Les fournisseurs de cloud européens développent un référentiel de souveraineté numérique unique
Lecture rapide :
– Les cloud providers européens proposent un référentiel alternatif de souveraineté
– 8 objectifs et une double étiquette « souverain »/« résilient » au cœur du débat
– Comité piloté par CISPE avec des audits prévus par BYCYB
Les fournisseurs cloud européens, regroupés au sein de CISPE, ont élaboré un référentiel destiné à mesurer la souveraineté numérique des offres opérant en Europe. Le document distingue deux voies : des services « souverains », fondés sur des garanties juridiques strictes, et des services « résilients », basés sur des garanties techniques. Cette initiative répond, sans l’affirmer nominalement, à la grille publiée par la Commission européenne à l’automne 2025.
La double approche « souverain »/« résilient » face au Cloud Sovereignty Framework
Le référentiel de la Commission européenne définit 8 objectifs — souveraineté stratégique, opérationnelle, technologique, etc. — et propose de calculer un « score de souveraineté » pondéré. CISPE critique l’idée d’une « moyenne de moyennes » et juge l’approche peu transparente, estimant qu’on ne peut pas être « souverain à 75 % ». La réaction détaillée figure dans plusieurs analyses, dont une synthèse critique de la presse spécialisée.
La proposition de CISPE s’inspire du niveau 3 du référentiel Gaia‑X mais l’enrichit par la notion de « zone géographique de souveraineté » et la possibilité de certification au-delà de l’Europe. Un service hébergé hors d’Europe pourrait être jugé « souverain » localement et « résilient » ailleurs, selon les auteurs du texte.
Exigences juridiques et conditions du label « souverain »
Le label « souverain » impose des exigences strictes en matière d’immunité juridictionnelle : le siège social, l’administration centrale et l’établissement principal doivent être situés dans la zone, et aucun contrôle, direct ou indirect, exercé depuis l’extérieur ne doit exister. Les membres de la direction sont soumis à des critères de nationalité et de résidence afin d’éviter des obligations extraterritoriales contraires au référentiel.
La norme demande aussi qu’aucune entité extérieure n’ait un droit de veto ni le pouvoir de nommer la majorité des organes de gouvernance. Le fournisseur doit notifier le client en cas de prise de contrôle par un tiers non conforme et soumettre les contrats à la loi et aux juridictions de la zone.
Garanties opérationnelles : mirroring, localité des actifs et accès
Un service « souverain » exige que tous les actifs critiques, y compris ceux gérés par des sous-traitants, se situent dans la zone. Le label « résilient » tolère la présence d’actifs hors zone à condition d’un consentement écrit du client et d’au moins un actif redondant équivalent localement.
Les fournisseurs souverains doivent empêcher l’accès externe aux données critiques ; les services résilients documentent les accès extérieurs et obtiennent l’accord du client tout en mettant en place des contrôles d’accès. Le référentiel prévoit en outre des obligations de portabilité ou de recours à des infrastructures fédérées si la conformité au Data Act n’est pas assurée.
Aspects technologiques, stocks et continuité logicielle
Sur le plan matériel, le label « souverain » impose des mesures d’isolation et de validation des composants critiques. Le régime « résilient » ajoute l’obligation de constituer des stocks d’équipements et de notifier toute perturbation de la chaîne d’approvisionnement.
Pour le logiciel, les deux étiquettes imposent l’identification d’alternatives, idéalement open source, et la capacité à assurer la continuité du service en substituant un logiciel si nécessaire. Les fournisseurs doivent aussi garantir l’absence de « kill switches » dans des actifs critiques fournis par des entités non souveraines.
Le comité pilotant le développement du framework rassemble des opérateurs européens dont Anexia, Aruba, Clever Cloud, Deda Cloud, Infomaniak, Jotelulu, Leaseweb, NumSpot, OUTSCALE, OpenNebula, Opiquad, oXya, ReeVo et WaveCom. BYCYB, filiale du LNE, est associé pour les audits, et CISPE envisage d’instaurer plusieurs niveaux de résilience.
Sources et lectures complémentaires : un tour d’horizon des réactions et analyses est disponible dans la presse technique, notamment via des présentations du Cloud Sovereignty Framework et des critiques de CISPE. Pour une lecture du cadre européen, voir l’article synthétique et les débats publiés sur des sites spécialisés.
Vu par lemanfinance sur : Google News
Quelles sont les principales différences entre les labels « souverain » et « résilient » ?
Le label « souverain » impose une présence juridique et opérationnelle complète dans la zone, une absence de contrôle extérieur et des obligations strictes de non‑transfert des données. Le label « résilient » accepte des composantes hors zone sous conditions contractuelles et techniques, avec des obligations de redondance locale et de transparence vis‑à‑vis du client.
Le Cloud Sovereignty Framework de l’UE est‑il abandonné en faveur du référentiel CISPE ?
Non précisé. CISPE présente son référentiel comme une alternative inspirée du niveau 3 de Gaia‑X et critiquant certains mécanismes de Bruxelles, mais il n’est pas indiqué que l’UE renonce à son cadre.
Qui audite la conformité au référentiel proposé par CISPE ?
Le pilotage prévoit l’intervention de BYCYB, filiale du LNE, pour mener les audits. CISPE indique vouloir plusieurs niveaux de résilience et un dispositif d’évaluation.
Un service hébergé hors d’Europe peut‑il être labellisé ?
Oui. Le référentiel introduit la notion de « zone géographique de souveraineté » et accepte qu’un service soit « souverain » localement et « résilient » en Europe, sous réserve des conditions juridiques et techniques définies.
Lectures recommandées : outil de test de conformité du Cloud Sovereignty Framework et l’examen critique de la riposte de CISPE dans la presse spécialisée.
Source: www.silicon.fr
