Note comparative — architecture documentaire Juillet 2026 · 1xBuild · Confidentiel

Choix du Drive — trois voies, un choix qui vous revient

3 voies
Le Drive change de toute façon. La seule vraie question est de savoir où poser les dossiers — et quel type de risque le cabinet accepte en contrepartie. Les blocages OneDrive ne relèvent pas d'une fatalité technique. OneDrive tient mal au-delà d'environ 300 000 fichiers synchronisés ; le cabinet en compte près de 900 000 (jusqu'à ~1 million avec l'historique) — trois fois la limite saine, d'où synchronisations bloquées, lenteurs et fichiers « disparus ». S'y ajoutent des chemins d'accès trop longs (limite Windows de 259 caractères) et un déficit de formation. Un problème de volumétrie et de configuration, donc — pas une fatalité.

Reste une décision de fond, indépendante du ménage : où héberger les dossiers demain. Le nettoyage (sprint « Ranger le Drive ») est déjà cadré ; le changement de prestataire IT aussi, la confiance étant rompue. Trois voies sérieuses s'offrent alors au cabinet — rester chez Microsoft en corrigeant, un serveur dédié infogéré par un prestataire français, ou une brique souveraine proche de OneDrive.

Ce document les met à plat. Un point à garder en tête d'emblée : aucune n'est parfaite — chacune échange un type de risque contre un autre. L'objet de cette note n'est pas de désigner une solution idéale, qui n'existe pas, mais de rendre les arbitrages explicites, pour que le cabinet décide en connaissance de cause.

Notre recommandation — la voie C : Nextcloud chez un hébergeur de confiance

C'est celle qui se rapproche le plus de OneDrive, conserve les données en France, et reste compatible avec l'IA prévue dans l'audit. Il s'agit d'une recommandation, non d'une solution objectivement supérieure : elle déplace le risque vers un prestataire de taille plus modeste qu'un acteur mondial. La décision revient au cabinet — y compris le choix du prestataire, plusieurs étant envisageables.

01
Repère 1

Ce que la règle impose (et ce qu'elle n'impose pas)

En clair, sans jargon. Cliquez une question pour le détail et les sources — utile pour qui veut vérifier, pas nécessaire pour décider.

Le secret professionnel — absolu pour l'avocat (RIN, art. 5) — et le RGPD vous obligent à protéger les données clients et à en garder la maîtrise. Ils n'imposent aucun hébergeur précis. Rester chez Microsoft est donc légal et très répandu.

Le point sensible : Microsoft est une société américaine, soumise au Cloud Act — en théorie, les autorités US peuvent demander l'accès aux données, où qu'elles soient stockées. La parade reconnue : chiffrer les dossiers vraiment sensibles avec une clé que vous seul détenez. C'est une bonne pratique, pas une obligation absolue — beaucoup de cabinets ne la mettent pas en place.

Enfin, sur le risque disciplinaire : à notre connaissance, aucun avocat n'a été sanctionné par l'Ordre pour le seul fait d'utiliser un cloud. Il faut un cumul de manquements. Le risque immédiat est faible — mais la responsabilité, elle, existe bel et bien (pénale, civile, RGPD), et justifie de faire les choses proprement.

Rester chez un hébergeur américain, est-ce légal ?Oui, sous conditions
En clairOui. Aucun texte n'interdit à un avocat d'utiliser Microsoft 365. C'est même le cas le plus courant en France.
La nuanceLe Cloud Act (2018) permet aux autorités américaines d'exiger des données détenues par un fournisseur US, même hébergées en Europe. Héberger dans un datacenter Microsoft France (Paris–Marseille) ne suffit pas : les clés de chiffrement restent américaines. La CNIL et la doctrine attendent, pour les données sensibles, une analyse de transfert et des mesures complémentaires — la principale étant le chiffrement avec une clé hors de l'infrastructure du fournisseur.
SourcesVillage Justice (Microsoft 365 & RGPD), Kiteworks, Microsoft Sovereign Cloud — voir annexe.
Le chiffrement, est-ce obligatoire ?Recommandé, pas obligatoire
En clairNon. Chiffrer les dossiers sensibles est une bonne pratique pour le secret professionnel, pas une obligation formelle. Dans les faits, une majorité de cabinets ne le fait pas.
L'effet de bordUn dossier chiffré (ex. Cryptomator) devient illisible pour tout le monde — y compris l'IA et la recherche. Le contenu, les noms de fichiers et l'arborescence sont masqués. À réserver donc au vraiment sensible : le reste doit rester en clair pour rester exploitable.
SourcesIT-Connect / documentation Cryptomator, recommandations CNB (outils souverains e-Drive) — voir annexe.
Des avocats se sont-ils fait sanctionner ?Risque immédiat faible
En clairPas pour le seul usage d'un cloud. Les mises en cause connues supposent un cumul de fautes (négligence caractérisée, fuite avérée, usage d'outils grand public non sécurisés).
RepèreUn arrêt de la Cour d'appel de Paris du 24 janvier 2025 illustre les risques d'une messagerie/stockage grand public pour des informations sensibles — cas de mauvaise pratique, pas condamnation d'un cloud professionnel bien configuré.
Les enjeux réelsLa responsabilité existe à trois niveaux : pénal (art. 226-13 CP — 1 an, 15 000 €), disciplinaire (conseil de l'Ordre), RGPD (jusqu'à 20 M€ ou 4 % du CA). D'où l'intérêt de faire les choses proprement, sans céder à la panique.
SourcesActu-Juridique, RGPD Kit (Avocats 2026), guide RGPD du CNB — voir annexe.
Souveraineté : qu'est-ce que ça change vraiment ?Déplace l'exposition
En clairUn hébergeur français ou européen, non soumis au droit américain, sort les données du périmètre du Cloud Act. Vous — ou votre prestataire — gardez la main sur les clés et les accès.
La contrepartieCe sont souvent des acteurs plus petits qu'un géant mondial. On ne supprime pas le risque, on l'échange : moins de dépendance étrangère, mais une exposition liée à la taille et à la pérennité du prestataire (voir Repère 3).
À savoirLe CNB propose déjà des outils souverains dédiés aux avocats (e-Drive, e-Actes) — preuve que la voie souveraine est prise au sérieux par la profession.
02
Repère 2

Les trois voies

D'abord la vue d'ensemble en un tableau. Ensuite, cliquez une voie pour le détail : atouts, limites et points à faire vérifier.

Critère A · Microsoft corrigé + chiffrement B · Serveur dédié infogéré (E-R-I) C · Nextcloud souverain (reco)
Ressemble à OneDrive ?Oui — c'est OneDriveMoyennementOui — très proche
Données en France / hors Cloud ActDatacenter FR possible, mais clés USOui — hébergé chez E-R-I (FR)Oui — hébergeur FR
Secret pro — dossiers sensiblesVia chiffrement (Cryptomator)Natif (données locales)Natif + chiffrement + avenant secret pro vérifié
Compatible IA & recherche (chantiers M2–M4)Oui, sauf dossiers chiffrésOui, si accès applicatif ouvertOui, via un point d'API
Prestataire(s)Nouveau presta IT (ex. Infranat)E-R-I (devis reçu)JPA (tout-en-un) ou Evolix (héberg.)
Coût indicatifLicences M365 + prestaAchat du serveur (coût initial) + infogéranceJPA 6 380 € la 1ʳᵉ année, puis 2 760 €/an (tout inclus) · Evolix ≈ 5 100 € la 1ʳᵉ année, puis ≈ 2 200 €/an + presta IT*
Risque principalDépendance américaineMatériel à amortir · brique moins richeTaille du prestataire
Effort de migrationFaibleÉlevéMoyen

* Devis reçus des deux prestataires (juillet 2026), base ~1 To de stockage et 12 postes. Chez Evolix, la migration et le paramétrage des postes ne sont pas inclus (≈ 2 500 € via 1xBuild) et un prestataire IT de proximité reste à prévoir ; chez JPA, tout est compris. Détail chiffré en fin de note.

A Rester chez Microsoft — corriger et chiffrerNouveau prestataire IT + chiffrement des dossiers sensiblesMigration faible · c'est déjà votre environnement Continuité M365 + prestaeffort mini
Aujourd'huiOneDrive mal configuré, ~1 million de fichiers sans règle, un prestataire en qui la confiance est rompue.
DemainLa configuration est reprise proprement par un nouveau prestataire (ex. Infranat). Les dossiers vraiment sensibles sont placés dans un coffre chiffré (Cryptomator) dont vous seul détenez la clé — approche déjà préconisée dans le guide compliance du cabinet. Variante évoquée : une licence M365 supérieure permettant des clés de chiffrement gérées par le cabinet à valider techniquement.
AtoutsEnvironnement connu, migration minimale, aucune rupture d'usage. Le chiffrement lève l'exposition Cloud Act sur les dossiers sensibles.
LimitesHors dossiers chiffrés, l'ensemble reste soumis au droit américain. Et surtout : un dossier chiffré devient illisible pour l'IA et la recherche — donc à réserver au strict sensible.
À vérifier : que le nouveau prestataire reprenne proprement la config à vérifier et forme l'équipe au chiffrement sélectif.
B Un serveur de fichiers dédié, infogéré par E-R-IVotre serveur (coût initial), hébergé et géré chez E-R-I — proposition commerciale reçueMigration moyenne · nouvel environnement Serveur dédié Achat serveurinfogéré E-R-I
Aujourd'huiTout est dans le cloud Microsoft. Le cabinet ne possède pas d'infrastructure dédiée.
DemainUn serveur de fichiers dédié qui vous appartient (coût initial d'achat), mais hébergé et infogéré directement chez E-R-I. Les données restent en France, chez un prestataire français. E-R-I a déjà transmis une proposition commerciale.
AtoutsUn matériel dédié bien à vous, des données souveraines en France, et l'exploitation prise en charge par E-R-I (panne, sauvegarde, sécurité, mises à jour) — pas de charge d'administration côté cabinet.
LimitesC'est un simple serveur de fichiers — plus éloigné de l'expérience OneDrive (accès type lecteur réseau, web et mobile moins fluides). Le coût d'entrée (achat du matériel) est plus élevé qu'un abonnement. Et, comme pour la voie C, vous dépendez d'un prestataire de taille plus modeste qu'un géant.
Adapté si vous préférez posséder votre matériel tout en l'externalisant à un acteur local. Le vrai compromis vs la voie C est l'expérience utilisateur : un serveur de fichiers reste moins riche qu'un Nextcloud.
C Nextcloud chez un hébergeur de confianceLa brique souveraine la plus proche de OneDriveMigration moyenne · les usages OneDrive se retrouvent Recommandée dès ≈ 2 200 €/anselon prestataire
Aujourd'huiOneDrive, ses blocages, et le Cloud Act en toile de fond.
DemainUn espace Nextcloud hébergé en France : accès web, synchronisation bureau et mobile comme OneDrive, sauvegardes quotidiennes. C'est, de loin, la solution la plus proche de vos habitudes actuelles.
AtoutsSouverain (hors Cloud Act), expérience quasi identique à OneDrive, compatible IA via un point d'API, et option de chiffrement pour les dossiers les plus sensibles.
Deux montagesDeux prestataires ont chiffré l'offre — JPA Consultants (tout-en-un : IT + hébergement + migration, le plus simple) ou Evolix (spécialiste de l'hébergement, migration à prévoir à part). Comparaison chiffrée en fin de note.
Sauvegardes & IASauvegardes chiffrées inscrites au devis JPA (backup crypté sur un second datacenter) au devis et natives chez Evolix. Le point d'API pour brancher l'IA sera cadré avec le prestataire retenu.
Le préalable qui change tout. Sur un Drive rangé (sprint « Ranger le Drive »), une brique bien gérée tient sans souci le million de fichiers. Le ménage n'est pas optionnel — c'est lui qui rend n'importe quelle voie viable.
03
Repère 3

Le risque est déplacé, pas supprimé

C'est le point le plus important de cette note. Il n'existe pas d'option sans risque — chacune échange un risque contre un autre. Le bon choix n'est pas « le plus sûr » dans l'absolu, c'est celui dont vous acceptez la nature du risque.

Voie A

Microsoft corrigé

Ce que vous gagnez

Continuité totale, solidité d'un géant mondial, migration quasi nulle.

Ce que vous acceptez

Une dépendance à un acteur américain (Cloud Act). Le chiffrement la lève sur le sensible — mais rend ces dossiers illisibles pour l'IA et la recherche.

Voie B

Serveur dédié chez E-R-I

Ce que vous gagnez

Un matériel dédié qui vous appartient, des données souveraines en France, et l'exploitation gérée par E-R-I.

Ce que vous acceptez

Un coût d'entrée matériel, une expérience de simple serveur de fichiers (plus loin de OneDrive), et la même dépendance à un prestataire de taille modeste que la voie C.

Voie C · reco

Nextcloud souverain

Ce que vous gagnez

Souveraineté française, expérience proche de OneDrive, compatible IA.

Ce que vous acceptez

Un prestataire plus petit qu'un géant : risque lié à la taille et à la pérennité, brique open source, parfois deux lignes de support. Réel, mais d'une autre nature.

Le chiffrement a une contrepartie

Chiffrer (Cryptomator ou équivalent) rend les dossiers illisibles pour tout le monde — y compris vos propres outils : l'IA prévue dans l'audit et la recherche plein-texte ne fonctionnent plus dessus. À réserver aux dossiers vraiment sensibles ; le reste doit rester en clair pour rester exploitable. C'est un arbitrage confidentialité ↔ productivité, à faire dossier par dossier, pas en bloc.

04
Repère 4

Notre recommandation, et par où commencer

Une reco assumée, mais un choix qui reste le vôtre — jusqu'au prestataire.

Nous recommandons la voie C (Nextcloud chez un hébergeur de confiance) : c'est le meilleur compromis entre proximité avec OneDrive, souveraineté et compatibilité avec l'IA. Bien gérée, sur un Drive assaini, elle ne devrait pas poser de difficulté — le levier déterminant reste le nettoyage (sprint « Ranger le Drive ») : ramené sous la limite de synchronisation, l'espace redevient exploitable quelle que soit la brique retenue.

Ce n'est pas pour autant une solution parfaite : elle déplace le risque vers un prestataire de taille plus modeste. Si le cabinet privilégie la solidité d'un acteur d'envergure mondiale, rester chez Microsoft en chiffrant les dossiers sensibles demeure une position parfaitement défendable — c'est un choix de profil de risque, non une erreur.

Points à faire vérifier avant de signer

JPA Consultants ou Evolix ? Le choix du prestataire

Si la voie C est retenue, reste à choisir le prestataire. Les deux ont désormais chiffré leur offre (devis reçus en juillet 2026). Elles n'ont pas le même profil — le choix revient au cabinet.

Un engagement commun, déjà vérifié : l'avenant « secret professionnel »

Les deux prestataires acceptent de signer un avenant contractuel précisant le respect du secret professionnel — une garantie concrète, adaptée aux avocats, qu'un hébergeur grand public ne propose pas. Quel que soit le prestataire retenu, cet engagement est acquis.

Le plus simple

JPA Consultants

Interlocuteur unique · IT + hébergement + migration
6 380 € HT · 1ʳᵉ année puis 2 760 €/an · migration & 12 postes compris
Détail (devis DV2600447)Abonnement 2 760 €/an (hébergement serveur dédié 64 Go / 1 To SSD RAID 5 + backup crypté 1 To sur 2ᵉ datacenter + maintenance) · Installation 3 620 € (paramétrage & sécurités, migration des données & droits, 12 postes, suivi, déplacements).
RôleRemplace le prestataire IT actuel, héberge le Nextcloud et prend en main la migration + le paramétrage des 12 postes.
Points fortsProximité (Vénissieux), un seul contrat et une seule ligne de support, migration et postes compris, recommandé par un confrère avocat.
Secret proAvenant secret professionnel accepté vérifié
Idéal siLe cabinet veut tout confier à un seul interlocuteur — IT, hébergement et migration — sans rien orchestrer.

Evolix

Spécialiste pur de l'hébergement
≈ 5 100 € HT · 1ʳᵉ année puis ≈ 2 200 €/an · hors migration & presta IT
Détail (grille SaaS)1 To 100 €/mois + full-managed 50 € + Collabora 3 €/poste → ≈ 186 €/mois (2 232 €/an, 12 postes) + 390 € de mise en place. Migration & postes non inclus : ≈ 2 500 € (assurés par 1xBuild).
RôleHéberge le Nextcloud (haute dispo, sauvegardes quotidiennes sur deux datacenters) ; n'assure ni l'IT de proximité, ni la migration.
Points fortsExpertise Nextcloud reconnue, haute disponibilité, sauvegardes sur deux datacenters, société française. Récurrent un peu plus léger que JPA.
LimiteNi IT de proximité ni migration → un second prestataire IT (deux lignes de support) et migration à prévoir à part.
Secret proAvenant secret professionnel accepté vérifié
Idéal siLe cabinet privilégie la robustesse d'hébergement et le coût récurrent le plus bas, avec un prestataire IT distinct.