Choisir un hébergeur respectueux du RGPD est devenu une priorité pour toute entreprise traitant des données personnelles de citoyens européens. Entre sanctions financières et perte de confiance des clients, les enjeux sont élevés. Ce guide vous aide à identifier les critères clés pour sélectionner un hébergeur conforme au Règlement Général sur la Protection des Données, sans compromis sur la performance.
Pourquoi le choix de l’hébergeur impacte votre conformité RGPD
Le RGPD ne s’applique pas uniquement à votre site web ou à vos applications : il s’étend à l’ensemble de votre chaîne de traitement des données, y compris l’hébergement. En tant que responsable de traitement, vous devez vous assurer que vos sous-traitants (les hébergeurs) respectent les mêmes obligations.
Responsabilité partagée entre vous et l’hébergeur
Le RGPD impose une relation contractuelle claire avec tout sous-traitant. L’hébergeur doit garantir :
- La sécurité des données (chiffrement, accès restreint)
- La localisation des données au sein de l’UE ou d’un pays offrant un niveau de protection adéquat
- La notification des violations de données
- La possibilité pour vous d’auditer ses pratiques
Un hébergeur non conforme peut vous exposer à des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Critères essentiels pour un hébergeur compatible RGPD
Localisation des centres de données
Le premier réflexe : vérifier où sont physiquement stockées vos données. Le RGPD exige que les données des citoyens européens restent dans l’Espace économique européen (EEE) ou dans un pays reconnu comme offrant un niveau de protection équivalent (décision d’adéquation).
À privilégier : des datacenters en France, Allemagne, Pays-Bas, Irlande, etc. Méfiez-vous des hébergeurs qui délocalisent vers les États-Unis, même s’ils invoquent le Privacy Shield (invalidé) ou les clauses contractuelles types, car les risques juridiques persistent après l’arrêt Schrems II.
Certifications et labels de confiance
Un hébergeur sérieux affiche des certifications reconnues :
- ISO 27001 : management de la sécurité de l’information
- HDS (Hébergement de Données de Santé) : pour les données médicales
- SecNumCloud : label de l’ANSSI, gage de sécurité élevée
- PCI DSS : pour les données bancaires
Ces certifications ne garantissent pas à elles seules la conformité RGPD, mais elles démontrent un engagement fort en matière de sécurité.
Chiffrement des données
Un hébergeur respectueux du RGPD doit proposer :
- Chiffrement au repos (disques) et en transit (TLS/SSL)
- Gestion des clés de chiffrement : idéalement, vous conservez le contrôle des clés
- Option de chiffrement de bout en bout pour les bases de données
Transparence et documentation
L’hébergeur doit fournir une documentation claire sur :
- Les mesures de sécurité mises en œuvre
- Les sous-traitants éventuels (et leur localisation)
- La procédure en cas de demande de droit d’accès, de rectification ou de suppression
- Les durées de conservation des données (backups inclus)
Les pièges à éviter lors de la sélection
Ne pas se fier uniquement au prix
Un hébergement à 2 € par mois peut cacher des lacunes graves : datacenters hors UE, absence de support technique, conditions d’utilisation floues. Investir un peu plus dans un hébergeur sérieux est un gage de tranquillité.
Attention aux offres « cloud » grand public
Les fournisseurs comme AWS, Google Cloud ou Microsoft Azure sont conformes RGPD si vous configurez correctement les services, mais leur modèle partagé vous laisse une lourde responsabilité. De plus, leurs datacenters sont souvent répartis mondialement, ce qui complique la localisation.
Préférez des hébergeurs européens comme OVHcloud, Infomaniak, Scaleway, ou Gandi, qui proposent des offres spécifiquement conçues pour le marché européen.
Méfiez-vous des clauses contractuelles types (CCT) seules
Depuis l’arrêt Schrems II (2020), les CCT ne suffisent plus à justifier un transfert de données vers un pays tiers. L’hébergeur doit démontrer que le pays destinataire offre un niveau de protection « essentiellement équivalent » à celui de l’UE. En pratique, évitez les hébergeurs dont les données transitent par les États-Unis sauf si vous avez réalisé une analyse d’impact complète.
Checklist pour évaluer un hébergeur RGPD
Avant de signer, cochez ces points :
- ☐ Datacenters situés dans l’UE ou pays adéquat
- ☐ Certification ISO 27001 ou équivalent
- ☐ Chiffrement au repos et en transit proposé par défaut
- ☐ Contrat de sous-traitance conforme à l’article 28 du RGPD
- ☐ Politique de notification des violations en moins de 72 heures
- ☐ Possibilité d’exporter vos données facilement (portabilité)
- ☐ Pas de sous-traitants hors UE sans garanties supplémentaires
- ☐ Support technique réactif en français
Comparatif rapide de solutions d’hébergement françaises
| Hébergeur | Datacenters | Certifications | Particularité RGPD |
|---|---|---|---|
| OVHcloud | France, Allemagne, etc. | ISO 27001, HDS, SecNumCloud | Offre « RGPD by design » |
| Infomaniak | Suisse (reconnu adéquat) | ISO 27001, Swiss Privacy | Énergie renouvelable, transparence |
| Scaleway | France, Pays-Bas | ISO 27001, HDS | Cloud souverain français |
| Gandi | France, Luxembourg | ISO 27001 | Hébergement mutualisé simple |
| PlanetHoster | France, Canada | ISO 27001 | Option « données en France » |
Questions fréquentes sur l’hébergement et le RGPD
Un hébergeur français est-il automatiquement conforme au RGPD ?
Pas nécessairement. La localisation en France est un bon point, mais l’hébergeur doit aussi respecter toutes les obligations : contrat de sous-traitance, sécurité, notification des violations, etc. Vérifiez toujours ses engagements.
Puis-je utiliser un CDN (Content Delivery Network) avec un hébergeur RGPD ?
Oui, à condition que le CDN soit configuré pour ne pas stocker de données personnelles ou qu’il soit lui-même conforme (ex : CDN français ou européen). Évitez les CDN américains comme Cloudflare si vous traitez des données sensibles.
Que faire si mon hébergeur actuel n’est pas conforme ?
Vous devez migrer vers un hébergeur respectueux du RGPD dans les meilleurs délais. Planifiez la migration avec soin pour éviter toute perte de données. La plupart des hébergeurs conformes proposent une aide à la migration.
Les sauvegardes sont-elles soumises au RGPD ?
Oui, les sauvegardes contiennent des données personnelles et doivent être stockées dans l’UE, chiffrées, et avec une durée de conservation limitée. Assurez-vous que votre hébergeur efface les anciennes sauvegardes conformément à votre politique.
Comment rédiger un contrat de sous-traitance avec votre hébergeur
Le RGPD exige un contrat écrit entre vous (responsable de traitement) et l’hébergeur (sous-traitant). Ce contrat doit préciser :
- L’objet et la durée du traitement
- La nature et la finalité du traitement
- Les catégories de données concernées
- Les obligations de l’hébergeur en matière de sécurité et confidentialité
- Les droits de la personne concernée (accès, rectification, effacement)
- Les mesures techniques et organisationnelles
- La sous-traitance ultérieure éventuelle
La plupart des hébergeurs sérieux proposent un contrat type. Lisez-le attentivement et n’hésitez pas à demander des modifications si nécessaire.
Prochaines étapes pour une conformité RGPD solide
Après avoir choisi un hébergeur respectueux du RGPD, poursuivez votre démarche :
- Réalisez un registre des traitements incluant l’hébergement
- Effectuez une analyse d’impact relative à la protection des données (AIPD) si nécessaire
- Formez vos équipes aux bonnes pratiques
- Auditez régulièrement votre hébergeur (via des questionnaires ou des certifications)
- Mettez à jour votre politique de confidentialité en mentionnant l’hébergeur
Choisir un hébergeur respectueux du RGPD n’est pas une formalité administrative, mais un investissement dans la confiance de vos utilisateurs et la pérennité de votre entreprise. En suivant ce guide, vous êtes désormais outillé pour prendre une décision éclairée.
Photo by TBD Traveller on Pexels
12 Comments
Excellente synthèse des critères. J’ajouterais qu’il faut aussi vérifier la politique de gestion des logs et des sauvegardes, car cela peut exposer des données personnelles.
Tout à fait, la gestion des logs et des sauvegardes est un point souvent négligé. Assurez-vous que les logs sont anonymisés ou pseudonymisés, et que les sauvegardes sont chiffrées et stockées dans l’UE. Merci pour cette précision utile !
Je suis perplexe sur le chiffrement de bout en bout pour les bases de données. Est-ce que la plupart des hébergeurs le proposent ?
Le chiffrement de bout en bout pour les bases de données est encore rare chez les hébergeurs généralistes. Il est plus courant chez les spécialistes de la sécurité. Si c’est un besoin critique, vérifiez les offres labellisées SecNumCloud ou interrogez directement l’hébergeur sur ses capacités.
Article très clair, merci. Pour les petites structures, avez-vous des recommandations d’hébergeurs pas trop chers mais respectueux du RGPD ?
Pour les petites structures, regardez du côté d’Infomaniak (Suisse), OVHcloud (France) ou Ikoula (France). Ils proposent des offres abordables avec des datacenters en Europe et des certifications. Vérifiez toujours les conditions contractuelles et n’hésitez pas à demander un DPA adapté à votre taille.
J’ai récemment choisi un hébergeur français avec certification ISO 27001, mais je ne sais pas si cela suffit. Que faut-il vérifier en plus ?
L’ISO 27001 est un bon point de départ, mais elle ne couvre pas tous les aspects du RGPD. Vérifiez aussi la localisation des données (préférez l’UE), le chiffrement proposé, et la transparence sur les sous-traitants. N’hésitez pas à demander un DPA (Data Processing Agreement) signé.
Que pensez-vous des hébergeurs américains qui proposent des datacenters en Europe ? Est-ce que c’est suffisant pour être conforme ?
Attention, même avec des datacenters en Europe, un hébergeur américain reste soumis au droit américain (notamment le FISA et le Cloud Act). L’arrêt Schrems II a invalidé le Privacy Shield, et les clauses contractuelles types sont fragilisées. Privilégiez un hébergeur européen pour minimiser les risques.
Merci pour cet article très complet. Une question : est-ce que les hébergeurs qui utilisent des datacenters en Suisse sont considérés comme conformes au RGPD ?
Bonjour, la Suisse n’est pas membre de l’EEE mais a été reconnue par la Commission européenne comme offrant un niveau de protection adéquat (décision d’adéquation). Donc un hébergeur avec des datacenters en Suisse peut être conforme, à condition de vérifier les autres critères (chiffrement, certifications, etc.).