Quand nous avons commencé à concevoir Paak, notre plateforme de gestion pour clubs sportifs, une question s’est imposée avant même la première ligne de code : où vivront les données de nos utilisateurs ?
La réponse semblait simple. Nous sommes en Europe. Nos clubs sont en Europe. Nos adhérents sont en Europe. Donc les données restent en Europe. Évidemment.
Mais en creusant cette question, nous avons découvert une réalité que la plupart des dirigeants de clubs sportifs ignorent, et qui devrait pourtant tous les concerner.
Ce que contient la base de données de votre club
Avant d’aller plus loin, prenons une seconde pour réaliser ce que “les données d’un club sportif” signifie concrètement :
- Identités complètes : noms, adresses, dates de naissance de chaque adhérent, y compris des mineurs
- Coordonnées de contact : emails, téléphones des parents et tuteurs légaux
- Informations médicales : certificats médicaux, allergies, contre-indications
- Données financières : coordonnées bancaires, historiques de paiements, cotisations
- Photos et vidéos : prises lors d’entraînements, compétitions, événements du club
Pour un club de 200 adhérents dont la moitié sont mineurs, c’est une base de données sensible. Pas au sens “secret d’État”, mais au sens du RGPD : des données personnelles, souvent de personnes vulnérables (enfants), confiées à une structure associative.
La question n’est pas abstraite. Elle est juridique, éthique et pratique : qui peut accéder à ces données, et sous quelle juridiction ?
”Cloud souverain” : quand le marketing masque la réalité
Depuis 2020 et bien plus encore depuis début 2025, le terme “cloud souverain” est devenu un argument de vente. De nombreuses entreprises l’affichent fièrement. Mais que signifie-t-il vraiment ?
Le piège des coentreprises
En France, deux initiatives majeures ont été annoncées comme la réponse au problème de la souveraineté :
- S3NS : une coentreprise entre Thales et… Google Cloud
- Bleu : une coentreprise entre Orange, Capgemini et… Microsoft
Le principe ? Des acteurs européens opèrent des datacenters en France, mais la technologie sous-jacente reste américaine. Google fournit le moteur de S3NS. Microsoft fournit Azure et Microsoft 365 à Bleu.
C’est comme acheter une voiture “made in France” dont le moteur, la boîte de vitesses et l’électronique embarquée viennent de Detroit. La carrosserie est française. L’essentiel ne l’est pas.
Pourquoi ça pose problème : CLOUD Act et FISA 702
Deux lois américaines rendent cette architecture fondamentalement incompatible avec la protection des données européennes :
Le CLOUD Act (2018) autorise les autorités américaines à exiger l’accès aux données détenues par toute entreprise de droit américain, y compris les données stockées en Europe, y compris celles appartenant à des citoyens européens.
La section 702 du FISA Act (renouvelé en avril 2024) va encore plus loin : elle permet aux agences de renseignement américaines de collecter les données de personnes non-américaines stockées sur des serveurs gérés par des fournisseurs américains, sans contrôle judiciaire individualisé. Le renouvellement de 2024 a même élargi le champ d’application à toute entreprise offrant un service avec accès à des équipements où transitent des communications.
Et les entreprises concernées ne peuvent pas informer leurs clients qu’elles ont été contraintes de fournir ces données.
La Cour de Justice de l’Union Européenne l’a confirmé : les lois américaines de surveillance n’offrent pas une protection adéquate pour les données européennes. C’est exactement pour cela que les accords Safe Harbor puis Privacy Shield ont été invalidés.
La découverte qui a tout changé pour nous
C’est en creusant la question de nos fournisseurs que nous avons fait une découverte troublante.
In-Q-Tel est un fonds de capital-risque fondé en 1999 par la CIA. Sa mission, ouvertement affichée : financer des startups technologiques dont les produits servent les agences de renseignement américaines.
Ce que la plupart des Européens ignorent, c’est qu’In-Q-Tel investit massivement en Europe. Selon une enquête de Follow the Money (2024), le fonds a investi dans au moins 52 startups européennes, avec des montants passant de moins de 5 millions de dollars en 2017 à environ 35 millions en 2023, une multiplication par sept en six ans.
Et ce n’est pas que des startups de défense. L’objectif est clair : obtenir un accès privilégié aux technologies européennes sensibles, avec un droit de regard que les investisseurs classiques n’ont pas.
L’exemple le plus connu est Palantir Technologies, qui a reçu son investissement initial de 2 millions de dollars d’In-Q-Tel en 2005. Aujourd’hui valorisée à plus de 250 milliards de dollars, Palantir est au cœur des systèmes de renseignement de… la DGSI française. Oui, le service de renseignement intérieur français utilise un logiciel financé par la CIA pour traiter ses données les plus sensibles. Ce contrat, signé après les attentats de 2015, est toujours actif, semble-t-il.
Quand on cherche à savoir qui contrôle réellement la chaîne technologique, les découvertes sont souvent déroutantes. Un fournisseur qui se présente comme européen peut avoir un actionnaire minoritaire lié aux services de renseignement américains. Une solution “souveraine” peut reposer sur du code qui, juridiquement, reste soumis au droit américain.
Mai 2025 : la preuve que ce n’est pas théorique
Pour ceux qui penseraient que tout cela est de la paranoïa, un incident de février 2025 a transformé ce risque en réalité concrète.
Après que l’administration Trump a sanctionné le procureur en chef de la Cour Pénale Internationale (CPI), Microsoft a suspendu l’accès aux services email et cloud du procureur. Une institution internationale, basée à La Haye, s’est retrouvée du jour au lendemain privée de ses outils de travail, par décision d’une entreprise américaine appliquant la politique étrangère de Washington.
La CPI a ensuite migré vers openDesk, une suite bureautique open source fournie par le Centre allemand pour la Souveraineté Numérique (ZenDiS).
Le message est limpide : si vous dépendez d’un fournisseur américain, une décision politique prise à Washington peut couper votre accès du jour au lendemain. Peu importe que vos données soient “hébergées en Europe.” Le contrôle n’est pas où sont les serveurs. Le contrôle est entre les mains de qui tient l’interrupteur.
Ce que “100% européen” signifie vraiment chez Paak
Quand nous disons que Paak est une infrastructure 100% européenne, ce n’est pas un slogan marketing. C’est une architecture délibérée, brique par brique :
| Service | Fournisseur | Pays | Propriété |
|---|---|---|---|
| Hébergement | OVHcloud | France | Entreprise française cotée à Paris |
| Paiements | Mollie | Pays-Bas | Entreprise néerlandaise, certifiée PCI-DSS |
| Authentification | Hanko | Allemagne | Entreprise allemande |
| Emails | Brevo (ex-Sendinblue) | France | Entreprise française |
Aucun de ces fournisseurs n’est une filiale américaine. Aucun n’est soumis au CLOUD Act ou au FISA. Aucun ne peut recevoir une National Security Letter lui ordonnant de fournir vos données en silence.
Et ce n’est pas une coïncidence. C’est le résultat d’un travail méthodique : pour chaque brique de notre stack technique, nous avons vérifié la structure actionnariale, le siège social, et la juridiction applicable. À chaque fois qu’une alternative européenne existait avec un niveau de qualité équivalent, nous l’avons choisie.
Notre code source tourne sur des serveurs en France, à Gravelines dans les Hauts de France. Vos paiements transitent par les Pays-Bas et les données bancaires de vos adhérents ne passent jamais par nos serveurs : elles sont traitées directement par Mollie dans son environnement certifié PCI-DSS. Votre authentification passe par l’Allemagne. Vos emails partent de France. À aucun moment vos données ne quittent l’Union Européenne, et à aucun moment elles ne sont soumises au droit américain.
Pourquoi cela compte pour votre club
“Mais nous ne sommes qu’un petit club de handball de 150 adhérents. Personne ne va nous espionner.”
C’est vrai. La CIA ne s’intéresse probablement pas aux résultats de vos minimes. Mais la question n’est pas vraiment là.
-
C’est une obligation légale. En tant que responsable de traitement au sens du RGPD, votre club est tenu de garantir que les données personnelles de ses adhérents sont protégées de manière adéquate. Utiliser un hébergeur soumis au CLOUD Act crée un risque juridique réel, surtout quand ces données incluent celles de mineurs.
-
C’est une question de confiance. Les parents qui inscrivent leurs enfants vous confient des informations sensibles : adresses, photos, données médicales. Pouvoir leur dire “vos données restent en Europe, chez des fournisseurs européens” est un gage de sérieux.
-
C’est un choix de société. Chaque euro dépensé chez un fournisseur américain renforce un oligopole qui contrôle déjà 70% du marché cloud européen (contre 22% pour les acteurs européens en 2017, tombé à 15% en 2024 selon Synergy Research Group). Choisir Paak, c’est soutenir un écosystème numérique européen.
-
C’est une assurance contre l’imprévisible. L’incident de la CPI montre qu’un changement de politique à Washington peut avoir des conséquences immédiates sur vos outils quotidiens. Avec une infrastructure 100% européenne, votre club ne dépendra jamais d’une décision politique étrangère.
Le mot de la fin
La souveraineté numérique n’est pas un sujet réservé aux grandes entreprises ou aux gouvernements. C’est un sujet qui concerne chaque organisation qui collecte des données personnelles, y compris votre club de sport.
Chez Emmara, nous avons fait le choix de la transparence et de la cohérence. Chaque composant de Paak a été sélectionné non seulement pour sa qualité technique, mais aussi pour son indépendance vis-à-vis de juridictions extra-européennes.
Parce que vos adhérents méritent mieux qu’un hébergeur dont les données peuvent être saisies en silence par un tribunal américain.
Vos données restent en Europe. Pour de vrai.
Pour aller plus loin :
- Découvrir Paak et son infrastructure européenne — gestion, paiements, conformité
- À propos d’Emmara — notre engagement pour la souveraineté numérique
- Excel va tuer votre club — pourquoi il est temps d’abandonner les tableurs
- Pourquoi le CRM n’est plus un luxe — centraliser vos données
Paak est une plateforme de gestion pour clubs sportifs, 100% européenne. paak.club
Sources et références
- Follow the Money — “U.S. gets sneak peek at Europe’s military tech through CIA-backed fund”
- Wire.com — “CLOUD Act: What It Means for EU Data Sovereignty”
- CDT.org — “FISA 702 Expansion: Impact on the EU-U.S. Data Privacy Framework”
- The Register — “International Criminal Court dumps Microsoft Office”
- Computer Weekly — “Microsoft’s ICC email block reignites European data sovereignty concerns”
- Synergy Research Group — “European Cloud Providers’ Local Market Share Now Holds at 15%”
- Lighthouse Reports — “What is Palantir Doing in Europe?”
- Oodrive — “Extension of the FISA Act: A Threat to Our Data”