Le mot revient dans presque chaque cahier des charges, souvent en gras, rarement défini. Solution souveraine, hébergement souverain, données souveraines. À force d'apparaître partout, le terme a fini par ne plus rien promettre de précis, et le DPO qui lit ces mentions sait qu'elles recouvrent parfois une simple case cochée : un datacenter situé en France. Le pendant pratique de cet article, le comparatif où vont les données de vos entretiens, montre déjà combien la localisation seule renseigne peu. Ici, on prend le sujet par l'autre bout, celui de l'architecture juridique : ce que souveraineté veut dire quand on descend sous la couche marketing, pour un cabinet, une ESN ou un cabinet comptable qui confie à un éditeur la voix et le parcours de ses candidats.
La souveraineté d'une donnée ne se mesure pas à l'endroit où elle dort. Elle se mesure à une autre question : quel droit peut la réclamer, et à qui. C'est une affaire de juridiction, pas de géographie, et c'est là que les deux corpus de règles qui encadrent le sujet, l'un américain, l'autre européen, entrent en collision.
Deux droits qui se contredisent
Du côté américain, le CLOUD Act de 2018 pose une règle simple et large. Un prestataire de services de communication ou de stockage soumis à la juridiction des États-Unis doit, sur injonction légale, communiquer aux autorités américaines les données d'un client qu'il détient, que ces données soient situées à l'intérieur ou à l'extérieur du pays. La localisation du serveur ne protège de rien : c'est la juridiction sur le fournisseur qui déclenche l'obligation. Et cette juridiction est plus étendue qu'on ne le croit. Selon le rapport de l'Office fédéral de la justice suisse sur le sujet, une société détenant une holding, une filiale ou une succursale aux États-Unis peut être concernée, même si l'infrastructure qui héberge la donnée se trouve ailleurs.
Du côté européen, le chapitre V du RGPD organise l'inverse. Son article 44 pose que tout transfert de données hors de l'Union est subordonné aux conditions du chapitre, et que le niveau de protection garanti par le règlement ne doit jamais être compromis, y compris pour les transferts ultérieurs. Plus loin, l'article 48 dispose qu'une décision d'une juridiction ou d'une autorité d'un pays tiers exigeant un transfert n'est reconnue que si elle repose sur un accord international en vigueur. C'est, en pratique, l'article anti-CLOUD Act du texte européen : une injonction américaine ne vaut pas, en droit européen, ordre valide de communiquer.
Deux droits, deux réponses opposées à la même question, et une entreprise dont le fournisseur relève des deux ordres juridiques se retrouve prise entre les deux. Voilà la tension de fond que le mot souveraineté cherche à trancher, et que la mention hébergé en France laisse entière.
Schrems II, quand la localisation ne suffit plus
Cette tension n'est pas théorique : la Cour de justice de l'Union européenne l'a tranchée une fois, et son raisonnement éclaire tout le reste. Dans l'arrêt Schrems II du 16 juillet 2020 (affaire C-311/18), la Cour a invalidé le Privacy Shield, l'accord qui présumait les États-Unis offrir une protection adéquate, tout en jugeant valides les clauses contractuelles types de la Commission.
Le motif compte plus que la décision. La CNIL le résume ainsi : la Cour a jugé que la collecte des données par les services de renseignement américains n'était pas proportionnée, et que les voies de recours dont disposent les personnes concernées étaient insuffisantes au regard de la Charte des droits fondamentaux. Autrement dit, l'accord n'est pas tombé sur la qualité technique des serveurs. Il est tombé sur le droit du pays et son régime de surveillance. La même logique gouverne la décision d'adéquation prévue à l'article 45 : elle s'apprécie à l'aune de l'accès des autorités publiques aux données et de l'existence de recours effectifs, jamais de la seule localisation.
La conséquence pratique de Schrems II est lourde et souvent oubliée. Continuer à s'appuyer sur les clauses contractuelles types vers les États-Unis n'est licite que si l'exportateur évalue le niveau de protection réel et ajoute des mesures supplémentaires, un chiffrement par exemple, pour empêcher tout accès des autorités américaines. La CNIL formalise cette étape sous le nom d'analyse d'impact des transferts, dans un guide publié début 2025 : avant tout transfert fondé sur un outil de l'article 46, l'exportateur doit documenter le risque d'accès par les autorités du pays tiers. La localisation en Europe ne dispense donc de rien tant que le fournisseur, lui, reste ailleurs.
SecNumCloud et EU Data Boundary, deux repères à ne pas confondre
Face à cette exposition, deux notions reviennent dans les appels d'offres, et il vaut la peine de les distinguer, parce que l'une est un référentiel de souveraineté et l'autre un aménagement d'hyperscaler.
La qualification SecNumCloud de l'ANSSI vise notamment, selon sa FAQ officielle, à permettre à un service cloud de résister à une injonction issue d'une loi extraterritoriale portant atteinte à la disponibilité, la confidentialité et l'intégrité du service. Sa protection ne repose pas sur des promesses mais sur des critères vérifiables, dont un siège social établi dans un État membre de l'Union et une capitalisation où les entités hors Union restent minoritaires. C'est une grille exigeante qu'un DPO peut choisir de réclamer à ses prestataires, pas un minimum légal imposé à tout éditeur.
Un DPO avisé lit pourtant SecNumCloud avec la nuance que l'ANSSI elle-même apporte. Son directeur général, Vincent Strubel, rappelait en janvier 2026 que la qualification ne soustrait pas un service à l'application du droit, et qu'il ne suffit pas que les données soient hébergées en France : il faut aussi que leur traitement le soit, que les administrateurs le soient, que les logiciels le soient, et que les décisions le soient. Cette phrase est le meilleur garde-fou du sujet. La souveraineté ne se décroche pas comme un label. C'est une chaîne dont chaque maillon, hébergement, traitement, administration, décision, doit tenir sous le même droit.
À l'autre bout du spectre, l'EU Data Boundary de Microsoft illustre ce qu'un aménagement de localisation garantit et ne garantit pas. Achevé début 2024, ce dispositif permet de stocker et de traiter dans l'Union l'ensemble des données personnelles des services cœur de Microsoft. C'est un progrès réel de résidence. Mais la même annonce précise que des transferts hors Union restent possibles pour des fonctions de cybersécurité, documentés et limités. Une société de droit américain qui range ses données en Europe reste une société de droit américain : elle organise la localisation, elle ne change pas sa juridiction. C'est toute la distinction que Schrems II avait mise au jour, appliquée à un cas concret.
Le contrat de sous-traitance, le vrai levier du DPO
Entre le principe et sa vérification, il y a un document que trop d'appels d'offres relèguent en annexe : le contrat de sous-traitance de l'article 28 du RGPD. Il n'est pas optionnel. La relation entre le responsable de traitement, le cabinet ou l'ESN qui recrute, et son sous-traitant, l'éditeur de l'outil, doit être encadrée par un contrat comportant des dispositions obligatoires. Pour aider les parties, la Commission a publié le 4 juin 2021 des clauses contractuelles types entre responsable de traitement et sous-traitant.
C'est dans ce cadre, et non dans une démonstration produit, que se posent les questions qui comptent : la liste nominative des sous-traitants ultérieurs, leur localisation, la faculté d'objecter à l'ajout d'un nouveau sous-traitant, les garanties en cas de transfert hors Union. Un éditeur qui prend la souveraineté au sérieux publie ces éléments plutôt que de les réserver aux négociations finales. C'est l'esprit dans lequel Hirify tient sa page sécurité, où figure la liste de ses sous-traitants, pour que le DPO instruise le dossier avant de signer et non après.
La donnée candidat, une matière à part
Tout ce qui précède vaudrait pour n'importe quelle donnée personnelle. Le recrutement ajoute une difficulté qui lui est propre : la donnée candidat n'est pas homogène. Un CV, un parcours, des coordonnées sont des données personnelles ordinaires. Mais un entretien est un échange vivant, et il fait surgir sans prévenir des sujets qui relèvent des catégories particulières de l'article 9. La CNIL les énumère : origine prétendument raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, santé, orientation sexuelle. Un candidat qui explique un trou dans son parcours par une maladie, une reconversion motivée par des convictions, une contrainte familiale liée à son orientation, verse dans l'entretien des données dont le traitement est en principe interdit, sauf exceptions comme le consentement explicite.
Pour un cabinet, la difficulté se double d'une valeur commerciale : le CV et l'évaluation d'un candidat sont un actif que l'on réutilise d'un poste à l'autre, comme le détaille notre page dédiée aux cabinets de recrutement. Cet actif est aussi une responsabilité de traitement. Le confier à un outil qui l'expédie vers un modèle de langage hors Union, sans traçabilité ni base légale claire, revient à faire circuler de la donnée potentiellement sensible dans une chaîne qu'on ne maîtrise plus.
Aujourd'hui, les CV sont anonymisés avant envoi à ChatGPT, et le DPO s'arrache les cheveux.
Cette anonymisation manuelle est le symptôme d'un outillage qui n'a pas été pensé pour la donnée candidat. Elle coûte du temps, elle est faillible, et elle trahit une chaîne de traitement subie plutôt que choisie. La réponse tient moins dans un contournement que dans une architecture où la donnée n'a pas à sortir pour être utile, et où chaque analyse reste explicable. Hirify ne produit aucun scoring en pourcentage des candidats : les analyses restent traçables, l'humain décide, et les données clients ne servent pas à entraîner de modèle. Cette exigence d'explicabilité est le terrain même de l'AI Act, sujet traité dans notre guide sur l'AI Act et le recrutement.
Le questionnaire à mettre par écrit
Le comparatif pratique donne une méthode pour lire une page sécurité en cinq minutes. Ce qui suit se place en amont, du côté du contrat et de l'appel d'offres : les questions à poser par écrit à un éditeur RH, dans le cadre de l'article 28, avant tout engagement.
- Quelle est la juridiction de la maison mère du fournisseur cloud ? Une société de droit européen ferme l'exposition au CLOUD Act au niveau de l'infrastructure, une région européenne sur un fournisseur américain ne la ferme pas.
- Où le traitement par l'IA est-il physiquement réalisé, et par quel sous-traitant ? La liste doit être nominative, avec le rôle et la localisation de chacun.
- Des données quittent-elles l'Union, à quel titre, et une analyse d'impact des transferts a-t-elle été réalisée le cas échéant ?
- Le contrat reprend-il les clauses obligatoires de l'article 28, avec un droit d'objection à l'ajout d'un nouveau sous-traitant ?
- Les données clients servent-elles à entraîner un modèle, et les analyses produites sont-elles explicables sans scoring en pourcentage ?
Une réponse évasive à l'une de ces questions n'est pas une preuve de mauvaise foi, mais elle prive le DPO de la capacité à cartographier la chaîne. Et une chaîne qu'on ne peut pas cartographier ne peut pas être déclarée souveraine, quel que soit le drapeau affiché sur la page d'accueil.
Questions fréquentes
Héberger en France suffit-il à rendre une donnée souveraine ?
Non. La localisation du datacenter dit où la donnée dort, pas quel droit peut la réclamer. Ce qui détermine l'exposition au Cloud Act, c'est la juridiction du fournisseur cloud : une société de droit américain peut être contrainte de remettre des données qu'elle détient, où qu'elles soient stockées, y compris en France. La souveraineté se joue donc sur la juridiction du fournisseur et sur l'endroit où le traitement est réellement effectué, pas seulement sur le drapeau du serveur.
Le Cloud Act atteint-il des données stockées en Europe ?
Oui, dès lors que le fournisseur relève du droit américain. Le texte de 2018 impose à un prestataire soumis à la juridiction des États-Unis de communiquer, sur injonction légale, les données qu'il détient, que ces données soient situées à l'intérieur ou à l'extérieur du pays. Une société avec une maison mère, une filiale ou une succursale aux États-Unis peut être concernée, indépendamment de la région d'hébergement annoncée.
SecNumCloud est-il obligatoire pour un outil de recrutement ?
Non, aucune règle n'impose la qualification SecNumCloud à un éditeur RH. C'est un référentiel exigeant de l'ANSSI qu'un DPO peut choisir de réclamer, pas un minimum légal. Il vise notamment à résister à une injonction fondée sur une loi extraterritoriale, via des critères comme un siège dans l'Union et une capitalisation majoritairement européenne. L'ANSSI elle-même rappelle que la qualification ne soustrait pas un service à l'application du droit : héberger en France ne suffit pas si le traitement, l'administration et les décisions ne le sont pas aussi.
Une donnée candidat est-elle une donnée sensible ?
Parfois, et c'est la difficulté propre au recrutement. La plupart des informations d'un candidat sont des données personnelles ordinaires, mais un entretien fait surgir sans prévenir l'origine, la santé, des convictions ou l'orientation sexuelle, qui relèvent des catégories particulières de l'article 9 du RGPD. Leur traitement est en principe interdit sauf exceptions, dont le consentement explicite. Un outil qui capte et structure la matière d'un entretien doit donc être pensé pour ce risque, pas seulement pour la conformité générale.
À retenir
- La souveraineté d'une donnée tient à la juridiction du fournisseur, pas à la localisation du serveur : une donnée en France sur un fournisseur américain reste exposée au CLOUD Act.
- Schrems II a invalidé le Privacy Shield pour des raisons de surveillance et de recours, pas de technique : depuis, tout transfert hors Union suppose une évaluation et des mesures supplémentaires.
- SecNumCloud est un référentiel de souveraineté qu'un DPO peut exiger, avec des critères de siège et de capital ; l'ANSSI rappelle qu'il ne suffit pas d'héberger en France si le traitement et les décisions ne le sont pas.
- Le contrat de sous-traitance de l'article 28 est le levier concret : liste nominative des sous-traitants, localisation du traitement, transferts encadrés.
- La donnée candidat peut relever des catégories particulières de l'article 9 ; Hirify s'appuie sur Scalingo en France, sans donnée candidat hors de l'Union européenne, sans scoring en pourcentage, et publie ses sous-traitants.