RGPD, Cloud Act, souveraineté : pourquoi le choix de la cybersécurité réseau doit être français

Migrer ses applications vers le cloud public est devenu une évidence pour la majorité des entreprises françaises. Microsoft Azure, AWS ou Google Cloud sont aujourd’hui des standards technologiques pour l’infrastructure, la performance et la scalabilité. Mais derrière cette évolution majeure, une question critique persiste : qui protège réellement vos flux, vos logs, vos utilisateurs et vos données sensibles ? Et surtout : qui y a accès ?

C’est là que la différence entre “héberger” et “protéger le réseau” devient essentielle. Autant il est possible de déléguer le stockage applicatif à un hyperscaler, autant la couche de cybersécurité réseau (pare-feu, filtrage DNS, IDS/IPS, SD-WAN, SASE…) ne peut pas être confiée aveuglément à un acteur non européen. Car ces systèmes collectent et analysent des flux, des logs d’activité, des comportements utilisateurs et parfois même des clés de chiffrement TLS. Et si cet éditeur est américain, il est soumis au Cloud Act — même si ses serveurs sont en Europe.

Le Cloud Act permet aux autorités américaines d’exiger l’accès à des données stockées chez un prestataire US, sans en informer l’entreprise concernée. C’est incompatible avec le RGPD et confirmé par la CJUE dans l’arrêt “Schrems II”. À cela s’ajoutent les nouvelles réglementations NIS2 et DORA, qui imposent transparence, maîtrise de l’infrastructure de sécurité et localisation contrôlée des données — sous peine de sanctions allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

Face à cela, l’ANSSI recommande clairement de privilégier des solutions de cybersécurité souveraines, particulièrement pour les secteurs sensibles (santé, énergie, finances, éducation, services publics). Son message est simple : pas de dépendance à des prestataires soumis à une législation extraterritoriale.

C’est précisément là que des solutions comme WANUP de SAYSE prennent tout leur sens. SAYSE est un éditeur et opérateur français qui développe son propre SD-WAN et ses fonctions de cybersécurité (pare-feu, ZTNA, segmentation, supervision). Toutes les données sont hébergées en France, les flux sont traités localement, et aucun élément de la solution n’est soumis au Cloud Act ou à une autre loi étrangère. Cette approche n’est pas anti-cloud : elle complète parfaitement l’usage d’AWS, Azure ou GCP… mais garantit que la couche de protection réseau reste sous contrôle français.