La souveraineté des données hébergées en France par OVHcloud mise à mal par une décision canadienne

C’est à l’occasion d’une enquête criminelle de sécurité nationale menée par la Gendarmerie royale du Canada et le Service canadien du renseignement de sécurité canadienne que la police canadienne a cherché à mettre la main sur quatre adresses IP. En avril 2024, une ordonnance de communication est délivrée sur le fondement du Code criminel canadien. Elle enjoint à OVHcloud, entreprise française fondée par Octave Klaba en 1999, de transmettre des données clients.

La « présence virtuelle » plutôt que l’autonomie de la personne morale

Pour la juge Perkins McVey, la question centrale n’est pas la localisation physique des serveurs, mais la capacité de contrôle et la présence économique de l’entreprise française sur le territoire canadien. OVH exploite des centres de données au Canada, y commercialise ses services et y dispose d’une filiale. Cela suffit, selon la décision, à caractériser une « présence substantielle » de la maison mère, fût-elle virtuelle.

OVHcloud fonctionne comme une organisation intégrée. Peu importe que les données soient stockées en Europe : l’entreprise exerce une activité au Canada. OVH Group SA et OVH Canada, qui disposaient de trente jours pour s’exécuter, ont formé un recours contre cette décision.

La société avait pourtant plaidé l’absence de contrôle technique de sa filiale canadienne sur les données hébergées en France, ainsi que l’incompétence des tribunaux canadiens à l’égard de sa maison mère. En vain. La juge estime que l’entreprise peut accéder et contrôler les données demandées. Et relève qu’OVHcloud Canada a déjà répondu à des ordonnances portant sur des données hébergées à l’étranger.

La loi de blocage française reléguée au second plan

L’argument le plus sensible concernait la loi française dite « de blocage » (loi n° 68-678) réformée pour la rendre plus efficace en 2022, qui interdit à toute entreprise française de transmettre à une autorité étrangère les informations économiques, commerciales, industrielles, financières ou techniques dont la communication est de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l'ordre public. Les sanctions peuvent aller jusqu’à six mois d’emprisonnement et 90 000 euros d’amende.

La Cour ontarienne minimise la portée du texte, soulignant la faible application de son volet répressif, évoquant une seule sanction en 40 ans et l’absence de risque concret de poursuites. Elle estime également que le recours au traité d’entraide judiciaire (MLAT), pourtant proposé par les autorités françaises, n’est ni obligatoire ni adapté à l’urgence d’une enquête de sécurité nationale.

La BNP épargnée

La position du juge canadien peut sembler sévère en comparaison de la décision rendue par ses homologues américains en 2018. Dans cette affaire, la BNP, confrontée à une demande de dépseudonymisation sollicitée par les victimes du génocide du Soudan, avait refusé la demande de communication en arguant de la loi de blocage et des dispositions relatives au RGPD. Le tribunal du district du sud de New York avait suivi la banque dans son raisonnement. « Le tribunal a été convaincu de l'importance de la réglementation sur les données personnelles », relève Lucie Mongin-Archambeaud du cabinet Osborne Clarke. Selon l’avocate, « le tribunal a tenu compte du niveau particulièrement élevé de sanction encourue en cas de violation de la réglementation sur les données personnelles ».  Outre les textes sanctionnant pénalement la violation des données, la violation du RGPD fait l’objet d'amendes pouvant s'élever jusqu'à 20 millions d'euros, ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total. Et la Cnil a prononcé des amendes d’un montant très important : 746 millions d’euros pour Amazon ou encore 35 millions d’euros pour H&M. 

Une décision nettement plus favorable au respect de la souveraineté des données  mais plusieurs éléments pourraient expliquer la différence de traitement dans ces deux affaires. En particulier deux d'entre eux  : la nature civile et non pénale de l'affaire BNP et le fait que l'accès aux documents sollicités pouvaient être obtenus par un autre biais. Toujours en matière civile,  la société ABISS avait d'ailleurs réussi, en septembre 2020 à saisir la justice française de la question et à convaincre le tribunal judiciaire de Saint-Etienne de s'opposer à la commission rogatoire délivrée par un juge américain à l'occasion d'une action de groupe opposant plusieurs plaignants à la société COLOPLAST. 

OVHcloud maintient sa position

Sollicité, OVHcloud indique avoir contesté la décision canadienne. « La procédure est en cours et le groupe ne commentera pas une question juridique en cours », précise son service de communication.

Le groupe insiste toutefois sur sa ligne de conduite : « La première préoccupation et priorité d’OVHcloud est de protéger les données de ses clients. C'est pourquoi ces données ne peuvent être fournies aux autorités canadiennes. »

L’entreprise met en avant son organisation interne, conçue, selon elle, pour faire face à ce type de tensions juridiques : « Le groupe est structuré – juridiquement, techniquement et opérationnellement – pour relever ces défis, en tant qu’acteur multi-local non soumis à des lois extraterritoriales et respectant les lois des pays dans lesquels il opère. » Et d’ajouter : « OVHcloud n'hésitera pas à adapter et à faire évoluer son infrastructure et son organisation afin de continuer à protéger ses données et celles de ses clients. »

Une question politique

L’affaire est remontée jusqu’à l’Assemblée nationale. Le 9 décembre, le député Bastien Lachaud a déposé une question écrite au gouvernement, restée sans réponse à ce jour. Il y évoque une situation « intenable » pour l’opérateur français : se conformer à la décision canadienne reviendrait à violer le droit français ; s’y opposer l’exposerait à des sanctions au Canada.

Au-delà du cas d’espèce, l’élu alerte sur le précédent créé : une autorité étrangère pourrait obtenir un accès direct à des données stockées sur le territoire national, contournant les mécanismes de coopération entre États. Une telle jurisprudence fragiliserait, selon lui, l’ensemble des entreprises françaises.

Un cas inédit

Pour Bernard Bailet, président de la Fédération des tiers de confiance du numérique (FnTC), la décision est « exceptionnelle, voire inédite ». Selon lui, la juge a opéré un arbitrage explicite entre la protection de la souveraineté et l’efficacité d’une enquête criminelle, privilégiant cette dernière. « On peut comprendre la finalité sécuritaire. Mais cela revient à nier les obligations de souveraineté réciproque entre États », estime-t-il.

L’expert souligne que, contrairement au Cloud Act américain, qui impose aux entreprises américaines de fournir des données qu’elles contrôlent, la décision canadienne repose sur une extension de compétence fondée sur la notion de « présence virtuelle ». Si ce raisonnement devait prospérer, tout État pourrait exiger l’accès à des données hébergées à l’étranger dès lors qu’un fournisseur exerce une activité commerciale sur son sol.

Le risque n’est pas théorique. OVH a engagé un recours. En cas d’échec, l’entreprise pourrait s’exposer à des sanctions au Canada.

SecNumCloud à l’épreuve des juges étrangers

L’affaire pose une question essentielle pour les acteurs du numérique : une entreprise certifiée SecNumCloud peut-elle rester pleinement conforme si une juridiction étrangère lui impose une obligation incompatible avec le droit français ?

Le référentiel SecNumCloud, piloté par l’ANSSI, vise précisément à garantir l’intégrité des données sensibles. Mais le cas OVH révèle une faille de taille : la souveraineté ne dépend pas seulement de la localisation des serveurs, mais aussi de la nationalité du prestataire, de ses filiales, de ses sous-traitants – et de l’interprétation qu’en font les juges étrangers.

« Ce n’est pas la localisation qui prime, c’est la capacité d’un État à contraindre juridiquement l’opérateur », résume Bernard Bailet. Selon lui, la France doit accélérer la migration des données stratégiques vers des solutions pleinement européennes et renforcer ses infrastructures nationales. « Nos données sont notre patrimoine. »

Aujourd’hui, près de 80 % du marché européen du cloud reste dominé par des acteurs américains. La dépendance technologique – systèmes d’exploitation, logiciels, services – complique toute stratégie d’autonomie complète.

Un test pour le modèle européen

La souveraineté numérique s’impose sous l'ère Trump comme un axe majeur du débat politique en France et en Europe. Elle ne relève plus seulement de la stratégie industrielle ou de la compétitivité économique : elle touche au cœur du projet démocratique. « Les questions de souveraineté numérique sont des questions de souveraineté collective, qui concernent toute la société. Il ne s’agit plus seulement d’un sujet économique, de compétitivité ou d’innovation, mais d’un enjeu démocratique et de la protection d’un certain modèle français et européen », soulignait Clément Beaune lors du lancement, le 26 janvier 2026, de l’Observatoire de la souveraineté numérique. Cette nouvelle instance entend mesurer précisément les dépendances technologiques de la France afin d’en réduire la portée.

Dans ce débat, le cloud occupe une place centrale. « L’économie européenne ne fonctionne plus sans cloud », résumait Octave Klaba lors du dernier congrès annuel de l’Amrae. Autrement dit, la maîtrise des infrastructures numériques conditionne désormais l’autonomie stratégique des États.

Dans ce contexte, le contentieux opposant le Canada à OVHcloud montre que, quels que soient les solutions techniques mises en œuvre et les investissements déployés, les initiatives des juridictions étrangères resteront un aléa difficilement maîtrisable.

Mathilde AYMAMI