Datacenters France exclusivement — localisation physique des données
Tous les datacenters utilisés pour héberger les données client sont situés en France métropolitaine. Aucune réplication ni stockage en dehors du territoire national.
Définition
« Datacenters France exclusivement » signifie que tous les datacenters utilisés pour héberger les données client — qu'ils soient propres à l'hébergeur ou loués chez un partenaire — se situent physiquement en France métropolitaine (la Corse en fait partie ; les DROM-COM sont à clarifier au cas par cas).
Cela inclut aussi bien :
- Les sites de production où s'exécutent les workloads.
- Les sites de réplication synchrone ou asynchrone.
- Les sites de sauvegarde externalisée (offsite backup).
- Les éventuels sites de bureau de secours activables en cas de désastre.
Pourquoi c'est important pour un hébergeur HDS
Le référentiel HDS ANS v2.0 ne fait pas obligation explicite de localisation France pour l'activité 1 (sites physiques) — mais en pratique :
- Conformité RGPD facilitée : pas de transferts internationaux à justifier (clauses contractuelles types, BCR, etc.).
- Pas de juridiction extraterritoriale : c'est l'un des piliers de l'immunité au CLOUD Act.
- Réversibilité opérationnelle : un changement de fournisseur reste sur sol français.
- Réquisitions judiciaires : passent par le droit français (parquet, juge d'instruction), pas par des autorités étrangères.
L'activité 1 du référentiel HDS (sites physiques) est souvent sous-traitée à un partenaire datacenter HDS-certifié. Un hébergeur HDS sans activité 1 en propre peut tout à fait satisfaire ce critère si tous ses partenaires datacenters sont localisés en France.
Comment ce critère est attribué dans le comparateur
- ✓ Vérifié : la page conformité / cloud / about de l'hébergeur liste exhaustivement les datacenters utilisés ET tous sont localisés en France. Vérification croisée avec la liste ANS des hébergeurs certifiés activité 1.
- ◐ Revendiqué : mention « datacenters en France » sans liste exhaustive ni vérification de la couverture (sites de prod + sites de sauvegarde).
- ✗ Non : datacenter à l'étranger identifié (Belgique, Pays-Bas, Allemagne, Irlande, Royaume-Uni…).
- ? Non documenté : aucune information publique sur la localisation des datacenters.
⚠️ Caveat fréquent : un hébergeur peut produire en France et répliquer en Belgique ou en Allemagne pour la résilience. Si le client traite des données sensibles, cette réplication transfrontalière, même intra-UE, peut être un problème juridique (transferts internationaux RGPD restent encadrés même intra-UE pour certains types de données).
Pour quel profil c'est critique
| Profil | Niveau d'exigence |
|---|---|
| Recherche clinique nominative | Critique — exigence CPP / promoteurs |
| Données génétiques / biobanque | Critique |
| Établissements publics (collectivités, hôpitaux publics) | Critique — doctrine Cloud au Centre |
| Hôpital privé / clinique | Important — souvent contractualisé dans les appels d'offres |
| Mutuelle santé | Important — alignement RGPD + DORA |
| Médecine de ville | Souhaitable mais souvent moins critique |
Comment un hébergeur peut s'y conformer
Trois leviers cumulatifs :
- Sélection des partenaires datacenters : exclusivement des opérateurs HDS-certifiés activité 1 situés en France métropolitaine (Equinix Paris, Cogent, Etix, OVHcloud datacenters France, Outscale Paris, UltraEdge, Free Pro DCs, Telehouse Paris 2, etc.).
- Architecture de réplication intra-France : multi-AZ (Paris–Lyon, Paris–Marseille, etc.) plutôt que multi-régions UE.
- Sauvegarde externalisée en France : LTO offline ou objet cloud, mais en France.
Le coût additionnel par rapport à une architecture multi-UE est modeste (la France couvre les principales géographies, les latences sont bonnes intra-France). C'est principalement une discipline architecturale à appliquer dès la conception.
Plus-value vs coût
Pour les clients à exigence forte de souveraineté, c'est un critère éliminatoire — donc valeur économique très importante pour l'hébergeur (différenciant marché).
Le coût additionnel pour l'hébergeur est faible si la stratégie est définie tôt. Il devient élevé si on doit migrer une infrastructure existante (sauvegarde offsite à reloger, réplication géographique à restructurer).
FAQ
Une réplication en Belgique ou Allemagne pose-t-elle problème ? Pour le RGPD strict, non — c'est intra-UE. Pour les données de santé spécifiquement, oui dans la pratique : la CNIL, l'ANS et les acheteurs publics français préfèrent une localisation France à une localisation UE quand l'enjeu est sensible.
Les DOM-COM comptent-ils comme France ? Juridiquement oui (territoire français). En pratique, vérifier avec votre conseil juridique pour les données très sensibles : certaines réglementations sectorielles peuvent distinguer.
Que faire si mon hébergeur sous-traite à OVHcloud ou Outscale ? Vérifier la localisation contractuelle des datacenters utilisés. OVHcloud et Outscale offrent des régions strictement France. Demandez à votre hébergeur le contrat de colocation et le périmètre exact.
Un partenaire datacenter peut-il être une filiale d'un groupe non-français ? Pour le critère « datacenters France », ce qui compte est la localisation physique. Pour le critère immunité Cloud Act, c'est aussi la structure capitalistique du datacentier. Equinix par exemple est une entreprise américaine cotée à New York — ses datacenters France sont en France, mais leur exploitation reste juridiquement liée à une société US (donc exposée au CLOUD Act).
Glossaire
- Datacenter / DC : site physique hébergeant les serveurs et équipements informatiques.
- AZ : Availability Zone — zone de disponibilité (datacenter distinct dans une région).
- Région : ensemble de plusieurs AZ géographiquement proches.
- Activité 1 HDS : « mise à disposition et maintien en condition opérationnelle des sites physiques » — la certification spécifique du DC HDS.
Hébergeurs satisfaisant ce critère
◐ Revendiqué sur source publique (45)
- AB6 (ABSCISSE INFORMATIQUE)
- ADISTA
- ADMI AGENCE DE MAINTENANCE INFORMATIQUE
- ADVANCED MEDIO MATRIX
- ALPILINK CLOUD
- AUGUSTA VIROMANDUORUM NUMERICAM
- AVEXION
- AZNETWORK
- BE YS CLOUD France
- BRETAGNE TELECOM
- C.I.V. France
- CASTLE IT
- CEGEDIM.CLOUD
- CELESTE
- COAXIS ASP
- DATA 4 SERVICES
- DESTINY France ENTREPRISES
- DIATEM
- DOCAPOSTE
- DOXALLIA
- ECRITEL
- EUROFIBER DC
- FIDECIEL
- FREE PRO
- GIE IMAGERIE CALLOT
- GROUPE ITC
- Guardis
- HEXANET
- INGECAP SARL
- INTERXION France
- ITS INTEGRA
- KDDI FRANCE
- KIOSC
- LUMINESS (EX JOUVE)
- NETEXPLORER
- NEXEREN
- NUMIH FRANCE
- OODRIVE SAS
- SCALAIR
- SIMPLICIT
- TAS France
- THALES CLOUD SECURISE
- ULTRAEDGE
- WEBAXYS
- WIDIP
Lecture des trois états. ✓ Vérifié = source publique citée (page officielle, registre ANS / ANSSI / Pappers / RIPE / PeeringDB). ◐ Revendiqué = mention publique partielle, sans verbatim ferme à la date de cet audit. ◔ Démarche en cours = engagement public daté. L'absence de mention n'implique pas l'absence du service — voir notre méthodologie d'équité.