Scaleway et RGPD : guide de conformité 2026
Scaleway est-il conforme au RGPD ? DPA, hébergement européen, SecNumCloud, CLOUD Act et vos obligations de responsable de traitement, expliqués.
En janvier 2025, Scaleway a été retenu par la Commission européenne pour fournir un cloud souverain aux institutions de l’Union, dans le cadre du marché Cloud III. Filiale du groupe Iliad, fondée par Xavier Niel, l’hébergeur s’est imposé comme l’une des alternatives françaises crédibles à AWS et Azure. Choisir Scaleway est donc un bon point de départ pour le RGPD — mais ce n’est qu’un point de départ. Voici ce que cet hébergement implique réellement pour votre conformité.
Pour replacer Scaleway dans son écosystème, consultez aussi nos guides OVHcloud et RGPD, AWS et RGPD, RGPD et cloud : obligations AWS, Azure, GCP et notre guide RGPD par outil.
Qualification juridique : Scaleway est votre sous-traitant
Lorsque vous hébergez chez Scaleway des serveurs, des bases de données ou des applications contenant des données personnelles, Scaleway agit en qualité de sous-traitant au sens de l’article 28 du RGPD. Votre entreprise reste le responsable de traitement : c’est vous qui décidez quelles données collecter, pourquoi, et combien de temps les conserver. Scaleway se contente de fournir et d’exploiter l’infrastructure technique.
Cette répartition n’est pas un détail théorique. Elle détermine qui porte quelle obligation. Scaleway doit garantir la sécurité de ses datacenters, de son réseau et de son hyperviseur. Mais l’inscription du traitement à votre registre des activités de traitement, la définition de la base légale, l’information des personnes, la gestion des droits et le respect des durées de conservation restent intégralement de votre côté. Aucun hébergeur, aussi conforme soit-il, ne fait disparaître ces obligations. Pour bien distinguer les deux rôles, voyez notre fiche sur le sous-traitant au sens du RGPD.
Ce que Scaleway voit — et ne voit pas — de vos données
Un point essentiel et souvent mal compris : sur les offres d’infrastructure (Elastic Metal, Instances, Object Storage, Kubernetes), Scaleway n’a pas vocation à accéder au contenu des données que vous y stockez. L’hébergeur opère la couche matérielle et logicielle d’infrastructure ; vous gardez la maîtrise du système d’exploitation, des applications et des données. Cette architecture limite mécaniquement les risques d’accès indu, mais elle déplace aussi la charge de sécurité applicative vers vous (chiffrement, gestion des accès, mises à jour). C’est le principe de responsabilité partagée, sur lequel je reviens plus bas.
Le DPA Scaleway à la loupe
L’article 28(3) du RGPD impose qu’un contrat écrit encadre la relation avec tout sous-traitant. Scaleway répond à cette exigence par un Data Processing Agreement (DPA), intégré à ses conditions contractuelles et applicable à l’ensemble des clients. Vous n’avez donc pas à négocier un contrat sur mesure : le DPA s’applique automatiquement. Il précise notamment que Scaleway traite les données sur la seule instruction documentée du client, dans le respect des mentions obligatoires de l’article 28(3).
Trois points méritent votre attention dans ce document :
D’abord, la liste des sous-traitants ultérieurs. L’article 28(2) encadre le recours par Scaleway à ses propres prestataires. Le DPA prévoit un mécanisme d’information sur ces sous-traitants ultérieurs et la possibilité de s’y opposer. Vérifiez périodiquement cette liste, surtout si vous utilisez des services managés (bases de données, messagerie, IA).
Ensuite, l’assistance prévue aux articles 28(3)(e) et (f) : aide à la réponse aux demandes d’exercice de droits, à la notification des violations de données et à la réalisation d’une analyse d’impact si nécessaire. Scaleway s’engage à vous notifier toute violation affectant ses infrastructures dans des délais permettant de respecter votre propre obligation de notification à la CNIL sous 72 heures (article 33).
Enfin, le sort des données en fin de contrat : restitution ou suppression, conformément à l’article 28(3)(g). Anticipez la réversibilité avant de résilier, en particulier les exports de bases de données et le rapatriement des objets stockés.
Hébergement, souveraineté et CLOUD Act
Scaleway héberge ses services dans des datacenters situés en Union européenne. Ses régions cloud couvrent Paris, Amsterdam, Varsovie et Milan : l’ensemble de l’infrastructure se trouve donc dans l’Espace économique européen. De ce fait, l’hébergement standard de Scaleway n’entraîne pas de transfert de données hors de l’Union européenne au sens du chapitre V du RGPD — à condition de choisir une région européenne, ce qui est le cas par défaut. Vous échappez ainsi à la complexité des clauses contractuelles types et de l’analyse d’impact des transferts (TIA) qu’imposent des fournisseurs établis aux États-Unis. C’est l’un des avantages concrets et immédiats du choix d’un hébergeur européen.
Une réserve pratique : si vous traitez des données particulièrement sensibles, vérifiez que vos Instances, votre Object Storage et vos sauvegardes sont bien provisionnés dans une région de l’UE, et non répliqués ailleurs. La localisation se choisit à la création de chaque ressource ; une erreur de configuration peut faire sortir des données de l’Union sans intention.
Scaleway et le CLOUD Act : l’argument et ses limites
En tant qu’entreprise française détenue par le groupe Iliad, Scaleway met en avant son ancrage juridique européen et son immunité aux lois d’extraterritorialité américaines comme le CLOUD Act. L’argument est sérieux et structurant : à la différence des hyperscalers américains, Scaleway n’est pas, par sa structure capitalistique, directement soumis à une injonction de production fondée sur le droit des États-Unis.
Il faut toutefois le manier avec nuance. La souveraineté juridique d’un hébergeur n’est jamais absolue face à une décision de justice étrangère, et la nationalité française d’un fournisseur ne vaut pas, à elle seule, immunité opposable. Pour les traitements réellement sensibles, l’argument commercial de la souveraineté ne suffit pas — il faut s’appuyer sur une qualification technique reconnue.
SecNumCloud : où en est Scaleway ?
C’est là qu’intervient SecNumCloud, le référentiel de qualification de l’ANSSI dont l’un des critères est précisément l’immunité aux lois extraterritoriales. Sur ce point, Scaleway n’est pas (encore) au même niveau qu’OVHcloud. L’hébergeur a annoncé le 9 janvier 2025 son entrée officielle dans le processus de qualification SecNumCloud (jalon « J0 » franchi avec l’ANSSI), avec un objectif de qualification visé à terme et un audit approfondi qui s’étend généralement sur 18 à 24 mois.
Autrement dit, à la date de cet article, Scaleway est engagé dans la démarche SecNumCloud mais pas encore qualifié. La nuance est capitale pour vos arbitrages : si vous avez une obligation réglementaire de recourir à un cloud qualifié SecNumCloud (données de santé du secteur public dans certains cas, opérateurs d’importance vitale, exigences sectorielles), il faut vérifier l’état exact de la qualification au moment de votre souscription, et non vous fier au seul affichage commercial « cloud souverain ». Pour comprendre les enjeux, voyez notre dossier sur la certification SecNumCloud.
En revanche, Scaleway détient déjà les certifications ISO 27001 et HDS (hébergement de données de santé), ses offres HDS étant hébergées exclusivement dans des datacenters situés en France. Pour la grande majorité des traitements courants, ce socle est solide et suffisant.
Sécurité et responsabilité partagée (article 32)
L’article 32 du RGPD impose des mesures de sécurité « adaptées au risque ». Sur une infrastructure cloud, cette obligation est partagée : Scaleway sécurise ce qu’il maîtrise, vous sécurisez le reste. Confondre les deux périmètres est la première cause de non-conformité.
Scaleway prend en charge la sécurité physique des datacenters, la redondance électrique et réseau, la protection anti-DDoS et l’isolation des infrastructures. En revanche, sur une offre IaaS, c’est à vous qu’il revient de chiffrer les données au repos et en transit, de gérer les comptes et les droits d’accès via l’IAM, d’appliquer les correctifs de sécurité de votre système et de vos applications, et surtout de configurer vos sauvegardes.
L’angle mort des sauvegardes et de la disponibilité
L’article 32(1)(b) et © vise expressément la disponibilité, la résilience et la capacité à rétablir l’accès aux données. Une stratégie de sauvegarde géo-redondante, sur une région ou une zone de disponibilité distincte, n’est pas une option de confort mais une mesure de conformité. Scaleway propose plusieurs zones de disponibilité par région et des fonctions de réplication, mais leur activation et leur paramétrage relèvent de votre responsabilité.
Dans mon expérience de conseil, l’absence de test de restauration est l’angle mort le plus fréquent des PME : on active une sauvegarde, on coche la case du registre, et on découvre le jour de l’incident que la restauration ne fonctionne pas ou que la copie se trouvait dans la même zone que la production. Ne présumez jamais qu’une option de sauvegarde gérée couvre votre risque : lisez le périmètre exact, et testez vos restaurations.
Votre check-list de mise en conformité Scaleway
Concrètement, pour documenter votre conformité lorsque vous hébergez chez Scaleway :
Récupérez et archivez le DPA Scaleway et conservez-le avec vos contrats. Inscrivez chaque traitement hébergé à votre registre en mentionnant Scaleway comme sous-traitant et la région d’hébergement. Vérifiez que vos ressources (Instances, Object Storage, sauvegardes) sont bien provisionnées dans une région de l’Union européenne. Activez une sauvegarde sur une zone ou région distincte et testez régulièrement les restaurations. Activez le chiffrement des données au repos et en transit, et restreignez les accès au strict nécessaire via l’IAM. Si vous traitez des données sensibles ou des données de santé, orientez-vous vers l’offre HDS et vérifiez l’état d’avancement de la qualification SecNumCloud au moment de souscrire. Enfin, surveillez la liste des sous-traitants ultérieurs et intégrez Scaleway à votre procédure de gestion des violations de données.
Cartographier ses sous-traitants, garder son registre à jour et documenter ses mesures de sécurité est un travail récurrent qui se prête mal aux tableurs dispersés. C’est précisément ce type de suivi que Legiscope automatise, pour transformer une conformité subie en conformité pilotée.
Ce qu’il faut retenir
- Scaleway est votre sous-traitant au sens de l’article 28 du RGPD : il sécurise l’infrastructure, mais le registre, la base légale, l’information et les durées de conservation restent vos obligations.
- Le DPA Scaleway s’applique automatiquement à tous les clients ; vérifiez la liste des sous-traitants ultérieurs, l’assistance prévue et le sort des données en fin de contrat.
- L’hébergement standard se fait en Union européenne (Paris, Amsterdam, Varsovie, Milan) : pas de transfert hors UE, à condition de choisir une région européenne pour chaque ressource.
- Scaleway détient ISO 27001 et HDS, mais sa qualification SecNumCloud est en cours (entrée dans le processus en janvier 2025), pas encore acquise : vérifiez l’état exact si vous avez une obligation réglementaire de cloud qualifié.
- La sécurité est partagée (article 32) : sauvegarde géo-redondante, chiffrement et tests de restauration sont à votre charge.
FAQ
Scaleway est-il conforme au RGPD ?
Scaleway fournit le cadre d’un hébergement conforme : DPA conforme à l’article 28, hébergement en Union européenne, certifications ISO 27001 et HDS. Mais la conformité de votre traitement dépend aussi de votre configuration (région choisie, sauvegardes, chiffrement, accès) et de votre documentation en tant que responsable de traitement. L’hébergeur ne « rend » pas votre traitement conforme à lui seul.
Héberger chez Scaleway m’évite-t-il les problèmes de transfert hors UE ?
Pour les ressources provisionnées dans une région européenne (Paris, Amsterdam, Varsovie, Milan), oui : il n’y a pas de transfert au sens du chapitre V du RGPD, ce qui vous dispense des clauses contractuelles types et de l’analyse d’impact des transferts. Vérifiez néanmoins la localisation exacte de chaque service souscrit, de vos sauvegardes et des éventuels sous-traitants ultérieurs.
Scaleway est-il qualifié SecNumCloud ?
Pas encore à ce jour. Scaleway est entré dans le processus de qualification SecNumCloud de l’ANSSI en janvier 2025, mais la qualification n’est pas acquise (l’audit s’étend généralement sur 18 à 24 mois). Scaleway dispose en revanche déjà des certifications ISO 27001 et HDS. Si une obligation réglementaire vous impose un cloud qualifié SecNumCloud, vérifiez l’état exact de la qualification au moment de souscrire.
Qui est responsable de la sécurité des données chez Scaleway ?
La responsabilité est partagée (article 32). Scaleway répond de la sécurité physique des datacenters, du réseau et de l’isolation des infrastructures. Mais le responsable de traitement doit garantir la disponibilité et la résilience de ses données : configurer le chiffrement, gérer les accès et mettre en place une sauvegarde sur une zone distincte avec tests de restauration relève de votre obligation, pas de celle de l’hébergeur.
Cet article fournit une information juridique générale et ne constitue pas un conseil juridique individualisé. Pour une analyse adaptée à votre situation, l’accompagnement d’un professionnel est recommandé.
Recevez nos analyses conformité chaque semaine. Inscrivez-vous à notre newsletter pour décrypter, comme ici, les obligations RGPD concrètes derrière chaque outil que vous utilisez.