Lorsqu'un conseil approuve une acquisition, consigne une décision RH sensible ou examine un signalement d'alerte, ces informations comptent parmi les plus confidentielles de l'entreprise. Une question simple mérite donc une réponse précise : où ces données vivent-elles réellement ? Pour Admincontrol Board Portal, la réponse est volontairement restreinte. L'ensemble des données de gouvernance sensibles est stocké exclusivement dans deux centres de données privés situés en Norvège, au sein de l'Espace économique européen (EEE), sur une infrastructure qu'Admincontrol exploite elle-même. Pas un cloud public partagé, pas une région américaine, pas une mosaïque de sous-traitants.
Exploiter ses propres centres de données est coûteux et exigeant. La plupart des éditeurs l'évitent et louent de la capacité auprès des grands fournisseurs de cloud. Admincontrol a fait le choix le plus difficile, délibérément, parce que pour le travail d'un conseil et de ses comités, la maîtrise de l'endroit où vivent les données, de qui peut y accéder et de ce qui se passe en cas de défaillance n'est pas un détail technique. C'est le produit.
- Board Portal d'Admincontrol conserve l'ensemble des données sensibles du conseil dans deux centres de données privés en Norvège, au sein de l'EEE. Seules les données de session d'authentification unique et les journaux techniques anonymisés résident sur Microsoft Azure.
- La résidence des données n'est pas la souveraineté des données. L'emplacement d'un serveur importe moins que l'entité qui maîtrise l'infrastructure et le droit qui s'y applique.
- Maîtriser l'infrastructure supprime les points de défaillance uniques et l'exposition à des tiers, avec un chiffrement AES 256 bits, des contrôles certifiés ISO 27001:2022 et une configuration active-passive dont l'objectif de temps de reprise est inférieur à deux heures.
- Parce qu'Admincontrol est une société européenne exploitant sa propre infrastructure européenne, les données du conseil ne sont pas directement exposées au Cloud Act américain comme peuvent l'être celles d'un fournisseur au siège américain.
Où sont stockées les données de Board Portal ?
Pour la plupart des logiciels SaaS, la réponse honnête est « cela dépend ». Les données peuvent être réparties sur plusieurs régions de cloud public, répliquées là où la capacité est la moins chère, et traitées par une chaîne de sous-traitants que le client ne voit jamais. Pour des données de gouvernance, cette ambiguïté est un risque.
Admincontrol adopte la démarche inverse. Chaque contenu sensible de Board Portal réside sur une infrastructure privée en Norvège : documents du conseil et pièces jointes, ordres du jour et procès-verbaux, décisions et résolutions, droits d'accès et rôles, configuration du portail et journaux d'audit locaux. Il s'agit d'un cloud privé, détenu et exploité par Admincontrol, et non d'un espace loué sur une plateforme publique.
Seules deux catégories de données très limitées transitent par Microsoft Azure, et aucune ne contient de contenu du conseil. La première regroupe les données de session d'authentification unique, limitées au nom de l'utilisateur, à son adresse électronique et à un identifiant de session. La seconde regroupe les journaux techniques anonymisés, qui ne contiennent que des identifiants techniques et des métadonnées, sans aucune donnée personnelle ou métier. La séparation est stricte et voulue : les contenus sensibles et les mécanismes qui vous permettent de vous connecter sont tenus à l'écart les uns des autres.
Résidence ou souveraineté des données : ce que les conseils doivent savoir
Ces deux notions sont souvent employées comme des synonymes, et la différence est déterminante. La résidence des données décrit l'endroit où les données sont physiquement stockées. La souveraineté des données décrit le droit qui les régit et l'entité qui peut, en dernier ressort, en exiger l'accès.
Un éditeur peut stocker vos données dans une région européenne tout en restant soumis à une portée juridique non européenne, car la souveraineté suit la maîtrise de l'infrastructure, et non les seules coordonnées du serveur sur la carte. Les labels de « cloud souverain » des grands fournisseurs mondiaux peuvent brouiller cette frontière : la plateforme sous-jacente, sa société mère et ses obligations juridiques ne changent pas parce qu'une étiquette marketing a été apposée. C'est précisément le cœur du débat sur la souveraineté numérique en gouvernance.
La position d'Admincontrol est simple, et nous prenons soin de ne pas la surestimer. Les données de Board Portal résident dans l'EEE, sont protégées par le RGPD, et un accord de traitement des données est disponible. Tout aussi important : Admincontrol fait partie d'Euronext, un groupe boursier européen. L'infrastructure, la société et la responsabilité se trouvent en Europe. C'est une garantie de confiance plus solide qu'un simple label de résidence, et c'est une symétrie que les éditeurs SaaS américains ne peuvent pas revendiquer de la même manière.
Le Cloud Act américain atteint-il les données hébergées en Europe ?
C'est la question qui transforme un débat abstrait en risque concret. Le Cloud Act américain, adopté en 2018, permet aux autorités américaines de contraindre les fournisseurs dont le siège est aux États-Unis à communiquer les données qu'ils maîtrisent, quel que soit l'endroit où ces données sont physiquement stockées. Cela inclut des données situées dans des centres de données européens, et il s'agit d'une tension reconnue avec le RGPD, dont l'article 48 encadre les transferts exigés par des juridictions étrangères.
Pour un conseil, l'implication est inconfortable. Si votre plateforme de gouvernance, ou le cloud qui la sous-tend, est exploitée par une société américaine, les données peuvent en principe être atteintes par une procédure judiciaire américaine, même si elles ne quittent jamais Francfort ou Stockholm. Choisir un fournisseur européen qui maîtrise sa propre infrastructure européenne est le moyen le plus direct de réduire cette exposition. C'est l'une des raisons centrales pour lesquelles Admincontrol exploite ses propres centres de données plutôt que d'externaliser le socle de son produit le plus sensible.
Que se passe-t-il quand une région de cloud tombe en panne ?
Le risque de concentration est l'autre facette du problème. Lorsque des milliers de services dépendent de la même région de cloud public, une seule défaillance peut se propager en cascade. En octobre 2025, une anomalie dans une région d'Amazon Web Services aux États-Unis a perturbé des services pendant une quinzaine d'heures, mettant hors service des applications et des plateformes utilisées par des millions de personnes dans le monde. Neuf jours plus tard, une modification de configuration défectueuse chez Microsoft Azure a provoqué une panne mondiale affectant Microsoft 365, Teams et d'autres outils d'entreprise. Aucun de ces incidents n'a été causé par un attaquant. Tous deux rappellent que louer son socle, c'est hériter des modes de défaillance d'un autre.
L'indisponibilité a un coût. Les estimations d'analystes chiffrent couramment le coût de l'indisponibilité d'un système critique à plusieurs milliers de dollars par minute. Pour un conseil qui doit clôturer une réunion, signer une résolution ou respecter une échéance de dépôt, l'indisponibilité de la plateforme au mauvais moment est bien plus qu'un désagrément.
Admincontrol limite ce risque grâce à une architecture active-passive répartie sur ses deux centres de données norvégiens, avec un objectif de temps de reprise inférieur à deux heures et une répartition de charge assurée par NetScaler. Parce qu'Admincontrol détient les deux sites, la résilience est conçue en amont, et non subie.
Comment l'architecture d'Admincontrol protège vos données
Les éléments s'assemblent autour d'un principe unique : conserver les contenus sensibles dans un lieu unique et maîtrisé, et les protéger à chaque couche.
- Deux centres de données privés en Norvège, au sein de l'EEE, exploités par Admincontrol.
- Une séparation stricte des données : seuls les données de session SSO et les journaux anonymisés résident sur Azure.
- Un chiffrement AES 256 bits pour les données stockées et un chiffrement TLS pour les données en transit, conformément aux standards cryptographiques d'Euronext Corporate Solutions.
- Une zone démilitarisée (DMZ) avec un répartiteur de charge NetScaler et la couche applicative web en façade, la base de données et le stockage étant conservés en sécurité derrière elle.
- Une authentification à deux facteurs obligatoire pour les nouveaux portails, l'authentification unique étant assurée par un service d'identité dédié.
- Des contrôles de sécurité de l'information certifiés ISO 27001:2022, la conformité au RGPD et un accord de traitement des données disponible.
C'est une sécurité de niveau entreprise sans la complexité de niveau entreprise, et c'est la raison pour laquelle un conseil peut adopter la plateforme sans un long bras de fer avec sa propre direction informatique. Le même engagement en faveur d'un hébergement européen se retrouve dans toute la suite, y compris Admincontrol Data Room.
Les leçons d'incidents récents
La valeur de cette conception apparaît le plus clairement lorsqu'on observe ce qui se passe ailleurs. En 2025, le Philadelphia Inquirer a rapporté que BoardDocs, un logiciel de réunion de conseil utilisé dans le secteur public américain, avait exposé des fichiers confidentiels, dont des notes juridiques couvertes par le secret professionnel de l'avocat, à la suite d'une mauvaise configuration qui faisait apparaître dans les résultats de recherche de l'application des documents marqués comme privés. La cause n'avait rien d'exotique : une erreur de configuration sur une surface applicative partagée.
C'est précisément la catégorie de risque que la séparation stricte, la maîtrise de l'infrastructure et une conception rigoureuse des accès sont censées contenir. Aucune architecture ne peut promettre que l'erreur humaine ne surviendra jamais. Mais une architecture qui conserve les données de gouvernance sensibles sur une infrastructure maîtrisée par l'éditeur, séparée de tout le reste et protégée à chaque couche, offre bien moins d'occasions qu'une petite erreur ne devienne publique.
Questions fréquentes
L'ensemble des données sensibles du conseil est stocké dans deux centres de données privés en Norvège, au sein de l'Espace économique européen, sur une infrastructure qu'Admincontrol exploite elle-même. Seules les données de session SSO et les journaux techniques anonymisés résident sur Microsoft Azure.
Oui. Les données sont hébergées dans l'EEE conformément au RGPD, et un accord de traitement des données est disponible sur demande. Les contrôles de sécurité de l'information sont certifiés ISO 27001:2022.
Le Cloud Act peut atteindre les données maîtrisées par des fournisseurs dont le siège est aux États-Unis, où qu'elles soient stockées. Admincontrol est une société européenne, membre du groupe Euronext, qui exploite sa propre infrastructure européenne : c'est le moyen le plus direct de réduire cette exposition.
Board Portal fonctionne selon une configuration active-passive répartie sur deux centres de données norvégiens, avec un objectif de temps de reprise inférieur à deux heures et une répartition de charge NetScaler pour assurer la continuité.
Pour le travail d'un conseil et de ses comités, l'endroit où vivent les données détermine votre exposition réglementaire, votre résilience et votre capacité à démontrer aux régulateurs, aux auditeurs et aux investisseurs que la gouvernance est traitée de manière responsable. Admincontrol a fait le choix délibéré, et plus exigeant, d'exploiter ses propres centres de données européens afin que la réponse à la question « où sont nos données ? » soit claire, brève et défendable. Découvrez comment Board Portal d'Admincontrol protège vos données de gouvernance et les conserve en Europe.
Demandez une démoRelated Articles
See all posts