Billet du journal ·

La souveraineté européenne par construction, pas par déclaration

Par Rédaction BorgMark · Souveraineté ·Conformité ·Infrastructure

“Hébergé dans l’UE” est devenue la phrase la plus galvaudée du SaaS B2B. C’est aussi, en soi, presque dépourvu de sens. La résidence des données à Francfort ne change pas la juridiction de l’entreprise qui exploite le service — et c’est la juridiction, pas l’emplacement du serveur, que l’équipe juridique d’un client régulé inscrit sur le questionnaire.

Voici la ligne que trace BorgMark, et les choix techniques qui en découlent.

La question sur le formulaire, c’est la juridiction

Le CLOUD Act et ses équivalents permettent aux autorités américaines de contraindre une entreprise sous contrôle américain à livrer des données, quel que soit le lieu de stockage. Un centre de données européen opéré par une entreprise à capital américain est, sur le formulaire, une chaîne d’outils sous juridiction étrangère. Ce n’est pas un risque hypothétique inventé par les fournisseurs — c’est le libellé du modèle d’achat de chaque acheteur régulé avec qui nous avons parlé.

Le premier choix architectural est donc statutaire : BorgMark est exploité par BV CEEJAY, une société belge sans maison-mère ni filiale américaine. C’est la fondation sur laquelle tout le reste repose. Sans cela, le reste n’est que théâtre.

Les sous-traitants font partie de la réponse

Une plateforme, c’est aussi la somme des fournisseurs dont elle dépend. La liste, en clair :

  • Hetzner Online GmbH (Allemagne) — calcul, stockage, base de données
  • Combell NV (Belgique) — e-mail transactionnel
  • Mollie B.V. (Pays-Bas) — paiements

C’est toute la liste. Pas de Cloudflare devant l’application. Pas d’Auth0 / Okta pour le SSO. Pas de Stripe pour la facturation. Pas de Vercel, pas d’AWS, pas de GCP, pas d’Azure — ni pour les “edge functions”, ni pour “l’optimisation d’images”, ni pour “juste l’analytique”. Chaque ajout exposerait des données ou des métadonnées à une juridiction non européenne. Nous avons choisi de ne pas les ajouter.

Ce que cela nous coûte

Honnêteté d’ingénierie : choisir des fournisseurs exclusivement européens coûte plus cher opérationnellement que l’alternative. Les hyperscalers à siège américain ont de meilleurs tableaux de bord, plus de services clés en main et un écosystème plus vaste. Nous y renonçons. En échange, la réponse à “où vit le code, et qui peut en exiger l’accès ?” tient sur une ligne et survit à une revue juridique.

Pour les agences dont les clients ne posent pas encore cette question, c’est de la surcharge. Pour celles dont les clients la posent, c’est toute la raison de migrer.

Ce que nous publierons ensuite

Ceci est le premier billet d’un journal d’ingénierie et de conformité — long, daté, sans esbroufe. Sujets déjà au programme : comment nous opérons Forgejo à l’échelle, ce que les auditeurs DORA demandent réellement au contrôle du code source, et les étapes concrètes pour migrer un tenant GitHub Enterprise vers BorgMark. Abonnez-vous via RSS pour suivre la suite.