Maîtriser la conformité et la souveraineté numérique

Pour une PME, une collectivité ou un cabinet libéral, la conformité réglementaire et la souveraineté numérique ne sont plus deux sujets distincts.
Ils se rejoignent autour d'une même question : où sont stockées vos données, qui peut y accéder, et quelles obligations vous impose la loi ?
RGPD, NIS2, loi SREN, doctrine cloud de l'État, exigences des marchés publics, attentes des clients : le cadre se densifie, et la responsabilité des dirigeants s'étend en conséquence.
Cette page fait le point sur ce que cela implique concrètement pour les organisations en Ille-et-Vilaine et en Bretagne, et comment, en tant que prestataire informatique à Rennes, nous accompagnons ces démarches sans jargon ni surenchère.

Un projet de mise en conformité ?

Votre conformité RGPD doit être révisée ?
Votre collectivité est concernée par NIS2 ?
Un marché public impose des clauses de souveraineté ?

Parlons-en. 

Premier échange sans engagement, pour qualifier votre situation et proposer une approche adaptée.

Conformité et souveraineté, deux sujets désormais liés

Pendant des années, la conformité réglementaire et la souveraineté numérique étaient traitées séparément.
La conformité relevait du juridique ou des risques. La souveraineté restait un sujet politique, parfois militant, rarement opérationnel pour une PME.
Cette époque est terminée. Les deux questions se sont rejointes, et c'est désormais une seule et même stratégie qu'il faut piloter.

Un cadre réglementaire qui se densifie

Le RGPD structure les traitements de données personnelles depuis 2018.
La directive NIS2, transposée en droit français, élargit considérablement le périmètre des entités tenues à un niveau élevé de cybersécurité. La loi SREN (Sécuriser et Réguler l'Espace Numérique) ajoute des obligations sur l'hébergement et la circulation des données.
À cela s'ajoutent les exigences sectorielles : HDS pour les données de santé, DORA pour le secteur financier, certifications métier pour les avocats, notaires, experts-comptables.
Aucune PME, aucune collectivité n'échappe à cet empilement.

La souveraineté devient une exigence opérationnelle

La souveraineté numérique n'est plus un slogan. Elle se traduit en clauses contractuelles dans les marchés publics, en exigences clients (notamment pour les sous-traitants de grands groupes), en conditions d'assurance cyber, et en doctrine d'État pour les administrations. Quand un client vous demande où sont stockées ses données, quand un appel d'offre impose un hébergement européen, quand une assurance refuse de couvrir un transfert hors UE non documenté, la souveraineté cesse d'être théorique.

Pourquoi les deux sujets convergent

Le RGPD impose de savoir où sont les données. NIS2 impose de maîtriser sa chaîne de fournisseurs IT. La doctrine cloud française impose, pour les administrations, un hébergement qualifié quand les données sont sensibles. Trois textes, trois autorités, une même direction : la localisation et la gouvernance des données deviennent indissociables de la conformité réglementaire.

Quelques chiffres pour situer l'enjeu

  • 4 %

    du CA mondial annuel, sanction maximale RGPD

  • 10 M€

    ou 2 % du CA mondial, sanction maximale NIS2 entité essentielle

  • ~3 500

    entités estimées concernées par NIS2 en France

  • ~70 %

    du cloud public en France capté par les hyperscalers américains

  • 18 à 24 mois

    délai typique pour atteindre une conformité NIS2 complète

Le cadre réglementaire et vos obligations

Plutôt qu'un cours de droit numérique, voici les trois textes qui structurent concrètement les obligations des PME, collectivités et libéraux que nous accompagnons.

RGPD : huit ans de jurisprudence accumulée

Le Règlement Général sur la Protection des Données s'applique depuis mai 2018. La CNIL a depuis prononcé plusieurs centaines de sanctions, et la jurisprudence européenne a précisé de nombreux points : transferts internationaux (arrêt Schrems II), responsabilité du responsable de traitement, durée de conservation, droits des personnes.
Pour une PME ou une collectivité, le RGPD n'est plus une nouveauté à découvrir : c'est un cadre dont les contours sont stabilisés, mais dont l'application réelle reste souvent incomplète. Cette dimension est traitée plus en profondeur sur notre page protection des données et des utilisateurs.

NIS2 : un périmètre élargi aux collectivités

La directive NIS2 (Network and Information Security 2) remplace la précédente directive NIS de 2016.
Son périmètre s'est considérablement élargi : sont désormais concernées non seulement les "entités essentielles" (énergie, transport, santé, finance, eau), mais aussi les "entités importantes", parmi lesquelles un grand nombre de collectivités locales, d'établissements de santé, de prestataires de services numériques et d'industriels.
L'ANSSI est l'autorité compétente en France. Les obligations couvrent la gouvernance cyber, la gestion des risques, la notification des incidents, et la sécurisation de la chaîne d'approvisionnement.

Loi SREN et nouvelles obligations numériques

La loi de mai 2024 sur la Sécurisation et la Régulation de l'Espace Numérique (loi SREN) introduit en droit français de nouvelles obligations relatives à l'hébergement, à la circulation des données et à la lutte contre les contenus illicites. Pour les administrations et les opérateurs publics, elle se conjugue avec la doctrine "Cloud au centre" qui impose, pour certaines catégories de données, un hébergement qualifié SecNumCloud.

Découvrir KERIONIS

quilibre entre conformité réglementaire et souveraineté numérique pour les PME et collectivités

La souveraineté numérique, du concept à l'obligation

Pendant longtemps, la souveraineté numérique a été un débat d'experts.
Elle est devenue une exigence opérationnelle quotidienne, qui s'impose à toutes les organisations dès qu'elles sont en relation avec une administration ou un grand donneur d'ordre.

Pourquoi la question se pose désormais

Plusieurs facteurs convergent. La législation extraterritoriale américaine (CLOUD Act) permet aux autorités américaines de demander l'accès à des données hébergées par des entreprises soumises au droit américain, même si ces données sont physiquement en Europe.
Les tensions géopolitiques rendent la dépendance aux infrastructures étrangères plus risquée. Les autorités françaises et européennes (ANSSI, CNIL, Commission Européenne) ont publié des recommandations de plus en plus précises. Et les clients donneurs d'ordre (collectivités, grands comptes) intègrent progressivement des clauses de souveraineté dans leurs achats.

Ce que dit la doctrine Cloud au centre

La doctrine "Cloud au centre" de l'État français, formalisée par la DINUM, impose aux administrations de privilégier l'hébergement cloud, avec une qualification SecNumCloud quand les données sont sensibles. Cette doctrine se propage progressivement aux collectivités, aux établissements publics, et par contrecoup à leurs prestataires. Quand une collectivité que nous accompagnons est elle-même sous obligation cloud souverain, nous devons proposer des solutions compatibles.

Les clauses de souveraineté en marchés publics

Les marchés publics intègrent de plus en plus de clauses précisant :

  • où les données peuvent être stockées (Union européenne, France),
  • quelles juridictions peuvent avoir accès aux données du fournisseur,
  • quels engagements de localisation et de chaînage le titulaire prend,
  • quelles certifications (SecNumCloud, ISO 27001, HDS) sont exigées.


Pour une PME qui répond à des appels d'offres publics, ces clauses ne sont plus optionnelles. Elles font partie du dossier de candidature.

Renforcer votre posture de sécurité

Souveraineté numérique et localisation des données en France, approche KERIONIS

Ce que ces exigences impliquent pour vous

Selon votre profil, les obligations se traduisent différemment.
Voici les trois cas que nous rencontrons le plus fréquemment.

Pour les PME et entreprises

Vous êtes concerné par le RGPD dès lors que vous traitez des données personnelles (clients, prospects, salariés).
Vous pouvez être concerné par NIS2 si vous opérez dans certains secteurs (santé, numérique, industrie, transport) au-delà d'un certain seuil.
Si vous êtes sous-traitant d'un grand groupe, vous héritez de ses exigences (clauses ISO, hébergement européen, audits réguliers). Et si vous répondez à des appels d'offres publics, vous serez de plus en plus souvent confronté à des clauses de souveraineté à documenter.

Pour les collectivités locales

Vous êtes en première ligne. La majorité des mairies, communautés de communes, syndicats mixtes et établissements publics locaux sont concernés par NIS2 en tant qu'entités importantes ou essentielles.
Vous traitez des données particulièrement sensibles (état civil, social, scolaire, fiscal, santé pour les CCAS et EHPAD rattachés).
Vous êtes soumis à la doctrine Cloud au centre quand vous hébergez des données sensibles. Et votre responsabilité d'élu ou de DGS peut être engagée personnellement en cas de manquement caractérisé.

Pour les professions libérales

Médecin, kinésithérapeute, avocat, notaire, expert-comptable : vous traitez des données particulièrement sensibles par nature (santé, secret professionnel, données financières).

Vos obligations ordinales et déontologiques se cumulent avec le RGPD et, selon votre activité, avec HDS (hébergement de données de santé).

Le choix de votre logiciel métier et de son hébergeur est devenu un acte engageant juridiquement, plus seulement un confort de travail.

Les pièges à éviter en matière de conformité

Au fil des audits et des accompagnements que nous menons, certains pièges reviennent systématiquement. Les identifier, c'est déjà commencer à les désamorcer.

Confondre conformité et certification

Être conforme ne signifie pas être certifié. Et inversement, détenir une certification ne garantit pas une conformité opérationnelle. Beaucoup d'organisations achètent un audit ou une certification pour cocher une case, sans transformer leurs pratiques quotidiennes. La conformité est un état permanent, pas un papier obtenu une fois. Les certifications (ISO 27001, SecNumCloud, HDS) sont utiles pour attester d'une démarche, mais elles ne remplacent pas l'application réelle des règles.

Penser que seules les grandes sont concernées

C'est probablement le piège le plus dangereux. Le RGPD s'applique à toute organisation traitant des données personnelles, quelle que soit sa taille. NIS2 concerne les entités importantes au-delà de seuils relativement bas, y compris des PME de quelques dizaines de salariés. Et les exigences contractuelles (clients, donneurs d'ordre, assureurs) descendent en cascade jusqu'aux plus petits sous-traitants. La taille de votre structure n'est plus un argument de défense.

Choisir un outil sans vérifier où sont les données

C'est l'erreur opérationnelle la plus fréquente. Un logiciel SaaS est choisi pour ses fonctionnalités, son prix, son ergonomie. L'hébergement des données passe au second plan, voire n'est pas vérifié. Quand vient une question de conformité (audit client, candidature marché public, contrôle CNIL), il est trop tard : les données sont sur des serveurs dont la juridiction n'est plus maîtrisée. Cette vigilance amont est l'un des points que nous traitons systématiquement dans nos audits informatiques.

Évaluer concrètement votre conformité

Les pièges classiques en matière de conformité et souveraineté numérique identifiés par KERIONIS

Construire une stratégie de conformité durable

La conformité réglementaire et la souveraineté numérique ne se résolvent pas en achetant un produit, ni en signant un audit annuel.
Elles se construisent dans la durée, autour de trois principes.

Documenter ce qu'on fait

La conformité réglementaire est avant tout une exigence de traçabilité.
Documenter les traitements de données (registre RGPD), les politiques de sécurité, les incidents et leur traitement, les évolutions du SI : cela construit la preuve de conformité qu'on pourra produire en cas d'audit. Sans documentation, il n'y a pas de conformité démontrable, même si les pratiques sont bonnes.

Privilégier les éditeurs européens

Quand le choix est possible, un éditeur européen ou français réduit naturellement plusieurs risques : exposition au CLOUD Act, transferts internationaux à documenter, dépendance géopolitique. Nous travaillons par exemple avec Mailinblack (français), Terra (allemand), ESET (slovaque, UE), Bitdefender (roumain, UE). Microsoft 365 reste utilisé pour la productivité, mais avec un hébergement européen explicitement configuré. C'est un équilibre pragmatique, pas une posture militante.

Anticiper plutôt que subir les évolutions

Le cadre réglementaire continuera d'évoluer. Anticiper coûte moins cher que rattraper.
Une PME qui structure son RGPD aujourd'hui ne refera pas le travail dans deux ans. Une collectivité qui se met en conformité NIS2 en amont d'un contrôle évite des sanctions et un travail dans l'urgence.
C'est la même logique que l'entretien d'un bâtiment : un toit vérifié régulièrement coûte moins que la réparation d'une fuite découverte tardivement.

L'approche KERIONIS, pragmatique et opérationnelle

Notre rôle est de rendre la conformité applicable dans une organisation qui a un métier à faire tourner, pas un cours de droit à suivre. Notre approche tient en trois principes.

Une lecture business des obligations

Nous ne livrons pas un audit de 80 pages dans un langage que personne ne lit.
Nous traduisons les obligations en actions concrètes : ce qu'il faut documenter, dans quel ordre, à quelle échéance, avec quel budget.
Vous repartez avec un plan d'action lisible par tous les acteurs de votre organisation, pas seulement par votre DPO ou votre juriste.

Un mix éditeurs équilibré et souverain

Quand nous concevons une stack informatique pour un client, nous favorisons les éditeurs européens dès que c'est possible et compatible avec votre activité. Quand un éditeur américain reste la meilleure option (Microsoft 365 pour la productivité par exemple), nous configurons explicitement l'hébergement européen et nous documentons les transferts internationaux. C'est une approche pragmatique, pas idéologique.

Un suivi dans la durée

La conformité ne se règle pas une fois pour toutes. Notre offre d'infogérance intègre le suivi continu des évolutions réglementaires : mises à jour du registre RGPD, adaptations aux nouvelles obligations NIS2, ajustement des configurations en fonction des évolutions de la doctrine cloud.
Vous gardez un interlocuteur unique qui connaît votre SI et vous tient informé de ce qui change.

Un prestataire IT proche de votre entreprise

Approche pragmatique et opérationnelle de KERIONIS pour la conformité et la souveraineté numérique

Faire le point sur votre conformité et souveraineté

Si vous êtes dirigeant de PME, élu ou DGS de collectivité, ou professionnel libéral en Ille-et-Vilaine ou en Bretagne, et que les sujets de conformité ou de souveraineté vous interpellent (audit à préparer, marché public à remporter, doute sur une obligation), il y a probablement matière à en parler.

Un premier échange permet de qualifier votre situation réelle, sans engagement et sans pression commerciale.
Vous repartez avec une lecture honnête de l'état de votre conformité, que vous travailliez ensuite avec nous ou non.
Nous sommes référencés sur Cybermalveillance.gouv.fr et nous travaillons selon les méthodologies et recommandations de l'ANSSI.

Questions fréquentes sur conformité et souveraineté

Qu'est-ce que NIS2 change pour ma collectivité ?

NIS2 oblige les entités importantes et essentielles à mettre en place une gouvernance cyber formalisée (politique de sécurité, gestion des risques, plan de réponse à incident), à notifier les incidents significatifs à l'ANSSI, et à maîtriser la chaîne d'approvisionnement de leurs prestataires IT. Pour une collectivité, cela signifie en pratique un plan d'actions sur 12 à 24 mois, avec des arbitrages budgétaires et des ajustements organisationnels. La taille seuil est relativement basse, beaucoup de collectivités y entrent.

Mon entreprise est-elle concernée par le RGPD ?

Toute organisation qui traite des données personnelles (clients, prospects, salariés, fournisseurs) est concernée par le RGPD, quelle que soit sa taille. Cela inclut les PME, les TPE, les associations, les professions libérales. Les obligations sont modulées en fonction de la taille et de la nature des traitements, mais le principe d'application est universel. Une exception très limitée existe pour les traitements strictement personnels, qui ne concerne pas les activités professionnelles.

Microsoft 365 est-il compatible souveraineté ?

Compatible, oui, sous conditions. Microsoft propose un hébergement européen explicitement configurable (Microsoft 365 hébergé en Europe), avec engagement contractuel de localisation. Cela répond à de nombreuses exigences RGPD et NIS2. En revanche, Microsoft restant soumis au droit américain (CLOUD Act), une administration tenue à une qualification SecNumCloud ne pourra pas s'en contenter pour ses données les plus sensibles. Pour une PME standard, l'hébergement européen Microsoft est généralement suffisant.

Qu'est-ce que SecNumCloud ?

SecNumCloud est la qualification cloud souverain délivrée par l'ANSSI. Elle atteste qu'un hébergeur ou un fournisseur cloud répond à un cahier des charges précis en matière de sécurité technique, organisationnelle et juridique (immunité au droit extra-européen). Elle est imposée à certaines administrations pour leurs données sensibles, dans le cadre de la doctrine "Cloud au centre". Pour une PME ou une collectivité standard, elle n'est généralement pas exigée, mais elle peut le devenir si vous traitez certaines catégories de données.

Que risque le dirigeant en non-conformité ?

Selon les textes, la responsabilité du dirigeant ou du responsable de traitement peut être engagée à plusieurs niveaux : sanctions financières (jusqu'à 4 % du CA mondial pour le RGPD, jusqu'à 10 M€ pour NIS2 sur les entités essentielles), responsabilité civile vis-à-vis des personnes lésées, et dans certains cas responsabilité pénale (notamment pour les manquements caractérisés au secret professionnel ou aux obligations spécifiques sectorielles). Pour un élu ou un DGS de collectivité, la responsabilité personnelle peut également être engagée.