Cloud souverain

Le cloud souverain désigne une infrastructure d’informatique en nuage dont la conception, l’exploitation et la localisation garantissent que les données confiées restent sous maîtrise nationale. L’enjeu central est l’immunité vis-à-vis des législations extraterritoriales, en particulier le CLOUD Act américain de 2018, qui permet aux autorités fédérales américaines d’exiger l’accès aux données stockées par des opérateurs soumis au droit américain, même sur des serveurs situés hors des États-Unis.

Pourquoi la souveraineté numérique est devenue une priorité réglementaire

Les révélations sur les programmes de surveillance transatlantiques et la montée en puissance des acteurs hyperscalers non européens ont conduit les États membres de l’UE à légiférer sur la protection des données. Le règlement européen RGPD pose les bases d’un droit à la protection des données personnelles, mais il ne suffit pas à neutraliser les effets de lois étrangères à portée extraterritoriale. La doctrine cloud souverain va donc au-delà du RGPD : elle porte sur la structure capitalistique, la chaîne de sous-traitance et le droit applicable à l’opérateur.

Le cadre français : doctrine “cloud au centre” et SecNumCloud

En France, la doctrine adoptée par la direction interministérielle du numérique distingue trois niveaux d’hébergement selon la sensibilité des données :

• Cloud interne (ministères, services de l’État) pour les données les plus sensibles.
• Cloud qualifié SecNumCloud (référentiel de l’ANSSI) pour les données sensibles externalisées.
• Cloud commercial pour les données non sensibles.

Le référentiel SecNumCloud impose notamment qu’aucune entité juridiquement soumise à un droit non européen ne puisse prendre le contrôle opérationnel ou capitalistique de l’offre. Cela a conduit à l’émergence de partenariats entre des acteurs américains et des opérateurs français ou européens, via des mécanismes de “trusted cloud” ou “cloud de confiance”, dont la compatibilité avec SecNumCloud est appréciée au cas par cas par l’ANSSI.

Le niveau européen : EUCS et données à portée réglementaire

Au niveau européen, le schéma de certification européen pour les services cloud (EUCS), piloté par l’ENISA dans le cadre du Cybersecurity Act, vise à harmoniser les exigences. Les débats sur le niveau “élevé” de ce schéma portent précisément sur l’inclusion ou non d’exigences de souveraineté (critères d’immunité extraterritoriale), point de friction entre États membres.

Les opérateurs qui traitent des données pour le compte de collectivités, d’établissements de santé ou d’opérateurs d’importance vitale sont directement concernés par ces règles, qui s’articulent avec la directive européenne NIS 2 sur la cybersécurité.

Pourquoi c’est utile en affaires publiques

Pour un professionnel des affaires publiques ou réglementaires, le cloud souverain est un sujet d’arbitrage permanent : les décisions d’achat public, les appels d’offres, les obligations de conformité des opérateurs de services essentiels et les discussions parlementaires sur la souveraineté numérique en dépendent. Suivre l’évolution du référentiel SecNumCloud, les avis de la CNIL et les travaux européens sur l’EUCS est indispensable pour anticiper les contraintes imposées aux acteurs du secteur.