DPA mauricien + RGPD : où héberger les données de vos clients ?

Le Data Protection Act 2017 encadre le traitement des données personnelles à Maurice, y compris leurs transferts hors du territoire. Si votre entreprise sert aussi des clients européens, le RGPD s'applique en parallèle. Le choix de l'hébergement — local, étranger ou hybride — détermine directement la complexité de votre mise en conformité.
Deux cadres qui se superposent
Une entreprise mauricienne qui traite des données personnelles relève d'abord du Data Protection Act 2017 (DPA) : base légale du traitement, finalité déterminée, sécurité des données, droits des personnes concernées et encadrement des transferts transfrontaliers.
Dès qu'elle propose des biens ou des services à des résidents européens, le RGPD s'ajoute au DPA : le règlement européen s'applique au-delà des frontières de l'Union. Bonne nouvelle : les deux textes partagent la même philosophie, et une démarche de conformité sérieuse menée pour l'un couvre une grande partie de l'autre. Point de vigilance : les deux régimes de transfert se cumulent — et c'est précisément là que le choix de l'hébergement entre en jeu.
Transferts transfrontaliers : la question qui décide de tout
Héberger des données personnelles hors de Maurice constitue un transfert au sens du DPA ; les stocker ou les faire transiter hors d'Europe soulève la même question côté RGPD. Dans les deux cas, vous devez pouvoir répondre précisément à trois questions :
- Où les données sont-elles stockées — pays, data center, réplicas et sauvegardes compris ?
- Qui peut y accéder — votre fournisseur, ses sous-traitants, ses équipes de support à l'étranger ?
- Sur quelle base repose le transfert — clauses contractuelles, garanties documentées, consentement ?
Avec un grand cloud public, répondre honnêtement à ces trois questions oblige souvent à documenter une chaîne de sous-traitants que vous ne maîtrisez pas. Et n'oubliez pas le transfert invisible : coller des données clients dans un outil d'IA public est aussi un transfert — voyez ce que deviennent vos données dans une IA publique.
Le réflexe utile : tenir un simple tableau des flux — quelle donnée, vers quel pays, chez quel prestataire, sur quelle base juridique — et le mettre à jour à chaque nouveau contrat. Ce document, souvent demandé en premier lors d'un contrôle ou d'une due diligence, prend une heure à créer et vous en fera gagner des dizaines.
Classer vos données avant de choisir l'hébergement
Toutes les données ne méritent pas le même régime. Une grille simple suffit pour démarrer : données publiques (aucune contrainte forte), internes (accès à contrôler), personnelles (DPA et, le cas échéant, RGPD), sensibles ou critiques (santé, finance, données dont la perte arrête l'activité). Cette classification, détaillée dans notre article sur les données qui ne devraient jamais quitter l'île, précède tout choix d'hébergement : elle transforme un débat idéologique (« tout local » contre « tout cloud ») en décision par catégorie.
La règle pratique qui en découle : plus une donnée est sensible, plus son hébergement doit être simple à expliquer. Un auditeur — ou un client — doit comprendre en une page où elle vit, qui y accède et comment elle est protégée.
Pourquoi le cloud privé simplifie l'audit
La conformité ne se joue pas seulement dans les politiques écrites : elle se démontre. Sur ce terrain, un cloud privé hébergé localement présente des avantages structurels :
- Périmètre identifié : vous savez physiquement où sont les serveurs, les réplicas et les sauvegardes.
- Pas de sous-traitance en cascade : la chaîne des accès se documente en une page, pas en trente.
- Journaux d'accès complets : qui a consulté quoi, quand — la matière première de tout audit.
- Transferts réduits au strict nécessaire : moins de transferts, moins de bases juridiques à maintenir.
C'est l'approche que SOVALYX applique avec ses clients : un cloud privé dont le registre des traitements se remplit presque tout seul, parce que l'architecture a été pensée pour être auditable (voir notre méthode cloud privé et SLA).
En pratique : la conformité par type de données
| Type de données | Exemples | Question clé | Approche d'hébergement |
|---|---|---|---|
| Publiques | Site web, catalogue, brochures | Aucune contrainte forte | Libre : local ou cloud public |
| Internes | Documents de travail, projets | Qui y accède ? | Cloud maîtrisé, accès contrôlés |
| Personnelles | Comptes clients, RH, facturation | Transferts documentés (DPA/RGPD) ? | Hébergement local ou garanties contractuelles solides |
| Sensibles / critiques | Santé, finance, KYC | Peut-on prouver le périmètre et les accès ? | Cloud privé local, journaux, audit régulier |
Dernier conseil : ne traitez pas la conformité comme un projet ponctuel. Chaque nouveau fournisseur, chaque nouvel outil SaaS ou d'IA rouvre la question des transferts. Un point annuel suffit souvent — et si vous partez de zéro, un audit d'hébergement est le point de départ le plus rapide.
Comment SOVALYX peut vous aider
Si vous devez démontrer où vivent les données de vos clients et qui y accède, SOVALYX peut commencer par un diagnostic de votre hébergement et de vos flux pour cartographier les transferts existants. Un cloud privé hébergé à Maurice ramène ensuite les données personnelles et sensibles dans un périmètre physique identifié, avec journaux d'accès complets et sans sous-traitance en cascade — la conformité DPA et RGPD se documente en quelques pages. Et côté IA, nos LLM privés internes permettent à vos équipes d'en bénéficier sans qu'aucune donnée ne parte vers une IA publique.
Parler conformité avec un ingénieur🧰 L'outil qui va avec : Êtes-vous prêt pour l'AI Act ? — gratuit · 2 minutes.
Relu et optimisé par IA.