Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

OVHcloud et RGPD : guide de conformité 2026

OVHcloud est-il conforme au RGPD ? DPA, SecNumCloud, CLOUD Act, transferts et vos obligations de responsable de traitement, expliqués.

Dans la nuit du 10 mars 2021, l’incendie du datacenter SBG2 de Strasbourg a détruit les serveurs de milliers d’entreprises, dont certaines ont perdu jusqu’à leurs sauvegardes. OVHcloud a été condamné, mais beaucoup de clients ont découvert ce jour-là que la conformité d’un hébergeur ne les dispense pas de leurs propres obligations. Choisir OVHcloud — hébergeur français, souvent présenté comme l’alternative souveraine à AWS ou Azure — est un bon point de départ pour le RGPD. Mais ce n’est qu’un point de départ. Voici ce que cet hébergement implique vraiment pour votre conformité.

Pour replacer OVHcloud dans son écosystème, consultez aussi nos guides AWS et RGPD, RGPD et cloud : obligations AWS, Azure, GCP et notre guide RGPD par outil.

Qualification juridique : OVHcloud est votre sous-traitant

Lorsque vous hébergez chez OVHcloud des serveurs, des bases de données ou des applications contenant des données personnelles, OVHcloud agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Votre entreprise reste le responsable de traitement : c’est vous qui décidez quelles données collecter, pourquoi, et combien de temps les conserver. OVHcloud se contente de fournir et d’exploiter l’infrastructure technique.

Cette répartition n’est pas un détail théorique. Elle détermine qui porte quelle obligation. OVHcloud doit garantir la sécurité de ses datacenters, de son réseau et de son hyperviseur. Mais l’inscription du traitement à votre registre des activités de traitement, la définition de la base légale, l’information des personnes, la gestion des droits et le respect des durées de conservation restent intégralement de votre côté. Aucun hébergeur, aussi conforme soit-il, ne fait disparaître ces obligations.

Ce qu’OVHcloud voit — et ne voit pas — de vos données

Un point essentiel et souvent mal compris : sur les offres d’infrastructure (Bare Metal, VPS, Public Cloud, Hosted Private Cloud), OVHcloud n’accède pas au contenu des données que vous y stockez. L’hébergeur opère la couche matérielle et logicielle d’infrastructure ; vous gardez la maîtrise du système d’exploitation, des applications et des données. Cette architecture limite mécaniquement les risques d’accès indu, mais elle déplace aussi la charge de sécurité applicative vers vous (chiffrement, gestion des accès, mises à jour). C’est le principe de responsabilité partagée, sur lequel je reviens plus bas.

Le DPA OVHcloud à la loupe

L’article 28(3) du RGPD impose qu’un contrat écrit encadre la relation avec tout sous-traitant. OVHcloud répond à cette exigence par un Data Protection Agreement (DPA), une annexe intégrée à ses conditions contractuelles et applicable à l’ensemble des clients. Vous n’avez donc pas à négocier un contrat sur mesure : le DPA s’applique automatiquement. Il précise notamment que OVHcloud traite les données sur la seule instruction documentée du client, dans le respect des mentions obligatoires de l’article 28(3).

Trois points méritent votre attention dans ce document :

D’abord, la liste des sous-traitants ultérieurs. L’article 28(2) encadre le recours par OVHcloud à ses propres prestataires. Le DPA prévoit un mécanisme d’information sur ces sous-traitants ultérieurs et la possibilité de s’y opposer. Vérifiez périodiquement cette liste, surtout si vous utilisez des services managés.

Ensuite, l’assistance prévue aux articles 28(3)(e) et (f) : aide à la réponse aux demandes d’exercice de droits, à la notification des violations de données et à la réalisation d’une analyse d’impact si nécessaire. OVHcloud s’engage notamment à vous notifier toute violation affectant ses infrastructures dans des délais permettant de respecter votre propre obligation de notification à la CNIL sous 72 heures (article 33).

Enfin, le sort des données en fin de contrat : restitution ou suppression, conformément à l’article 28(3)(g). Anticipez la réversibilité avant de résilier, en particulier les exports de bases de données.

Hébergement, souveraineté et CLOUD Act

OVHcloud héberge ses services dans des datacenters situés en Union européenne, principalement en France (Roubaix, Gravelines, Strasbourg). De ce fait, l’hébergement standard d’OVHcloud n’entraîne pas de transfert de données hors de l’Union européenne au sens du chapitre V du RGPD. Vous échappez ainsi à la complexité des clauses contractuelles types et de l’analyse d’impact des transferts (TIA) qu’imposent des fournisseurs établis aux États-Unis. C’est l’un des avantages concrets et immédiats du choix d’un hébergeur européen.

OVHcloud et le CLOUD Act : l’argument et ses limites

OVHcloud met en avant son immunité au CLOUD Act américain, en sa qualité d’entreprise française. Selon son fondateur Octave Klaba, les entités du groupe sont juridiquement isolées et la filiale américaine ne dispose d’aucun accès aux données des autres entités. L’argument est sérieux et structurant.

Il faut toutefois le manier avec nuance. Une décision de la Cour supérieure de l’Ontario du 25 septembre 2025 a confirmé une injonction de production visant des données hébergées notamment en France, illustrant que la souveraineté juridique d’un hébergeur n’est jamais absolue face à une décision de justice étrangère. Autrement dit : nationalité française ne signifie pas immunité totale à toute injonction extraterritoriale. Pour les traitements réellement sensibles, l’argument commercial de la souveraineté ne suffit pas — il faut s’appuyer sur une qualification technique opposable.

SecNumCloud : le vrai bouclier d’extraterritorialité

C’est là qu’intervient SecNumCloud, le référentiel de qualification de l’ANSSI dont l’un des critères est précisément l’immunité aux lois extraterritoriales. OVHcloud a obtenu cette qualification sur plusieurs de ses offres : dès décembre 2020 pour son Hosted Private Cloud (VMware on OVHcloud), puis en mars 2025 la qualification SecNumCloud 3.2 pour sa plateforme Bare Metal Pod, dans trois datacenters distincts opérés exclusivement par du personnel basé en Europe. L’hébergeur a par ailleurs engagé une démarche de qualification de ses services de Public Cloud.

Pour les données les plus exposées — données de santé, secteur public, opérateurs d’importance vitale, traitements à fort enjeu — c’est l’offre SecNumCloud qu’il faut viser, et non l’offre standard. La nuance est capitale : toutes les offres OVHcloud ne sont pas SecNumCloud. Vérifiez précisément le périmètre qualifié pour le service que vous souscrivez. Pour aller plus loin, voyez notre dossier sur la certification SecNumCloud. OVHcloud détient par ailleurs les certifications ISO 27001, ISO 27701 et HDS (hébergement de données de santé).

Sécurité et responsabilité partagée (article 32)

L’article 32 du RGPD impose des mesures de sécurité « adaptées au risque ». Sur une infrastructure cloud, cette obligation est partagée : OVHcloud sécurise ce qu’il maîtrise, vous sécurisez le reste. Confondre les deux périmètres est la première cause de non-conformité.

OVHcloud prend en charge la sécurité physique des datacenters, la redondance électrique et réseau, la protection anti-DDoS, l’isolation des infrastructures. En revanche, sur une offre IaaS, c’est à vous qu’il revient de chiffrer les données au repos et en transit, de gérer les comptes et les droits d’accès, d’appliquer les correctifs de sécurité de votre système et de vos applications, et surtout de configurer vos sauvegardes.

La leçon de l’incendie de Strasbourg

L’incendie de SBG2 en mars 2021 reste le cas d’école français. Plus de 450 000 noms de domaine et 3,6 millions de sites ont été affectés, avec des pertes de données définitives. La justice a retenu une faute contractuelle d’OVHcloud — le tribunal de commerce de Lille l’a notamment condamné à verser environ 145 000 € à un client dont les sauvegardes, censées être répliquées, se trouvaient dans le même bâtiment que le serveur de production.

Deux enseignements pour votre conformité. Premièrement, la disponibilité fait partie de la sécurité : l’article 32(1)(b) et © vise expressément la disponibilité et la résilience, ainsi que la capacité à rétablir l’accès aux données. Une stratégie de sauvegarde géo-redondante, sur un site distinct, n’est pas une option de confort mais une mesure de conformité. Deuxièmement, ne présumez jamais qu’une option de sauvegarde gérée par l’hébergeur couvre votre risque : lisez le périmètre exact, et testez vos restaurations. Dans mon expérience de conseil, l’absence de test de restauration est l’angle mort le plus fréquent des PME.

Votre check-list de mise en conformité OVHcloud

Concrètement, pour documenter votre conformité lorsque vous hébergez chez OVHcloud :

Récupérez et archivez le DPA OVHcloud signé, et conservez-le avec vos contrats. Inscrivez chaque traitement hébergé à votre registre en mentionnant OVHcloud comme sous-traitant et le lieu d’hébergement. Vérifiez que vous avez activé une sauvegarde sur un site géographiquement distinct et que vous testez les restaurations. Activez le chiffrement des données au repos et en transit, et restreignez les accès au strict nécessaire. Si vous traitez des données sensibles ou des données de santé, orientez-vous vers une offre SecNumCloud ou HDS plutôt que l’offre standard. Enfin, surveillez la liste des sous-traitants ultérieurs et intégrez OVHcloud à votre procédure de gestion des violations de données.

Cartographier ses sous-traitants, garder son registre à jour et documenter ses mesures de sécurité est un travail récurrent qui se prête mal aux tableurs dispersés. C’est précisément ce type de suivi que Legiscope automatise, pour transformer une conformité subie en conformité pilotée.

Ce qu’il faut retenir

  • OVHcloud est votre sous-traitant au sens de l’article 28 du RGPD : il sécurise l’infrastructure, mais le registre, la base légale, l’information et les durées de conservation restent vos obligations.
  • Le DPA OVHcloud s’applique automatiquement à tous les clients ; vérifiez la liste des sous-traitants ultérieurs, l’assistance prévue et le sort des données en fin de contrat.
  • L’hébergement standard est en Union européenne : pas de transfert hors UE, donc pas de clauses contractuelles types à gérer.
  • L’argument CLOUD Act est solide mais non absolu (décision canadienne de septembre 2025) ; pour les données sensibles, visez une offre SecNumCloud, seule à offrir une immunité opposable aux lois extraterritoriales.
  • La sécurité est partagée (article 32) : sauvegarde géo-redondante, chiffrement et tests de restauration sont à votre charge — c’est la leçon de l’incendie de Strasbourg.

FAQ

OVHcloud est-il conforme au RGPD ?

OVHcloud fournit le cadre d’un hébergement conforme : DPA conforme à l’article 28, hébergement en Union européenne, certifications ISO 27001/27701, HDS et qualifications SecNumCloud sur certaines offres. Mais la conformité de votre traitement dépend aussi de votre configuration (sauvegardes, chiffrement, accès) et de votre documentation en tant que responsable de traitement. L’hébergeur ne « rend » pas votre traitement conforme à lui seul.

Héberger chez OVHcloud m’évite-t-il les problèmes de transfert hors UE ?

Pour les offres hébergées en France ou en Union européenne, oui : il n’y a pas de transfert au sens du chapitre V du RGPD, ce qui vous dispense des clauses contractuelles types et de l’analyse d’impact des transferts. Vérifiez néanmoins la localisation exacte du service souscrit et celle des éventuels sous-traitants ultérieurs et services tiers connectés.

Faut-il choisir l’offre SecNumCloud d’OVHcloud ?

Cela dépend de votre niveau de risque. Pour des traitements courants, l’offre standard hébergée en UE suffit généralement. Pour des données sensibles, des données de santé, des données du secteur public ou des traitements stratégiques exposés aux lois extraterritoriales, l’offre SecNumCloud apporte une garantie technique opposable que l’offre standard n’offre pas.

Qui est responsable en cas de perte de données comme à Strasbourg ?

La responsabilité est partagée. OVHcloud répond de ses propres manquements (l’incendie de SBG2 a donné lieu à des condamnations). Mais le responsable de traitement doit, au titre de l’article 32 du RGPD, garantir la disponibilité et la résilience de ses données : configurer une sauvegarde sur un site distinct et tester ses restaurations relève de votre obligation, pas de celle de l’hébergeur.


Cet article fournit une information juridique générale et ne constitue pas un conseil juridique individualisé. Pour une analyse adaptée à votre situation, l’accompagnement d’un professionnel est recommandé.

Recevez nos analyses conformité chaque semaine. Inscrivez-vous à notre newsletter pour décrypter, comme ici, les obligations RGPD concrètes derrière chaque outil que vous utilisez.