À retenir
À l’heure de la transformation numérique, les entreprises adoptent massivement des solutions de Gouvernance, Risques et Conformités (GRC) en mode SaaS. Ces outils promettent agilité, automatisation des contrôles, centralisation des données et simplification des obligations réglementaires.
Cependant, derrière ces avantages apparents se cache une problématique stratégique : où sont hébergées ces données sensibles, et sous quelle juridiction tombent-elles ?
La majorité des solutions GRC du marché repose aujourd’hui sur des infrastructures cloud opérées par des acteurs américains (AWS, Azure, Google Cloud). Néanmoins, cela expose les entreprises européennes à des risques juridiques, réglementaires et géopolitiques non négligeables.
Notre expert vous explique les risques liés au choix d’héberger une solution de GRC dans le cloud américain et décrypte les alternatives souveraines.
Cloud américain et droit extraterritorialité : un risque juridique sous-estimé
Le Cloud Act vs RGPD
Adopté en 2018, le Cloud Act autorise les autorités américaines à accéder aux données stockées par une entreprise de droit US, quel que soit l’emplacement géographique des serveurs. Cette disposition entre directement en conflit avec le Règlement Général sur la Protection des Données (RGPD), qui impose une protection stricte des données personnelles et limite fortement leur transfert hors de l’Union européenne.
Ce n’est pas un simple débat théorique :
- En 2020, l’arrêt Schrems II a invalidé le Privacy Shield, jugeant que le droit américain ne garantit pas un niveau de protection équivalent à celui du RGPD, notamment à cause des programmes de surveillance PRISM ou UPSTREAM;
- En 2019, Microsoft a été contraint par un tribunal fédéral américain de transmettre des emails hébergés en Irlande dans le cadre d’une enquête judiciaire;
- Les révélations de Edward Snowden ont confirmé la capacité des agences américaines à tirer parti de leurs relations privilégiées avec les GAFAM pour accéder à des informations stratégiques.
Des données GRC parmi les plus sensibles de l'entreprise
Les solutions GRC hébergent une cartographie très complète des processus critiques de l'entreprise, y compris:
- Les matrices de délégation de pouvoirs;
- Les scénarii de fraude interne;
- Les incidents de sécurité et plan de remédiation;
- Les non-conformité réglementaires;
- Les décisions de conformité sur des tiers sensibles (fournisseurs, partenaires, etc.);
- Les audits, les investigations internes, les alertes éthiques, etc.
Autant d’informations qui exposent les vulnérabilités stratégiques de l’organisation. Leur hébergement dans une juridiction potentiellement hostile représente un risque réputationnel, juridique et opérationnel majeur.
Souveraineté numérique: un impératif dans les secteurs régulés
Le secteur public face aux exigences de sécurité
Ministères, collectivités locales, agences nationales et établissements hospitaliers sont soumis à une série de normes souveraines :
- Référentiel Général de Sécurité (RGS)
- Loi de Programmation Militaire (LPM)
Le recours à des clouds non certifiés SecNumCloud est bien souvent interdit dans les marchés publics.
Banques, assurances, gestion d'actifs: quel cadre réglementaire?
Le secteur financier est encadré par :
- Les orientations de l’Agence européenne bancaire (EBA) sur les services cloud;
- Le Digital Operational Resilience Act (DORA) sur la résilience numérique;
- Les exigences de Bâle III, CRD IV, DPS2 ou encore NIS2
Ces directives imposent traçabilité, contrôles opérationnels et maîtrise de la localisation des données. Des exigences difficilement compatibles avec des hébergements sous juridiction extracommunautaire.
Défense, aéronautique et OIV: souveraineté non négociable
Pour les opérateurs d’importance vitale (OIV) ou de services essentiels (OSE), la souveraineté n’est pas une option. La Loi de Programmation Militaire (LPM) et la directive Network and Information Security 2 (NIS 2) rendent l’usage de solutions souveraines incontournable pour garantir l’indépendance stratégique des infrastructures critiques.
Quelles alternatives pour les entreprises françaises ?
Se tourner vers d'autres solutions
Certaines entreprises ou certains groupes disposant d’activités exclusivement européennes, commerçant en euro et souffrant peu/pas de concurrence américaine, peuvent s’orienter sans risque lourd vers des solutions anglosaxonnes.
Privilégier les solutions souveraines certifiées
Pour les acteurs régulés, la priorité doit aller à des plateformes :
- Hébergées en France ou dans l'Union européenne;
- Certifiées SecNumCloud;
- Exploitées par des éditeurs européens, hors juridictions extracommunautaires
Seule cette approche garantit la cohérence avec les exigences du RGPD, de DORA ou encore de la doctrine Cloud de l'État
Un marché encore en construction
L’offre reste toutefois en phase de maturation :
- Les anciennes solutions « on premise » sont souvent obsolètes ou rachetées par des groupes étrangers ;
- Les outils développés sur Excel ou PowerPoint montrent vite leurs limites ;
- Les start-ups françaises peinent parfois à couvrir l’ensemble des besoins métiers.
L’hébergement d’une solution GRC sur un cloud américain n’est pas neutre. Au-delà des fonctionnalités, les entreprises doivent intégrer les risques réglementaires, juridiques et géopolitiques que cela implique.
Dans un contexte de régulations de plus en plus strictes, la souveraineté devient un levier stratégique de conformité et de résilience.
Conscients de ces enjeux, RSM a fait le choix d’une alternative souveraine sécurisée et opérationnelle.
En partenariat avec Empowered Systems, spin-off de Thomson Reuters/Refinitiv, nous proposons une plateforme GRC :
Herbergée dans un cloud certifié SecNumCoud;
Couvrant la gestion des risques, la conformité, le contrôle et l’audit internes ;
Eprouvée dans les secteurs les plus exigeants, notamment en finance.
La solution figure désormais dans le panorama des SIGR de l’AMRAE, validant sa robustesse fonctionnelle et sa conformité aux standards européens.
Les experts RSM accompagnent les entreprises de tous les secteurs dans l'évaluation et la maîtrise des risques de fraude et d’escroquerie. Nous avons la capacité de vous proposer des solutions rapides et efficace en matière de prévention : diagnostic flash, formation des collaborateurs, sécurisation des processus.
Découvrez notre offre Risk Advisory.
Empowered, une entreprise de logiciels de premier plan reconnue de longue date pour son expertise en matière de contrôles internes, de gestion des risques et d’audit, a annoncé aujourd’hui un partenariat stratégique avec RSM France. Cette collaboration vise à redéfinir l’accompagnement des entreprises en matière de Gouvernance, Risques et Conformité (GRC), en associant des solutions numériques robustes à une expertise métier approfondie.
Le partenariat s’appuie sur les solutions numériques avancées et hautement configurables d’Empowered — qui permettent de simplifier les processus d’audit, de renforcer les dispositifs de gestion des risques et de garantir une conformité rigoureuse — et sur l’expérience reconnue de RSM France en matière de conseil. Ensemble, les deux entreprises entendent établir une nouvelle référence en matière de mise en œuvre intégrée de la GRC, au service de l’excellence opérationnelle et d’une croissance durable, dans un environnement cloud souverain SECNUMCLOUD.