Où se trouvent les serveurs informatiques qui gèrent nos données bancaires ?

Bonjour,

Chaque grande banque dispose de ses propres data centers souvent situés en France ou dans l’Union européenne, pour maîtriser l’environnement physique, les accès et la sécurité.

Le droit n’impose pas que les données soient uniquement conservées en France, mais encadre fortement tout transfert hors UE et exige un niveau de sécurité et de gouvernance très élevé. En pratique, pour limiter les risques juridiques (notamment vis‑à‑vis du CLOUD Act américain) et faciliter la conformité RGPD, de nombreux établissements privilégient un hébergement en France ou au moins au sein de l’UE, souvent chez des prestataires certifiés (ISO 27001, PCI DSS, HDS, etc.).

Certains services peuvent être opérés dans des clouds européens ou dans des « cloud de confiance » où les données restent dans des data centers européens, avec des clauses spécifiques de protection et de chiffrement. Voir cet article Pourquoi les activités bancaires dans le cloud sont-elles essentielles ?

Suivent quelques exemples de banques françaises :

Pour la Banque Postale :

La Banque Postale renouvelle sa confiance à Kyndryl pour l’hébergement de ses datacenters jusqu’en 2032 (Clermont-Ferrand) et 2028 (sites parisiens), avec une option jusqu’en 2035.

sources : Linkedin et communiqué de presse

Vos données personnelles peuvent-elles être transférées en dehors de l’Union Européenne ?

Le transfert consiste en toute communication, copie ou déplacement de données personnelles vers un pays qui ne fait pas partie de l’Union Européenne. Cela se produit lorsque des données personnelles sont envoyées à des prestataires localisés en dehors de l’Union Européenne ou si ces données sont hébergées sur des serveurs situés à l’étranger. Certains pays garantissent un niveau de protection des données personnelles comparable à celui de l’Union Européenne et font l’objet d’une décision dite d’adéquation de la part de la Commission Européenne, d’autres non. Pour pouvoir transférer des données personnelles dans ces pays « non adéquats », le transfert doit être précédé par la mise en place de garanties techniques et juridiques appropriées qui visent en pratique à assurer aux données personnelles, dans ces pays où elles sont transférées, un niveau de sécurité et de protection équivalent à celui offert dans l’Union européenne. Le Groupe La Banque Postale privilégie le stockage des données personnelles dans l’Union Européenne et lorsqu’un transfert est nécessaire, le Groupe prend les mesures qui s’imposent pour assurer la sécurité de vos données.

Vos données personnelles peuvent, à l’occasion de certaines opérations, faire l’objet d’un transfert vers des prestataires ou « sous-traitants » au sens du RGPD établis dans un pays situé hors de l’Union Européenne. Ces prestataires exécutent des tâches opérationnelles pour le compte des entités du Groupe La Banque Postale en lien avec les finalités de traitement telles que décrites ci-dessus. Dans certains cas, ces prestataires peuvent être situés dans des pays ne faisant pas l’objet d’une décision d’adéquation rendue par la Commission européenne. Les transferts vers ces sous-traitants sont encadrés par la conclusion de Clauses Contractuelles Types (CCT) reconnues par la Commission européenne ou par le recours à un sous-traitant ayant adopté des règles contraignantes reconnues par les autorités de contrôles européennes. Afin d’obtenir une copie des mesures mises en place, le client peut adresser une demande écrite au Délégué à la Protection des Données de La Banque Postale, par courrier à l’adresse indiquée plus bas.  

À l’occasion de diverses opérations de paiement (virement, transfert d’argent,...) des données personnelles du client peuvent être transférées vers des pays hors de l’Union européenne, pour permettre le dénouement de l’opération (prestataire de paiement du bénéficiaire du paiement) ou à des fins de LCB-FT conformément au Règlement (UE) 2015/847 du 20 mai 2015.

source : Banque postale

 À Chartres, au Sud-Ouest de Paris, le Crédit Agricole a fait construire le plus gros data center européen afin d’y stocker l’ensemble de nos serveurs.

source : Crédit agricole

Depuis 2018-2019, BNP Paribas et IBM Cloud ont conçu ensemble un cloud public installé dans les murs de la banque, qui lui permet de garder la maîtrise de ses données et de son infrastructure. Constituée de trois datacenters interconnectés, cette première « région» sera ainsi enrichie d'une seconde région garantissant la haute disponibilité des applications critiques de BNP Paribas et donc la continuité des services bancaires comme les paiements, en préservant la sécurité des données des clients et des systèmes d'information de la banque.

« La nouveauté réside dans la fourniture de GPU as a service, a souligné Christophe Boulangé, directeur du cloud de BNP Paribas, lors d'une conférence de presse en ligne. Nous investissons avec nos partenaires pour garder le contrôle à long terme sur nos infrastructures et sur ce qu'on y fait alors que l'intelligence artificielle va s'attaquer aux données sensibles. Nous voulons garder la maîtrise et protéger nos infrastructures. » Par ailleurs, l'accès aux GPU as a service permettra à BNP Paribas d'utiliser la puissance informatique selon ses besoins, et de ne payer que ce qu'elle consomme selon un modèle de « pay as you go».

Exit strategy

Cette nouvelle zone sera hébergée dans les murs de la banque, avec des technologies IBM, opérées par IBM. « Des équipes IBM dédiées piloteront cette zone dans le respect des règles de conformité bancaires, et seront étanches aux autres équipes d'IBM Cloud», a précisé Juliette Macret, vice-présidente EMEA d'IBM Cloud.

En outre, ce partenariat, qui prolonge de longues années de collaboration, inclut aussi la capacité pour BNP Paribas de reprendre la gestion en propre, ou chez un autre fournisseur de cloud, des applications hébergées dans le cloud, conformément aux réglementations bancaires. Une « exit strategy» (plan de réversibilité) travaillée par les deux partenaires.

Stratégie de cloud différencié

Cette nouvelle zone devrait être opérationnelle entre 2028 et 2030. BNP Paribas ne souhaite pas dévoiler son implantation mais il est probable qu'elle soit installée en Belgique où se trouvent déjà plusieurs usines de paiement. 

source :  BNP Paribas signe avec IBM Cloud pour dix ans supplémentaires / Alexandra Oubrier - L'AGEFI Quotidien - Édition de 7h - mercredi 30 avril 2025

Société Générale 

"Les données les plus sensibles (numéros de compte, soldes, actifs...) demeurent dans les datacenters de l'entreprise, localisés principalement en France, et notamment à Marcoussis et Lille." 

source : Pourquoi Société Générale mise sur le cloud hybride / L'Usine Nouvelle (site web) - mardi 21 décembre 2021

Le Crédit mutuel dispose de plusieurs data centers en France (Strasbourg, Lille, Paris, Côte d'or), voir ces articles :

- Euro-Information branche deux nouveaux data centers pour le compte du Crédit Mutuel–CIC

- Souveraineté numérique : Crédit Mutuel Alliance Fédérale dévoile deux nouveaux datacenters de dernière génération en Bourgogne

Le groupe BPCE (Caisse d'épargne et banque populaire) dispose de 4 data centers situés en France sur les campus d’Albiréo à Castres (81) et d’Antarès en Seine et Marne (77).

source : BPCE et Quatre data centers du Groupe adhérents au Code de Conduite Européen

En France, les données de santé doivent impérativement être stockées chez des hébergeurs certifiés HDS (ou Hébergement de données de santé). Vous pouvez consulter le site Agence du Numérique en Santé pour en savoir plus et prendre connaissance de la Liste des hébergeurs certifiés. Voir aussi le document intitulé La certification pour l’hébergement de données de santé à caractère personnel (HDS).

L'article intitulé Certification HDS : un label de qualité indispensable pour les hébergeurs Cloud en 2021 indique que " de plus en plus d’établissements de santé se tournent vers un hébergeur de données de santé (HDS) français pour être certain que l’infrastructure de stockage des données soit bien localisé sur le territoire français." Il précise aussi :

Les secteurs concernés par la certification HDS

De nombreux secteurs touchant de près ou de loin à la santé sont concernés par le label. Ainsi, toute entreprise ou personne morale ou physique hébergeant des données de santé recueillies à la suite d’actions de prévention, de diagnostics, de soins ou encore de suivis doit impérativement être certifiée pour agir en toute légalité. La certification concerne aussi bien la prise en charge sociale ou médico-sociale de personnes que leur prise en charge sanitaire. Les patients confiant l’hébergement de leurs données de santé à un tiers sont également concernés.

Certaines exceptions ont toutefois été mises en place par la CNIL. Les hôpitaux, par exemple, ne sont pas obligés d’obtenir le label dès lors qu’ils hébergent les données de santé localement. Cela signifie qu’ils n’ont pas le droit de faire appel à un prestataire externe pour sauvegarder et traiter leurs données, à moins que ce dernier ne possède la certification.

Vous retrouverez des informations sur l'Hébergement de données de santé sur le site de l'AP HP. Les HCL ont également été certifiés pour leurs activités d’hébergement de données de santé.

Voici ce que ce site indique pour "Mon espace santé" :

Les données de Mon espace santé sont hébergées en France par les prestataires de l’Assurance Maladie sur des infrastructures dédiées, en respectant les normes d’hébergement des données de santé françaises (HDS). Les informations de santé vous concernant sont donc gardées dans des centres hautement sécurisés qui sont agréés par des organismes officiels et indépendants.

Bonne journée.