La confrontation entre OVH et un tribunal de l’Ontario, qui exige la transmission de données stockées en France, au Royaume-Uni et en Australie, illustre l’un des enjeux sensibles actuel du cloud : l’extraterritorialité des lois appliquées aux services cloud. Selon les informations publiées par Heise1 le 27 novembre 2025, la juge canadienne s’appuie sur une interprétation élargie de la notion de « présence virtuelle » : parce qu’OVH propose ses services au Canada, il serait soumis à la juridiction locale, indépendamment de l’emplacement physique des serveurs.

Ce raisonnement n’est pas sans rappeler l’approche américaine du Cloud Act ou du FISA, mais il marque surtout une étape supplémentaire : un État tiers cherche désormais à imposer son pouvoir sur des données hébergées dans l’Union européenne.

Un conflit juridique et politique majeur

L’ordre canadien place OVH dans un dilemme inédit :

· Obéir = Risque de violer la loi de blocage française (loi n° 68-678 modifiée en 2022), qui interdit toute transmission de données à une autorité étrangère hors voie officielle..

· Refuser de s’exécuter = Risque de sanctions au Canada.

Pour la France, la position est claire. Dans deux courriers adressés à OVH, le SISSE et le Ministère de la Justice indiquent explicitement que fournir directement les données serait illégal, et qu’il revient au Canada d’utiliser les procédures internationales prévues, comme la commission rogatoire.

Pourquoi cette affaire concerne directement toutes les entreprises

Selon le rapport 2025 de Rubrik Zero Labs2 sur la sécurité des données, un nombre significatif d’organisations interrogées déclarent utiliser principalement des infrastructures Cloud / SaaS. Cela illustre à quel point le recours au cloud est devenu un usage répandu dans le monde professionnel, d’où la nécessité d’anticiper les risques liés à l’hébergement, aux transferts de données, à la conformité et à la protection des données en particulier les données sensibles. Les acteurs qui offre des services d’hébergement, comme OVH, sont exposés à trois risques majeurs :

– La fragmentation géopolitique du cloud : Chaque État renforce son contrôle sur les données. Un fournisseur opérant dans plusieurs juridictions pourrait recevoir des ordres contradictoires.

– L’incertitude contractuelle : Beaucoup d’entreprises ignorent que les contrats cloud prévoient parfois des « obligations légales coopératives » pouvant engendrer une divulgation forcée, ce qui permet au prestataire/éditeur de basculer sa responsabilité sur le client qui aura alors accepter un tel transfert

– Les risques de non-conformité RGPD : Un transfert illégal vers un État tiers peut entraîner jusqu’à 4 % du CA mondial de sanction à la charge du client de l’hébergeur / éditeur cloud.

Dans ce contexte, disposer d’un schéma juridique de souveraineté cloud n’est plus un luxe, mais une exigence.

Comment ITLAW Avocats accompagne les entreprises face à ces risques

Les nouvelles technologies sont aujourd’hui multi-territoriales. Elles s’insèrent au cœur des activités des entreprises et exposent à des risques juridiques croissants.

Depuis 30 ans, ITLAW Avocats accompagne entreprises, acteurs du numérique et organisations publiques sur leurs projets IT et en particulier les contrats IT, dont les projets internationaux, la protection des données et la propriété intellectuelle.

Dans un environnement où l’extraterritorialité devient la norme, les innovations s’enchaînent, et les réglementations évoluent sans cesse… Nous intervenons pour :

· Auditer vos projets IT et s’assurer de la conformité légale

· Sécuriser les contrats, clauses de territorialité, sous-traitance, obligations légales, protection des données, …

· Définir des stratégies de souveraineté, incluant la gestion des risques extraterritoriaux

· Anticiper les injonctions étrangères et préparer les plans de réponse (procédures, documentation, argumentaires juridiques)

· Assurer la conformité RGPD lors de traitements transfrontaliers

· Protéger vos secrets d’affaires, données stratégiques et informations sensibles.

En conclusion

L’affaire OVH n’est pas un simple conflit bilatéral : elle ouvre une brèche. Elle montre que même une entreprise européenne respectueuse des règles locales peut être ciblée par des juridictions étrangères, et que la souveraineté numérique dépend autant des technologies que de la stratégie politique et juridique. Les organisations doivent désormais penser leur cloud comme un territoire juridique fragmenté, où chaque choix d’hébergeur, de pays, ou de contrat doit être évalué avec précision.

ITLAW Avocats accompagne les entreprises pour naviguer dans cette complexité, sécuriser leurs projets cloud, et garantir la conformité légale et la protection de leurs données dans un monde où les frontières juridiques s’effacent.

 

Claudia Weber, Avocat associé fondateur ITLAW Avocats.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des  données personnelles, de projets informatiques  complexesde  contrats, d’innovation et de  propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes. 

1 https://www.heise.de/en/news/Canadian-Court-OVHcloud-from-France-must-hand-over-user-data-11092029.html

2 https://s203.q4cdn.com/667520861/files/doc_news/Rubrik-Reveals-90-of-Global-IT-and-Security-Executives-Report-Cyberattacks-in-the-Past-Year-2025.pdf

Nous contacter