Pourquoi on héberge vos données à Roubaix (et pas chez AWS)

Quand on pitche MailBoss à un dirigeant de PME, la première question sécurité qui revient n'est pas « est-ce chiffré ? ». C'est « où sont stockées mes données ? ». La réponse honnête, c'est : Roubaix, France, dans les datacenters d'OVHcloud. Pas en Irlande chez AWS, pas en Belgique chez GCP. Voici pourquoi on l'a décidé — et pourquoi on n'est pas prêts d'en changer.

Les 4 raisons, par ordre d'importance

1. Le Cloud Act, sans filtre

Le Cloud Act américain (2018) permet aux autorités US de demander les données stockées par une entreprise américaine — où que ces données soient physiquement. « Chez AWS Dublin » ne protège pas si Amazon Web Services Inc. reçoit un mandat à Seattle. Le Schrems II (2020) a invalidé le Privacy Shield pour cette raison-là. Il n'existe pas d'équivalent accord de 2026 qui remet à plat le problème.

Pour un dirigeant français qui manipule des données de ses clients, c'est un risque juridique concret : un audit RGPD peut te demander des comptes sur ta chaîne de sous-traitance. Plus cette chaîne est courte et européenne, moins tu as à expliquer.

2. La latence utile est là, pas ailleurs

L'argument classique pro-AWS, c'est « on a des PoPs partout ». Pour un SaaS B2C mondial, c'est vrai. Pour MailBoss, 92 % de nos utilisateurs sont en France, 6 % dans le reste de l'UE, 2 % ailleurs. Un datacenter à Roubaix donne ~15 ms de latence à Paris, ~25 ms à Marseille, ~40 ms à Munich. Largement sous les seuils où l'utilisateur ressent quoi que ce soit.

Le mythe « AWS c'est plus rapide » vient d'un autre monde — celui des apps mondialisées où tu as des utilisateurs à Singapour ou à São Paulo. Ce n'est pas notre cas. Payer des PoPs qu'on n'utilise pas est une taxe inutile.

3. Le coût réel, à iso-service

On a fait le calcul sur 18 mois de production, même workload. Pour un cluster qui sert ~12 000 utilisateurs actifs :

• AWS Paris (devis privé 2025) : 4 820 €/mois pour l'équivalent de notre stack (compute, storage, managed Postgres, managed Redis, load balancer, bande passante sortante).
• OVH Roubaix : 2 640 €/mois pour le même niveau de service, avec un support téléphone inclus et des IPs anti-DDoS de base.

Écart : ~45 % de moins. Sur 12 mois, ça fait 26 160 € économisés qu'on remet sur l'équipe et l'IA. C'est un vrai choix de gestion.

4. La compréhension mutuelle

Quand on ouvre un ticket chez OVH, on parle en français à un ingénieur qui comprend le contexte réglementaire français. Quand on ouvre un ticket AWS (même Business Support), on parle anglais à une équipe qui répond vite mais qui ne sait pas ce qu'est une CNIL. Pour les sujets RGPD, chaîne de sous-traitance, clauses DPA, c'est un gain de temps énorme d'avoir un partenaire qui vit dans le même droit.

Ce qu'on perd, honnêtement

Pour être transparent, voici ce qu'on ne peut pas faire aujourd'hui chez OVH et qu'on ferait en trois clics chez AWS.

• Les services managés spécialisés. Pas d'équivalent direct à Bedrock, Sagemaker ou Kinesis. On doit construire nous-mêmes nos pipelines. OK pour nous, pas OK pour tout le monde.
• Le catalogue IA. On fait nos appels LLM chez Anthropic et Voyage directement, en passant par leur API EU. C'est pas OVH qui tourne le modèle. Notre chaîne RGPD intègre donc Anthropic (US, avec DPA signé) et Voyage (US, avec DPA signé). Soyons honnêtes là-dessus.
• Les outils d'observabilité. AWS CloudWatch est un confort réel. On utilise Grafana Cloud (EU) + Sentry (EU). Ça marche, mais c'est 3 outils au lieu d'un.

Le chemin réel, pas le discours

On ne dit pas « on est 100 % français, bleu blanc rouge ». Ce serait faux. On dit : « toutes les données persistées de nos utilisateurs sont en France, nos sous-traitants sont documentés, les appels IA restent éphémères, et on publie la liste complète sur la page Sécurité ». Un dirigeant qui signe un DPA avec nous sait exactement ce qu'il signe.

Ce que ça veut dire pour toi, dirigeant

Trois engagements concrets dérivent de ce choix d'infra.

1. Tes mails, leur corps, leurs pièces jointes ne quittent jamais le territoire français stockés. Ils transitent chez Anthropic pour l'analyse (quelques secondes, aucun stockage côté Anthropic conformément à leur Zero Data Retention), puis seule la catégorisation est conservée.
2. Ton DPO peut nous auditer. On a un modèle de DPA signable, une liste de sous-traitants maintenue, un registre des traitements fourni.
3. En cas de subpoena US, aucune entité MailBoss ni OVH ne peut y répondre sans passer par la justice française. C'est la barrière la plus haute qu'on puisse construire légalement.

Et si un jour on grossit ?

On entend déjà l'objection : « quand vous ferez 500 000 utilisateurs, vous irez chez AWS ». Possible. Mais dans ce cas, on ira chez AWS Europe via une filiale irlandaise, avec clauses renforcées — et on le dira publiquement, on ne laissera pas la page Sécurité se périmer discrètement. La souveraineté, c'est un choix qui se maintient, pas un slogan qu'on pose une fois.

Pour aller plus loin, lis notre article suivant : RGPD + IA : comment on tient l'équation. Et si tu veux essayer, c'est gratuit 14 jours.