Le débat qui n'en finit pas
Chaque mois, un client nous pose la même question : « On met nos données où ? » La réponse courte : ça dépend. La réponse longue, c'est cet article.
J'ai passé les cinq dernières années à accompagner des entreprises, de la PME marocaine au groupe suisse coté, sur cette décision. Ce que j'ai appris tient en une phrase : la plupart des entreprises se trompent de problème. Elles obsèdent sur la localisation géographique. Elles devraient obsèder sur le contrôle d'accès.
La fausse sécurité du « tout reste chez nous »
Le on-premise rassure. Vos serveurs, votre salle, votre clé. Sauf que j'ai vu des infras on-premise avec des mots de passe admin sur des post-it. Littéralement. J'ai vu des « salles serveurs » qui étaient en fait un placard sous l'escalier avec un climatiseur portable.
Le on-premise n'est pas intrinsèquement plus sûr. Il est plus contrôlable, si vous avez l'équipe pour le contrôler. C'est une nuance que beaucoup ignorent.
Quand le on-premise fait sens :
- Vous traitez des données de santé soumises à des régulations sectorielles strictes (HDS en France, LPD en Suisse)
- Votre volume de données est stable et prévisible, pas de pics saisonniers
- Vous avez une équipe infra interne compétente, avec un plan de disaster recovery testé
- La latence réseau est critique pour votre métier (industrie, temps réel)
- Vous êtes dans un secteur où le régulateur exige un contrôle physique des serveurs
Si vous cochez moins de trois cases, le on-premise va probablement vous coûter plus cher qu'il ne vous protège.
Cloud souverain Europe : démêler le marketing du réel
Le terme « cloud souverain » est devenu un fourre-tout marketing. Tout le monde le revendique. Peu le sont vraiment.
Un cloud souverain digne de ce nom, c'est trois choses : des datacenters sur le sol européen, une entité juridique européenne opérant ces datacenters, et aucune soumission possible au CLOUD Act américain ou à des lois extra-territoriales équivalentes. OVHcloud, Scaleway, Infomaniak, ils cochent ces cases. Un « region EU » chez un hyperscaler américain ? Non. Vos données sont en Europe, mais l'entité juridique qui les opère reste soumise au droit américain.
Pour le RGPD et l'hébergement de données, cette distinction est fondamentale. L'article 48 du RGPD interdit le transfert de données personnelles vers un pays tiers sur la base d'une décision judiciaire étrangère, sauf accord international. Le CLOUD Act ignore cette interdiction. Tant que ce conflit juridique n'est pas résolu, utiliser un cloud souverain européen n'est pas du patriotisme économique, c'est de la gestion de risque.
Le cas suisse qui a tout changé pour nous
L'année dernière, une entreprise health-tech basée à Zurich nous a contactés. Leur problème : ils traitaient des données médicales de patients suisses, soumises à la LPD (la loi fédérale sur la protection des données), et leur fournisseur cloud venait d'être racheté par un groupe américain.
Du jour au lendemain, la base légale de leur hébergement était compromise. Pas parce que les données avaient bougé physiquement, elles étaient toujours dans un datacenter à Zurich. Mais parce que l'entité juridique opérante avait changé de juridiction.
On a mis en place une architecture hybride : les données patients sur une infra on-premise en colocation dans un datacenter suisse certifié, les workloads de calcul (anonymisés) sur un cloud souverain européen, et un pipeline de données avec chiffrement de bout en bout entre les deux. Le tout en six semaines. Franchement, c'était tendu, mais ça nous a forcés à industrialiser notre approche.
La plupart des entreprises se trompent de combat. Votre vrai risque, ce n'est pas où vivent vos données, c'est qui y a accès.
Le Maroc et la Loi 09-08 : un cadre sous-estimé
Les entreprises marocaines ne sont pas en reste. La Loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel impose des obligations claires. Le transfert de données hors du Maroc vers un pays n'offrant pas un niveau de protection « adéquat » nécessite l'autorisation de la CNDP.
En pratique, beaucoup d'entreprises marocaines utilisent des SaaS hébergés aux États-Unis sans se poser la question. Le risque est réel, même s'il est rarement sanctionné aujourd'hui. La CNDP monte en puissance. Les entreprises qui anticipent maintenant auront un avantage compétitif, et éviteront un chantier de migration dans l'urgence.
Pour nos clients au Maroc, on recommande souvent un hébergement chez des fournisseurs disposant de datacenters à Casablanca ou, à défaut, en Europe avec un cadre contractuel solide (clauses contractuelles types + mesures techniques supplémentaires).
Le vrai coût du cloud souverain
Parlons argent. Un cloud souverain européen coûte en moyenne 20 à 40 % plus cher qu'un hyperscaler américain pour des workloads équivalents. C'est un fait.
Mais ce n'est pas le bon calcul. Le bon calcul inclut : le coût d'un incident de non-conformité RGPD (jusqu'à 4 % du CA mondial), le coût d'une migration d'urgence si votre fournisseur change de juridiction, le coût en réputation si vos clients découvrent que leurs données de santé transitent par un datacenter soumis au Patriot Act.
Quand on fait le calcul complet, le surcoût du cloud souverain devient une assurance. Pas un luxe.
3 questions à se poser avant de choisir
Après des dizaines de missions sur ce sujet, j'ai distillé la décision en trois questions. Simple, mais ça force la clarté.
Question 1 : Quelles données traitez-vous, et sous quelle juridiction ? Données de santé en Suisse ? On-premise ou cloud suisse certifié HDS. Données marketing de prospects européens ? Un cloud souverain européen suffit. Logs applicatifs sans données personnelles ? Allez chez l'hyperscaler le moins cher, franchement.
Question 2 : Qui a accès à vos données, à chaque couche de la stack ? Votre fournisseur cloud peut-il accéder aux données en clair ? Vos sous-traitants ont-ils des accès admin ? Vos employés utilisent-ils des outils SaaS qui répliquent les données hors de votre périmètre de contrôle ? C'est là que le risque se cache vraiment.
Question 3 : Quel est votre scénario catastrophe, et combien coûte-t-il ? Si votre fournisseur est racheté demain, combien de temps pour migrer ? Si un régulateur frappe à la porte, pouvez-vous démontrer la conformité en 48 heures ? Si la réponse est « je ne sais pas », vous avez votre priorité.
Notre approche chez JADEV
On ne vend pas de cloud. On ne vend pas de serveurs. On aide nos clients à prendre une décision éclairée, puis on l'implémente.
Concrètement, chaque mission commence par un audit de classification des données. On catégorise : données personnelles, données sensibles, données métier non personnelles, données publiques. Chaque catégorie a un profil de risque différent et donc un hébergement adapté.
Le résultat, souvent, c'est une architecture hybride. Les données les plus sensibles en on-premise ou cloud souverain, le reste là où c'est le plus efficace. Pas de dogme. Du pragmatisme.
Si ce sujet vous concerne, parlons-en. La décision n'est jamais aussi complexe qu'elle en a l'air, à condition de poser les bonnes questions.