Le paysage réglementaire européen est en pleine mutation. La souveraineté des données n’est plus seulement un « plus », mais une nécessité stratégique. L’introduction de directives telles que la NIS2, une version révisée de la directive actuelle sur la sécurité des réseaux et de l’information, la directive NIS1, y a contribué. Mais le Data Act contribue également à simplifier le partage et l’utilisation des données dans l’UE, en particulier celles générées par les appareils connectés et leurs services. À cela s’ajoutent les tensions persistantes entre le règlement général sur la protection des données (RGPD) et le CLOUD Act, une loi américaine de 2018 qui autorise les autorités américaines à accéder aux données stockées sur Internet, même si celles-ci se trouvent en dehors des États-Unis. Pour les entreprises suisses, cela signifie qu’elles doivent (re)considérer où et comment elles conçoivent leur infrastructure.
Loi sur les données : la fin de la dépendance vis-à-vis des fournisseurs
Depuis le 12 septembre 2025, le règlement européen sur les données (« Data Act ») est en vigueur et a des répercussions sur les services de Cloud computing et de centres de données. Le Data Act ne s’applique pas automatiquement en Suisse, car elle n’est pas membre de l’Union européenne. Toutefois, les entreprises suisses peuvent être concernées si elles sont actives sur le marché européen ou y proposent des services/produits, comme c’est le cas avec le RGPD. Le règlement européen sur les données donne aux clients le droit de changer plus facilement de fournisseur de Cloud et, à partir du 12 janvier 2027, les coûts liés à un tel changement seront entièrement supprimés. Du point de vue de la souveraineté des données, le règlement sur la protection des données est particulièrement pertinent, car elle introduit des mesures de protection qui empêchent les autorités d’autres pays d’accéder à des données non nominatives si cela est contraire au droit européen ou national. Il s’agit d’une réponse directe aux lois de surveillance transfrontalières telles que le CLOUD Act, ce qui signifie que les centres de données européens offrent des avantages stratégiques en matière de souveraineté des données.
CLOUD Act : la menace persistante pour la souveraineté des données
Le CLOUD Act de 2018 reste un sujet de discussion important et une source de risque. Il donne aux autorités américaines le droit de contraindre les entreprises américaines à divulguer des données stockées à l’étranger, même si ces données appartiennent à des citoyens européens et se trouvent dans des centres de données situés dans l’UE ou en Suisse. Ce n’est pas seulement une théorie. Même si les données de citoyens européens sont stockées dans des centres de données situés dans l’UE ou en Suisse, le CLOUD Act peut obliger les entreprises américaines à les transmettre aux autorités américaines. Cela porte atteinte à la protection des données prévue par le RGPD et à la souveraineté européenne en matière de données. Pour les organisations qui traitent des informations sensibles, qu’il s’agisse de propriété intellectuelle ou de données de clients, cela crée une tension juridique complexe.
Le rôle des centres de données régionaux dans une stratégie souveraine relatives aux données
Dans cet environnement en pleine mutation, le choix d’un centre de données régional est crucial. La demande en solutions Cloud souveraines augmente en Suisse, car les exigences en matière de protection des données et de souveraineté numérique deviennent de plus en plus strictes et uniformes. Cela concerne particulièrement les organisations issues de secteurs fortement réglementés tels que la santé, la finance et les administrations publiques.
Une idée reçue très répandue est que la souveraineté des données dépend uniquement de l’emplacement physique des serveurs. Cependant, l’emplacement physique n’est pas synonyme de juridiction légale. Si un fournisseur de Cloud est soumis à la juridiction américaine, le CLOUD Act s’applique. Un centre de données régional situé sur le sol suisse ou appartenant à une entreprise européenne offre une protection contre tout accès indésirable aux données. Même les hyperscalers américains ne peuvent garantir cela lorsqu’ils exploitent des centres de données européens.
La colocation, une alternative souveraine
Au cœur de l’Europe, la Suisse occupe une position de passerelle numérique. Zurich est l’un des principaux nœuds Internet en Europe et dans le monde, ce qui fait du pays une plaque tournante pour les fournisseurs de services Cloud, les organisations et les plateformes numériques qui ont besoin d’une connectivité rapide, fiable et à faible latence. Les installations de colocation régionales bénéficient de cette infrastructure tout en conservant un contrôle et une transparence totale sur les données de leurs clients.
Considérations importantes pour les clients des centres de données
Pour les clients, ces développements signifient qu’ils doivent tenir compte de plusieurs facteurs stratégiques lors du choix d’un partenaire de centre de données. Cela commence par l’évaluation de la juridiction à laquelle un centre de données est soumis. Cela signifie également qu’il faut aller au-delà des arguments marketing vantant les « centres de données basés dans l’UE ». Une entreprise basée en dehors de la Suisse / de l’UE reste soumise aux lois de son pays d’origine, y compris au CLOUD Act américain. Il est donc important d’examiner attentivement la structure de propriété et la compétence juridique d’un fournisseur.
Du point de vue de la conformité NIS2, il est fortement recommandé de commencer dès maintenant à effectuer des analyses de risques, à sensibiliser les employés aux cyberrisques et à renforcer les procédures en cas d’incident. Le choix de l’infrastructure du centre de données doit faire partie intégrante de cette documentation de conformité.
La loi sur les données renforce la souveraineté numérique en permettant aux entreprises de déplacer librement leurs données et leurs applications sans être liées à des systèmes propriétaires ou à des infrastructures isolées. Cela leur confère une indépendance stratégique dans le choix des fournisseurs de centres de données. Il est donc conseillé de développer des scénarios de migration offrant un maximum de flexibilité. Il est également conseillé de choisir un partenaire de centre de données qui répond de manière avérée aux normes de sécurité les plus élevées, y compris la norme ISO/IEC 27001, et qui fournit des pistes d’audit transparentes.
Conclusion : la souveraineté comme avantage concurrentiel
Dans l’ensemble, la NIS2, les réglementations locales en matière de protection des données et les tensions persistantes entre le RGPD et le CLOUD Act marquent un tournant dans la manière dont les entreprises européennes doivent envisager leur infrastructure de données. La souveraineté des données n’est plus seulement une case à cocher en matière de conformité. Il s’agit d’un facteur de différenciation stratégique qui influe sur la flexibilité opérationnelle, la conformité et la gestion des risques. Les centres de données régionaux en colocation en Suisse offrent une proposition unique. Ils combinent une connectivité et une infrastructure de premier ordre avec une juridiction claire et le respect de certaines des réglementations les plus strictes au monde en matière de protection des données. À une époque où le contrôle des données est étroitement lié au succès des entreprises, le choix d’un partenaire de centre de données souverain n’est pas une mesure défensive. Il s’agit d’un investissement tourné vers l’avenir dans la résilience et l’autonomie.
