← Nos enjeux

Vos données hors de portée du droit américain — sans tout réinventer

Réduisez votre exposition GAFAM — France & Europe, hors de portée du droit américain

Vos données ne sont pas là où vous croyez — et elles n’y sont pas en sécurité

AWS, Azure et Google sont des entreprises américaines soumises au Cloud Act et au FISA (section 702). Depuis respectivement 2008 et 2018 , le renseignement et les autorités américaines peuvent exiger que vos données sur ces serveurs leur soient communiquées — peu importe où elles sont hébergées physiquement, y compris dans un datacenter en France.

Ce n’est pas hypothétique : c’est inscrit dans le droit américain et appliqué régulièrement. Dossiers clients, données RH, informations stratégiques — tout ce que vous confiez à ces acteurs sort de votre maîtrise. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a admis devant le Sénat en juin 2025 que Microsoft ne pouvait garantir la protection des données européennes contre les transferts vers les États-Unis (https://www.senat.fr/compte-rendu-commissions/20250609/ce_commande_publique.html#toc2)

Au-delà de la confidentialité, la dépendance à quelques acteurs dominants crée des risques concrets : hausses tarifaires unilatérales que vous subissez sans alternative, interruptions de service sur lesquelles vous n’avez aucun levier, changements de conditions contractuels imposés du jour au lendemain.

Reprendre le contrôle ne signifie pas tout migrer demain. Cela commence par savoir où vous en êtes.

Ce que vous obtenez

La cartographie honnête de vos dépendances

  • Inventaire précis de chaque service soumis au Cloud Act/FISA ou à un lock-in propriétaire
  • Évaluation du niveau de risque réel par domaine : cloud, messagerie, bureautique, ERP, stockage
  • Analyse de réversibilité : pouvez-vous changer de prestataire sans rupture, et à quel coût ?

Des alternatives choisies, pas subies

  • Identification et qualification d’alternatives open source ou européennes selon votre contexte réel
  • Benchmarks fonctionnels et techniques — pas des listes théoriques, des options testées
  • Stratégie de migration progressive et sans rupture de service, domaine par domaine

Un hébergement que vous contrôlez

  • Hébergement en France ou en Europe (HDS, SecNumCloud, ISO 27001 selon vos besoins)
  • Solutions on-premise ou cloud privé pour les données les plus sensibles
  • Stratégie multi-cloud pour éviter de remplacer une dépendance par une autre

Une continuité d’activité réelle — pas sur le papier

  • Plan de continuité (PCA) et plan de reprise (PRA) conçus pour fonctionner quand ça arrive
  • Tests de reprise effectifs — un PCA non testé est un faux sentiment de sécurité
  • Redondance des systèmes critiques, procédures dégradées documentées

La conformité réglementaire associée

  • RGPD : transferts de données hors UE identifiés et encadrés, sous-traitants documentés
  • NIS2 : exigences de résilience pour les entités essentielles et importantes
  • Clauses contractuelles de réversibilité et de portabilité des données négociées

Pour qui ?

ProfilCe que la souveraineté change concrètement
PME exposée au RGPDDonnées clients et RH hors de portée du Cloud Act/FISA, conformité documentée
ETI avec données stratégiquesSavoir-faire et informations commerciales sensibles protégés de l’intelligence économique
Grande entrepriseRéduction de l’exposition GAFAM, indicateurs ESG numérique pour le reporting CSRD
CollectivitéDonnées citoyennes hébergées en France, conformité RGAA et REEN, achats via UGAP
Discutons de l'informatique dont vous rêvez

Questions fréquentes

Que sont les 'Cloud Act' & 'FISA section 702' du droit américain et pourquoi est-il problématique pour mes données ?
Le Cloud Act (2018) autorise les autorités américaines à exiger des opérateurs soumis au droit américain — dont AWS, Azure, Google Cloud — la communication de données hébergées n'importe où dans le monde via un mandat. La section 702 du FISA (2008) permet aux agences américaines de renseignement de collecter vos données stockées chez ces acteurs, même en France, et ce sans mandat. Ainsi, ces solutions sont à la fois conforme RGPD (via un accord UE<=>USA nommé 'Privacy Data Framework') **et** rendent vos données accessibles sans votre consentement, en toute légalité, aux autorités et au renseignement américains. Ekioo déploie exclusivement des solutions et des hébergeurs hors de portée du Cloud Act.
La migration vers des solutions souveraines entraîne-t-elle une rupture de service ?
Non, si elle est bien planifiée. Ekioo adopte une approche de migration progressive, domaine par domaine, avec une phase de coexistence pour valider chaque étape avant la bascule. Les utilisateurs sont formés en amont. L'objectif est une transition transparente pour l'activité opérationnelle de votre organisation.
Quelles alternatives souveraines recommandez-vous pour la messagerie et la collaboration ?
Selon votre contexte, Ekioo qualifie des solutions comme Nextcloud (stockage et collaboration), Matrix/Element (messagerie sécurisée), Jitsi (visioconférence), ou notre suite ko- (Koopération, Konnaissance, Koprojet). Ces solutions sont open source, hébergées en France ou en Europe, et ne transfèrent aucune donnée hors de l'UE.
Comment un plan de continuité d'activité protège-t-il vraiment mon organisation ?
Un PCA définit comment votre organisation maintient ses activités critiques en cas d'incident — cyberattaque, panne, sinistre. Il comprend la liste des activités critiques et leurs délais de reprise admissibles (RTO/RPO), les procédures dégradées, les contacts de crise et les sauvegardes testées. Ekioo conçoit, documente et teste votre PCA pour qu'il soit opérationnel le jour où vous en avez besoin.