Hébergé en France ou chez un acteur français ? Le vrai test

Un ATS peut stocker vos CV en France et rester soumis au Cloud Act. La souveraineté se lit dans l'entité qui opère, pas dans l'adresse du serveur.

5 min de lecture
Alexandre NotoArticle
Hébergé en France ou chez un acteur français ? Le vrai test

Votre prestataire ATS vous assure que les données de vos candidats sont hébergées en France. Très bien. Mais chez qui, exactement ? La réponse à cette question détermine si le gouvernement américain peut ou non y accéder. Et dans la majorité des cas, il le peut.

Le 10 juin 2025, sous serment devant la commission d'enquête du Sénat, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, répondait à la question directe d'un sénateur : pouvez-vous garantir que les données publiques françaises hébergées par Microsoft ne seront jamais transmises au gouvernement américain ? Sa réponse, textuelle : "Non, je ne peux pas le garantir." Dit devant une commission parlementaire, en France, à propos d'infrastructures installées en France.

Le piège sémantique qui arrange tout le monde

Sur les plaquettes commerciales des ATS et des HRIS, la formule revient partout : "données hébergées en France". C'est juste, et c'est trompeur. Deux hébergements se cachent derrière ces quatre mots, et ils n'ont rien à voir.

Le premier, c'est le stockage physique. Un datacenter à Courbevoie, Marseille ou Francfort opéré par Azure, AWS ou Google Cloud Platform, parfois revendu en marque blanche par un acteur français. Les serveurs sont en Europe. Les opérateurs sont américains. La juridiction applicable aussi.

Le second, c'est l'hébergement chez un acteur sous droit français. Le capital, la direction, le contrat, les sous-traitants : tout reste dans le périmètre du droit de l'Union. Le Cloud Act n'y a pas prise, parce qu'il ne peut pas contraindre une société française à lui livrer des données qu'elle détient.

La différence tient en une phrase : la juridiction s'attache à l'entité, pas à la donnée. Ce n'est pas une subtilité. C'est le principe de droit qui organise toute la réglementation extraterritoriale américaine depuis 2018.

Cloud Act et FISA 702 : les deux lois qui changent tout

Le Cloud Act, adopté en 2018, permet aux autorités judiciaires américaines d'obtenir sur mandat les données détenues par une entreprise américaine, où qu'elles soient stockées dans le monde. Ciblé, judiciaire, contraignant.

FISA 702, plus discret et plus large, autorise les agences de renseignement américaines à collecter les communications des non-Américains situés hors des États-Unis, sans mandat individuel. Ce n'est plus du ciblé, c'est du volume.

Les deux régimes cohabitent. Ils s'appliquent aux sociétés américaines et à leurs filiales, indépendamment du lieu physique des données. Aucun contrat commercial, aucun chiffrement géré par l'hébergeur ne peut les neutraliser.

Ce que ça change pour un DRH

Un CV, c'est une donnée personnelle au sens du RGPD. Nom, email, téléphone, parcours, parfois photo ou situation familiale. Le responsable de traitement, c'est l'entreprise qui recrute. Pas l'éditeur de l'ATS. Pas l'hébergeur. Vous.

Deux points à tenir séparés. D'un côté, le RGPD sanctionne les défauts de sécurité, et il le fait dur (486 M€ de sanctions CNIL en 2025). Être chez un prestataire américain en Europe n'est pas en soi une infraction RGPD. De l'autre, l'arrêt Schrems II (2020) et les transferts hors UE restent une zone à risque : si votre prestataire transmet des données à sa maison-mère américaine sur injonction, vous pouvez être considéré comme responsable d'un transfert illicite. Le Cloud Act ne se matérialise pas par une amende, il se matérialise par un accès dont vous n'avez pas la maîtrise.

Le cas qu'on voit passer trop souvent : un ATS édité à Lyon, hébergé à Paris, qui appelle Azure OpenAI pour scorer automatiquement les CV. La requête part de France, traverse le réseau Microsoft, revient avec un score. Les données candidats sont transmises à un sous-traitant américain, pour quelques millisecondes ou davantage. Le Cloud Act s'y applique. La plaquette ne le dit pas.

Les clouds de confiance : un progrès, pas une indépendance

La France a fait émerger ces dernières années des offres dites de "cloud de confiance", construites sous forme de coentreprises entre un acteur français et un hyperscaler américain, qualifiées SecNumCloud. Sur le plan juridique, c'est une vraie avancée : l'opérateur est français, les clés sont en France, le Cloud Act ne mord pas sur le périmètre qualifié.

Mais il faut la nommer pour ce qu'elle est. C'est une souveraineté juridique sur une technologie non souveraine. Si l'éditeur américain arrête demain la licence, l'offre s'arrête. La dépendance industrielle reste. Pour un DRH, c'est un curseur à placer.

Trois questions suffisent

Pour auditer un fournisseur d'ATS, de HRIS ou de site carrière, trois questions tiennent dans un email.

  1. Qui opère le service ? Société, capital, droit applicable.
  2. Où sont hébergées les données ? Chez un acteur français de plein droit, ou chez un hyperscaler revendu en marque blanche.
  3. L'IA qui score les CV, chez qui tourne-t-elle ? Sous quel droit, et avec quels sous-traitants.

Si le fournisseur répond précisément, vous savez où vous mettez vos candidats. Si les réponses sont évasives, la réponse est déjà là.

Notre position

Chez Intuition Software, JobAffinity est hébergé chez Scaleway, opérateur français sur des datacenters français. La société qui édite le produit est française, sous droit français, sans dépendance capitalistique américaine. Notre IA fonctionne sur nos propres infrastructures, sans appel à GPT, Gemini, Claude ou Grok. Ce n'est pas une posture, c'est le seul design qui permet à un DRH de répondre à son DPO sans sourciller.

La souveraineté numérique ne se déclare pas. Elle se contractualise, elle s'audite, elle se lit dans les sous-traitants. Le reste, ce sont des plaquettes.

Sources

Cet article vous aide ?

Découvrez comment JobAffinity peut optimiser vos recrutements.

En savoir plus

Questions Fréquentes

Sujets abordés :

Souveraineté numériqueCloud ActSecNumCloudDonnées RH

Articles reliés

Formation IA en recrutement : on forme aux mauvais usages
13 avr. 2026
6 min

Formation IA en recrutement : on forme aux mauvais usages

85% des salariés formés à l'IA ne savent pas l'utiliser au quotidien. En recrutement, le vrai problème n'est pas la pédagogie : c'est qu'on forme au scoring au lieu d'aider sur les tâches qui noient les équipes.

Intelligence artificielleRecrutementFormation
Lire l'article
CNIL 2026 : auditez vos outils RH avant le contrôle
8 avr. 2026
6 min

CNIL 2026 : auditez vos outils RH avant le contrôle

La CNIL a classé le recrutement en priorité de contrôle 2026. Algorithmes de tri CV, information candidats, durées de conservation : ce que les RH doivent vérifier avant que l'inspecteur arrive.

rgpdcnilia-rh
Lire l'article
Les recruteurs français exposent les données de leurs candidats, sans le savoir
19 mars 2026
4 min

Les recruteurs français exposent les données de leurs candidats, sans le savoir

CLOUD Act, RGPD, AI Act : chaque CV confié à une IA américaine peut être intercepté par les autorités américaines. Un risque juridique réel que la quasi-totalité des recruteurs français ignore.

RGPDDonnées personnellesRecrutement
Lire l'article

Prêt à optimiser vos recrutements ?

Découvrez JobAffinity et transformez votre façon de recruter

Découvrir JobAffinity
Voir nos autres ressources