RGPD et hébergement : où stocker vos données en conformité
Le RGPD encadre strictement l'hébergement et le transfert des données personnelles. Où héberger pour être conforme, et pourquoi le cloud américain pose problème.

Le RGPD ne se limite pas au consentement et aux mentions légales : il encadre aussi *où* et *comment* sont hébergées les données personnelles. Le choix de l'hébergeur est donc une décision de conformité à part entière — et l'une des plus souvent négligées.
Les obligations clés en matière d'hébergement
Le règlement impose plusieurs garanties qui pèsent directement sur le choix d'infrastructure :
- la sécurité et la confidentialité des données (chiffrement, contrôle d'accès, journalisation) ;
- la limitation des accès aux seules personnes autorisées ;
- l'encadrement strict des transferts hors Union européenne vers des pays n'offrant pas un niveau de protection équivalent ;
- la capacité à démontrer sa conformité (principe d'*accountability*).
Peut-on héberger des données RGPD aux États-Unis ?
C'est précisément là que le bât blesse. Un hébergement chez un acteur soumis au droit américain expose les données au CLOUD Act, en tension directe avec le RGPD. L'invalidation du Privacy Shield (arrêt « Schrems II ») a confirmé que les clauses contractuelles types ne suffisent pas à elles seules à neutraliser ce risque dès lors que le droit du pays tiers permet un accès des autorités.
Pour les données sensibles, la voie la plus sûre est donc un hébergement européen non soumis à ce risque — c'est tout l'intérêt d'un cloud souverain ou d'un cloud de confiance qualifié.
Une démarche en trois temps
Concrètement : classer vos traitements et données (lesquels sont sensibles ?), cartographier vos hébergeurs et sous-traitants pour repérer les expositions au droit extra-européen, puis remédier en migrant les données critiques vers un hébergement conforme. Cette logique recoupe celle de la directive NIS2 et de la certification HDS pour la santé : un même socle de maîtrise des données.
Faire le diagnostic en 2 minutes — identifiez vos hébergements à risque RGPD. Démarrer le diagnostic
Questions fréquentes
Où héberger ses données pour être conforme au RGPD ?
Idéalement chez un hébergeur européen non soumis aux lois extra-européennes, avec chiffrement et clés maîtrisées.
Peut-on héberger des données RGPD aux États-Unis ?
C'est fortement déconseillé pour les données sensibles : le CLOUD Act crée un conflit direct avec les obligations du RGPD, et les clauses contractuelles seules ne suffisent pas.