Cap sur la Souveraineté

Journal de bord d’un parcours initiatique

16 minutes

 

L’aventure d’un ingénieur qui décide de reprendre le gouvernail et de remettre en question les certitudes acquises. De chercher, au milieu du brouillard des labels et du bullshit marketing, une route claire vers une indépendance réelle. 

Au cours de son voyage, il va vite se rendre compte d’une vérité essentielle : seul on va vite, mais à plusieurs on va loin. 

Bienvenue à bord. 

Ces articles ont été rédigés avec l’assistance de Lumo, une intelligence artificielle développée par Proton, ainsi qu’avec l’aide de Leexi, une IA dédiée à la prise de notes. 

Pourquoi Leexi ? Cette IA belge me permet de générer des comptes rendus de nos réunions et interviews, en conformité avec le RGPD et la norme ISO 27001. 

Pourquoi Lumo ? Le choix de cet outil n’est pas anodin. Au moment de la rédaction, Lumo m’est apparue comme la solution la moins problématique concernant la souveraineté des données et la confidentialité, grâce à son architecture chiffrée de bout en bout et son hébergement en Europe. 

La nuance nécessaire : Il est important de noter que, bien que suisse, Lumo n’est pas soumise au RGPD (qui s’applique à l’UE), mais à la législation suisse. Cette distinction fait elle-même partie de l’enquête : il n’existe pas de solution parfaite, mais des compromis à évaluer. 

Mon engagement : Lumo et Leexi m’ont aidé à structurer, synthétiser et relire. Mais les analyses, les opinions, les doutes et les conclusions sont les miens. Je reste le seul responsable du contenu et de la direction prise. L’IA est un outil, pas l’auteur de cette quête. 

Janvier-Février 2026. Le début d’une enquête sur la souveraineté numérique. 

Après quinze ans d’ingénierie système et dix ans de DevOps, j’ai longtemps considéré le cloud comme une évidence : scalable, performant, fiable. Professionnellement, la certitude d’avoir des missions intéressantes. Pourtant, depuis un an, cette certitude commence à vaciller. 

Alors que le marché local dans l’IT se contracte, les nouvelles d’outre-Atlantique dessinent un paysage géopolitique de plus en plus instable. Le retour de l’agent orange d’une administration américaine « imprévisible » et l’alignement des GAFAM sur ces nouvelles orientations ont soulevé une question cruciale : est-il encore raisonnable de bâtir nos architectures critiques sur des outils dont la gouvernance dépend d’une puissance étrangère aux règles changeantes ? 

Nous avons externalisé notre souveraineté numérique en échange de commodité, sans réaliser que nous avions confié la clé de nos données à des entités soumises à des législations pouvant primer sur nos propres régulations. Ce n’est pas une théorie, mais une réalité qui menace directement la résilience de nos clients. 

Dès le lancement de mes recherches, j’ai pris conscience de la complexité du sujet : des découvertes suivies de remises en question, une évolution constante de la compréhension. Il m’est rapidement apparu naturel de structurer cette démarche sous forme d’un journal de bord, afin de conserver la trace de ces évolutions, des méthodes employées, des réussites, des échecs. Et surtout de les partager avec tous ceux qui se posent aujourd’hui ces questions. 

Ce journal, débutant en janvier 2026, relate cette enquête. L’objectif n’est pas de rejeter la technologie, mais de retrouver le contrôle. Est-il possible, et si oui, comment passer d’une dépendance risquée à une infrastructure véritablement indépendante et robuste ? 

Voilà ce à quoi nous allons essayer de répondre au fil des mois qui viennent !

Si la géopolitique a éveillé ma vigilance, c’est une loi précise qui a transformé cette inquiétude en certitude : le CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Adoptée par le Congrès américain en 2018, cette législation est souvent passée inaperçue dans les débats techniques, alors qu’elle redéfinit radicalement les règles de la souveraineté des données. 

Son principe est simple, mais ses implications sont dévastatrices pour notre modèle de confiance habituel. Le CLOUD Act autorise les autorités américaines à contraindre les entreprises technologiques basées aux États-Unis à fournir des données qu’elles contrôlent, peu importe où ces données sont physiquement stockées. 

Imaginez un peu la scène : une entreprise française héberge ses données sensibles sur AWS, dans la région de Paris (eu-west-3 pour les intimes). Tout semble conforme. Les serveurs sont en France, les contrats respectent le RGPD, les données ne quittent jamais le territoire national. 

Sauf que, si les autorités américaines émettent une demande légale, AWS, en tant qu’entité américaine, doit obtempérer. L’entreprise française n’a aucun moyen légal de s’opposer à cette demande, même si les données sont en Europe. Le RGPD, dans ce scénario, devient une coquille vide face à la primauté de la loi américaine. Même avec du chiffrement de bout en bout ou des contrats de confidentialité rigoureux, la gouvernance ultime des données échappe au contrôle européen. La localisation physique des serveurs ne garantit plus la souveraineté juridique. 

Ce cadre légal crée une faille de souveraineté structurelle que nous ne pouvons plus ignorer. Pour un ingénieur Cloud, cela signifie que nos architectures, aussi robustes soient-elles techniquement, reposent sur une base juridique fragile. 

Cette réalité m’a conduit à une conclusion inévitable : la transition vers un Cloud véritablement souverain n’est plus une option stratégique ou un argument marketing. C’est une nécessité de résilience. 

Si nous voulons garantir que nos données restent sous le contrôle exclusif de nos clients, nous devons chercher des solutions qui ne sont pas soumises à cette loi. C’est ici que la recherche d’une garantie concrète devient impérative. Il ne s’agit plus de choisir le fournisseur le moins cher ou le plus rapide, mais celui qui offre une indépendance juridique réelle. 

C’est dans cette quête de garantie que j’ai découvert le SecNumCloud, le seul label capable, à ce jour, de combler cette faille juridique. 

Dans le prochain épisode : J’ai cru avoir trouvé le bouclier parfait avec le SecNumCloud… jusqu’à ce que Google et Microsoft obtiennent cette même certification. 

Écrit par @Audric Duchet


Face au verrou juridique du CLOUD Act, la première réaction est de chercher une garantie. Existe-t-il un label, une certification, un cadre qui prouve qu’un fournisseur est réellement souverain ? Très vite, j’ai découvert que la réponse n’était pas simple. Car si les labels existent, ils ne mesurent pas tous la même chose. Comparer SecNumCloud, Gaia-X et CISPE, c’est comparer des échelles de valeur différentes.  

Voici ce que j’ai retenu après plusieurs semaines de lecture et d’analyse. 

Le SecNumCloud n’est pas un label marketing. C’est une certification de « Cloud de Confiance », créée en 2016 et délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), l’autorité française de référence en matière de cybersécurité. 

Contrairement aux certifications ISO, souvent cochées par les GAFAM elles-mêmes, le SecNumCloud est spécifique à la souveraineté française. Après avoir étudié le référentiel, quatre exigences se dégagent : 

  1. La transparence totale : Le fournisseur doit ouvrir ses portes aux auditeurs de l’ANSSI. Pas de boîte noire. 
  1. La localisation des données : Les données doivent rester sur le territoire national (ou dans l’EEE pour certaines versions, mais le standard français exige la France). 
  1. La sécurité physique et logique : Des exigences très strictes sur la protection des centres de données, la gestion des accès et la cryptographie. 

Ce qui frappe, c’est la sévérité du processus. Très peu d’acteurs l’ont obtenu : OVHcloud, Outscale (filiale de Dassault Systèmes), Cloudwatt (filiale d’Orange), et Deutsche Telekom pour certaines offres en Allemagne. Les GAFAM ? Absents. Ils ne remplissent pas les critères d’indépendance juridique. 

Pour moi, le SecNumCloud est devenu le seul critère objectif pour distinguer le vrai du faux. Si un fournisseur se dit « souverain » sans ce label, je considère cela comme du marketing. Si un client me demande une garantie contre le CLOUD Act, je lui montre le SecNumCloud. C’est la seule preuve tangible que l’État français a vérifié la conformité. 

L’initiative Gaia-X, portée par la Commission européenne et les États membres, poursuit un objectif différent. Sa philosophie : créer un écosystème de données interopérable et transparent en Europe. 

Gaia-X n’est pas une certification de sécurité pure. C’est un cadre de règles (Rules, Policies, Standards) visant à garantir que les données circulent librement entre fournisseurs européens tout en respectant la souveraineté. Être « compatible Gaia-X » ne signifie donc pas automatiquement bénéficier des garanties du SecNumCloud. C’est davantage une question d’architecture et de gouvernance des données que de sécurité physique stricte. 

C’est une bonne boussole pour l’interopérabilité européenne, mais ce n’est pas une garantie de sécurité absolue contre les ingérences étrangères. C’est un label de confiance, pas un label de sécurité. 

Le CISPE (Cloud Infrastructure Service Providers in Europe) se concentre sur un objectif précis : garantir la conformité au RGPD pour les fournisseurs de cloud. Il interdit le transfert de données hors de l’EEE sans consentement explicite et impose une transparence vis-à-vis des clients. 

Excellent pour les entreprises soucieuses de la vie privée, le CISPE présente cependant une limite de taille : comme Gaia-X, il ne garantit pas l’indépendance juridique totale face au CLOUD Act. Il affirme « on respecte le RGPD », mais ne dit pas « nos serveurs sont immunisés contre une demande du FBI ». C’est un bon standard de base, mais potentiellement insuffisant pour les enjeux de souveraineté nationale. 

Critère SecNumCloud (ANSSI) Gaia-X (UE) CISPE (Association) 
Objectif principal Sécurité et souveraineté juridique Interopérabilité et écosystème Conformité RGPD 
Protection contre le CLOUD Act Oui (exigence explicite) Partielle Limitée 
Niveau de contrôle Audit physique et technique très strict Auto-certification + audit de conformité Audit de conformité 
Portée Nationale (France) Européenne Européenne 
Public cible État, OIV, données sensibles Tous les acteurs de l’écosystème UE Entreprises soucieuses du RGPD 

En pratique : 

  • Données critiques (santé, défense, État) → SecNumCloud est obligatoire. 
  • Architecture européenne interopérable pour données moins sensibles → Gaia-X est un excellent guide. 
  • Conformité RGPD pour des données clients classiques → CISPE est un bon minimum. 

Mais attention : un fournisseur peut être « Gaia-X compatible » et « CISPE certifié » tout en étant une filiale d’un groupe américain. Sans SecNumCloud, la porte du CLOUD Act reste entrouverte. Mais ça… c’est ce que je pensais avoir compris. Je me trompais lourdement. 

Une découverte vient soudainement ébranler mon joli raisonnement. Jusqu’ici, naïvement, j’ai cru que la certification SecNumCloud imposait à un fournisseur d’une offre cloud d’être 100% français. Ou au pire européen. Que nenni ! 
 
Fin 2025, S3NS, un cloud opéré par Thales et Google Cloud, a obtenu la certification SecNumCloud . 

Oui vous avez bien lu. Google, associé à une entreprise française, a obtenu la certification garantissant la souveraineté française.  
 
Et l’exemple de S3NS n’est pas isolé. Bleu, une autre offre de cloud, portée cette fois par Orange et Capgemini, associés à Microsoft Azure, est, elle aussi engagée pour se faire certifier SecNumCloud. 

L’obtention de ce visa indique que la France accepte désormais qu’un cloud puisse être qualifié de « souverain » même s’il utilise des technologies non-européennes, à condition que le contrôle effectif des données soit garanti par des acteurs européens. Cela représente un changement de doctrine par rapport à une approche qui était plus restrictive précédemment. 

Libre à chacun de voir le verre à moitié vide ou à moitié plein. 

Pour certains : C’est une avancée pragmatique permettant aux administrations et entreprises françaises d’accéder à des services cloud avancés avec des garanties de sécurité. 

Pour d’autres : C’est une « souveraineté de façade » qui perpétue la dépendance aux géants américains. 

Dans le prochain épisode : Face à cette complexité nouvelle, attendre la perfection serait une erreur. Il nous faut un outil concret pour trancher avec lucidité. Dans le dernier épisode, je vous dévoile une première ébauche d’une grille d’évaluation que j’ai construite pour distinguer le vrai du faux et sécuriser nos décisions, aujourd’hui même. 

Écrit par @Audric Duchet


Être 100% souverain est peut-être une utopie qui ne sera accessible que si elle bénéficie de décisions politiques fortes. Le combat n’est pas perdu, mais ce qui est sûr c’est que ça prendra du temps. 

On ne peut pas attendre la perfection pour agir. On ne peut pas laisser nos clients exposés sous prétexte qu’une solution idéale n’existe pas encore. La réponse, c’est la nuance. 

Une prochaine étape prioritaire : créer une méthodologie de qualification. Pas une liste de vœux pieux, mais une grille de lecture objective, rigoureuse et applicable immédiatement pour auditer n’importe quel fournisseur et trancher avec lucidité. 

Voici un premier jet de ce que j’ai obtenu après des jours de travail de recoupement après avoir gavé mon IA préférée (Lumo) de tout plein de données, venant en grande partie de l’ANSSI :  

Pilier Critère Clé Question à se poser Indicateur de « Vrai Souverain » (✅) Signe d’Alerte / « Faux Souverain » (⚠️) 
1. Juridique & Politique Indépendance Légale Le fournisseur est-il soumis à des lois étrangères (ex: CLOUD Act US) ? ✅ Label SecNumCloud (ANSSI) ou équivalent national strict. 
✅ Siège social et direction en France. 
✅ Pas de contrôle par une entité étrangère. 
⚠️ Filiale d’un groupe américain/européen sans autonomie juridique. 
⚠️ Absence de certification officielle. 
⚠️ Clause contractuelle permettant l’accès par des autorités tierces. 
2. Économique & Capital Propriété du Capital Qui détient réellement l’entreprise ? ✅ Capital majoritairement français/européen. 
✅ Actionnariat stable, sans fonds de private equity agressif étranger. 
⚠️ Actionnariat majoritaire US/Asiatique. 
⚠️ Rachat récent par un géant étranger (ex: rachat d’un acteur local par AWS/Azure). 
3. Technique & Données Localisation & Contrôle Où sont les données et qui a les clés ? ✅ Données hébergées uniquement en France (ou EEE strict). 
✅ Chiffrement géré par le client (BYOK) ou par le fournisseur sans accès maître. 
✅ Pas de transfert de données hors zone de confiance. 
⚠️ Données répliquées aux USA ou dans des zones à risque. 
⚠️ Le fournisseur détient les clés de déchiffrement sans option client. 
⚠️ Sous-traitance de la maintenance à des prestataires hors UE. 
4. Opérationnel & Maturité Autonomie Technologique Le fournisseur maîtrise-t-il sa stack ? ✅ Utilisation de technologies Open Source maîtrisées ou développées en interne. 
✅ APIs documentées et stables. 
✅ Pas de dépendance critique à une technologie propriétaire étrangère (ex: hyperviseur Microsoft/VMware sans alternative). 
⚠️ « Rebranding » de services AWS/Azure (ex: utiliser EC2 sous un autre nom). 
⚠️ Documentation lacunaire ou traduite. 
⚠️ Dépendance forte à des composants non-auditables. 
5. Écosystème Transparence & Audit Peut-on vérifier ses dires ? ✅ Audits publics réguliers (ANSSI, tiers de confiance). 
✅ Publication de rapports de transparence. 
✅ Participation active à des initiatives souveraines (Gaia-X, Cloud de Confiance). 
⚠️ « Boîte noire » : refus d’audits ou de divulgation d’infos. 
⚠️ Marketing agressif sans preuves techniques. 
⚠️ Silence sur la chaîne d’approvisionnement matérielle. 

Ce que je peux en dire ? C’est bien. C’est une première mouture. C’est un cadre qui tient debout, qui a du sens, et qui pourra servir de boussole à nous-mêmes comme à nos clients. 

Une grille d’évaluation qui n’a jamais été confrontée à la réalité du terrain par d’autres, c’est un outil théorique. C’est utile, mais c’est fragile. La vraie robustesse viendra de la confrontation — d’abord avec nos collaborateurs et nos partenaires, et ensuite, on l’espère, avec nos clients. 

C’est la question qui me taraude. D’autres acteurs locaux, des spécialistes de la cybersécurité, des juristes spécialisés en droit numérique, des acteurs du monde du libre et de l’open-source… Ont-ils les mêmes priorités ? Voient-ils les mêmes angles morts ? Une grille qui n’a été éprouvée que par son auteur risque de passer à côté de réalités qu’ils maîtrisent bien mieux que moi. 

Je pense notamment à la dimension juridique : est-ce que le SecNumCloud suffit vraiment, ou faut-il regarder du côté des clauses contractuelles, des assurances, des mécanismes de recours ? Je n’en sais rien. Et la dimension économique : un capital majoritairement français, c’est bien, mais qu’en est-il des fonds d’investissement qui peuvent influencer les décisions stratégiques à long terme ? 

Ce n’est pas de la méfiance — c’est de la rigueur. Une alliance solide se construit sur des bases partagées, pas sur des certitudes individuelles. Et puis, est-ce que la souveraineté n’est pas un sujet plus vaste que juste ciblé sur le cloud ? 

Le cloud n’est qu’un pilier — certes central, mais un pilier parmi d’autres. La souveraineté numérique, c’est aussi : 

  • Le logiciel : des applications développées en Europe, avec des licences ouvertes et auditable 
  • Le matériel : des serveurs, des réseaux, des composants dont la chaîne d’approvisionnement est transparente 
  • Les compétences : former les ingénieurs de demain, pas juste importer des solutions toutes faites 
  • La connectivité : des infrastructures de réseau indépendantes, pas dépendantes de câbles sous-marins ou de points d’échange contrôlés par des acteurs tiers 
  • La résilience : la capacité à maintenir nos services en cas de crise géopolitique, sanitaire, ou climatique 

Bref, vous l’avez compris la porte n’a été qu’entrouverte. 

Dans les prochains épisodes, j’essaierai de vous présenter nos avancées, nos rencontres, la découverte des autres piliers de la souveraineté et ce que nous aurons pu définir comme prochains objectifs. Et, qui sait, comment nous aurons su les adresser — ou au moins, comment nous aurons essayé. Parce que la souveraineté, ce n’est pas un état qu’on atteint. C’est un chemin qu’on parcourt. Et ce chemin, on le parcourt mieux à plusieurs. 

Dans le prochain épisode : Une grille construite par un seul homme, c’est un outil fragile. Alors nous l’avons confrontée au terrain. Avec nos partenaires — ingénieurs, développeurs, passionnés du libre et de l’open-source — nous avons passé les critères au crible, à l’aide de meta-cartes. Et de cette confrontation est née une idée plus ambitieuse : un « Nutri-score » de la souveraineté. Une note simple, visible, pour que nos clients ne soient plus jamais dupes du marketing, et qui leur permettra aussi de s’auto-évaluer. 

Écrit par @Audric Duchet


Auto