Principe selon lequel les données sont soumises aux lois et réglementations du pays ou de la juridiction où elles ont été collectées ou où résident leurs sujets, indépendamment de l'endroit où elles sont physiquement stockées. La data sovereignty impacte directement les architectures cloud : une entreprise française ne peut pas stocker certaines données dans des datacenters hors UE sans garanties contractuelles. Le RGPD impose des conditions strictes pour les transferts hors EEE (clauses contractuelles types, Privacy Shield — invalidé par Schrems II). Les régimes cloud souverains (AWS Europe, Google Cloud Souverain, Microsoft Azure France) répondent à cette exigence en garantissant que les données restent sous juridiction européenne et que les opérations ne sont pas accessibles aux autorités étrangères. Secteurs les plus impactés : santé, défense, administrations publiques.