Hébergement souverain : nos solutions QR codes 100 % françaises
La souveraineté numérique, un enjeu stratégique majeur en 2026
En quelques années, la souveraineté numérique s’est imposée comme l’un des critères de choix technologique les plus scrutés par les acheteurs publics comme par les directions informatiques d’entreprises. La montée en puissance du Data Act européen, le déploiement de la doctrine Cloud au centre de l’État français, l’exigence de labels comme SecNumCloud (ANSSI) ou Cloud de confiance, et l’application stricte du RGPD ont profondément transformé les grilles d’analyse des projets numériques.
Choisir un hébergement souverain pour ses outils digitaux n’est plus une simple préférence idéologique ; c’est une exigence réglementaire, contractuelle et parfois pénale dans de nombreux secteurs : collectivités locales, santé, éducation, transport public, industrie stratégique, cabinets professionnels manipulant des données sensibles.
Chez HolyTag, éditeur français de solutions QR codes dynamiques basé à La Baule, la souveraineté est inscrite dans notre ADN depuis notre création. Nos plateformes Holyborne et Holybus, comme l’ensemble de notre écosystème QR code, sont conçues, développées et hébergées en France dans une logique de transparence, de sobriété numérique et de conformité totale au cadre européen de protection des données personnelles.
Hébergement souverain Vs souveraineté numérique : une distinction fondamentale
C’est la première précision méthodologique à poser, et la plus souvent oubliée par le marché. Comme l’a rappelé récemment le Village de la Justice dans un article de juillet 2026, la souveraineté ne se réduit jamais à la simple localisation des serveurs.
L’hébergement souverain désigne une caractéristique technique et juridique précise : des serveurs localisés en France ou en Europe, opérés par un acteur soumis au droit européen, sans dépendance à une juridiction extraterritoriale.
La souveraineté numérique, elle, est un concept plus large qui recouvre la capacité réelle d’une organisation à maîtriser les conditions dans lesquelles ses données sont hébergées, exploitées, protégées et, le cas échéant, récupérées. C’est un enjeu organisationnel autant que technique.
Concrètement, deux plateformes hébergées dans le même pays peuvent présenter des niveaux de maîtrise très différents. Ce qui distingue une véritable souveraineté d’un simple hébergement local, c’est la capacité d’analyse en profondeur de la chaîne d’exécution :
- Quel droit s’applique au fournisseur et à ses sous-traitants ?
- Qui exploite physiquement l’infrastructure et selon quelles procédures ?
- Quelles dépendances technologiques existent (composants logiciels, chaînes d’approvisionnement) ?
- Qui peut accéder aux données et dans quelles conditions ?
Une entreprise capitalistiquement française, hébergée sur des serveurs français, mais dont l’infrastructure repose sur des briques logicielles américaines (bases de données, systèmes d’exploitation cloud, orchestrateurs) reste exposée aux juridictions extraterritoriales, notamment au CLOUD Act américain (2018) qui autorise les autorités US à demander l’accès à des données détenues par des entreprises américaines, où que soient les serveurs, et au FISA 702 qui encadre la surveillance des communications électroniques. C’est la logique qui a conduit l’arrêt Schrems II de la CJUE (2020) à invalider le Privacy Shield transatlantique.
Chez HolyTag, nous prenons cette distinction fine au sérieux et concevons nos solutions dans une logique de maîtrise à tous les étages et pas seulement de localisation.
Qu’est-ce que l’hébergement souverain, concrètement ?
Le terme « hébergement souverain », souvent confondu avec « cloud souverain » ou « hébergement français », recouvre en réalité plusieurs critères cumulatifs qui définissent une plateforme véritablement indépendante des juridictions extra-européennes :
- La localisation physique des serveurs en France ou dans l’Union européenne,
- la détention capitalistique de l’hébergeur et de l’éditeur par des acteurs européens,
- l’absence d’extraterritorialité juridique (protection contre le CLOUD Act américain notamment),
- la conformité complète au RGPD dans le traitement des données,
- la sobriété du stockage : ne collecter et conserver que le strict nécessaire à la finalité du service,
- la transparence documentaire sur les infrastructures, sous-traitants et politiques de sécurité.
Une plateforme hébergée en France par une entreprise française, sans dépendance à un GAFAM ou à un fournisseur extra-européen, coche l’ensemble de ces critères. C’est le positionnement de HolyTag.
Les 5 piliers de notre engagement souverain
Hébergement 100 % en France, par des acteurs français
L’ensemble des données générées par nos plateformes Holyborne, Holybus et Holytag est hébergé sur des serveurs situés en France, opérés par des acteurs français ou européens indépendants des juridictions extraterritoriales. Aucune donnée ne transite ni n’est stockée en dehors du territoire européen.
Une plateforme sécurisée sans stockage inutile des données utilisateurs
Notre principe éditorial est simple : nous ne collectons et ne stockons que ce qui est strictement nécessaire à la finalité du service. Les scans sont analysés en volume, jamais identifiés individuellement. Aucun profilage utilisateur, aucune revente de données, aucun croisement avec des services tiers de tracking marketing.
Cette sobriété data est un choix éditorial fort qui distingue HolyTag des grandes plateformes internationales de QR codes (souvent américaines) qui monétisent le comportement des utilisateurs finaux.
Un QR code sécurisé et dynamique, sans fuite d’information
Nos QR codes dynamiques sont conçus pour maximiser la sécurité :
- URL de redirection maîtrisée par le client, modifiable à tout moment sans réimpression,
- absence de trackers tiers cachés dans les redirections,
- chiffrement TLS 1.3 systématique des communications,
- contrôle d’accès administrateur avec authentification renforcée,
- journalisation de toutes les modifications pour traçabilité.
Un QR code sécurisé garantit à vos utilisateurs finaux que le contenu affiché est bien celui que vous avez validé. C’est un enjeu essentiel dans les secteurs sensibles (transport public, restauration réglementée, certifications qualité, notices produits médicaux).
Une conformité RGPD stricte et documentée
L’ensemble de notre traitement des données personnelles respecte scrupuleusement le Règlement Général sur la Protection des Données :
- Registre des traitements tenu à jour (article 30 RGPD),
- analyse d’impact (AIPD) pour les traitements sensibles (article 35),
- droits des personnes garantis (accès, rectification, effacement, portabilité, articles 15 à 22),
- sécurisation technique et organisationnelle (article 32),
- notification des violations dans les 72 heures (article 33).
Notre équipe est disponible pour répondre à toute question de vos DPO, RSSI ou responsables conformité en amont ou pendant l’exécution des contrats.
Accessible sans application propriétaire
Aucune application n’est nécessaire pour accéder aux contenus de nos QR codes. Cette accessibilité universelle sans application propriétaire présente plusieurs bénéfices :
- Aucune dépendance à un store applicatif géré par un GAFAM (Apple App Store, Google Play),
- aucun coût de développement mobile pour l’utilisateur final,
- accessibilité maximale ; y compris pour les publics peu équipés en smartphone récent, les touristes étrangers, les utilisateurs occasionnels,
- sobriété numérique : pas de téléchargement, pas de mise à jour, pas d’occupation de stockage,
- conformité aux exigences d’accessibilité des services publics (RGAA).
Comment évaluer un fournisseur véritablement souverain ?
Sur un marché où de nombreux acteurs se revendiquent « souverains », parfois sur la seule base de la localisation d’un centre de données, nous vous invitons à appliquer une grille d’analyse rigoureuse avant tout engagement contractuel. Ces quatre critères, cohérents avec les principes défendus par la doctrine française et par les analyses juridiques récentes, permettent de distinguer une souveraineté substantielle d’une communication souveraine. Notre grille en 4 critères.
Droit applicable au fournisseur
Le fournisseur (et sa maison-mère, s’il en a une) est-il soumis exclusivement au droit français et européen, ou dépend-il d’une juridiction extraterritoriale (États-Unis, Chine, autres) ? Un fournisseur français filiale d’un groupe américain reste exposé au CLOUD Act.
Exploitation physique de l’infrastructure
Qui exploite les datacenters, avec quelles procédures d’accès et de contrôle ? Un fournisseur « souverain » qui sous-traite l’exploitation à un acteur américain n’offre pas de véritable maîtrise.
Dépendances technologiques
Sur quelles briques logicielles s’appuie la solution ? Bases de données, systèmes d’exploitation cloud, orchestrateurs, moteurs d’IA : chaque dépendance à une technologie non-européenne peut ouvrir une brèche réglementaire.
Accès aux données
Qui, techniquement, peut consulter les données ? Selon quelles procédures d’authentification, de journalisation et de contrôle ? Sur demande de quelle autorité ?
Chez HolyTag, nous répondons de manière transparente à ces quatre questions et documentons nos choix technologiques dans notre dossier d’engagement souveraineté, disponible sur demande pour tout projet qui l’exige.
Nos solutions souveraines en action
L’approche souveraine de HolyTag se décline concrètement à travers trois lignes de produits.
Holyborne : la souveraineté au service des bornes et équipements
Holyborne est notre solution dédiée à la gestion signalétique et à la maintenance des bornes et équipements (points d’apports volontaires des déchets, bornes de recharge, mobilier urbain, équipements industriels, etc.). Chaque équipement est doté d’un QR code signalétique qui permet à un agent ou à un usager de signaler un dysfonctionnement, d’accéder à la documentation technique ou d’engager une demande d’intervention. Le tout sans télécharger d’application.
Cas d’usage souverain : régies municipales, communautés de communes, gestionnaires de patrimoine public, industriels sous contraintes réglementaires. Les données de maintenance et les signalements restent hébergées en France.
Holybus : la souveraineté au service du transport public
Holybus transforme les arrêts de bus en points d’information temps réel grâce à un QR code apposé sur chaque poteau. Les usagers scannent, accèdent aux horaires en temps réel ; sans télécharger l’application de la régie de transport, sans compte utilisateur, sans traçage de leur trajet.
Cas d’usage souverain : régies municipales de transport, syndicats mixtes de transport, communautés d’agglomération. Il s’agit d’une solution française, sans application et respectueuse de la vie privée des usagers, y compris ceux qui ne souhaitent pas partager leurs déplacements avec des services de tracking commercial.
Holytag : la souveraineté pour entreprises et certifications
Notre plateforme principale Holytag couvre les besoins des entreprises (certifications, conformité, documents techniques), de la restauration (menus dynamiques) et du commerce (traçabilité produits, communication client). L’ensemble de ces cas d’usage bénéficie du même socle d’hébergement souverain que nos produits Holyborne et Holybus.
Pour qui la souveraineté numérique est-elle décisive ?
Certains secteurs et acteurs font de la souveraineté un critère non négociable :
- Collectivités territoriales engagées dans une politique d’achat public responsable,
- régies publiques de transport soumises à des obligations de confidentialité des flux voyageurs,
- établissements de santé manipulant des données personnelles sensibles (article 9 RGPD),
- industries stratégiques (défense, énergie, aéronautique, agroalimentaire de terroir),
- cabinets professionnels (avocats, notaires, experts-comptables) soumis au secret professionnel,
- directions juridiques manipulant des contrats sensibles et de la propriété intellectuelle,
- enseignement et recherche avec exigences croissantes sur la localisation des données.
Si votre organisation entre dans l’une de ces catégories, choisir un hébergement souverain français n’est pas un plus commercial ; c’est une condition d’exécution du contrat.