Journal de bord d’un parcours initiatique
Ce qui va suivre n’est pas un manifeste idéologique. C’est le récit d’une enquête, d’une aventure.
L’aventure d’un ingénieur qui décide de reprendre le gouvernail et de remettre en question les certitudes acquises. De chercher, au milieu du brouillard des labels et du bullshit marketing, une route claire vers une indépendance réelle.
Au cours de son voyage, il va vite se rendre compte d’une vérité essentielle : seul on va vite, mais à plusieurs on va loin.
Bienvenue à bord.
⚠ Note de Transparence : L’Assistance de Lumo et Leexi
Ces articles ont été rédigés avec l’assistance de Lumo, une intelligence artificielle développée par Proton, ainsi qu’avec l’aide de Leexi, une IA dédiée à la prise de notes.
Pourquoi Leexi ? Cette IA belge me permet de générer des comptes rendus de nos réunions et interviews, en conformité avec le RGPD et la norme ISO 27001.
Pourquoi Lumo ? Le choix de cet outil n’est pas anodin. Au moment de la rédaction, Lumo m’est apparue comme la solution la moins problématique concernant la souveraineté des données et la confidentialité, grâce à son architecture chiffrée de bout en bout et son hébergement en Europe.
La nuance nécessaire : Il est important de noter que, bien que suisse, Lumo n’est pas soumise au RGPD (qui s’applique à l’UE), mais à la législation suisse. Cette distinction fait elle-même partie de l’enquête : il n’existe pas de solution parfaite, mais des compromis à évaluer.
Mon engagement : Lumo et Leexi m’ont aidé à structurer, synthétiser et relire. Mais les analyses, les opinions, les doutes et les conclusions sont les miens. Je reste le seul responsable du contenu et de la direction prise. L’IA est un outil, pas l’auteur de cette quête.
Article 1 : Le Réveil et le Piège Juridique
Janvier-Février 2026. Le début d’une enquête sur la souveraineté numérique.
La genèse de cette étude
Après quinze ans d’ingénierie système et dix ans de DevOps, j’ai longtemps considéré le cloud comme une évidence : scalable, performant, fiable. Professionnellement, la certitude d’avoir des missions intéressantes. Pourtant, depuis un an, cette certitude commence à vaciller.
Alors que le marché local dans l’IT se contracte, les nouvelles d’outre-Atlantique dessinent un paysage géopolitique de plus en plus instable. Le retour de l’agent orange d’une administration américaine « imprévisible » et l’alignement des GAFAM sur ces nouvelles orientations ont soulevé une question cruciale : est-il encore raisonnable de bâtir nos architectures critiques sur des outils dont la gouvernance dépend d’une puissance étrangère aux règles changeantes ?
Nous avons externalisé notre souveraineté numérique en échange de commodité, sans réaliser que nous avions confié la clé de nos données à des entités soumises à des législations pouvant primer sur nos propres régulations. Ce n’est pas une théorie, mais une réalité qui menace directement la résilience de nos clients.
Dès le lancement de mes recherches, j’ai pris conscience de la complexité du sujet : des découvertes suivies de remises en question, une évolution constante de la compréhension. Il m’est rapidement apparu naturel de structurer cette démarche sous forme d’un journal de bord, afin de conserver la trace de ces évolutions, des méthodes employées, des réussites, des échecs. Et surtout de les partager avec tous ceux qui se posent aujourd’hui ces questions.
Ce journal, débutant en janvier 2026, relate cette enquête. L’objectif n’est pas de rejeter la technologie, mais de retrouver le contrôle. Est-il possible, et si oui, comment passer d’une dépendance risquée à une infrastructure véritablement indépendante et robuste ?
Voilà ce à quoi nous allons essayer de répondre au fil des mois qui viennent !
Le Risque Juridique : Le Verrou du CLOUD Act
Si la géopolitique a éveillé ma vigilance, c’est une loi précise qui a transformé cette inquiétude en certitude : le CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Adoptée par le Congrès américain en 2018, cette législation est souvent passée inaperçue dans les débats techniques, alors qu’elle redéfinit radicalement les règles de la souveraineté des données.
Le Verrou Juridique
Son principe est simple, mais ses implications sont dévastatrices pour notre modèle de confiance habituel. Le CLOUD Act autorise les autorités américaines à contraindre les entreprises technologiques basées aux États-Unis à fournir des données qu’elles contrôlent, peu importe où ces données sont physiquement stockées.
Imaginez un peu la scène : une entreprise française héberge ses données sensibles sur AWS, dans la région de Paris (eu-west-3 pour les intimes). Tout semble conforme. Les serveurs sont en France, les contrats respectent le RGPD, les données ne quittent jamais le territoire national.
Sauf que, si les autorités américaines émettent une demande légale, AWS, en tant qu’entité américaine, doit obtempérer. L’entreprise française n’a aucun moyen légal de s’opposer à cette demande, même si les données sont en Europe. Le RGPD, dans ce scénario, devient une coquille vide face à la primauté de la loi américaine. Même avec du chiffrement de bout en bout ou des contrats de confidentialité rigoureux, la gouvernance ultime des données échappe au contrôle européen. La localisation physique des serveurs ne garantit plus la souveraineté juridique.
La Faille de Souveraineté Structurelle
Ce cadre légal crée une faille de souveraineté structurelle que nous ne pouvons plus ignorer. Pour un ingénieur Cloud, cela signifie que nos architectures, aussi robustes soient-elles techniquement, reposent sur une base juridique fragile.
| Aspect | Conséquence pour l’entreprise Européenne |
|---|---|
| Localisation des données | Héberger en Europe ne protège pas des demandes américaines. |
| Confidentialité | Le RGPD entre en conflit direct avec les obligations du CLOUD Act. |
| Contrôle | L’entreprise perd la maîtrise de qui accède à ses données. |
| Litiges | La juridiction américaine peut primer sur la juridiction européenne. |
Le Choix de la Résilience
Cette réalité m’a conduit à une conclusion inévitable : la transition vers un Cloud véritablement souverain n’est plus une option stratégique ou un argument marketing. C’est une nécessité de résilience.
Si nous voulons garantir que nos données restent sous le contrôle exclusif de nos clients, nous devons chercher des solutions qui ne sont pas soumises à cette loi. C’est ici que la recherche d’une garantie concrète devient impérative. Il ne s’agit plus de choisir le fournisseur le moins cher ou le plus rapide, mais celui qui offre une indépendance juridique réelle.
C’est dans cette quête de garantie que j’ai découvert le SecNumCloud, le seul label capable, à ce jour, de combler cette faille juridique.
Dans le prochain épisode : J’ai cru avoir trouvé le bouclier parfait avec le SecNumCloud… jusqu’à ce que Google et Microsoft obtiennent cette même certification.
Écrit par @Audric Duchet