Hébergement souverain : Vercel, Supabase EU, OVH – le bon choix pour votre RGPD

Pourquoi la souveraineté du cloud devient un sujet stratégique

Toutes les PME françaises ne sont pas concernées de la même manière par le RGPD. Mais depuis Schrems II (2020) et l’invalidation du Privacy Shield, la localisation des données hors UE expose à un risque juridique réel. Un hébergement ‘cloud US’ (AWS us-east-1, Google Cloud us-central1) signifie que vos données peuvent être réquisitionnées par une agence américaine sans que vous puissiez vous y opposer. Pour un CRM client, des bulletins de paie ou des données médicales, c’est rédhibitoire.

L’alternative souveraine ne se limite plus à OVH. Des acteurs comme Vercel (Edge Network) et Supabase (Backend as a Service) proposent désormais des zones EU certifiées RGPD, avec des architectures très différentes. Le bon choix dépend de votre stack technique, de votre budget et de votre tolérance au risque. Voyons cas par cas.

Vercel : le champion de l’Edge, mais jusqu’où est-il souverain ?

Vercel est la plateforme de déploiement préférée des équipes JavaScript modernes (Next.js, Svelte, Nuxt). Son Edge Network repose sur les infrastructures de Cloudflare (pour le CDN) et AWS (pour les fonctions serverless et le stockage). Concrètement :

• Vercel propose un ‘EU Data Region’ (actif depuis 2023) : vos fonctions et votre contenu statique sont servis depuis des datacenters situés en Francfort et Dublin.
• Le plan Pro (20 €/mois par utilisateur) inclut la conformité RGPD contractuelle, un DPA signé et la garantie que vos logs et métriques restent dans l’UE.
• En revanche, Vercel reste une couche d’abstraction : en dessous, c’est du AWS. Pour un auditeur pointilleux, Vercel n’est pas un ‘hébergeur’ direct, mais un intermédiaire. Le contrôle effectif des données (chiffrement des backups, isolation physique) reste flou.

Quand choisir Vercel ?

• Vous développez une application front-end lourde avec Next.js ou un site vitrine haute performance.
• Vous maîtrisez votre stack et acceptez de déléguer la gestion du réseau à un tiers de confiance.
• Vos données sensibles ne transitent pas en clair dans les logs Vercel (utilisez des variables d’environnement, un back-end séparé).

Limites : Pas de base de données persistante, pas de stockage de fichiers natif. Vercel seul ne vous libère pas de devoir héberger vos données critiques ailleurs.

Supabase EU : le BaaS open source, pile postgrei SQL

Supabase est parfois appelé le ‘Firebase open source’. Il fournit une base PostgreSQL, une API REST/GraphQL, de l’authentification, du stockage de fichiers et des edge functions, le tout en SaaS. Depuis 2024, Supabase propose un plan dédié à l’UE (Supabase EU, basé à Berlin) où les données sont stockées uniquement dans des datacenters OVH en France (Gravelines ou Roubaix) ou AWS Francfort selon la région choisie.

Points clés :

• Le stockage de fichiers utilise S3 compatible (OVH Object Storage ou AWS S3). Le chiffrement au repos est activé par défaut.
• Le plan Pro (25 $/mois) inclut le DPA, la conformité RGPD et un support limité. Pour un cadre contractuel plus strict (audit, data retention contractuelle), il faut le plan Team (599 $/mois) ou Enterprise (sur devis).
• Avantage majeur : vous conservez la base de données sur PostgreSQL, ce qui facilite l’export et la migration. Pas de lock-in chez un cloud propriétaire.

Quand choisir Supabase EU ?

• Vous avez besoin d’un backend prêt à l’emploi avec base de données relationnelle, authentification et stockage.
• Vous voulez garder la possibilité de self-hoster un jour (le code est open source).
• Vos données sont modérément sensibles (vous acceptez que le support de Supabase ait accès aux logs techniques).

Attention : Supabase EU repose sur OVH ou AWS. Si l’audit exige la preuve que les disques sont en France, OVH est plus simple à documenter qu’AWS via Vercel. Mais Supabase ne donne pas accès direct aux logs réseau ou aux certifications ISO 27001 de ses sous-traitants.

OVHcloud : le cloud souverain « historique », mais avec quels services ?

OVH n’est plus un simple hébergeur mutualisé. Avec Public Cloud (OpenStack + réseau SDN) et Hosted Private Cloud (VMware / Nutanix), il couvre quasiment tous les besoins : serveurs, bases de données managées (PostgreSQL, MySQL, MongoDB, Kafka), stockage objet S3, Kubernetes, AI endpoints.

• Certifications : ISO 27001, HDS (hébergement de données de santé), SecNumCloud (pour le plan Hosted Private Cloud qualifié par l’ANSSI). C’est le seul des trois à détenir ce niveau de certification souverain.
• Localisation : datacenters en France (Gravelines, Roubaix, Strasbourg, Limoges, Paris) et ailleurs en Europe (Espagne, Allemagne, Pologne, Royaume-Uni). Aucune donnée ne quitte l’UE si vous choisissez la zone ‘GRA’ ou ‘RBX’.
• Prix : un serveur dédié à partir de 30 €/mois HT, une instance cloud à 5 €/mois, une base PostgreSQL managée à 15 €/mois. Beaucoup moins cher que Vercel ou Supabase à l’échelle.

Quand choisir OVH ?

• Vous avez des obligations réglementaires fortes (HDS, RGAP, SecNumCloud).
• Vous voulez contrôler chaque couche (réseau, VM, OS, applicatif) ou déployer une architecture sur mesure.
• Votre équipe technique maîtrise Linux et Docker/Kubernetes ; vous n’avez pas peur du provisioning manuel.

Inconvénient : la plateforme OVH manque parfois de maturité UX (console, API) par rapport à Vercel. Le support réactif est payant. Pas de fonctions Edge sur leur réseau (Cloudflare est intégré en option).

Synthèse : qui choisir pour quel profil

| Critère | Vercel | Supabase EU | OVH | |---------|--------|-------------|-----| | Type de service | Frontend + Edge functions | Backend SaaS (PostgreSQL, auth, storage) | Cloud IaaS/PaaS complet | | Souveraineté certifiée | Contractuelle (DPA) + région UE | Contractuelle (DPA) + région UE (OVH/AWS) | ISO 27001, HDS, SecNumCloud | | Facilité d’usage | Très élevée (git push) | Élevée (dashboard + SDK) | Moyenne (Console/API, compétences DevOps) | | Coût mensuel (projet type) | À partir de 20 € + consom. | 25 $ (Pro) + consom. | 30-100 € selon ressources | | Verrouillage | Fort (Next.js, Edge config) | Faible (open source, exportable) | Faible (standard IaaS) |

Recommandations :

• Site vitrine ou app frontend-only → Vercel (avec back-end tiers si besoin).
• MVP SaaS avec BDD + auth → Supabase EU (puis migrer vers OVH si scale).
• App régulée (santé, finance) ou legacy → OVH Hosted Private Cloud SecNumCloud.
• Équipe technique réduite → Supabase EU ou Vercel (moins d’ops).
• Budget serré et maîtrise DevOps → OVH Public Cloud.

Conclusion

Aucun hébergement n’est parfait. Vercel excelle pour le frontend, Supabase pour le back-end rapide, OVH pour la conformité lourde. La vraie question n’est pas ‘le meilleur’, mais ‘le moins risqué pour vos données’. Auditez votre chaîne de sous-traitance, lisez les DPA, et n’oubliez pas : le RGPD n’impose pas de tout héberger chez OVH, mais il exige que les données restent dans l’UE et que vous puissiez prouver qui y a accès. En cas de doute, OVH reste le filet de sécurité le plus solide pour une PME.