Introduction : le modèle cloud remis en question
Longtemps considéré comme le modèle de référence pour les solutions IT, le cloud public montre aujourd’hui ses limites, en particulier pour les logiciels sensibles comme les centres de contacts. Entre tensions géopolitiques, réglementation de plus en plus stricte (RGPD, DORA, NIS2), et pression croissante sur la maîtrise des données, de nombreuses organisations ré-évaluent leur stratégie d’hébergement.
Les géants américains du cloud, tels qu’Amazon Web Services (AWS), Microsoft Azure et Google Cloud, dominent le marché français, représentant plus de 70 % des parts de marché. Cependant, cette prédominance soulève des inquiétudes concernant la souveraineté des données.
Le Cloud Act* entre en conflit avec le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne, qui impose des restrictions strictes sur le transfert de données personnelles en dehors de l’UE.
Mais quelles sont réellement les alternatives ? Et comment conjuguer performance, conformité, sécurité et souveraineté des données ? Cet article propose un décryptage clair des enjeux, avec des exemples concrets dans des secteurs critiques (santé, banque-assurance, secteur public).
1. Les centres de contacts : des données sensibles par nature
Les centres de contacts ne traitent pas uniquement des appels : ils manipulent chaque jour des volumes massifs de données personnelles, sensibles, voire confidentielles. Identité, coordonnées, historique de demandes, comportements d’achat, éléments financiers, données de santé, etc …
Dans un contexte de digitalisation accélérée et de relation client omnicanale, la concentration de ces informations dans des plateformes cloud peut exposer les entreprises à plusieurs risques :
- Violation de données ou fuites (vol, erreur humaine, accès non autorisé)
- Dépendance vis-à-vis d’acteurs extracommunautaires (effet extraterritorial du Cloud Act, soumission au Patriot Act*, entre autres)
- Perte de maîtrise sur la localisation ou la réplication des données
2. Souveraineté numérique : une exigence stratégique
La souveraineté numérique n’est plus un concept réservé aux experts en cybersécurité ni aux grands groupes. Elle devient un enjeu stratégique pour les directions générales, les DSI, les RSSI… et même les juristes.
Trois dynamiques convergent :
- Législative, avec des textes comme le RGPD, DORA ou la directive NIS2 qui imposent la localisation des données, des audits, et une responsabilité accrue.
- Géopolitique, avec la crainte d’un accès indirect par des puissances étrangères (ex : Cloud Act aux États-Unis, conflits géopolitiques en Europe).
- Économique, avec une volonté de réinvestir dans des solutions locales, maîtrisées, résilientes.
📌 Cas d’usage – secteur public
Une collectivité territoriale française a récemment abandonné une solution SaaS américaine pour son centre de contact citoyen, après un audit RGPD montrant que les flux de données passaient hors UE. Elle a opté pour une solution on-premise installée sur son infrastructure régionale, regagnant ainsi la pleine maîtrise de ses échanges.
3. Cloud public, cloud privé, on premise : quelles différences réelles ?
- Le cloud public est basé sur une mutualisation d’infrastructures souvent hébergées à l’étranger, voire hors Europe. Rapide à déployer, moins cher en théorie, mais peu transparent en matière de gestion des données et de gouvernance.
- Le cloud privé, à l’inverse, permet d’avoir une infrastructure dédiée, souvent hébergée chez un acteur souverain (OVHcloud, Outscale, Bleu by Orange/Cap Gemini, Scaleway etc …) ou dans le datacenter du client. Il garantit un meilleur contrôle et une meilleure conformité.
- L’approche on premise, enfin, repose sur un déploiement complet chez le client, souvent utilisé par les secteurs ultra-réglementés. Il permet une isolation complète et une maîtrise maximale, au prix d’une responsabilité technique plus forte.
📌 Cas d’usage – banque/assurance
Une compagnie d’assurance française a choisi une solution de centre de contacts en cloud privé hébergée chez un acteur certifié SecNumCloud. Objectif : se conformer aux exigences de l’ACPR* et garantir une auditabilité complète des flux entrants et sortants.
4. Normes, législations, certifications : comprendre ce qui s’applique
RGPD (Règlement Général sur la Protection des Données)
Cadre européen imposant la protection des données personnelles. Oblige les entreprises à garantir la localisation, la sécurisation et le contrôle des données. Le RGPD s’applique à toute organisation traitant les données de citoyens européens.
Cloud Act (2018) – États-Unis
Permet aux autorités américaines d’exiger l’accès à des données hébergées par des entreprises US, même si les serveurs sont situés en Europe. Le Patriot Act (plus ancien) repose sur une logique similaire, orientée lutte antiterroriste. Ces textes posent un risque de perte de souveraineté pour les entreprises européennes utilisant des fournisseurs américains.
SREN (France) – Loi sur la sécurité et régulation de l’espace numérique (2024)
Renforce les obligations des fournisseurs cloud opérant en France : transparence, portabilité, réversibilité. Une étape vers plus de souveraineté numérique.
DORA (Digital Operational Resilience Act)
Applicable aux institutions financières dès 2025. Exige la résilience opérationnelle, l’auditabilité et le contrôle sur les prestataires IT critiques. L’hébergement externalisé devra respecter des critères stricts.
Directive NIS2
Renforce les obligations de cybersécurité pour les secteurs critiques (santé, énergie, finance, services publics). Implique une cartographie rigoureuse des prestataires et infrastructures.
SecNumCloud (ANSSI – France)
Référentiel français de cybersécurité pour les prestataires cloud. Exige transparence, souveraineté juridique, protection contre les lois extraterritoriales. Prérequis pour certaines administrations.
HDS (Hébergement de Données de Santé – France)
Obligation légale pour tout acteur manipulant des données de santé. Exige sécurité physique et logique, traçabilité, auditabilité.
EUCS (European Cybersecurity Certification Scheme – en cours de finalisation)
Futur label européen pour les services cloud. Trois niveaux de garantie prévus (basic, substantial, high), avec un accent sur la non-soumission à des lois extraterritoriales pour le niveau le plus élevé.
📌 L’environnement réglementaire n’impose pas une solution unique, mais un niveau d’exigence. Il est temps d’adapter l’hébergement aux risques réels, pas à la mode technologique.
5. Sécurité, conformité, agilité : sortir du dogme technologique
Revenir à un modèle on premise ou hybride n’est pas un retour en arrière, c’est un choix stratégique. Dans certains contextes, c’est même la seule option cohérente avec les exigences légales et les impératifs de sécurité.
Ce qu’il faut viser aujourd’hui :
- Un hébergement adapté à la sensibilité des données
- Une conformité automatique aux réglementations françaises et européennes
- Une résilience en cas de crise géopolitique ou de rupture de services internationaux
- Une agilité dans le déploiement, avec des architectures modulaires
📌 Cas d’usage – secteur santé
Un établissement hospitalier a déployé un logiciel de centre de contacts en on premise pour centraliser ses appels patients, tout en garantissant la confidentialité des données de santé. Résultat : aucun compromis sur l’expérience usager, tout en respectant les obligations de la CNIL et les contraintes HDS.
6. Kiamo : une alternative souveraine, sans compromis
Chez Kiamo, nous croyons qu’il n’existe pas une seule bonne réponse, mais plusieurs scénarios selon votre contexte, vos contraintes et votre secteur d’activité.
C’est pourquoi nous proposons un modèle de déploiement flexible :
- On premise, pour les environnements critiques nécessitant un isolement complet.
- Cloud privé, pour conjuguer flexibilité, conformité, et performance.
Conclusion : et maintenant, on fait quoi ?
La souveraineté des données est devenue un enjeu stratégique majeur pour les entreprises françaises. Face aux risques juridiques, sécuritaires et géopolitiques liés à l’hébergement des données sur des clouds publics étrangers, il est crucial d’envisager des alternatives locales. L’adoption d’une infrastructure on-premise ou d’un cloud privé hébergé en France permet non seulement de renforcer la sécurité et la conformité des données, mais aussi de soutenir l’économie numérique nationale.
En prenant des décisions éclairées en matière d’hébergement des données, les entreprises peuvent assurer leur résilience et leur compétitivité dans un environnement numérique en constante évolution.
Réfléchir à son modèle d’hébergement n’est pas une contrainte technique : c’est un acte stratégique. Le bon choix, c’est celui qui aligne conformité, performance, confiance… et souveraineté.
Cloud Act* : Le Cloud Act américain permet aux autorités des États-Unis d’accéder aux données stockées par des entreprises américaines, même si ces données sont hébergées en dehors du territoire américain.
Patriot Act* : Le Patriot Act, adopté aux Etats-Unis un mois après les attentats du 11 septembre vise à faciliter le travail des agences gouvernementales et des forces de l’ordre en leur donnant des pouvoirs étendus pour surveiller, enquêter, et poursuivre les individus et les groupes liés au terrorisme. Elle a également pour objectif de faciliter la coopération et le partage d’informations entre les différentes agences gouvernementales. Le Patriot Act permet notamment la surveillance des communications électroniques (téléphone et internet) des individus, sans mandat préalable délivré par un juge. Les agences gouvernementales peuvent accéder à des informations personnelles (dossiers médicaux, financiers, scolaires, …) sans notification préalable à la personne concernée.
ACPR* : Adossée à la Banque de France, l’Autorité de contrôle prudentiel et de résolution (ACPR) est en charge de l’agrément et de la surveillance des établissements bancaires, d’assurance et de leurs intermédiaires, dans l’intérêt de leurs clientèles et de la préservation de la stabilité du système financier.