs européens dans vos shortlists de sélection. Et surtout : adaptez le niveau de protection à la sensibilité réelle de vos données.