Entre et , COCORRIDOR a scanné 5 000 sites de PME françaises. Le résultat est sans appel : 89 % d'entre elles utilisent au moins un service soumis au Cloud Act américain. Cela signifie que les autorités américaines pourraient légalement exiger l'accès aux données traitées par ces services, y compris les données personnelles de vos clients français.
Cet article présente les données exclusives de cette analyse, la ventilation par catégorie de service, l'évolution depuis 2024, et les dépendances cachées que la plupart des dirigeants ignorent.
Méthodologie de l'étude
Les 5 000 sites analysés ont été sélectionnés aléatoirement parmi les sites scannés sur la plateforme COCORRIDOR entre le et le . Critères d'inclusion :
- Site web d'une entreprise française (siège social en France)
- Effectif inférieur à 250 salariés (définition PME INSEE)
- Scan complet (5 phases, 14 vecteurs d'analyse)
- Niveau de confiance de détection medium ou high (les détections low et unverified sont exclues)
Chaque service détecté est classifié par pays d'origine du fournisseur et par type de données traitées. Un site est considéré « exposé au Cloud Act » s'il utilise au moins un service fourni par une entreprise soumise au droit américain.
Résultats globaux
Sur les 5 000 sites analysés :
- 4 450 sites (89 %) utilisent au moins un service soumis au Cloud Act
- 3 210 sites (64,2 %) utilisent 3 services américains ou plus
- 1 740 sites (34,8 %) utilisent 5 services américains ou plus
- Score de Souveraineté Numérique moyen : 38/100 (grade E)
Ventilation par catégorie de service
| Service | % de sites concernés | Type de données | Risque principal |
|---|---|---|---|
| Google Analytics / GA4 | 68 % | Comportementales | Transfert données navigation vers les US |
| Google Fonts | 52 % | Techniques (IP) | Transmission IP visiteur à chaque chargement |
| AWS / Azure / GCP | 47 % | Toutes (hébergement) | Accès intégral aux données via Cloud Act |
| Cloudflare | 41 % | Trafic complet | Déchiffrement TLS, accès au contenu |
| Meta Pixel (Facebook) | 34 % | Comportementales | Profilage publicitaire, transfert US |
| Stripe | 28 % | Bancaires | Données de paiement soumises au droit US |
| HubSpot | 19 % | CRM complet | Base clients entière hébergée aux US |
| Google Tag Manager | 54 % | Orchestration | Container chargeant des services US en cascade |
| YouTube embed | 31 % | Comportementales | Cookies Google déposés via l'iframe |
| reCAPTCHA | 22 % | Comportementales | Score de risque envoyé à Google |
Le résultat le plus frappant : Google Tag Manager est présent sur 54 % des sites. Or, un container GTM charge en moyenne 3 à 5 services américains supplémentaires (GA4, Google Ads, Meta Pixel, Hotjar...). C'est la dépendance la plus sous-estimée, car le dirigeant voit « un script » dans le code, alors qu'il s'agit d'un point d'entrée pour de multiples transferts de données.
Évolution 2024 vs 2026
La bonne nouvelle : la situation s'améliore. Lentement, mais elle s'améliore.
| Indicateur | 2024 (estimation) | 2026 (mesuré) | Évolution |
|---|---|---|---|
| PME exposées Cloud Act | 94 % | 89 % | -5 points |
| Score moyen | 29/100 | 38/100 | +9 points |
| Google Analytics | 78 % | 68 % | -10 points |
| Google Fonts | 67 % | 52 % | -15 points |
| Hébergement US | 51 % | 47 % | -4 points |
| Cloudflare | 38 % | 41 % | +3 points |
| Meta Pixel | 42 % | 34 % | -8 points |
Les progrès les plus notables concernent Google Fonts (-15 points, grâce à l'auto-hébergement des polices) et Google Analytics (-10 points, migrations vers Matomo et Plausible). En revanche, Cloudflare progresse (+3 points), probablement en raison de son offre gratuite et de la complexité perçue de la migration CDN.
Ventilation par secteur d'activité
| Secteur | % exposé Cloud Act | Score moyen | Nb moyen services US |
|---|---|---|---|
| E-commerce | 96 % | 28/100 | 6,3 |
| Services B2B | 91 % | 35/100 | 4,8 |
| Santé / Médical | 84 % | 42/100 | 3,2 |
| SaaS / Tech | 82 % | 47/100 | 4,1 |
| Institutions / Associations | 79 % | 49/100 | 2,7 |
| Industrie / BTP | 88 % | 37/100 | 3,9 |
L'e-commerce est le secteur le plus exposé (96 %) avec le score le plus bas (28/100). La raison : cumul de Stripe (paiement), Google Analytics (analytics), Meta Pixel (publicité), Cloudflare (CDN), Google Fonts, et souvent un hébergement AWS. Les sites SaaS/Tech obtiennent le meilleur score moyen (47/100), signe d'une prise de conscience plus avancée dans ce secteur.
Les dépendances cachées
Les containers GTM : la boîte de Pandore
Google Tag Manager est un point aveugle majeur. Lors d'un audit classique, on voit un script GTM dans le code source. Ce que l'on ne voit pas : les 5 à 15 tags configurés dans le container, qui chargent chacun des services américains supplémentaires. Le scanner COCORRIDOR analyse le contenu des containers GTM (phase 1.75 de l'orchestrateur) pour détecter les 44 services les plus courants chargés via GTM.
Les polices web et CDN : des micro-fuites massives
52 % des sites chargent Google Fonts depuis les serveurs de Google. Chaque visiteur transmet son adresse IP à Google lors du chargement de la page. En , un tribunal de Munich a condamné un site web à 100 € de dommages par visiteur pour cette pratique (LG München I, Az. 3 O 17493/20). La solution est simple : télécharger les polices et les servir depuis votre propre hébergement.
Les iframes YouTube et les boutons de partage
31 % des sites intègrent des vidéos YouTube via iframe. L'iframe standard charge les cookies de Google dès l'affichage de la page, avant toute interaction. Alternative : utiliser youtube-nocookie.com et bloquer l'iframe via un CMP souverain jusqu'au consentement.
Le coût de l'inaction vs. le coût de la migration
| Scénario | Coût estimé | Probabilité (sur 3 ans) |
|---|---|---|
| Migration souveraine complète | 2 500 à 18 000 € | 100 % (vous choisissez) |
| Amende CNIL (PME) | 20 000 à 500 000 € | 5 à 15 % (selon exposition) |
| Mise en demeure CNIL | 5 000 à 30 000 € (frais juridiques) | 10 à 25 % |
| Fuite de données (réquisition Cloud Act) | Impact réputationnel + clientèle | Non quantifiable |
| Invalidation DPF (« Schrems III ») | Migration en urgence + risque juridique | 30 à 50 % (selon NOYB) |
L'analyse coût-bénéfice est favorable à la migration préventive dans tous les scénarios. Le coût d'une migration planifiée est prévisible et contrôlé. Le coût d'une mise en demeure CNIL ou d'une migration en urgence (invalidation DPF) est imprévisible et potentiellement destructeur pour une PME.
Ce que vous pouvez faire maintenant
- Mesurer votre exposition : lancez un scan gratuit COCORRIDOR pour connaître votre Score de Souveraineté Numérique et identifier tous vos services américains.
- Comparer les alternatives : utilisez le comparateur d'alternatives souveraines pour chaque service identifié.
- Mettre à jour vos documents légaux : le Legal Builder génère des mentions légales et une politique de confidentialité reflétant fidèlement vos sous-traitants.
- Planifier la migration : commencez par les quick wins (analytics, polices web) et planifiez les migrations complexes (hébergement) sur 3 à 6 mois.
Foire aux questions
Le chiffre de 89 % est-il représentatif de toutes les PME françaises ?
L'échantillon de 5 000 sites est significatif mais présente un biais : les PME qui scannent leur site sur COCORRIDOR sont probablement plus sensibilisées à la souveraineté numérique que la moyenne. Le taux réel d'exposition pour l'ensemble des PME françaises est probablement supérieur à 89 %. L'étude Eurostat 2025 sur l'adoption du cloud en Europe corrobore ces ordres de grandeur.
Mon site n'utilise que Google Analytics. Est-ce vraiment un problème ?
Oui. Google Analytics transfère les données de navigation de vos visiteurs (pages vues, durée, appareil, IP) vers les serveurs de Google aux États-Unis. La CNIL a explicitement jugé cette pratique non conforme dans sa configuration standard (décision de février 2022). Le remplacement par Matomo en mode exempté CNIL élimine ce risque et améliore votre score de +8 à +15 points. C'est la migration la plus simple et la plus impactante.
Google affirme que ses serveurs européens protègent mes données. Est-ce vrai ?
Non. Le Cloud Act s'applique indépendamment de la localisation des serveurs. Google, en tant qu'entreprise américaine, est tenue de fournir les données demandées par les autorités US, même si ces données sont stockées dans un datacenter en Belgique ou en Finlande. La CJUE a confirmé ce constat dans l'arrêt Schrems II (C-311/18, ). La localisation physique des serveurs est un argument marketing, pas une garantie juridique.
Comment expliquer le risque Cloud Act à mon directeur général ?
Trois arguments percutants : (1) « Nos fichiers clients sont légalement accessibles au gouvernement américain, sans qu'on en soit informé ». (2) « La CNIL intensifie les contrôles sur les PME : 42 % des mises en demeure visent des entreprises de notre taille ». (3) « Si le Data Privacy Framework est invalidé (30 à 50 % de probabilité), on devra migrer en urgence au lieu de le faire sereinement ». Montrez le résultat du scan COCORRIDOR pour rendre le risque tangible et chiffré.