Selon le futur règlement général sur la protection des données (RGPD) de l'UE, toute organisation en Europe qui détient des données à caractère personnel est aussi responsable de leur sécurité, y compris si l'hébergement est confié à un tiers. Or, les facs détiennent de vastes volumes de données sensibles - sur leurs étudiants mais aussi des données pédagogiques et de recherche. Le premier réflexe est de tout héberger sur site pour garder la main. Cependant, les volumes de données universitaires croissent de plus d'un tiers chaque année. Conséquence : les coûts des infrastructures d'hébergement explosent. Externaliser l'hébergement offre une alternative certes pratique, mais peu rassurante en termes de souveraineté numérique.

Face à ces enjeux croisés, les stratégies diffèrent d'une fac à l'autre. L'Université de Bourgogne a choisi un hébergement sur site. Cette option propice à la souveraineté numérique à un coût : 4 millions d'euros pour l'installation d’une solution d'hébergement de 2 pétaoctets de données. À Rennes 2, le DSI a opté pour la mutualisation d'un data center avec un autre établissement local d'enseignement supérieur. Pour 40 000 euros mensuels, sa souveraineté numérique est préservée. Reste l'hébergement Cloud que les facs hésitent encore à adopter, notamment à cause de la question de la réversibilité. L'option est pertinente, à condition que l'hébergement reste dans l'UE et que le prestataire offre toutes les garanties d'un traitement intègre des données.

Quelle que soit l'option d'hébergement choisie, les universités sont confrontées à un autre défi : sensibiliser leur personnel à la culture du numérique et la sécurité des données, ce qui nécessite de nouveaux investissements.