La plupart des outils internes héritent de leur juridiction par accident. Une équipe se tourne vers le SaaS le plus rapide à mettre en place, les données atterrissent là où ce fournisseur se trouve exploité, et un an plus tard, quelqu'un du service juridique demande où résident réellement les dossiers clients — et reçoit une réponse gênante. Pour une entreprise en phase de croissance opérant sous le RGPD, et de plus en plus sous NIS2 et l'EU AI Act, cet accident est un risque qui attend son audit.
NordOps procède dans l'autre sens. Quand je construis un logiciel opérationnel sur mesure, la résidence des données dans l'EU est fixée avant même la conception de la première table. L'environnement d'exécution et le code source résident tous deux en Allemagne, sous la juridiction de l'EU, sans aucune exposition légale américaine par construction. Vous n'ajoutez pas la conformité après coup à un système architecturé ailleurs — vous partez de là.
La résidence des données comme exigence de conception, pas comme ajout après coup
Il y a une réelle différence entre un logiciel qui se trouve fonctionner en Europe et un logiciel qui a été conçu pour cela. Le premier type peut être déplacé, redirigé, ou discrètement réhébergé la prochaine fois qu'un fournisseur change son infrastructure. Le second type traite l'emplacement de vos données comme faisant partie du cahier des charges — quelque chose que l'architecture garantit plutôt que quelque chose qu'une page de paramètres promet.
Pour des outils internes sur mesure conformes au RGPD dans l'EU, cette distinction se manifeste dans les détails ennuyeux mais essentiels :
- Où résident les enregistrements. Chaque espace de stockage — base de données, stockage de fichiers, sauvegardes, journaux — est provisionné dans l'EU dès le départ, et non migré plus tard.
- Où se déroule le traitement. Les tâches en arrière-plan, les étapes assistées par AI et les intégrations s'exécutent dans la région, de sorte que les données ne quittent pas discrètement le bloc pour être traitées ailleurs.
- Qui a juridiction. Héberger en Allemagne signifie que le droit de l'EU régit l'infrastructure, sans qu'aucune juridiction américaine n'atteigne l'environnement d'exécution ou le code source.
Parce que ce sont des décisions prises dès la conception, elles tiennent la route quand quelqu'un finit par poser la question difficile. La résidence des données pour un logiciel opérationnel sur mesure en Europe cesse d'être une affirmation optimiste et devient une propriété du système que vous pouvez démontrer.
Code source et environnement d'exécution en Allemagne, hors juridiction américaine
Les deux moitiés de la construction vivent dans l'EU. L'environnement d'exécution — les serveurs que votre équipe utilise réellement au quotidien — fonctionne en Allemagne. Le code source — le dépôt, le pipeline de construction, l'enregistrement exact de ce que fait le logiciel — est lui aussi hébergé dans l'EU. Aucun des deux n'est exposé à la juridiction américaine, et aucun ne dépend d'une plateforme détenue par des intérêts américains se trouvant silencieusement sur le chemin.
Cela compte parce que la résidence des données n'est jamais plus solide que son maillon le plus faible. Il ne suffit pas que la base de données soit à Francfort si le pipeline de déploiement, les journaux d'erreurs, ou un service tiers intégré traversent l'Atlantique. Un logiciel professionnel sur mesure hébergé dans l'EU doit l'être de bout en bout — et une construction maintenue assez petite pour être possédée est une construction assez petite pour vérifier qu'elle l'est vraiment.
Un test d'intrusion et un rapport sont inclus avec chaque module de développement — pour que la posture de sécurité de votre système hébergé dans l'EU soit documentée, et non supposée.
À quoi ressemble la livraison — vous choisissez la destination
Posséder le logiciel signifie posséder l'endroit où il vit. Chaque engagement vous transfère la propriété intégrale du code source, et avec elle la liberté de décider de la destination. Il n'y a aucun verrouillage, aucun abonnement, et aucune dépendance envers NordOps pour continuer à héberger quoi que ce soit.
À la livraison, vous pouvez :
- Le laisser où il fonctionne — laisser l'environnement d'exécution en Allemagne et continuer, le code source étant désormais entièrement entre vos mains.
- Le déplacer vers votre propre environnement EU — déployer le code source transféré sur votre propre infrastructure, toujours à l'intérieur de l'EU, sous vos propres comptes.
- L'emporter partout où vous en avez le droit — le code est à vous ; le choix de la résidence vous appartient, à faire et à refaire à mesure que vos obligations évoluent.
La fondation de chaque construction — le Portail Admin et le Processeur, regroupés en un seul module de développement — est livrée avec les mêmes conditions de propriété que tout ce qui est cadré par-dessus. Vous ne louez jamais l'élément dont dépend votre exploitation.
La maîtrise réglementaire, c'est de l'expertise de déploiement — pas du conseil en conformité
Une clarification, dite simplement : NordOps n'est pas un service de conseil en conformité, et ceci ne constitue pas un avis juridique. Je n'audite pas votre programme RGPD, je ne rédige pas vos politiques NIS2, et je ne valide pas votre posture au regard de l'EU AI Act. Ce travail revient à vos conseillers juridiques et à votre responsable de la protection des données.
Ce que j'apporte, c'est de l'expertise de déploiement — la maîtrise nécessaire pour construire un logiciel qui s'inscrit confortablement dans ces régimes parce que la résidence, les flux de données et la juridiction ont été des décisions d'ingénierie dès le départ. La distinction, c'est la différence entre vous conseiller sur les règles et construire un logiciel qui les respecte déjà. Mon travail consiste à faire en sorte que l'outil que vous possédez soit un outil que votre fonction conformité peut défendre, et non un outil qu'elle doit justifier.
Quand un logiciel professionnel sur mesure hébergé dans l'EU est conçu de cette manière — la résidence en premier, le code source et l'environnement d'exécution en Allemagne, la propriété transférée intégralement — la résidence des données cesse d'être une préoccupation récurrente et devient un fait établi sur la façon dont votre exploitation fonctionne.