RGPD et hébergement web : checklist 2026 (que 80 % des sites violent)

Votre hébergeur est un sous-traitant au sens de l’article 28 du RGPD. Cela impose trois obligations non négociables : un DPA (Data Processing Agreement) signé, une localisation des données dans l’Union européenne ou sous garanties contractuelles équivalentes, et la mention explicite de l’hébergeur dans votre registre des traitements. Sans ces trois éléments, votre site est non conforme — même si votre bannière cookies est parfaitement configurée.

En 2025, la CNIL a prononcé 87 sanctions, soit +107 % par rapport à 2024. Plusieurs visaient directement des PME pour une relation mal encadrée avec leurs sous-traitants — dont leur hébergeur. Pourtant, la grande majorité des propriétaires de sites ignorent encore que choisir un hébergeur est un acte juridique autant que technique.

La localisation physique des serveurs ne suffit pas : un hébergeur de droit américain reste soumis au Cloud Act même si ses datacenters sont installés à Paris. Le DPA n’est pas un document optionnel : c’est une obligation légale dont l’absence engage directement votre responsabilité. Et votre registre des traitements doit mentionner votre hébergeur — c’est précisément ce que vérifie la CNIL en 2026, souvent depuis son bureau, sans préavis.

Cet article propose une checklist opérationnelle en 12 points, un décryptage des pièges spécifiques aux hébergeurs américains, et une comparaison pratique des hébergeurs français et européens selon leurs garanties RGPD réelles. Offres et procédures vérifiées en mai 2026.

Pourquoi votre hébergeur est un sous-traitant RGPD (et ce que ça change pour vous) ?

Ce que dit l’article 28 du RGPD

Dès lors qu’un prestataire traite des données personnelles pour votre compte et selon vos instructions, il est qualifié de sous-traitant au sens du RGPD. Votre hébergeur stocke les données de vos visiteurs, clients et utilisateurs sur ses serveurs. Il agit donc bien pour votre compte — et non pour le sien. Cette qualification n’est pas une interprétation : elle découle directement de l’article 28 du règlement européen.

L’article 28 impose au responsable de traitement — c’est-à-dire vous, en tant que propriétaire du site — de ne recourir qu’à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Et surtout, de formaliser cette relation par un contrat écrit : le DPA.

Conséquences concrètes pour le propriétaire de site

Cette qualification de sous-traitant a trois conséquences directes sur votre situation :

• Un DPA est obligatoire → sans contrat de traitement signé avec votre hébergeur, vous êtes en infraction à l’article 28, indépendamment de toute violation de données. L’absence de DPA est en elle-même un manquement sanctionnable par la CNIL.
• Votre responsabilité n’est pas transférée à l’hébergeur → si votre hébergeur subit une violation de données, c’est vous — en tant que responsable de traitement — qui devez notifier la CNIL dans les 72 heures. L’hébergeur répond de ses propres manquements, mais vous restez le premier interlocuteur de l’autorité de contrôle.
• Votre choix d’hébergeur est un acte juridique → changer d’hébergeur sans vérifier ses garanties RGPD, sa localisation juridique et la disponibilité d’un DPA revient à choisir un sous-traitant sans due diligence. En cas de contrôle, la CNIL vérifie que vous avez sélectionné votre hébergeur en connaissance de cause.

En pratique, cela signifie que la conformité RGPD de votre site ne se limite pas à votre bannière cookies ou à votre politique de confidentialité. Elle commence dès le choix de l’infrastructure sur laquelle votre site est hébergé.

Les 12 points de la checklist RGPD hébergement 2026

Cette checklist couvre les points vérifiés par la CNIL lors d’un contrôle portant sur la relation entre un responsable de traitement et son hébergeur. Pour chaque point, la démarche de vérification est indiquée. Un point non coché = un risque juridique identifié.

Points 1 à 4 — Contrat et DPA

• ✅ Point 1 — Un DPA est signé avec votre hébergeur

  Le DPA (Data Processing Agreement) est le contrat de sous-traitance RGPD obligatoire au sens de l’article 28. Il doit exister sous forme écrite — un renvoi dans les CGV ne suffit pas. La plupart des hébergeurs sérieux le proposent directement depuis leur espace client ou sur demande écrite.
  → Comment vérifier : connectez-vous à votre espace client et cherchez « DPA », « contrat de traitement des données » ou « RGPD ». À défaut, contactez le support par écrit et conservez la réponse.

• ✅ Point 2 — Le DPA précise l’objet et la durée du traitement

  Un DPA valide au sens de l’article 28 doit mentionner explicitement : l’objet du traitement (hébergement de données), sa durée, la nature des données traitées, et les catégories de personnes concernées.
  → Comment vérifier : relisez le DPA de votre hébergeur et contrôlez la présence de ces quatre mentions. Un DPA sans durée définie est incomplet.

• ✅ Point 3 — Le DPA liste les sous-traitants ultérieurs de l’hébergeur

  Votre hébergeur fait lui-même appel à des prestataires tiers (fournisseurs d’énergie, opérateurs réseau, solutions de sauvegarde). Le RGPD exige que ces sous-traitants de second rang soient listés dans le DPA ou dans un document annexe accessible.
  → Comment vérifier : cherchez une « liste des sous-traitants » ou « sous-traitants ultérieurs » dans le DPA ou sur le site de l’hébergeur. Son absence est un point de vigilance.

• ✅ Point 4 — Le DPA prévoit une procédure en cas de violation de données

  L’article 28 impose que le sous-traitant notifie le responsable de traitement dans les meilleurs délais en cas de violation. Le DPA doit préciser ce délai et le canal de notification.
  → Comment vérifier : cherchez les termes « violation », « incident de sécurité » ou « notification » dans votre DPA. L’absence de cette clause expose votre capacité à respecter le délai légal de 72 heures imposé à votre égard par la CNIL.

Points 5 à 8 — Localisation et transferts de données

• ✅ Point 5 — La localisation précise des données est connue et documentée

  Vous devez savoir dans quel pays et dans quel datacenter vos données sont stockées. « En Europe » ne suffit pas : le DPA ou la documentation technique de l’hébergeur doit préciser le pays, voire la ville.
  → Comment vérifier : consultez la documentation technique de votre hébergeur ou interrogez le support. LWS (région parisienne), o2switch (Clermont-Ferrand) et OVH (Roubaix, Strasbourg) publient ces informations.

• ✅ Point 6 — Les sauvegardes sont également localisées dans l’UE

  Un hébergeur peut stocker vos données principales en France et réaliser ses sauvegardes dans un pays tiers. Les sauvegardes sont des données personnelles au même titre que les données primaires — elles sont soumises aux mêmes exigences de localisation.
  → Comment vérifier : demandez explicitement à votre hébergeur la localisation de ses sauvegardes. Cette information figure rarement dans les fiches commerciales.

• ✅ Point 7 — En cas d’hébergeur hors UE, des garanties contractuelles sont en place

  Si votre hébergeur est établi hors de l’Union européenne ou traite des données dans un pays tiers, des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne doivent encadrer ce transfert. Un simple DPA ne suffit pas dans ce cas.
  → Comment vérifier : identifiez le siège social juridique de votre hébergeur (pas la localisation de ses serveurs) et vérifiez si des CCT sont annexées à votre contrat.

• ✅ Point 8 — La nationalité juridique de l’hébergeur a été vérifiée

  Un hébergeur dont le siège social est aux États-Unis reste soumis au Cloud Act, quelle que soit la localisation physique de ses serveurs. Le Cloud Act autorise les autorités américaines à accéder aux données contrôlées par une entreprise de droit américain, y compris celles stockées en France.
  → Comment vérifier : consultez les mentions légales et les CGV de votre hébergeur. Cherchez la mention « loi applicable » et le pays d’immatriculation de la société.

Points 9 à 12 — Sécurité, sous-traitants et documentation

• ✅ Point 9 — L’hébergeur dispose d’une certification de sécurité reconnue

  La certification ISO/IEC 27001 est le standard international de référence pour la gestion de la sécurité de l’information. Elle atteste que l’hébergeur a mis en place un système de management de la sécurité audité par un organisme indépendant.
  → Comment vérifier : cherchez « ISO 27001 » sur le site de votre hébergeur. LWS est certifié ISO/IEC 27001:2022 (confirmation mai 2026). OVHcloud est certifié ISO 27001:2013 et ISO 27701:2019. o2switch est certifié ISO 27001.

• ✅ Point 10 — Le certificat SSL est actif et valide sur votre site

  Un certificat SSL/TLS valide chiffre les échanges entre vos visiteurs et votre serveur. Son absence constitue une absence de mesure de sécurité élémentaire au sens du RGPD — les données personnelles (formulaires, connexions) transitent en clair.
  → Comment vérifier : ouvrez votre site dans un navigateur et vérifiez la présence du cadenas dans la barre d’adresse. Un certificat expiré ou absent est un manquement immédiatement détectable par la CNIL.

• ✅ Point 11 — Les sous-traitants de votre hébergeur opérant hors UE sont identifiés

  Votre hébergeur peut utiliser des services tiers américains pour certaines fonctions (réseau de diffusion, protection DDoS, monitoring). Ces prestataires constituent des sous-traitants ultérieurs dont vous devez avoir connaissance pour les mentionner dans votre registre.
  → Comment vérifier : demandez à votre hébergeur la liste complète de ses sous-traitants. Certains hébergeurs la publient dans leur documentation RGPD ou DPA.

• ✅ Point 12 — Votre registre des traitements mentionne votre hébergeur avec les informations requises

  L’article 30 du RGPD impose de tenir un registre des activités de traitement. Votre hébergeur doit y figurer en tant que sous-traitant, avec le nom de la société, le pays de localisation des données, la nature du traitement et les garanties contractuelles en place.
  → Comment vérifier : ouvrez votre registre et cherchez la fiche correspondant à votre hébergeur. Si elle date d’avant votre dernier changement d’hébergeur, elle est à mettre à jour immédiatement.

Cas concret : une boutique WooCommerce face au risque Cloud Act

Hébergeurs américains : les pièges RGPD (Cloud Act, transferts, addenda)

Ce qu’est réellement le Cloud Act — et pourquoi la localisation des serveurs ne change rien

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une loi fédérale américaine adoptée en mars 2018. Elle établit un principe d’accès extraterritorial : les autorités américaines (FBI, DOJ, NSA) peuvent exiger d’une entreprise de droit américain qu’elle leur communique des données électroniques, quelle que soit la localisation physique des serveurs sur lesquels ces données sont stockées.

Concrètement : si votre hébergeur est une société dont le siège social est aux États-Unis, ses serveurs implantés à Paris, Lyon ou Francfort ne vous protègent pas. La loi applicable à une entreprise est déterminée par sa nationalité juridique — pas par la localisation de ses actifs physiques. Acheter un hébergement « en France » à un prestataire américain revient à louer un coffre en France à une banque dont le siège est à San Francisco : le coffre est ici, mais les clés peuvent être réclamées là-bas.

Ce conflit entre le Cloud Act et le RGPD est documenté et reconnu. L’article 48 du RGPD stipule que les autorités d’un pays tiers ne peuvent obtenir des données qu’à travers des accords internationaux ou des mécanismes de coopération judiciaire. Le Cloud Act contourne précisément cette règle en imposant un accès extraterritorial direct. Les deux textes créent des obligations juridiquement opposées pour les prestataires concernés.

Les hébergeurs concernés en 2026

Les hébergeurs suivants sont des sociétés de droit américain. Leurs offres « avec serveurs en France ou en Europe » ne les exemptent pas du Cloud Act :

⚠ Informations basées sur les mentions légales et CGV publiques des hébergeurs — vérifier sur les pages officielles avant toute décision.

L’addendum RGPD : solution partielle ou garantie suffisante ?

Certains hébergeurs américains proposent un addendum RGPD — un avenant contractuel qui intègre les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne. Ces CCT constituent le mécanisme légal de transfert hors UE reconnu depuis l’arrêt Schrems II (2020) et le cadre de protection des données UE-États-Unis (Data Privacy Framework, 2023).

Un addendum RGPD valide avec CCT intégrées permet de légaliser le transfert de données vers un hébergeur américain au regard du RGPD. Il ne supprime pas l’exposition au Cloud Act — il encadre contractuellement la relation et documente les garanties mises en place, ce qui est nécessaire pour votre registre des traitements.

En pratique, recourir à un hébergeur américain n’est pas automatiquement une infraction RGPD — à condition que trois éléments soient réunis :

• Un addendum RGPD avec CCT est signé et disponible dans votre espace client
• L’addendum précise la localisation des données et liste les sous-traitants ultérieurs
• Le transfert et ses garanties sont mentionnés dans votre registre des traitements

Pour les données particulièrement sensibles (données de santé, données financières, données de mineurs), un hébergeur de droit européen reste la solution la plus sûre — le risque résiduel lié au Cloud Act étant difficile à éliminer totalement par voie contractuelle.

Hébergeurs européens (non français) : conformes, mais avec des nuances

Tous les hébergeurs européens ne sont pas américains — et cette distinction est fondamentale pour votre conformité RGPD. Un hébergeur dont le siège social est dans un État membre de l’Union européenne est soumis au droit européen, pas au Cloud Act américain. Il reste cependant soumis aux exigences du RGPD au même titre qu’un hébergeur français : DPA obligatoire, localisation des données documentée, sous-traitants listés.

Hostinger (Lituanie) — hors Cloud Act, mais quelles garanties réelles ?

Hostinger est une société de droit lituanien (UAB Hostinger International), dont le siège social est à Kaunas, en Lituanie. La Lituanie est un État membre de l’Union européenne depuis 2004. Hostinger n’est donc pas soumis au Cloud Act américain — contrairement à une idée reçue fréquente, souvent liée à sa forte présence internationale et à son interface en anglais.

Du point de vue RGPD, Hostinger propose un DPA accessible depuis son espace client et sa documentation légale. Ses datacenters européens sont disponibles au moment de la commande — vérifiez que la région « Europe » ou « UE » est bien sélectionnée lors de la création de votre compte, car d’autres régions (États-Unis, Asie) sont proposées par défaut selon votre profil.

Les points de vigilance spécifiques à Hostinger :

• La région de datacenter doit être choisie explicitement → elle n’est pas automatiquement définie sur l’UE pour les utilisateurs francophones — vérifiez votre paramètre de localisation dans les réglages de votre hébergement
• Le support est en français mais les équipes sont localisées à l’étranger → délai de réponse et compréhension des problématiques spécifiques au marché français (facturation TTC, CNIL, noms de domaine .fr) parfois moins fluides qu’avec un hébergeur français
• Le prix de renouvellement est significativement plus élevé que le prix d’appel → à titre indicatif, certaines offres d’entrée de gamme passent d’environ 1,79 €/mois (prix promotionnel) à environ 7,99 €/mois dès la deuxième année — à comparer selon les conditions de renouvellement en vigueur au moment de votre souscription

Hetzner et Infomaniak : cas particuliers

Hetzner est une société de droit allemand (Hetzner Online GmbH), dont les datacenters sont situés en Allemagne et en Finlande. Elle est hors Cloud Act, certifiée ISO 27001, et propose un DPA. Son positionnement est orienté développeurs et projets techniques — l’interface est disponible en français mais le support est principalement en anglais et en allemand. Selon votre niveau technique, ce point peut constituer un frein.

Infomaniak est une société de droit suisse (Infomaniak Network SA), dont les datacenters sont situés exclusivement en Suisse (Genève et Winterthour). La Suisse bénéficie d’une décision d’adéquation de la Commission européenne — ce qui signifie que les transferts de données vers la Suisse sont autorisés sans CCT supplémentaires. Infomaniak est certifiée ISO 27001 et propose un DPA. Son positionnement est explicitement orienté conformité et souveraineté numérique, avec un support francophone de qualité. Point de vigilance : ses tarifs sont généralement plus élevés que ceux des hébergeurs mutualisés classiques — à comparer selon votre budget et vos besoins.

⚠ Informations basées sur les pages officielles des hébergeurs et les mentions légales publiques — vérifier avant toute décision de souscription.

Hébergeurs français : la voie la plus simple vers la conformité

Un hébergeur de droit français présente trois avantages structurels pour votre conformité RGPD. Il est soumis au droit français et au droit européen — pas au Cloud Act. Ses données sont traitées sous la juridiction de la CNIL, l’autorité de contrôle la plus active d’Europe en matière de sanctions. Et la relation contractuelle (DPA, support, facturation) se gère intégralement en français, sans ambiguïté de traduction sur les clauses juridiques.

Trois hébergeurs français concentrent la majorité des sites professionnels hébergés en France : LWS, OVHcloud et o2switch. Leurs garanties RGPD sont comparables sur les critères fondamentaux — les différences portent sur les certifications, les tarifs et les profils d’usage recommandés.

⚠ Tarifs indicatifs vérifiés en mai 2026 — consulter les pages officielles lws.fr, ovhcloud.com et o2switch.fr avant toute souscription. Les prix d’appel s’entendent hors taxes pour la première période d’engagement.

En synthèse, selon votre profil :

• Site vitrine, blog ou boutique WooCommerce standard → LWS ou o2switch couvrent l’ensemble des exigences RGPD à un tarif accessible. DPA disponible, ISO 27001, datacenters France.
• Données de santé, données financières ou projets soumis à des obligations sectorielles → OVHcloud avec certification HDS ou SecNumCloud est la solution adaptée. o2switch n’est pas certifié HDS.
• Agence gérant plusieurs sites clients → o2switch propose un hébergement mutualisé sans limite de sites sur un compte unique, avec un tarif de renouvellement identique au tarif d’appel — un avantage budgétaire significatif sur 3 ans.

DPA : comment l’obtenir concrètement auprès de LWS, OVH et Hostinger

Obtenir le DPA de son hébergeur est souvent l’étape qui bloque les propriétaires de sites — non pas par complexité juridique, mais par manque d’information sur la procédure exacte. Voici la démarche vérifiée pour les trois hébergeurs les plus utilisés en France.

LWS — procédure

LWS met à disposition son DPA directement depuis sa documentation légale et son espace client. La procédure ne nécessite pas de demande préalable au support.

• Étape 1 → Connectez-vous à votre espace client LWS sur lws.fr
• Étape 2 → Accédez à la section « Mentions légales » ou « RGPD » depuis le pied de page du site ou depuis votre tableau de bord
• Étape 3 → Téléchargez le document intitulé « Contrat de traitement des données » ou « DPA » — il est disponible en format PDF
• Étape 4 → Conservez une copie datée du document dans votre dossier de conformité RGPD

Le DPA de LWS précise la localisation des données (datacenters en France, région parisienne), la certification ISO/IEC 27001:2022 et les mesures techniques et organisationnelles mises en place. Si le document n’est pas immédiatement visible depuis votre espace client, contactez le support LWS par ticket en précisant « demande de DPA RGPD article 28 » — la réponse intervient généralement sous 24 à 48 heures ouvrées.

OVHcloud — procédure

OVHcloud dispose d’une page dédiée à sa conformité et à ses certifications, accessible publiquement sans connexion à l’espace client.

• Étape 1 → Rendez-vous sur ovhcloud.com, rubrique « Conformité et certifications » (accessible via ovhcloud.com/fr/enterprise/certification-conformity)
• Étape 2 → Consultez la section RGPD — OVHcloud y détaille son engagement de conformité au Règlement (UE) 2016/679 et sa qualité de membre fondateur de CISPE
• Étape 3 → Le DPA OVHcloud est intégré aux Conditions Générales de Service sous la forme d’un avenant de traitement des données — consultez les CGS en vigueur sur votre espace client OVHcloud sous « Mes contrats »
• Étape 4 → Pour les offres cloud et dédiées, un DPA spécifique peut être demandé via le support OVHcloud en précisant le type d’offre souscrite et votre obligation contractuelle au titre de l’article 28 du RGPD

OVHcloud est certifié ISO 27001:2013 et ISO 27701:2019 — cette dernière certification porte spécifiquement sur la gestion de la sécurité du traitement des données personnelles, ce qui en fait l’un des hébergeurs les mieux documentés sur le plan de la conformité RGPD en France.

Hostinger — procédure addendum

Hostinger propose son DPA sous la forme d’un addendum RGPD accessible depuis sa documentation légale en ligne. La procédure est entièrement en libre-service.

• Étape 1 → Rendez-vous sur hostinger.fr, section « Politique de confidentialité » ou « Mentions légales » depuis le pied de page
• Étape 2 → Cherchez le document intitulé « Data Processing Agreement » ou « Accord de traitement des données » — disponible en téléchargement libre depuis la page dédiée à la conformité RGPD d’Hostinger
• Étape 3 → Vérifiez que le document mentionne explicitement la localisation des données dans l’UE — Hostinger propose plusieurs régions de datacenter, et le DPA doit correspondre à la région effectivement sélectionnée
• Étape 4 → Conservez une copie du DPA avec la date de téléchargement et la version du document dans votre dossier de conformité

Point de vigilance spécifique à Hostinger : vérifiez que la région de datacenter configurée sur votre compte correspond bien à l’UE. Si votre compte a été créé sans sélection explicite de région, vos données peuvent être stockées hors UE par défaut — ce qui modifie les garanties applicables et les mentions à porter dans votre registre des traitements.

⚠ Procédures vérifiées en mai 2026 — les emplacements de navigation peuvent évoluer selon les mises à jour des interfaces des hébergeurs.

Registre des traitements : comment y faire figurer votre hébergeur

L’article 30 du RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement. Ce registre doit recenser l’ensemble des traitements de données personnelles mis en œuvre — y compris ceux confiés à des sous-traitants. Votre hébergeur stocke les données personnelles de vos visiteurs, clients et utilisateurs : il doit obligatoirement figurer dans ce registre.

En pratique, le registre prend la forme d’un tableau dans lequel chaque activité de traitement fait l’objet d’une fiche distincte. La fiche relative à votre hébergeur doit contenir les informations suivantes :

Trois règles pratiques à appliquer immédiatement pour maintenir votre registre à jour :

• Créer une fiche dès le changement d’hébergeur → ne pas attendre la prochaine révision annuelle. Toute migration entraîne une modification immédiate des données du registre — nouvelle dénomination sociale, nouvelle localisation, nouveau DPA à référencer.
• Dater chaque modification → la date de mise à jour est un élément que la CNIL vérifie. Un registre sans date de révision récente est interprété comme un registre non maintenu — ce qui constitue en lui-même un manquement à l’article 30.
• Distinguer les sous-traitants directs des sous-traitants de second rang → votre hébergeur principal figure dans une fiche distincte de celle de votre CDN, de votre solution analytics ou de vos plugins tiers. Regrouper tous les prestataires dans une seule fiche est une erreur fréquente qui fragilise votre dossier en cas de contrôle.

La CNIL met à disposition un modèle de registre des traitements téléchargeable gratuitement sur cnil.fr, sous la rubrique « Gérer et sécuriser les données ». Ce modèle est directement utilisable pour créer ou mettre à jour la fiche relative à votre hébergeur.

CDN, analytics, plugins : les sous-traitants de second rang à ne pas oublier

La conformité RGPD de votre hébergement ne s’arrête pas à votre hébergeur principal. Dès lors qu’un service tiers traite des données personnelles de vos visiteurs pour votre compte — même de façon automatique et transparente — il est qualifié de sous-traitant au sens du RGPD. Chacun de ces services requiert un DPA distinct et une fiche dans votre registre des traitements.

Voici les sous-traitants de second rang les plus fréquemment oubliés, et leur statut RGPD en 2026 :

⚠ Statuts et disponibilités des DPA vérifiés en mai 2026 — consulter les pages officielles de chaque service avant toute décision.

La règle pratique à retenir : tout service qui reçoit ou traite des données personnelles de vos visiteurs — même une fraction de seconde, même de façon automatique — est un sous-traitant au sens du RGPD. Cela inclut les services chargés au niveau du navigateur via un script JavaScript (analytics, chat en ligne, outils de heatmap), pas uniquement les services auxquels vous envoyez activement des données.

Pour auditer rapidement votre situation, ouvrez votre site dans un navigateur avec l’outil de développement activé (touche F12, onglet « Réseau ») et observez les requêtes émises vers des domaines tiers lors du chargement de la page. Chaque domaine tiers qui reçoit des données (adresse IP, cookies, paramètres de navigation) est un sous-traitant potentiel à identifier et à encadrer.

Conclusion

La conformité RGPD de votre site ne se résume pas à une bannière cookies bien configurée. Elle commence par le choix de votre hébergeur — et se poursuit par trois démarches concrètes que la majorité des propriétaires de sites n’ont jamais engagées : signer un DPA, vérifier la nationalité juridique de leur hébergeur, et tenir leur registre des traitements à jour.

Ces trois démarches ne requièrent ni compétence juridique avancée, ni budget supplémentaire. Elles requièrent uniquement du temps — quelques heures pour un site standard — et la méthode décrite dans cet article.

Selon votre situation, voici les priorités à engager immédiatement :

• Vous êtes hébergé chez un acteur français (LWS, OVH, o2switch) → votre risque Cloud Act est nul. Concentrez-vous sur l’obtention du DPA (s’il n’est pas encore signé) et la mise à jour de votre registre des traitements — en particulier les sous-traitants de second rang souvent oubliés (CDN, analytics, emailing).
• Vous êtes hébergé chez un acteur européen non français (Hostinger, Hetzner) → vérifiez que la région de datacenter sélectionnée est bien l’UE, obtenez le DPA correspondant, et mentionnez les garanties contractuelles dans votre registre. Votre exposition au Cloud Act est nulle — mais les autres obligations RGPD s’appliquent intégralement.
• Vous êtes hébergé chez un acteur américain (GoDaddy, Bluehost, WP Engine) → évaluez l’exposition au Cloud Act selon la sensibilité des données traitées sur votre site. Si votre hébergeur propose un addendum RGPD avec CCT, obtenez-le et mentionnez le transfert dans votre registre. Pour les données clients sensibles (e-commerce, données de santé, données de mineurs), une migration vers un hébergeur de droit européen est la solution la plus sûre à long terme.

En 2026, la CNIL contrôle de plus en plus à distance — sans préavis, sans visite sur site. Une bannière cookies non conforme, un registre figé, un DPA absent : chacun de ces points est détectable en quelques minutes depuis un navigateur. La mise en conformité l’est tout autant.

Articles similaires :

Cloud Act 2026 : pourquoi votre hébergeur américain expose vos données Hébergeur français vs européen vs américain : quelle différence en 2026 ? Workspace Infomaniak vs Google Workspace vs LWS Mail : comparatif 2026