Pipedrive ou HubSpot: Guide 2026 pour PME & ETI
Pipedrive ou HubSpot? Notre guide 2026 compare fonctionnalités, tarifs et conformité RGPD. Aidez votre PME/ETI française à choisir le CRM idéal.
Comprenez la souveraineté des données: enjeux pour votre PME. Notre guide sur le RGPD, le Cloud Act et le choix d'un cloud européen sécurisé.
La France n'est pas en retard sur tous les sujets numériques. Mais sur la souveraineté, le signal est net. Son indice de souveraineté numérique est de 25,1, loin derrière l'Allemagne à 53,85 et la Finlande à 64,5, selon l'Observatoire relayé par Nextcloud. Pour une PME, une ETI, un intégrateur IT ou un revendeur télécom, cette donnée change la lecture du sujet.
La souveraineté des données n'est plus une préférence d'architecture. C'est un critère de continuité d'activité, de maîtrise contractuelle et de réduction du risque juridique. Le point souvent mal compris est simple. Héberger en Europe n'est pas suffisant si le fournisseur, ses outils d'administration ou sa chaîne de sous-traitance restent exposés à des lois extraterritoriales ou à un traitement logiciel non maîtrisé.
Pour les entreprises qui remplacent un PBX on-prem, modernisent leurs applications métiers ou revoient leur pile cloud, le bon niveau de question n'est plus seulement “où sont les serveurs ?”. Il faut demander “qui peut légalement exiger l'accès ?”, “qui contrôle les clés ?”, “qui traite la donnée ?” et “comment la récupérer sans perte ni blocage ?”.
Pourquoi la souveraineté des données est un enjeu stratégique en 2026
Définir la souveraineté des données au-delà de l'hébergement
Checklist pour choisir un fournisseur de services cloud souverain
La dépendance à des technologies cloud, collaboratives et de communication opérées hors du périmètre européen reste forte dans les entreprises françaises. Pour une PME ou une ETI, ce n'est pas un débat abstrait. C'est un risque opérationnel qui se matérialise au moment d'un audit, d'un incident de sécurité, d'un litige contractuel ou d'un changement de prestataire.

La question n'est plus théorique pour une entreprise qui externalise sa téléphonie, son CRM, ses outils collaboratifs ou ses sauvegardes. Dès qu'une brique critique repose sur une plateforme tierce, la dépendance dépasse l'informatique. Elle touche les achats, la conformité, la gestion de crise et la capacité à remplacer un fournisseur dans des délais acceptables.
Le point souvent mal évalué par les dirigeants est simple. La résidence des données ne suffit pas. Un service peut héberger ses données en France ou dans l'Union européenne tout en laissant l'administration, le support, certaines mises à jour logicielles ou l'accès aux métadonnées sous contrôle d'une entité soumise à un droit étranger. La souveraineté réelle se joue donc dans deux couches à la fois. Le contrôle juridique et le contrôle logiciel.
Le sujet touche directement les PME, les ETI, les collectivités, les établissements de santé et leurs partenaires IT. Dans les faits, la décision ne relève pas de la seule DSI, car elle engage le niveau de risque accepté par l'entreprise.
Quatre impacts reviennent dans presque tous les dossiers sérieux :
La continuité d'activité. En cas de rupture commerciale, de cyberincident ou de désaccord contractuel, l'entreprise doit récupérer ses données, ses historiques, ses journaux et ses configurations dans des conditions prévues à l'avance.
La maîtrise contractuelle. Beaucoup de contrats cloud restent flous sur les sous-traitants, les accès de support, les transferts de données, les sauvegardes et la restitution en fin de contrat.
La conformité sectorielle. Certaines activités doivent démontrer qui accède aux données, depuis où, avec quels droits, et sous quelle juridiction.
La compétitivité commerciale. Les appels d'offres demandent de plus en plus des réponses précises sur la localisation, l'administration, la chaîne de sous-traitance et la réversibilité.
J'ai vu plusieurs projets ralentir non pas à cause du prix ou de la technique, mais parce que personne n'avait clarifié qui détenait réellement les clés d'administration, qui pouvait intervenir en support de niveau 3, et dans quel délai les données pouvaient être restituées dans un format exploitable.
La souveraineté des données devient un critère de sélection fournisseur, pas une ligne annexe dans un appel d'offres.
Les directions générales et les DSI doivent désormais arbitrer entre vitesse de déploiement, richesse fonctionnelle et niveau de contrôle. Le meilleur choix n'est pas toujours le service le plus connu. C'est celui dont les dépendances juridiques, techniques et contractuelles sont comprises, acceptées et documentées.
Ce changement oblige aussi à revoir certaines décisions d'architecture. Entre hébergement dédié, cloud public, cloud de confiance et arbitrage on-premise vs cloud pour les applications sensibles, la bonne réponse dépend moins du discours commercial que de la criticité métier, des accès d'administration et de la réversibilité réellement testée.
Pour un intégrateur ou un revendeur, l'attente client a changé. Il faut être capable d'expliquer ce qui protège effectivement l'entreprise, et ce qui crée seulement une impression de maîtrise.
Le malentendu le plus fréquent tient en une phrase. Résider en Europe n'est pas forcément être souverain. Une donnée peut être stockée dans un datacentre situé en France, tout en restant exposée à une législation étrangère via la maison mère du fournisseur, ses outils de support, ses services de sauvegarde ou son administration logicielle.

La résidence des données répond à une question géographique. Où sont stockées les données ?
La souveraineté des données répond à une question plus large. Qui contrôle juridiquement et techniquement l'accès, le traitement, les clés, les sauvegardes, les journaux et la restitution ?
Une analogie simple aide à fixer la différence. Louer un coffre dans un immeuble en France ne suffit pas si le double de la clé, les procédures d'ouverture et la société qui gère l'immeuble dépendent d'un droit extérieur. Le lieu compte. Le contrôle compte davantage.
Selon ChapsVision, 68 % des DSI de PME en France croient encore, à tort, que l'hébergement en UE garantit automatiquement la souveraineté. C'est précisément l'erreur à corriger dans les projets cloud.
Le sujet négligé n'est pas l'infrastructure. C'est le traitement logiciel. Une entreprise peut choisir un hébergement européen et rester vulnérable si :
L'éditeur ou la maison mère relève d'une juridiction extraterritoriale.
Les outils d'administration permettent un accès distant hors UE.
Les sauvegardes ou services tiers repartent vers une autre zone.
Les métadonnées et journaux sont traités par un composant non souverain.
Règle pratique : si seul l'hébergement est local mais que l'administration, les clés ou le traitement logiciel ne le sont pas, la souveraineté est incomplète.
Pour un dirigeant qui arbitre entre on-prem et cloud, le bon cadre n'oppose pas automatiquement les deux modèles. Il faut comparer la maîtrise réelle du risque, la capacité d'audit, la dépendance au fournisseur et la réversibilité. Ce point apparaît clairement dans une analyse sur les différences entre on-premise et cloud, utile pour poser les bonnes questions avant migration.
Un fournisseur sérieux doit donc pouvoir démontrer trois choses. Sous quelle juridiction il opère. Comment il traite techniquement les données. Et comment il les restitue si le client sort. Sans ces trois réponses, la promesse de souveraineté reste incomplète.
La gouvernance des données en Europe ne repose plus sur un seul texte. Elle s'appuie sur un ensemble de règles qui se complètent, avec des objectifs différents. C'est cette superposition qui rend le sujet exigeant pour une PME ou une ETI. Il ne suffit plus d'être “RGPD compatible” sur une plaquette commerciale.

Le RGPD reste la base. Il encadre la protection des données personnelles, les droits des personnes, les obligations des responsables de traitement et la gestion des sous-traitants. Il impose aussi des obligations opérationnelles, comme la notification d'une violation de données dans un délai maximum de 72 heures, ainsi que la capacité à restaurer les données et à les exporter dans un format courant, comme le rappelle Acronis.
Mais il faut être précis. Le RGPD protège la donnée personnelle. Il ne garantit pas, à lui seul, une souveraineté juridique complète. Une offre peut être conforme au RGPD tout en restant exposée à une loi extraterritoriale.
Un autre point mérite d'être rappelé. Héberger en Allemagne, aux Pays-Bas ou en Irlande est juridiquement équivalent à un hébergement en France au sens du RGPD, puisqu'il n'y a pas de transfert hors EEE, comme l'explique Altezia. Pour beaucoup d'entreprises, le débat n'est donc pas “France ou Europe”, mais “Europe réellement maîtrisée ou dépendance masquée”.
Pour les secteurs sensibles, une lecture complémentaire sur l'hébergement des données de santé aide à comprendre pourquoi les critères d'éligibilité vont bien au-delà d'un simple choix de datacentre.
Le niveau supérieur, côté français, est plus exigeant. D'après Stratégie Plan, le cadre réglementaire européen s'est densifié avec l'EU Data Act, NIS 2 et DORA, et SecNumCloud 3.2 de l'ANSSI est le seul référentiel français couvrant l'immunité extraterritoriale.
Cette hiérarchie est utile en pratique :
| Référentiel | Ce qu'il apporte | Sa limite |
| RGPD | Protection des données personnelles, encadrement des traitements, sous-traitance | Ne suffit pas à écarter seul un risque de soumission au CLOUD Act |
| NIS 2 / DORA | Exigences renforcées de sécurité, résilience et gouvernance | Ne remplacent pas l'analyse juridique du fournisseur |
| Data Act | Accent mis sur l'accès, le partage et la portabilité des données | N'apporte pas, à lui seul, une immunité extraterritoriale |
| SecNumCloud 3.2 | Référence française pour l'immunité extraterritoriale | Concerne des offres qualifiées, donc un périmètre plus resserré |
Le sujet mérite un point de contexte complémentaire.
Une offre sérieuse ne se contente pas d'afficher “conforme RGPD”. Elle explique sa juridiction, sa chaîne de sous-traitance, sa logique de traitement et son niveau d'immunité extraterritoriale.
Une politique de souveraineté mal cadrée produit rarement un incident spectaculaire dès le premier jour. Les problèmes apparaissent plus tard. Lors d'un audit. Au moment d'un appel d'offres. Pendant une migration. Ou quand un client stratégique demande des garanties précises sur la localisation, l'accès et le traitement de ses données.
Le premier risque est juridique. Une entreprise peut penser être en règle parce que ses données sont dans l'UE, alors que son fournisseur reste soumis à une législation extraterritoriale ou dépend d'une chaîne de sous-traitance opaque.
Le deuxième risque est technique. Les données utiles ne sont pas seulement les fichiers finaux. Il faut aussi considérer les sauvegardes, les journaux, les configurations, les historiques, les exports et les flux entre applications. Une architecture “presque souveraine” devient fragile à cause d'un composant tiers, d'un outil de support ou d'une mauvaise séparation des rôles.
Le troisième risque est commercial. Dans les secteurs réglementés, un fournisseur incapable de documenter sa souveraineté sera écarté plus vite qu'un concurrent moins riche fonctionnellement mais plus clair sur la gouvernance des données.
Perte de confiance client. Sans réponse nette sur la juridiction et la sous-traitance, la négociation se complique.
Blocage dans les appels d'offres. Les cahiers des charges exigent de plus en plus des preuves et non des promesses.
Dépendance stratégique. Changer de fournisseur devient coûteux si les données, les historiques et les paramétrages ne sont pas récupérables proprement.
Les entreprises qui traitent la souveraineté tôt obtiennent un avantage concret. Elles raccourcissent les échanges de due diligence, sécurisent mieux leurs contrats et réduisent les angles morts dans leur chaîne numérique.
La souveraineté des données renforce aussi la qualité des décisions d'achat. Une DSI qui exige la cartographie des flux, les conditions de sortie, les responsabilités de sous-traitance et la détention des clés sélectionne généralement des partenaires plus solides, même au-delà du seul sujet juridique.
La bonne approche n'est pas de chercher une infrastructure “parfaite”. C'est de réduire méthodiquement les dépendances que l'entreprise ne maîtrise pas.
Pour un intégrateur IT ou un revendeur télécom, cette maturité devient un différenciateur. Le client n'achète plus seulement une solution. Il achète une architecture défendable devant ses propres équipes conformité, sécurité et direction générale.
Une architecture peut être hébergée en France et rester peu souveraine. Le vrai test porte sur le contrôle exercé par l'entreprise sur les clés, les accès d'administration, les composants logiciels et la capacité de sortir sans casse.
C'est le point que beaucoup de PME et d'ETI découvrent trop tard. La résidence des données répond à une partie du sujet. Elle ne protège pas, à elle seule, contre une dépendance juridique de la maison mère, un accès de support mal encadré ou un format d'export inexploitable.
La souveraineté exige pour les institutions financières françaises, comme pour d'autres secteurs exposés, plus qu'un hébergement des données sensibles sur le territoire européen. Elle impose une maîtrise juridique et technique des clés de chiffrement, un contrôle réel des accès d'administration, et une visibilité sur tous les flux annexes, comme le détaille Kiteworks sur les exigences françaises en matière de souveraineté.
En pratique, je regarde d'abord trois questions simples :
Qui détient et administre les clés de chiffrement ? Si le fournisseur peut créer, révoquer ou utiliser seul les clés, l'entreprise ne contrôle pas pleinement l'accès à ses données.
Qui peut entrer dans les consoles, les outils de support et les journaux ? Les droits d'administration doivent être limités, tracés, revus régulièrement et justifiés par des procédures claires.
Quels composants sortent du périmètre affiché ? Sauvegarde, supervision, moteur de recherche, outils d'observabilité, analyse de logs et support distant doivent être audités comme le reste.
Une certification aide, mais elle ne remplace pas cette vérification. La lecture de ce que couvrent réellement les certifications ISO 27001 permet de distinguer un socle de sécurité utile d'une garantie de souveraineté, qui relève aussi du droit applicable, de l'exploitation et du logiciel utilisé.
La clause de réversibilité rassure les juristes. Le test de réversibilité protège l'exploitation.
Un fournisseur sérieux doit être capable de démontrer, avant un engagement long ou un projet critique, comment les données seront restituées, dans quel format, avec quelles métadonnées, sous quel délai, et avec quel niveau d'assistance. Sans cette démonstration, l'entreprise achète une promesse de sortie, pas une sortie praticable.
Le test doit couvrir plusieurs couches :
Les données brutes. Fichiers, objets métiers, pièces jointes, enregistrements.
Les métadonnées. Horodatages, statuts, droits, structures, relations entre objets.
Les historiques. Journaux d'activité, versions, événements d'administration, traçabilité.
Le format de sortie. Documenté, lisible, réutilisable sans dépendre d'un outil propriétaire.
Les dépendances logicielles. Scripts, connecteurs, API, schémas et paramètres nécessaires pour remettre le service en route ailleurs.
Le délai de restitution. Compatible avec la continuité d'activité, pas seulement avec le confort du fournisseur.
C'est souvent là que la souveraineté réelle se joue. Une entreprise peut récupérer ses fichiers tout en perdant ses droits, ses historiques, ses workflows ou la logique applicative qui donne de la valeur aux données. Dans ce cas, elle possède une copie, pas un patrimoine exploitable.
Conseil d'exploitation : demander un export d'essai et sa réimportation dans un environnement tiers donne une mesure concrète du verrouillage technique avant signature.
Une approche crédible réunit donc quatre exigences. Chiffrement maîtrisé, accès d'administration encadrés, cartographie des flux, et réversibilité démontrée. Si un prestataire reste flou sur un seul de ces points, le risque n'est pas théorique. Il deviendra contractuel, opérationnel, puis financier.
Le choix d'un fournisseur cloud ne doit pas commencer par les fonctionnalités. Il doit commencer par le périmètre juridique, la gouvernance et la possibilité de sortir proprement. C'est particulièrement vrai pour des outils de communication d'entreprise, de collaboration, de relation client ou de gestion documentaire, qui manipulent des métadonnées sensibles et des historiques opérationnels.

D'après Jamespot, une vraie souveraineté suppose de privilégier des prestataires avec une qualification comme SecNumCloud, de vérifier que la nationalité de la société mère est européenne et d’obtenir une garantie contractuelle de non-transfert des données hors UE.
Cette base doit être transformée en questions fermes :
Quelle est la juridiction de la société mère ? Si elle n'est pas européenne, il faut analyser l'exposition extraterritoriale avant toute autre discussion.
Où les données sont-elles stockées et traitées ? La réponse doit couvrir production, sauvegarde, supervision et support.
La chaîne de sous-traitance est-elle transparente ? Le fournisseur doit nommer les sous-traitants critiques et leur rôle.
Le contrat interdit-il explicitement les transferts hors UE ? Sans clause claire, la promesse reste fragile.
Existe-t-il une clause de réversibilité opérationnelle ? Elle doit préciser format, délai, périmètre et suppression complète.
Le client peut-il auditer ? Sans auditabilité, il n'y a pas de confiance durable.
Pour les entreprises qui évaluent une solution de communication, un détour par les enjeux de la téléphonie dans le cloud peut aider à poser les bonnes questions sur la dépendance fournisseur, l'administration et la continuité.
Certains indices doivent faire ralentir immédiatement le cycle d'achat.
| Signal | Pourquoi c'est problématique |
| Réponse floue sur la maison mère | Le risque extraterritorial n'est peut-être pas maîtrisé |
| Sous-traitants non listés | Impossible d'évaluer réellement le périmètre de traitement |
| Réversibilité décrite en une phrase | Le fournisseur n'a peut-être jamais industrialisé la sortie |
| Conformité RGPD mise en avant comme réponse unique | La souveraineté n'est pas traitée au bon niveau |
| Aucune preuve d'audit ou de traçabilité | Le contrôle opérationnel est insuffisant |
Une bonne grille de sélection ne cherche pas seulement à éliminer le risque. Elle permet aussi de comparer des offres qui, sur le papier, se ressemblent. Souvent, la différence se joue moins sur la fonction que sur la qualité de la gouvernance.
La souveraineté des données n'est pas un projet annexe. C'est une discipline de pilotage. Elle oblige à relier achats, architecture, sécurité, juridique et exploitation autour d'une même question. L'entreprise garde-t-elle la maîtrise réelle de ses données critiques ?
Le premier chantier consiste à cartographier. Il faut identifier les applications sensibles, les flux, les sauvegardes, les accès de support, les sous-traitants et les données qui sortent du périmètre européen. Sans cette vue, la souveraineté reste un discours.
Le deuxième chantier est contractuel. Les fournisseurs actuels doivent être relus avec une grille simple. Juridiction, chaîne de sous-traitance, clauses de non-transfert, modalités d'export, délais de restitution, suppression prouvée en fin de contrat, capacité d'audit.
Le troisième chantier est technique. Les équipes doivent vérifier qui détient les clés, comment les accès privilégiés sont tracés, où vont les journaux, et si la réversibilité a déjà été testée sur un périmètre réel. C'est là que la plupart des écarts apparaissent.
Enfin, les futurs appels d'offres doivent intégrer la souveraineté dès le départ. Pas en annexe. Dans les critères de sélection, les ateliers de cadrage et les exigences contractuelles. Une entreprise qui traite ce sujet tôt choisit mieux ses partenaires, réduit ses dépendances et renforce sa résilience numérique.
Pour les entreprises européennes qui veulent moderniser leur téléphonie sans perdre la maîtrise de leurs données, Voxbi propose un standard téléphonique cloud hébergé en Union européenne, pensé pour les PME, ETI, intégrateurs IT et revendeurs télécom. La plateforme met l'accent sur l'hébergement et le traitement des données en UE, avec une approche alignée sur le RGPD et les attentes croissantes en matière de souveraineté européenne.
Parlez à notre équipe ou à un partenaire Voxbi certifié.