Cloud, on-premise et hybride : la résidence des données au cœur de la stratégie des family offices

Pourquoi la résidence des données s'est imposée à l'agenda des instances dirigeantes

Pendant l'essentiel de leur histoire, les family offices ont traité l'infrastructure de données comme une préoccupation de back-office — déléguée à un responsable informatique ou entièrement externalisée vers la pile technologique d'un gestionnaire de fortune. Cette posture est devenue indéfendable. La conjonction de trois évolutions — les lois d'accès extraterritorial aux données, le durcissement de la réglementation sur la vie privée en Europe et en Suisse, et la multiplication des structures familiales multi-juridictionnelles — signifie que l'endroit où résident physiquement les données financières, juridiques et personnelles a désormais des conséquences directes sur le plan légal, réputationnel, et même sur la sécurité personnelle des principals.

Une enquête menée en 2023 par une association européenne de family offices a révélé que 61 % des single-family offices gérant des actifs supérieurs à EUR 500 millions n'avaient pas réalisé d'évaluation formelle de la résidence des données au cours des 24 mois précédents. Cet écart se creuse à mesure que les obligations réglementaires s'accumulent. La question n'est plus de savoir s'il faut s'emparer du sujet, mais comment bâtir une stratégie d'infrastructure à la fois opérationnellement viable et juridiquement défendable dans plusieurs juridictions de domicile simultanément.

Les options d'architecture et leurs véritables compromis

On-premise : le contrôle à quel prix ?

Une infrastructure on-premise signifie que le family office possède ou loue des serveurs physiques, hébergés en général dans un centre de colocation dédié ou, plus rarement, dans une salle serveurs intégrée aux locaux. L'avantage principal réside dans un contrôle absolu sur la localisation des données et les accès : aucun fournisseur cloud tiers ne peut répondre à une injonction d'un gouvernement étranger, puisqu'il n'existe pas de dépositaire tiers. Pour les familles confrontées à des enjeux de sécurité personnelle élevés, ou exposées à des environnements de risque proches de sanctions internationales, ce niveau de maîtrise peut justifier l'investissement.

Ce coût, cependant, n'est pas négligeable. Un déploiement d'infrastructure privée dimensionné de manière conservative pour un single-family office de taille intermédiaire — couvrant les données de gestion de portefeuille, le reporting consolidé, la gestion documentaire et les communications sécurisées — requiert typiquement entre CHF 400 000 et CHF 800 000 en investissements initiaux, avec des coûts opérationnels annuels compris entre CHF 150 000 et CHF 300 000, une fois pris en compte les effectifs, la maintenance, les cycles de renouvellement matériel et la réplication pour la reprise après sinistre. Ces chiffres supposent un centre de colocation en Suisse ou en Allemagne répondant aux exigences de la certification ISO 27001. Pour les structures gérant moins de USD 300 millions d'actifs, le rapport coût-bénéfice d'un déploiement intégralement on-premise est difficile à justifier, sauf si une modélisation spécifique des menaces l'impose.

Cloud : la commodité au prix d'une exposition juridictionnelle

L'infrastructure cloud publique offre aux family offices des capacités que les déploiements on-premise peinent à égaler : stockage élastique, reprise après sinistre quasi instantanée, et outils de collaboration fonctionnant sur tous les fuseaux horaires qu'une famille multi-juridictionnelle embrasse nécessairement. Les économies opérationnelles sont réelles. Selon des analyses publiées par plusieurs cabinets de conseil en technologie européens entre 2021 et 2023, un family office migrant sa gestion documentaire et son infrastructure de reporting vers la région européenne d'un grand fournisseur cloud peut généralement réduire ses coûts d'exploitation d'infrastructure de 40 à 60 % par rapport à un déploiement on-premise équivalent.

L'exposition juridictionnelle, en revanche, est significative et fréquemment mal appréhendée. Les principaux fournisseurs cloud hyperscale sont constitués en société aux États-Unis. Ce domicile social est déterminant au regard du Clarifying Lawful Overseas Use of Data Act — le CLOUD Act — promulgué en mars 2018. En vertu du CLOUD Act, les autorités américaines chargées de l'application de la loi peuvent contraindre un fournisseur cloud américain à produire des données stockées sur n'importe quel serveur dans n'importe quel pays, dès lors que ce fournisseur dispose d'un contrôle suffisant sur ces données. De manière critique, le respect d'une injonction d'un tribunal américain n'oblige pas le prestataire à en informer la personne concernée, et l'existence d'un accord de protection des données — y compris des clauses contractuelles types européennes — ne constitue pas une défense recevable contre une ordonnance de production.

Les clauses contractuelles types offrent une protection significative contre les abus commerciaux courants portant sur les données. Elles n'offrent aucune protection contre une ordonnance de production émise en vertu du CLOUD Act à l'encontre d'un fournisseur domicilié aux États-Unis. Ce sont deux instruments juridiques distincts répondant à des menaces différentes.

Pour une famille européenne sans lien avec les États-Unis, cela pourrait sembler théorique. Dans la pratique, ce lien est souvent présent : un trustee américain dans une fondation du Liechtenstein, un membre de la famille détenant une carte verte américaine, une holding constituée au Delaware dans la structure de détention, ou simplement l'utilisation par le family office lui-même d'un outil de communication ou de collaboration dont le siège est aux États-Unis. Chacun de ces éléments peut créer des rattachements juridictionnels qui rendent l'exposition au CLOUD Act concrète plutôt qu'hypothétique.

Architecture hybride : le juste milieu opérationnel

L'architecture hybride — maintenir les données personnelles et financières sensibles sur une infrastructure maîtrisée, tout en recourant aux services cloud pour les flux moins sensibles — est le modèle le plus fréquemment recommandé par les conseillers en gouvernance des données travaillant avec des family offices. Sa mise en œuvre pratique repose sur un cadre rigoureux de classification des données. Sans ce socle, l'architecture hybride devient un arrangement informel dans lequel les données sensibles migrent vers les environnements cloud par commodité des outils de collaboration, et le contrôle théorique du stockage on-premise est sapé dans les faits.

Un cadre de classification en quatre niveaux adapté aux family offices pourrait distinguer : le Niveau 1, comprenant les données d'identité, de bénéficiaire effectif et biométriques soumises au traitement le plus sécurisé ; le Niveau 2, regroupant les états financiers, les structures fiduciaires et les documents de planification successorale nécessitant un stockage en environnement contrôlé ; le Niveau 3, incluant la recherche en investissement, les données de marché et les communications avec les contreparties, adaptés à une infrastructure cloud privée ou souveraine ; et le Niveau 4, couvrant la correspondance générale, la planification et les supports destinés au public, appropriés aux services cloud standard. La discipline essentielle consiste à faire respecter ces frontières par des contrôles techniques, plutôt que de s'en remettre au comportement des collaborateurs.

Le cadre réglementaire : RGPD, nLPD et leur articulation

Les obligations de résidence des données au titre du RGPD

Le Règlement général sur la protection des données de l'Union européenne, en vigueur depuis mai 2018, n'interdit pas purement et simplement les transferts transfrontaliers de données. Il les encadre. Le chapitre V du RGPD exige que les données personnelles transférées hors de l'Espace économique européen ne le soient que vers des pays ayant fait l'objet d'une décision d'adéquation, ou sous des garanties appropriées — clauses contractuelles types, règles d'entreprise contraignantes, ou les nouvelles dérogations introduites par le Comité européen de la protection des données. Pour les family offices, la conséquence pratique est que les données personnelles relatives aux membres de la famille, aux salariés ou aux prestataires de services résidant dans l'UE ne peuvent être librement stockées dans une infrastructure cloud américaine sans base juridique active pour le transfert.

L'arrêt Schrems II de la Cour de justice de l'Union européenne de juillet 2020 a invalidé le mécanisme EU-US Privacy Shield et a imposé un niveau de contrôle plus exigeant pour les clauses contractuelles types, obligeant les exportateurs de données à réaliser une analyse d'impact du transfert avant de s'appuyer sur elles. De nombreux family offices n'ont pas mis à jour leurs bases juridiques de transfert depuis Schrems II, ce qui signifie que leurs arrangements cloud actuels sont peut-être déjà non conformes. Le cadre EU-US Data Privacy Framework, adopté en juillet 2023, rétablit un mécanisme d'adéquation pour les destinataires américains certifiés, mais sa pérennité juridique est contestée — un nouveau recours de type Schrems est largement anticipé.

La nLPD suisse : des principes similaires, des obligations distinctes

La nouvelle loi fédérale sur la protection des données (nLPD) est entrée en vigueur le 1er septembre 2023, remplaçant une législation datant de 1992. La nLPD s'aligne globalement sur les principes du RGPD — responsabilité, minimisation des données, limitation des finalités, et exigence d'une base légale pour le traitement — mais il existe des différences significatives que les family offices domiciliés en Suisse ne doivent pas confondre avec les règles européennes.

Notamment, la nLPD introduit l'obligation de réaliser des analyses d'impact relatives à la protection des données pour les activités de traitement à risque élevé, et recommande la désignation d'un conseiller à la protection des données (non obligatoire, mais créateur d'une présomption favorable). Les obligations de divulgation en matière de transferts transfrontaliers sont plus strictes sur un point spécifique : la nLPD requiert une notification au Préposé fédéral à la protection des données et à la transparence (PFPDT) lorsque des transferts de données ont lieu vers des pays ne bénéficiant pas d'une protection adéquate, et la liste suisse des pays adéquats est tenue indépendamment des décisions d'adéquation de l'UE — les deux listes sont largement alignées, mais non identiques. Les États-Unis ne figurent pas sur la liste suisse d'adéquation en l'absence d'un mécanisme de transfert spécifique.

Pour les family offices genevois et zurichois servant des principals résidant dans l'UE, la conséquence pratique est une double conformité : satisfaire simultanément aux exigences du RGPD et de la nLPD, ce qui est réalisable mais requiert une architecture de gouvernance des données délibérée, plutôt que de supposer que la conformité au RGPD est suffisante.

Le problème du CLOUD Act pour les familles européennes : une tension structurelle

Le CLOUD Act crée un conflit juridique structurel pour les family offices européens qui ne trouve pas de résolution propre. L'article 48 du RGPD dispose que toute décision d'une juridiction ou d'un tribunal, ou toute décision d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel, ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit que si elle est fondée sur un accord international en vigueur entre le pays tiers requérant et l'Union. En termes clairs, le RGPD indique que les données européennes ne doivent être divulguées aux autorités américaines que par les voies formelles d'entraide judiciaire internationale. Le CLOUD Act, en revanche, permet aux autorités américaines de contourner ces voies en adressant directement leurs injonctions au fournisseur domicilié aux États-Unis, plutôt qu'au responsable du traitement établi dans l'UE.

Le prestataire pris en étau entre les deux droits doit choisir entre le droit américain et le droit européen et — compte tenu de l'asymétrie des risques d'exécution — se conforme généralement à l'injonction américaine tout en n'informant ses clients que dans la mesure autorisée. Pour un family office, cela signifie que les documents financiers, les données sur les bénéficiaires effectifs et les communications personnelles stockées chez un fournisseur dont le siège est aux États-Unis pourraient, en principe, être produits aux services de répression américains à l'insu de la famille, dans des circonstances où celle-ci n'a aucune présence juridique aux États-Unis et estime que ses données sont protégées par le droit européen ou suisse.

Les mesures d'atténuation pratiques sont limitées, mais non négligeables. Premièrement, recourir à une infrastructure cloud fournie par des entités constituées en dehors des États-Unis — des prestataires domiciliés dans l'UE ou en Suisse exploitant leur propre infrastructure — supprime le rattachement au CLOUD Act pour ces données, bien que les familles doivent vérifier soigneusement la chaîne de propriété des prestataires, car plusieurs fournisseurs cloud nominalement européens sont des filiales de sociétés mères américaines. Deuxièmement, le chiffrement de bout en bout avec une gestion des clés contrôlée par la famille signifie que, même si des données sont produites en vertu d'une injonction du CLOUD Act, elles le sont sous forme inintelligible — à condition que les clés de chiffrement elles-mêmes ne soient pas détenues par le prestataire lié aux États-Unis. Troisièmement, une architecture contractuelle garantissant que l'entité américaine ne détient que des données anonymisées ou agrégées, les données identifiantes étant conservées uniquement sur une infrastructure non américaine, réduit le risque sans l'éliminer.

Le CLOUD Act n'exige pas qu'une famille liée aux États-Unis soit visée. Il exige seulement que le dépositaire des données soit une entité américaine. Pour les familles qui estiment que leurs structures sociétaires européennes les mettent à l'abri des procédures judiciaires américaines, le domicile du fournisseur cloud — et non le leur — est la variable de risque déterminante.

Construire un cadre de résidence des données juridiquement défendable

Commencer par une cartographie des données

Aucune décision d'infrastructure n'est défendable sans connaître les données que détient le family office, sous quelle forme, sur quelle base juridique et où elles résident actuellement. Un exercice formel de cartographie des données — répertoriant les données par type, niveau de sensibilité, catégorie de personnes concernées, base juridique du traitement, lieu de stockage actuel et régime réglementaire applicable — doit précéder tout engagement d'infrastructure. Cet exercice est également requis par l'article 30 du RGPD pour les organisations traitant des données à grande échelle, et par les obligations de responsabilité de la nLPD. Les family offices qui n'en ont pas réalisé depuis 2021 devraient le considérer comme en retard, compte tenu des évolutions réglementaires intervenues depuis lors.

Définir les exigences de résidence par classe de données, et non par système

L'erreur la plus fréquente en matière de gouvernance des données dans les family offices consiste à prendre les décisions d'infrastructure au niveau du système — choisir un système de gestion de portefeuille, puis se demander où il stocke les données — plutôt qu'au niveau de la classe de données. La séquence correcte consiste à déterminer, pour chaque niveau de sensibilité, dans quelles juridictions les données peuvent légalement résider et quelles entités peuvent y accéder légalement, puis à sélectionner ou construire une infrastructure satisfaisant à ces contraintes. Pour les données de Niveau 1 concernant des principals résidant dans l'UE, la réponse restreint généralement le stockage à des infrastructures EEE ou suisses opérées par des entités non américaines, avec une journalisation stricte des accès.

Faire appel à des conseils juridiques dans toutes les juridictions concernées avant tout engagement

Les obligations en matière de résidence des données pour une famille dont les membres résident en France, en Suisse, aux États-Unis et à Singapour impliquent le RGPD, la nLPD, le CLOUD Act, la loi singapourienne sur la protection des données personnelles (PDPA) et potentiellement le Foreign Intelligence Surveillance Act américain. Aucun conseiller unique n'est compétent sur l'ensemble de ces textes simultanément. Les family offices devraient mandater une revue juridique coordonnée et multi-juridictionnelle avant de finaliser leur architecture d'infrastructure, avec une attention explicite à l'exposition au CLOUD Act, celui-ci ayant tendance à être sous-estimé par les conseils européens peu familiers du droit américain en matière de surveillance. Le coût de cette revue — typiquement entre EUR 30 000 et EUR 80 000 pour une mission correctement dimensionnée — est modeste au regard des conséquences potentielles d'un incident de données impliquant les informations relatives aux bénéficiaires effectifs d'un principal.

La résidence des données est, en définitive, une question de governance qui trouve sa réponse dans les choix techniques. Les options d'infrastructure — cloud, on-premise ou hybride — sont des moyens au service d'une finalité définie par les obligations légales de la famille, son modèle de menace et ses priorités en matière de confidentialité. Mener cette analyse rigoureusement implique de traiter ces paramètres comme premiers, et la technologie comme secondaire.