Un an plus tard, voici ce que ça m'a appris sur mes données, mes outils et pourquoi la souveraineté numérique n'est pas qu'un mot à la mode.
Mai 2025 · Homelab · Souveraineté numérique
Il y a un moment, dans la vie d'un sysadmin, où l'on réalise qu'on ne gère plus son infrastructure, c'est elle qui nous gère. Et souvent, derrière cette infrastructure, il y a une entreprise dont on ne lit jamais les conditions d'utilisation, dont on ignore ce qu'elle fait réellement des données, et à laquelle on paye des licences chaque mois sans trop se poser de questions.
Pour moi, ce moment est arrivé un soir, en regardant les requêtes réseau d'un poste Windows fraîchement installé. La télémétrie, les pings réguliers vers des endpoints Microsoft, les synchronisations OneDrive en arrière-plan... J'ai décidé ce soir-là que c'était terminé.
Le déclencheur : la souveraineté des données
Je ne suis pas particulièrement militant. Mais en tant qu'administrateur système, j'ai une vision assez claire de ce que signifie confier ses données à un tiers, et de ce que ça implique en termes de contrôle, de confidentialité et de dépendance.
Microsoft 365 centralise énormément : fichiers sur OneDrive, identité sur Azure AD / Entra ID, mails, agenda, documents. C'est pratique. C'est aussi une surface d'exposition considérable, hébergée sur des serveurs soumis au Cloud Act américain. En clair : une autorité américaine peut légalement exiger l'accès à ces données, sans que vous en soyez informé.
"Je ne voulais plus que mes données personnelles soient stockées dans une juridiction que je ne contrôle pas."
La question n'était pas de savoir si Microsoft allait "faire quelque chose" avec mes données. C'était plus simple : je voulais savoir où elles étaient, qui pouvait y accéder, et pouvoir les supprimer pour de vrai. Avec une infrastructure maison et des solutions européennes, c'est trivial. Avec un compte Microsoft, ça ne l'est pas.
La migration, service par service
Voici la stack que j'ai construite en remplacement, en privilégiant à chaque fois des solutions souveraines : européennes, open source, ou auto-hébergées.
| Service Microsoft | Remplacement | Souveraineté |
|---|---|---|
| Windows | Ubuntu (Debian) | 🟢 Open source |
| OneDrive | Nextcloud (self-hosted) | 🟢 Auto-hébergé |
| Office 365 | LibreOffice / OnlyOffice | 🟢 Open source |
| Azure AD / Entra ID | Passkeys (FIDO2) | 🟢 Sans fournisseur tiers |
| Outlook / Exchange perso | Proton Mail | 🟡 Suisse, chiffré bout en bout |
| Sauvegardes cloud | OVHcloud (France) | 🟡 Hébergeur européen |
Passer à Linux : la surprise agréable
La transition vers Linux a été, honnêtement, la plus simple. J'attendais de la friction : des drivers manquants, des logiciels qui ne tournent plus, des habitudes à reconstruire. Rien de tout ça. Ubuntu s'est installé en moins d'une heure, mon environnement de travail était opérationnel dans la journée.
Les outils que j'utilise au quotidien (terminaux, éditeurs, Docker, navigateurs) fonctionnent mieux sur Linux qu'ils ne l'ont jamais fait sur Windows. Et je n'ai plus de télémétrie qui s'invite dans mes captures réseau.
Nextcloud : mes fichiers, chez moi
Nextcloud a remplacé OneDrive sans douleur. L'instance tourne dans mon homelab, sur un hyperviseur Proxmox, avec des sauvegardes automatisées vers OVHcloud, un hébergeur français soumis au droit européen, sans aucun lien avec le Cloud Act. Mes fichiers sont synchronisés sur tous mes appareils, accessibles depuis l'extérieur via un reverse proxy sécurisé, et physiquement chez moi en premier lieu.
C'est une différence fondamentale avec OneDrive : je sais exactement où est chaque fichier, à chaque instant.
Proton Mail : des mails qui ne lisent pas mes mails
Le mail, c'est souvent le dernier bastion Microsoft qu'on oublie de migrer. Outlook est confortable, Exchange est bien intégré. Mais un mail non chiffré qui transite par des serveurs américains, c'est une carte postale : n'importe qui peut la lire en chemin.
Proton Mail, basé en Suisse, applique un chiffrement bout en bout par défaut entre comptes Proton. Les serveurs sont hors juridiction américaine, et l'entreprise publie un rapport de transparence sur les demandes d'accès gouvernementales qu'elle reçoit. Ce n'est pas parfait : les mails échangés avec des comptes Gmail ou Outlook ne sont pas chiffrés de bout en bout. Mais c'est un niveau de protection bien supérieur à ce que j'avais avant.
La migration depuis Outlook a été simple : import IMAP, redirection des anciens alias, et c'est tout.
Azure AD / Entra ID : remplacé par... rien
C'est le remplacement le plus contre-intuitif. J'utilisais Azure AD principalement comme SSO. Au lieu de le remplacer par un autre fournisseur d'identité, j'ai adopté massivement les passkeys (FIDO2).
Aujourd'hui, je m'authentifie sur quasiment tous mes services avec une YubiKey. Pas de mot de passe, pas de fournisseur tiers, pas de fédération à gérer, pas de tokens OAuth qui traînent. C'est plus simple, plus résistant au phishing, et entièrement sous mon contrôle. La clé physique ne "téléphone" nulle part.
Les sauvegardes : OVHcloud comme dernier rempart
Une infrastructure self-hosted sans stratégie de sauvegarde, c'est une bombe à retardement. J'externalise mes sauvegardes critiques vers OVHcloud, qui héberge ses infrastructures en France et en Europe, et est soumis au RGPD. C'est mon filet de sécurité géographique : si quelque chose brûle physiquement chez moi, mes données survivent, sans pour autant être accessibles à une juridiction étrangère.
Ce qui n'est pas parfait
Soyons honnêtes.
LibreOffice ouvre les .docx correctement dans 95% des cas. Les 5% restants, typiquement des fichiers avec des mises en forme complexes reçus de clients, peuvent nécessiter des ajustements. Ce n'est pas bloquant, mais c'est réel. La compatibilité bureautique reste le point de friction principal pour un usage professionnel intense.
Proton Mail a ses limites : l'application mobile est moins fluide qu'Outlook, et la gestion de plusieurs alias demande un abonnement payant. Le chiffrement bout en bout ne s'applique qu'entre comptes Proton. Pour les échanges avec le reste du monde, on reste sur du TLS classique, meilleur que rien, mais pas de la magie.
L'administration de son propre homelab, c'est du travail. Gérer ses certificats TLS, ses mises à jour de sécurité, ses sauvegardes... Pour un sysadmin, c'est familier et même plaisant. Pour quelqu'un qui n'a pas ce profil, l'équation coût/bénéfice peut être différente. Je ne prétends pas que cette démarche est universelle.
Un an plus tard
Je n'ai aucun regret. Mon infrastructure personnelle est plus stable, plus transparente et moins coûteuse qu'avant. Je sais exactement où sont mes données : en France, en Suisse, ou dans mon homelab. Je comprends chaque brique de ma stack. Et quand quelque chose casse, parce que quelque chose casse toujours, je peux diagnostiquer et corriger sans dépendre d'un support externe.
La souveraineté numérique, ça ne se résume pas à "fuir les GAFAM". C'est une posture technique et éthique : savoir ce qui tourne dans son infra, qui y a accès, et dans quel cadre juridique. Sur ces trois points, ma stack actuelle me donne bien plus que Microsoft ne m'en a jamais donné.
Les solutions existent, elles sont matures, et elles fonctionnent. Il suffit de franchir le pas.
Et ma YubiKey ne se connecte pas à des serveurs à Redmond. C'est un bon début.
Cet article fait partie d'une série sur l'auto-hébergement et la souveraineté numérique. Les outils cités (Nextcloud, Proton Mail, OVHcloud, Proxmox) sont ceux que j'utilise personnellement. Aucun partenariat, aucun lien d'affiliation.