Vos données sont hébergées dans le cloud. Mais où exactement ? Et surtout, qui peut y accéder ? Si vous utilisez un fournisseur américain comme AWS, Microsoft Azure ou Google Cloud, vos données — même hébergées en France — peuvent être légalement accessibles aux autorités américaines. Ce guide vous explique pourquoi la souveraineté numérique est devenue un enjeu stratégique, et comment SecNumCloud et les clouds souverains français permettent de reprendre le contrôle.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »- Ce qu’est la souveraineté numérique et pourquoi elle vous concerne
- Les risques concrets des lois extraterritoriales (Cloud Act, FISA)
- Ce que garantit (et ne garantit pas) la qualification SecNumCloud
- Quels fournisseurs français sont qualifiés SecNumCloud
- Le cas controversé de S3NS (Thales/Google) et ce qu’il révèle
- Comment faire un choix éclairé pour vos données sensibles
Prérequis : aucun. Ce guide est accessible à tous ceux qui utilisent ou envisagent d’utiliser des services cloud.
Le problème : vos données ne vous appartiennent pas vraiment
Section intitulée « Le problème : vos données ne vous appartiennent pas vraiment »L’illusion de la localisation
Section intitulée « L’illusion de la localisation »Beaucoup d’entreprises pensent que stocker leurs données « en France » ou « en Europe » suffit à les protéger. C’est une illusion dangereuse.
Exemple concret : vous êtes une PME française et vous stockez vos données clients sur Microsoft Azure, dans un datacenter situé à Paris. Vous pensez être en sécurité ? En réalité, si les autorités américaines demandent à Microsoft l’accès à vos données, Microsoft est légalement obligé de les fournir — même si elles sont physiquement en France.
Pourquoi ? Parce que Microsoft est une entreprise américaine, soumise au droit américain. Et le droit américain a une portée extraterritoriale.
Ce que signifie « extraterritorial »
Section intitulée « Ce que signifie « extraterritorial » »Une loi extraterritoriale s’applique au-delà des frontières du pays qui l’a adoptée. Concrètement :
| Situation | Ce que vous pensez | Ce qui se passe réellement |
|---|---|---|
| Données sur AWS Paris | « Mes données sont en France, protégées par le droit français » | Les États-Unis peuvent exiger leur transmission |
| Contrat avec filiale européenne | « Je contracte avec AWS Europe, pas AWS USA » | La maison mère américaine reste soumise au Cloud Act |
| Chiffrement des données | « Mes données sont chiffrées, personne ne peut les lire » | Le fournisseur peut être contraint de fournir les clés |
Les lois extraterritoriales américaines
Section intitulée « Les lois extraterritoriales américaines »Le Cloud Act (2018)
Section intitulée « Le Cloud Act (2018) »Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est la loi la plus connue. Adoptée en mars 2018, elle permet aux autorités américaines (FBI, NSA, DOJ) d’exiger l’accès aux données stockées par des entreprises américaines, quel que soit le pays où ces données sont hébergées.
Ce que dit la loi :
- S’applique à toutes les entreprises américaines (AWS, Microsoft, Google, Oracle, Salesforce…)
- Concerne les données stockées partout dans le monde
- Permet des demandes via mandat ou citation à comparaître (subpoena)
- Prévoit des mécanismes de contestation (mais l’entreprise doit prouver que la demande viole le droit local)
Implications concrètes :
| Type de données | Risque |
|---|---|
| Données clients | Accessibles aux autorités US sans votre consentement |
| Secrets commerciaux | Potentiellement exposés (espionnage économique) |
| Données de santé | Violation potentielle du RGPD et du secret médical |
| Données stratégiques | Risque géopolitique pour les entreprises sensibles |
Le FISA (Foreign Intelligence Surveillance Act)
Section intitulée « Le FISA (Foreign Intelligence Surveillance Act) »La section 702 du FISA autorise la NSA à collecter des données sur des citoyens étrangers (non-américains) qui transitent par des infrastructures américaines. Cette loi cible explicitement la surveillance de masse.
Différence avec le Cloud Act :
| Aspect | Cloud Act | FISA 702 |
|---|---|---|
| Objectif | Enquêtes criminelles | Renseignement étranger |
| Cible | Données spécifiques | Surveillance de masse |
| Transparence | L’entreprise peut contester | Souvent classifié (secret) |
| Notification | Possible (sous conditions) | Généralement impossible |
Autres lois à connaître
Section intitulée « Autres lois à connaître »| Loi | Pays | Portée |
|---|---|---|
| PATRIOT Act (2001) | États-Unis | Lutte antiterroriste, accès aux données |
| National Intelligence Law (2017) | Chine | Oblige les entreprises chinoises à coopérer avec les services de renseignement |
| UK Investigatory Powers Act (2016) | Royaume-Uni | Pouvoirs de surveillance étendus post-Brexit |
SecNumCloud : le référentiel de confiance français
Section intitulée « SecNumCloud : le référentiel de confiance français »Qu’est-ce que SecNumCloud ?
Section intitulée « Qu’est-ce que SecNumCloud ? »SecNumCloud est une qualification de cybersécurité délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Ce n’est pas un label politique ou commercial : c’est un référentiel technique exigeant qui couvre près de 1 200 points de contrôle.
Ce que SecNumCloud garantit :
- Sécurité technique : architecture, chiffrement, cloisonnement, détection des incidents
- Immunité juridique : le prestataire doit être européen (siège et capital) et conserver un contrôle exclusif sur les données
- Continuité de service : protection contre les scénarios de « kill switch » (coupure imposée par un tiers)
- Localisation : données hébergées dans l’Union européenne
Ce que SecNumCloud ne garantit pas :
- L’indépendance technologique totale (dépendances à des composants non-européens possibles)
- Une protection absolue contre toutes les menaces
- Un choix politique ou industriel (c’est une qualification technique neutre)
Les exigences clés de SecNumCloud 3.2
Section intitulée « Les exigences clés de SecNumCloud 3.2 »| Domaine | Exigences principales |
|---|---|
| Juridique | Siège en UE, capital européen, pas de soumission à des lois extraterritoriales |
| Données | Hébergement en UE, chiffrement au repos et en transit |
| Exploitation | Autonomie opérationnelle, pas d’accès pour les fournisseurs tiers |
| RH | Habilitations, séparation des responsabilités, contrôle des accès |
| Incidents | Détection, réponse, notification, SOC qualifié |
| Continuité | Résilience, plans de reprise, indépendance vis-à-vis des fournisseurs |
Les fournisseurs qualifiés SecNumCloud
Section intitulée « Les fournisseurs qualifiés SecNumCloud »À janvier 2026, les fournisseurs ayant obtenu la qualification SecNumCloud 3.2 sont :
| Fournisseur | Offre qualifiée | Type |
|---|---|---|
| OUTSCALE (Dassault Systèmes) | Cloud public IaaS | Cloud souverain français |
| OVHcloud | Hosted Private Cloud powered by VMware | Cloud souverain français |
| Cloud Temple | Secure Temple + PaaS OpenShift | Cloud souverain français |
| Worldline | Cloud Services Secured IaaS | Cloud souverain français |
| S3NS (Thales/Google) | PREMI3NS | Cloud hybride (tech US, opération FR) |
En cours de qualification :
- Bleu (Orange/Capgemini/Microsoft) — Jalon J1 validé en novembre 2025
- Scaleway, NumSpot, Free Pro, SFR Business…
Source : ANSSI - Prestataires qualifiés SecNumCloud
Le cas S3NS : quand Thales certifie Google
Section intitulée « Le cas S3NS : quand Thales certifie Google »En décembre 2025, l’offre PREMI3NS de S3NS a obtenu la qualification SecNumCloud 3.2. Cette décision a fait couler beaucoup d’encre et relancé le débat sur la définition même de la souveraineté numérique.
Qu’est-ce que S3NS ?
Section intitulée « Qu’est-ce que S3NS ? »S3NS (prononcé « sense ») est une coentreprise créée par Thales et Google Cloud. Thales détient la majorité du capital et opère le service. Google fournit la technologie cloud (Compute Engine, Cloud Storage, BigQuery, GKE…).
C’est le premier « cloud hybride » — combinant technologie américaine et opération française — à recevoir la qualification SecNumCloud.
Pourquoi ça fait débat
Section intitulée « Pourquoi ça fait débat »L’obtention du visa SecNumCloud par S3NS a ravivé les controverses sur la définition de la souveraineté numérique.
Les critiques :
| Argument | Réponse de l’ANSSI |
|---|---|
| « Google reste soumis au Cloud Act » | Google n’a pas accès aux données ; S3NS (européen) conserve le contrôle exclusif |
| « La technologie est américaine » | SecNumCloud n’interdit pas les technologies non-européennes, il exige le contrôle des données |
| « C’est une brèche dans la souveraineté » | SecNumCloud est un référentiel de cybersécurité, pas de politique industrielle |
| « Risque de kill switch par Google » | L’autonomie d’exploitation est vérifiée ; S3NS peut fonctionner sans Google |
La position de l’ANSSI :
Vincent Strubel a clarifié que le risque des lois extraterritoriales est traité « par le contrôle effectif des données et des opérations », pas par l’exclusion systématique des technologies non-européennes. Google, en tant que fournisseur technologique, n’est pas en situation de « possession, custody or control » au sens du Cloud Act.
Les deux visions de la souveraineté
Section intitulée « Les deux visions de la souveraineté »L’affaire S3NS révèle deux conceptions concurrentes de la souveraineté numérique :
Souveraineté juridique et opérationnelle
- Définition : contrôle des données, immunité aux lois étrangères, autonomie d’exploitation
- Critère clé : qui contrôle les clés de chiffrement et les opérations ?
- Partisans : ANSSI, S3NS, Bleu
- Position : un cloud peut utiliser de la technologie étrangère s’il conserve le contrôle exclusif des données
Souveraineté technologique et industrielle
- Définition : indépendance totale vis-à-vis des technologies non-européennes
- Critère clé : qui a développé le code source et les composants ?
- Partisans : certains acteurs politiques, OVHcloud, Scaleway
- Position : dépendre de technologie américaine crée un risque structurel (kill switch, obsolescence programmée)
La réalité : aucune infrastructure cloud, même opérée par un acteur 100% européen, ne maîtrise l’intégralité de sa chaîne technologique (processeurs Intel/AMD, firmware, composants open source américains…). La question est donc de gérer les dépendances, pas de les éliminer totalement.
Bleu : le même débat avec Microsoft
Section intitulée « Bleu : le même débat avec Microsoft »Bleu est un projet similaire à S3NS, porté par Orange, Capgemini et Microsoft. L’objectif : proposer les services Microsoft Azure et Microsoft 365 dans un cadre qualifié SecNumCloud.
État d’avancement (janvier 2026) :
- Jalon J1 (engagement) validé en novembre 2025
- Qualification complète attendue courant 2026
Le projet Bleu suscite les mêmes débats que S3NS : pour certains, c’est une avancée qui permettra aux administrations et entreprises françaises d’accéder à des services cloud avancés avec des garanties de sécurité ; pour d’autres, c’est une « souveraineté de façade » qui perpétue la dépendance aux géants américains.
Gaia-X : l’initiative européenne en difficulté
Section intitulée « Gaia-X : l’initiative européenne en difficulté »Qu’est-ce que Gaia-X ?
Section intitulée « Qu’est-ce que Gaia-X ? »Lancée en 2019 par la France et l’Allemagne, Gaia-X avait pour ambition de créer un « cloud européen » capable de rivaliser avec les hyperscalers américains. L’initiative a rapidement élargi ses objectifs pour devenir un cadre de confiance (framework) plutôt qu’une infrastructure cloud à proprement parler.
Ce que Gaia-X propose :
- Des règles communes pour la portabilité et l’interopérabilité des données
- Des labels de conformité pour les services cloud respectant les valeurs européennes
- Un catalogue de services fédérant les offres des cloud providers européens
Les critiques
Section intitulée « Les critiques »Après plusieurs années d’existence, Gaia-X fait l’objet de critiques récurrentes :
| Critique | Explication |
|---|---|
| « Gaia-X n’a rien livré de concret » | Pas d’infrastructure cloud, juste des spécifications |
| « Les hyperscalers sont membres » | AWS, Microsoft et Google participent à Gaia-X, ce qui dilue l’ambition souveraine |
| « Trop bureaucratique » | Processus lents, gouvernance complexe |
| « Pas d’alternative réelle » | Les entreprises utilisent toujours les mêmes cloud providers |
Choisir son cloud : critères de décision
Section intitulée « Choisir son cloud : critères de décision »Matrice de décision par niveau de sensibilité
Section intitulée « Matrice de décision par niveau de sensibilité »| Niveau de sensibilité | Exemples | Recommandation |
|---|---|---|
| Critique | Défense, renseignement, infrastructure vitale | Cloud souverain qualifié SecNumCloud (Outscale, Cloud Temple) |
| Sensible | Données de santé, finance, R&D stratégique | Cloud qualifié SecNumCloud ou HDS |
| Standard | Applications métier, données internes | Cloud européen (OVH, Scaleway) ou hyperscaler avec garanties contractuelles |
| Non sensible | Sites web publics, environnements de test | Hyperscaler (AWS, Azure, GCP) acceptable |
Questions à se poser
Section intitulée « Questions à se poser »-
Quelle est la sensibilité de mes données ?
Données personnelles (RGPD), secrets commerciaux, propriété intellectuelle, données de santé (HDS), données stratégiques…
-
Quelles sont mes obligations réglementaires ?
RGPD, NIS2, DORA (finance), HDS (santé), réglementations sectorielles…
-
Quel est mon besoin fonctionnel ?
Services managés avancés (IA, big data) ou IaaS basique ? Un cloud souverain peut avoir moins de services qu’un hyperscaler.
-
Quel est mon budget ?
Les clouds souverains peuvent être plus coûteux. Mais le coût d’une violation de données ou d’une amende RGPD est bien supérieur.
-
Quelle est ma tolérance au risque géopolitique ?
En cas de tensions internationales, un fournisseur américain pourrait être contraint de couper ses services.
Comparatif des options
Section intitulée « Comparatif des options »| Critère | Hyperscaler (AWS, Azure, GCP) | Cloud européen (OVH, Scaleway) | Cloud SecNumCloud (Outscale, Cloud Temple) | Cloud hybride (S3NS, Bleu) |
|---|---|---|---|---|
| Richesse fonctionnelle | ★★★★★ | ★★★☆☆ | ★★★☆☆ | ★★★★☆ |
| Immunité Cloud Act | ✗ | ✓ | ✓ | ✓ |
| Qualification SecNumCloud | ✗ | Partielle | ✓ | ✓ |
| Indépendance technologique | ✗ | Partielle | Partielle | ✗ |
| Coût | Compétitif | Compétitif | Plus élevé | Plus élevé |
| Écosystème partenaires | Très large | Moyen | Limité | Large (Google/Microsoft) |
Recommandations pratiques
Section intitulée « Recommandations pratiques »Pour une PME
Section intitulée « Pour une PME »- Données sensibles (clients, RH, finance) : privilégier un cloud européen (OVH, Scaleway) ou SecNumCloud si budget disponible
- Applications métier : évaluer le rapport coût/bénéfice entre hyperscaler et cloud européen
- Environnements de développement/test : hyperscaler acceptable
Pour une grande entreprise / administration
Section intitulée « Pour une grande entreprise / administration »- Données critiques : exiger SecNumCloud 3.2 (Outscale, Cloud Temple, ou S3NS/Bleu selon la stratégie)
- Données sensibles : SecNumCloud ou HDS selon le secteur
- Applications standard : cloud européen avec contrat encadrant les transferts de données
Pour les données de santé
Section intitulée « Pour les données de santé »- Obligatoire : hébergeur certifié HDS (Hébergeur de Données de Santé)
- Recommandé : HDS + SecNumCloud pour les données les plus sensibles
- Fournisseurs : Outscale (HDS + SecNumCloud), OVHcloud (HDS), Cloud Temple (HDS + SecNumCloud)
À retenir
Section intitulée « À retenir »-
La localisation ne suffit pas : des données hébergées en France chez un fournisseur américain restent accessibles aux autorités US via le Cloud Act.
-
SecNumCloud est une qualification technique : elle garantit ~1 200 points de contrôle de cybersécurité, pas une indépendance technologique totale.
-
S3NS et Bleu proposent une voie médiane : technologie américaine, opération française, données sous contrôle européen exclusif.
-
L’ANSSI distingue cybersécurité et politique industrielle : SecNumCloud n’est « ni une décision arbitraire, ni un choix politique ».
-
Aucun cloud n’est totalement autonome : tous dépendent de composants non-européens (processeurs, firmware, logiciels open source).
-
Le choix dépend de la sensibilité des données : critique → SecNumCloud obligatoire ; standard → cloud européen recommandé.
-
Gaia-X est un cadre, pas une solution : pour un cloud souverain, il faut choisir un fournisseur qualifié SecNumCloud.
-
L’avenir reste incertain : les tensions géopolitiques et l’évolution des réglementations (NIS2, DORA, AI Act) continueront de façonner le paysage.