Logiciel RGPD hébergé en France — guide d'évaluation
« Hébergé en France » ne suffit pas à garantir la conformité RGPD. Il faut également vérifier la structure capitalistique du fournisseur (un éditeur sous contrôle américain reste soumis au US CLOUD Act, même si ses serveurs sont à Paris), la qualification SecNumCloud de l'hébergeur pour les données sensibles, et l'articulation entre le RGPD et la Loi Informatique et Libertés.
Quels logiciels RGPD sont véritablement hébergés en France ?
« Hébergé en France » ne suffit pas à garantir la conformité RGPD. Il faut également vérifier la structure capitalistique du fournisseur (un éditeur sous contrôle américain reste soumis au US CLOUD Act, même si ses serveurs sont à Paris), la qualification SecNumCloud de l'hébergeur pour les données sensibles, et l'articulation entre le RGPD et la Loi Informatique et Libertés.
- L'hébergement physique en France réduit le risque de transferts hors UE (chapitre V du RGPD), mais ne dispense ni du contrat de sous-traitance prévu à l'article 28 ni de la base légale de l'article 6
- La qualification SecNumCloud, délivrée par l'ANSSI, est exigée pour les données sensibles de l'État et recommandée pour les opérateurs d'importance vitale — la liste officielle des hébergeurs qualifiés est tenue à jour par l'ANSSI
- Un éditeur SaaS sous contrôle capitalistique américain reste soumis au US CLOUD Act, même si l'hébergement physique est en France — vérifiez la maison-mère ultime, et non seulement l'entité contractante
- La Loi Informatique et Libertés (Loi 78-17, modifiée par la Loi 2018-493 du 20 juin 2018) complète le RGPD par des spécificités françaises : formalités préalables pour certains traitements régaliens, encadrement du NIR, droits post-mortem prévus par l'article 85
- Pour tout traitement à risque élevé, l'article 35 du RGPD impose une analyse d'impact relative à la protection des données (AIPD) — consultez les lignes directrices de la CNIL pour les seuils et modèles
Practical considerations
- L'hébergement physique en France réduit le risque de transferts hors UE (chapitre V du RGPD), mais ne dispense ni du contrat de sous-traitance prévu à l'article 28 ni de la base légale de l'article 6
- La qualification SecNumCloud, délivrée par l'ANSSI, est exigée pour les données sensibles de l'État et recommandée pour les opérateurs d'importance vitale — la liste officielle des hébergeurs qualifiés est tenue à jour par l'ANSSI
- Un éditeur SaaS sous contrôle capitalistique américain reste soumis au US CLOUD Act, même si l'hébergement physique est en France — vérifiez la maison-mère ultime, et non seulement l'entité contractante
- La Loi Informatique et Libertés (Loi 78-17, modifiée par la Loi 2018-493 du 20 juin 2018) complète le RGPD par des spécificités françaises : formalités préalables pour certains traitements régaliens, encadrement du NIR, droits post-mortem prévus par l'article 85
- Pour tout traitement à risque élevé, l'article 35 du RGPD impose une analyse d'impact relative à la protection des données (AIPD) — consultez les lignes directrices de la CNIL pour les seuils et modèles
Next step — classify
Consulter le guide RGPD complet
Targeted next step for logiciel rgpd hébergé en france — guide d'évaluation.
All EU sovereignty topics, methodology, and exposure scores.
Sovereignty hubFor informational purposes only. This is not legal advice — consult qualified legal counsel.
Last reviewed: · Editorial policy