Si vous utilisez Odoo, une décision façonne silencieusement tout le reste : où vit la base de données, et qui contrôle in fine l'infrastructure qui la porte. Le choix est généralement présenté comme « Odoo.sh ou auto-hébergé ? » — mais la vraie question est la souveraineté, pas la commodité. Voici ce que chaque option signifie réellement pour vos données.
Ce qu'est réellement Odoo.sh
Odoo.sh est la plateforme managée d'Odoo (platform-as-a-service) : branches de préproduction, déploiement Git, sauvegardes automatiques et un flux de travail propre pour les développeurs. C'est de la vraie bonne ingénierie. Mais d'après la propre documentation d'Odoo, Odoo.sh tourne exclusivement sur Google Cloud Platform, et les bases de données des clients européens sont hébergées dans la région belge de Google.
Géographiquement, c'est bien à l'intérieur de l'UE — donc, du point de vue du RGPD, la case « résidence des données » est cochée. Le piège, c'est de supposer que résidence et souveraineté sont une seule et même chose. Ce n'est pas le cas.
Conforme au RGPD n'est pas synonyme de souverain
Trois conséquences découlent du fait qu'Odoo.sh tourne sur Google Cloud, quand bien même les données se trouvent physiquement en Belgique :
- Le prestataire est une société américaine. En vertu du CLOUD Act américain, un prestataire dont le siège est aux États-Unis peut être contraint de produire les données qu'il contrôle, où qu'elles soient stockées — y compris dans les régions européennes.
- Vous ne choisissez pas le prestataire. Odoo.sh signifie Google Cloud, un point c'est tout. Vous ne pouvez pas déplacer la charge de travail vers un hébergeur européen tout en conservant la plateforme.
- Vous ne contrôlez pas l'infrastructure. Vous maîtrisez votre configuration et vos données Odoo ; la couche en dessous appartient à Google, aux conditions de Google.
Rien de tout cela ne rend Odoo.sh illégal ou négligent — c'est un choix légitime et adressable au regard du RGPD. Ce n'est simplement pas souverain, et il vaut la peine d'être honnête sur ce que l'on achète réellement.
Ce que l'auto-hébergement sur OVH change
Auto-héberger Odoo chez un prestataire européen — OVHcloud est l'exemple évident, mais Infomaniak, Hetzner ou Scaleway s'appliquent tout autant — inverse les questions de contrôle :
- Contrôle du prestataire — vous choisissez une société européenne soumise au droit européen, pas un hyperscaler américain.
- Contrôle de la localisation — vous choisissez le centre de données et la région, et vous pouvez le prouver.
- Contrôle des données — la base, les sauvegardes et les clés de chiffrement sont à vous, sur une infrastructure dont vous détenez le contrat.
Le compromis honnête
L'auto-hébergement vous remet le contrôle et la responsabilité d'un même geste. Quelqu'un doit faire les mises à jour, surveiller le serveur, tester les sauvegardes et le maintenir sécurisé. Odoo.sh le fait pour vous ; un serveur auto-hébergé ne le fait pas — sauf si un partenaire managé l'exploite. C'est exactement le travail que nous prenons en charge : un hébergement souverain avec la discipline d'exploitation d'une plateforme managée, pour que vous obteniez le contrôle sans hériter d'un second métier.
Alors, lequel choisir ?
Si votre priorité est l'expérience développeur la plus fluide possible et que vous êtes à l'aise avec Google Cloud en dessous, Odoo.sh est excellent. Si votre priorité est que les données de votre entreprise restent sous contrôle européen et hors de portée d'une législation étrangère, l'auto-hébergement chez un prestataire européen est la seule option qui le délivre réellement. L'erreur est de choisir Odoo.sh en croyant avoir choisi la souveraineté.
Questions fréquentes
- Odoo.sh est-il conforme au RGPD ?
- Oui — Odoo.sh héberge les bases de données des clients européens dans l'UE (région belge de Google), ce qui satisfait aux attentes du RGPD en matière de résidence des données. La nuance, c'est que conformité au RGPD et souveraineté des données sont deux choses différentes : le prestataire reste une société américaine soumise au droit américain.
- Qu'est-ce que le CLOUD Act, et pourquoi est-il important ici ?
- Le CLOUD Act américain permet aux autorités des États-Unis de contraindre un prestataire basé aux États-Unis à remettre les données qu'il contrôle, même lorsqu'elles sont stockées en Europe. Comme Odoo.sh tourne sur Google Cloud, cette exposition existe en principe, indépendamment du centre de données belge.
- Un Odoo auto-hébergé est-il plus difficile à exploiter ?
- Il comporte une véritable responsabilité d'exploitation — mises à jour, sauvegardes, surveillance et sécurité. Vous pouvez l'assumer vous-même, ou en confier l'exploitation à un partenaire managé, ce qui conserve la souveraineté de l'auto-hébergement avec la fiabilité d'une plateforme managée.
- Puis-je passer d'Odoo.sh à l'auto-hébergement plus tard ?
- Oui. Odoo est open source, et une base de données peut être migrée d'Odoo.sh vers votre propre infrastructure européenne. Planifier la migration correctement — modules, filestore, sauvegardes et DNS — est la partie qui mérite d'être bien faite.