Souveraineté des données à Maurice : quelles données ne devraient jamais quitter l'île ?

Toutes les données d'une entreprise mauricienne n'ont pas vocation à rester sur l'île — mais certaines ne devraient jamais la quitter. Une grille de classification en quatre niveaux — publique, interne, sensible, critique — permet de trancher rapidement, et le modèle hybride qui en découle fait consensus : cloud local pour la santé, la sécurité et la finance, hébergement international pour le reste.
Un débat désormais sur la place publique
En avril 2026, une tribune remarquée d'Avinash Meetoo a posé la souveraineté des données comme un enjeu critique pour Maurice, en recommandant un modèle hybride : cloud local pour les données de santé, de sécurité et de finance, hébergement international pour le reste. Le sujet dépasse désormais les cercles techniques : à mesure que l'État et les entreprises numérisent leurs services, la question « où sont nos données, et qui peut y accéder ? » devient une question de politique publique autant que d'architecture.
Pour une entreprise, l'enjeu n'est pas idéologique mais très pratique : savoir, catégorie par catégorie, ce qui peut partir, ce qui peut partir sous conditions, et ce qui doit rester. C'est aussi un levier de négociation : une entreprise qui connaît la classification de ses données discute avec ses fournisseurs cloud en position de force, clause par clause, au lieu d'accepter des conditions générales en bloc.
La grille de classification en quatre niveaux
Inutile de traiter chaque fichier au cas par cas : quatre niveaux suffisent pour classer l'essentiel du patrimoine informationnel d'une entreprise.
| Niveau | Exemples types | Règle d'hébergement |
|---|---|---|
| Publique | Site web, brochures, communiqués | N'importe où — optimiser coût et diffusion |
| Interne | Documents de travail, wikis, gestion de projet | Au choix, avec contrôle d'accès et sauvegardes |
| Sensible | Données clients, dossiers RH, données personnelles | Localement de préférence ; tout transfert encadré et documenté |
| Critique | Santé, finance, sécurité, secrets d'affaires | Sur l'île, dans un cloud privé — et jamais dans une IA publique |
Le niveau « sensible » recoupe largement le champ des données personnelles : les obligations du Data Protection Act mauricien — et du RGPD pour qui sert des clients européens — s'y appliquent. Notre guide pratique DPA + RGPD de l'hébergement conforme détaille les règles par cas de figure.
Le modèle hybride en pratique
Une architecture type découle naturellement de la grille. Un cloud privé local héberge les niveaux sensible et critique : bases clients, dossiers RH, données financières, systèmes métier. Les contenus publics et les services à portée mondiale s'appuient sur des plateformes internationales, mieux placées pour la diffusion globale. Les deux mondes communiquent par des liaisons maîtrisées, chiffrées et journalisées — chaque flux sortant est un choix documenté, pas un accident.
Ce choix redevient réaliste à mesure que l'offre locale s'étoffe : la zone high-tech annoncée autour de la technopole de Côte d'Or confirme la montée en puissance de l'hébergement sur l'île. Nous avons analysé ce que l'hébergement local change vraiment en matière de latence, de droit et de coûts.
Souveraineté ne veut pas dire fragilité
Garder ses données sur l'île n'a de sens que si la résilience est traitée avec le même sérieux : sauvegardes hors site, plan de reprise d'activité testé régulièrement, supervision continue et astreinte. La saison cyclonique le rappelle chaque année — la souveraineté sans continuité d'activité est une promesse fragile, et notre checklist PRA avant la saison cyclonique en fait le tour concret.
C'est d'ailleurs ce couple souveraineté + résilience — cloud privé local, PRA automatisé, supervision sous SLA — qui constitue le cœur de métier de SOVALYX : héberger localement, mais avec des garanties de continuité mesurées et contractuelles.
Checklist : classer vos données en une semaine
- Jours 1-2 — inventorier : lister les grands ensembles de données (applications, bases, partages de fichiers, boîtes mail). Viser l'exhaustivité des ensembles, pas des fichiers.
- Jour 3 — classer : attribuer un niveau (publique, interne, sensible, critique) à chaque ensemble, avec les responsables métier concernés.
- Jour 4 — confronter : vérifier où chaque ensemble est réellement hébergé aujourd'hui, qui y accède, et par où transitent les copies.
- Jour 5 — lister les écarts : données critiques hébergées hors de l'île, transferts non documentés, copies dans des outils SaaS ou des IA publiques.
- Ensuite — prioriser : planifier les migrations par niveau de risque, en commençant par le critique. Un échange avec un architecte suffit souvent à cadrer le chantier en une réunion.
Comment SOVALYX peut vous aider
SOVALYX peut conduire ce chantier de classification avec vous : le diagnostic infrastructure & IA inventorie vos ensembles de données, vérifie où ils sont réellement hébergés et repère les copies parties dans des outils SaaS ou des IA publiques. Vos niveaux sensible et critique trouvent leur place dans notre cloud privé résilient hébergé à Maurice, avec des LLM privés internes pour qu'aucune donnée ne parte vers une IA publique. Et parce que souveraineté sans continuité serait une promesse fragile, le socle inclut un PRA automatisé et testé ainsi qu'une supervision 24/7 sous SLA.
Parler hébergement souverain avec un ingénieur🧰 L'outil qui va avec : Êtes-vous prêt pour l'AI Act ? — gratuit · 2 minutes.
Relu et optimisé par IA.