Solutions
&
techno

La Commission Européenne publie un scoring de souveraineté du Cloud à l’utilité douteuse

Le « Cloud Sovereignty Framework » publié par la Commission Européenne mesure la souveraineté des services cloud.

La Commission Européenne vient de publier un cadre d’évaluation de la souveraineté cloud. - © S. Podvin / Wikipedia
La Commission Européenne vient de publier un cadre d’évaluation de la souveraineté cloud. - © S. Podvin / Wikipedia

La France met en avant des critères élevés pour garantir la « souveraineté » des plateformes Cloud et a adopté, sous l’impulsion de l’ANSSI, une démarche de certification rigoureuse, SecNumCloud. Mais cette démarche est loin de faire l’unanimité au sein de l’Union Européenne. Pour certains pays, la dépendance à l’égard des prestataires américains n’est pas plus un souci que la capacité de l’Oncle Sam de regarder à loisir tout ce qui est hébergé par ses entreprises. Sortant des débats sans fin, la Commission Européenne a, pour l’heure, renoncé à créer une certification de type SecNumCloud, même avec plusieurs niveaux, compromis qui avait été envisagé. Elle vient de publier un « Cloud Sovereignty Framework », exclusivement en Anglais. Basé officiellement sur les travaux antérieurs (notamment du Cigref, nommément cité), le but de ce cadre formel est de mesurer la « souveraineté » d’une solution. Cette mesure ne débouche en fait sur aucune obligation et aucune certification. La question est donc de savoir si ce cadre formel a la moindre utilité.

Le « Cloud Sovereignty Framework » est un document de six pages. Après une introduction générale, il définit huit objectifs de souveraineté : souveraineté stratégique (conformité aux objectifs de l’Union Européenne), soumission aux dispositions réglementaires européennes, souveraineté data et IA (protection contre la perte de contrôle sur la maîtrise des datas), souveraineté opérationnelle, souveraineté logistique (d’où proviennent les technologies utilisées), maîtrise des technologies utilisées, garanties de conformité et de résilience et, enfin, prise en considération des objectifs RSE. Quatre niveaux sont ensuite définis, de l’absence de souveraineté à la pleine souveraineté.

L’évaluation du respect de chaque objectif est alors expliquée au travers d’une grille multicritères. La note obtenue sur chaque critère rentre dans le calcul d’un « score de souveraineté » qui est en fait une moyenne pondérée des notes obtenues sur chaque critère. Par exemple, la RSE compte pour 5 % et la souveraineté logistique pour 20 %. La marge d’interprétation est évidemment sur les critères de notation. Faute de certification précise, la valeur du score final est, elle aussi, douteuse.

En savoir plus

- Sur le site de la Commission Européenne : « Cloud Sovereignty Framework ».

- Les Assises des Souverainetés ouvriront le Disruptiv’Summit, les 9 et 10 décembre 2025 à Deauville.