Souveraineté numérique : où en sommes-nous vraiment ?
La souveraineté numérique, c’est-à-dire la capacité pour l’Europe de contrôler ses données et infrastructures critiques, est au cœur des préoccupations. Or, les faits sont tenaces : aujourd’hui, environ 70 % du marché du cloud en Europe est dominé par des acteurs américains, contre à peine 15 % pour les fournisseurs européens. Cette dépendance massive à des services non-européens soulève des risques bien connus, notamment en matière de juridiction (lois extraterritoriales comme le Cloud Act américain) et de sécurité des données. En France, le gouvernement a fait de ces enjeux une priorité – imposant par exemple que les données publiques « d’une sensibilité particulière » soient hébergées sur des offres qualifiées SecNumCloud, le label de sécurité le plus exigeant de l’ANSSI.
Face à ces enjeux, l’Europe s’organise. La Commission européenne a publié le 20 octobre 2025 un référentiel clair pour évaluer la souveraineté des solutions cloud : le Cloud Sovereignty Framework. Inspiré par des initiatives françaises (référentiel Trusted Cloud du CIGREF, stratégie Cloud de Confiance d’ANSSI) et allemandes (Souveräner Cloud), ainsi que par des règles européennes (NIS2, DORA), ce cadre propose une grille de lecture commune pour enfin objectiver un sujet souvent trop flou.
Le Cloud Sovereignty Framework : 8 critères officiels pour un cloud souverain
Ce nouveau cadre d’évaluation européen définit huit objectifs de souveraineté cloud, chacun noté de 0 à 4 (niveau SEAL – Sovereignty Effectiveness Assurance Level). Les critères couvrent toutes les dimensions clés de l’indépendance numérique. La Commission liste notamment des volets stratégiques, juridiques, opérationnels, environnementaux, mais aussi la transparence de la chaîne d’approvisionnement, l’ouverture technologique, la sécurité et la conformité aux lois UE. En d’autres termes, il s’agit d’évaluer à quel point un fournisseur cloud est ancré dans l’écosystème européen (actionnariat, gouvernance, alignement sur les priorités de l’UE), sous juridiction européenne (peu exposé aux injonctions étrangères), maîtrise ses données et services d’IA localement, et fonctionne de manière autonome sans dépendances critiques hors UE. Des critères portent aussi sur la supply chain (partenaires technologiques majoritairement européens), la stack technologique (interopérabilité, code maîtrisé), la sécurité & conformité (certifications type ISO, ENISA ou qualification SecNumCloud obtenues), ainsi que la durabilité environnementale du cloud (infrastructures sobres en énergie, objectifs d’amélioration mesurables sur le long terme).
Pourquoi cette grille ? Concrètement, la Commission européenne va s’en servir pour ses propres achats de cloud. Un appel d’offres de 180 millions d’euros a été lancé en 2025 pour sélectionner, sur 6 ans, jusqu’à quatre prestataires répondant à des niveaux minimum sur chacun de ces huit objectifs. Toute offre en-deçà du niveau requis sur un critère serait éliminée d’office. L’idée est de créer un « level playing field » : pousser l’ensemble du marché vers des standards communs de confiance, et réduire la dépendance aux services extra-européens en donnant aux décideurs un outil impartial pour comparer les offres. C’est une réponse directe aux craintes liées aux transferts de données hors UE et à la surveillance étrangère. En somme, l’Europe se dote enfin d’un langage commun pour mesurer la vraie souveraineté des clouds, au-delà des effets d’annonce marketing.
L’auto-évaluation de Whaller selon les critères européens
La Commission européenne a publié son cadre pour mesurer la souveraineté des offres cloud. (Crédit Photo: Commission européenne)
Chez Whaller, plateforme collaborative française, nous avons joué le jeu du Cloud Sovereignty Framework en nous auto-évaluant de manière rigoureuse et transparente. Voici notre positionnement sur les 8 objectifs de souveraineté (score SEAL sur 4) :
- SOV-1 Stratégique – Score 4/4. Gouvernance 100 % française, capital indépendant. Depuis sa création, Whaller est ancré en France : actionnariat local, siège social français, sans dépendance vis-à-vis de capitaux ou technologies non-européens. Cet ancrage garantit un alignement naturel avec les priorités stratégiques de l’UE en matière de numérique.
- SOV-2 Juridique – Score 4/4. Contrats en droit français, infrastructure certifiée ANSSI. Toutes les données Whaller sont hébergées en France, sous juridiction française et européenne. Nos contrats de service relèvent exclusivement du droit français, assurant à nos clients une protection maximale contre les lois extraterritoriales. De plus, l’infrastructure repose sur un cloud certifié SecNumCloud, le visa de sécurité délivré par l’ANSSI – gage qu’aucune autorité non-UE ne peut accéder aux données hébergées.
- SOV-3 Données & IA – Score 3/4. Aucune réutilisation secondaire des données. Whaller s’engage à ce que les données de ses utilisateurs ne soient jamais exploitées à d’autres fins. Contrairement à certaines suites américaines qui peuvent analyser vos données à des fins publicitaires ou entraîner des IA, nous garantissons une isolation complète des données clients : pas de profilage caché, pas d’entraînement d’algorithmes sur vos contenus sans consentement explicite. Les services d’IA éventuellement intégrés restent sous contrôle du client et conformes aux règles européennes (RGPD, future IA Act).
- SOV-4 Opérationnelle – Score 3/4. Infrastructure exploitée en interne, forte autonomie technique. L’exploitation de la plateforme Whaller est assurée par nos propres équipes en France, sur des environnements que nous maîtrisons de bout en bout. Nous limitons au maximum les situations de dépendance technologique envers des éditeurs ou prestataires non-européens. Cette autonomie opérationnelle nous donne la capacité de faire évoluer le service ou de le migrer si nécessaire, sans verrou propriétaire (vendor lock-in).
- SOV-5 Supply Chain – Score 3/4. Fournisseurs majoritairement européens, amélioration possible. Nous privilégions autant que possible des fournisseurs français et européens pour nos composants logiciels, data centers et autres sous-traitants. Par exemple, l’hébergement s’appuie sur OVHcloud (France), qualifié SecNumCloud. Néanmoins, nous reconnaissons qu’il reste des marges de progression pour atteindre 100 % de chaîne d’approvisionnement européenne (certains matériels ou logiciels tiers critiques sont encore d’origine extra-UE). L’objectif est de continuer à resserrer notre écosystème de partenaires de confiance.
- SOV-6 Stack technologique – Score 3/4. Stack maîtrisée, architecture fermée mais interopérable. La solution Whaller est bâtie sur une pile technologique conçue et développée en interne, ce qui nous confère une maîtrise complète du code et des fonctionnalités. Si notre architecture est propriétaire pour des raisons de sécurité, elle reste interopérable : nous offrons des API et des connecteurs standard permettant l’intégration avec d’autres systèmes au besoin. Cette interopérabilité limite le risque d’enfermement et assure que nos clients conservent la main sur leurs données et leurs flux.
- SOV-7 Sécurité & Conformité – Score 4/4. Conforme RGPD/NIS2/DORA/CRA et qualifié SecNumCloud. La sécurité est dans l’ADN de Whaller. Outre la conformité totale au RGPD, nous respectons les normes les plus strictes en matière de confiance numérique. Whaller DONJON est aujourd’hui la première plateforme collaborative à avoir obtenu la qualification SecNumCloud de l’ANSSI par « composition ». Cette qualification – délivrée sur la base d’un référentiel de 300+ exigences – atteste d’un haut niveau de sécurité technique et juridique de notre service. Peu d’acteurs peuvent en dire autant : SecNumCloud n’a été attribuée qu’à une poignée de solutions en France (8 à 9 offres à ce jour) du fait de son exigence.
- SOV-8 Environnemental – Score 2/4. Efforts en cours, pas assez de KPIs publics. Conscients que la souveraineté passe aussi par la durabilité, nous travaillons à réduire l’empreinte carbone de nos services cloud. Les data centers de notre partenaire OVHcloud, situés en France, affichent d’ores et déjà d’excellents indices d’efficacité énergétique (PUE) et s’approvisionnent en partie en énergies renouvelables. Nous avons enclenché une démarche d’amélioration continue (optimisation des ressources, suivi de la consommation énergétique) mais nous reconnaissons ne pas encore publier d’indicateurs environnementaux officiels. L’objectif est de progresser sur la transparence de cette dimension : l’Union européenne vise des data centers climat‐neutres d’ici 2030, nous partageons cette ambition.
Avec l’application des pondérations officielles du Cloud Sovereignty Framework, le Sovereignty Score réel de Whaller est de 82,5 %, soit 16,5/20.
| Critère | Score | Poids | Contribution |
|---|---|---|---|
| SOV-1 | 4 | 15 % | 15 % |
| SOV-2 | 4 | 10 % | 10 % |
| SOV-3 | 3 | 10 % | 7.5 % |
| SOV-4 | 3 | 15 % | 11.25 % |
| SOV-5 | 3 | 20 % | 15 % |
| SOV-6 | 3 | 15 % | 11.25 % |
| SOV-7 | 4 | 10 % | 10 % |
| SOV-8 | 2 | 5 % | 2.5 % |
| Total | – | 100 % | 82.5 % ✅ |
Le calcul pour obtenir le score de souveraineté d’une offre cloud. (Crédit Photo: UE)
À pondérations égales, deux offres peuvent afficher des niveaux très différents de souveraineté effective. C’est notamment le cas lorsque certains services, bien que localisés en France ou exploités par des entités françaises, reposent encore sur des technologies américaines ou des architectures propriétaires développées hors UE. Même si des garde-fous contractuels sont mis en place, la dépendance à des composants soumis à des législations extraterritoriales limite leur capacité à répondre pleinement aux exigences des critères juridiques (SOV‑2), technologiques (SOV‑6) ou liés à la chaîne d’approvisionnement (SOV‑5). Le calcul pondéré révèle alors un écart tangible, au-delà des effets d’annonce : la souveraineté ne se décrète pas, elle se mesure.
Ce résultat reflète notre haut degré de souveraineté numérique, bien supérieur aux solutions généralistes du marché.
Comparatif – Whaller vs. acteurs US du marché
Pour mieux se situer, confrontons ce score avec celui de grandes solutions collaboratives non-européennes, d’après les critères du Cloud Sovereignty Framework :
| Fournisseur | Note globale | SecNumCloud ? | Juridiction | Gouvernance |
|---|---|---|---|---|
| Whaller | 16,5/20 | ✅ Oui | 🇫🇷 France | 🇫🇷 Indépendant |
| Microsoft 365 | ~7/20 | ❌ Non | 🇺🇸 USA | Multinationale US |
| Google Workspace | ~7/20 | ❌ Non | 🇺🇸 USA | Multinationale US |
| Slack (Salesforce) | ~7/20 | ❌ Non | 🇺🇸 USA | Filiale d’une entité US |
Aucun de ces services cloud américains n’est aujourd’hui qualifié SecNumCloud. Leur juridiction extra-européenne pose un défi rédhibitoire vis-à-vis des critères SOV-2 et SOV-3 : en effet, étant soumis au droit américain, ces acteurs ne peuvent garantir une immunité totale contre l’accès de leurs autorités (Cloud Act…) aux données des clients européens. Leur gouvernance et leurs centres de décisions restent majoritairement situés hors UE. Même si Microsoft, Google ou AWS ont récemment annoncé des offres « Cloud souverain » en partenariat avec des acteurs locaux, il s’agit encore surtout d’aménagements contractuels ou techniques – pas d’un contrôle européen de bout en bout. Whaller, de son côté, coche nombre de cases que ces géants ne remplissent pas, grâce à son indépendance et à sa conformité aux exigences françaises et européennes les plus strictes.
À noter qu’à ce jour, aucune autre solution française équivalente à Whaller n’est qualifiée SecNumCloud, à l’exception notable de Oodrive – qui propose des services cloud souverains orientés partage de fichiers et collaboration documentaire. Il a ouvert la voie, et Whaller s’inscrit désormais dans ce cercle très fermé des SaaS de confiance. En dehors de ces deux acteurs, les autres solutions SecNumCloud du marché français relèvent plutôt de l’infrastructure (IaaS/PaaS) – on peut citer OVHcloud, 3DS Outscale, Worldline, Cloud Temple… Preuve que construire un cloud souverain est un défi de longue haleine, que peu réussissent à relever complètement.
Transparence et exigence : au-delà des labels marketing
Pourquoi publier cette auto-évaluation en place publique ? Parce qu’il est temps d’aller au-delà des beaux discours et des labels marketing faciles. Tout le monde se réclame du « cloud souverain » ces derniers temps, mais sur quelles bases concrètes ? Le framework européen apporte justement un référentiel objectif, un langage commun pour mesurer et comparer ce qui jusqu’ici relevait du slogan. Il permet aux décideurs de poser les bonnes questions et d’exiger davantage de transparence de la part des fournisseurs.
Chez Whaller, nous n’affirmons pas être parfaits sur tous les axes – nous avons encore des marges de progression, et nous le reconnaissons volontiers. En publiant nos scores en toute transparence, nous jouons cartes sur table. Parce que la souveraineté, c’est aussi cela : une question de confiance et d’honnêteté vis-à-vis de nos utilisateurs. Nous invitons d’ailleurs d’autres acteurs à faire de même, afin d’élever collectivement le niveau d’exigence. La Commission européenne elle-même y contribue en fixant un cap clair : son nouveau cadre vise à « tirer tout le secteur vers le respect des standards et valeurs européens » plutôt que de se contenter de promesses.
En somme, la souveraineté numérique ne se décrète pas, elle se prouve. Critère après critère, engagement après engagement, Whaller s’attache à construire un numérique de confiance qui répond aux attentes françaises et européennes. Nous sommes convaincus que cette démarche de transparence et d’amélioration continue est la seule voie pour mériter votre confiance dans la durée. Et c’est ensemble, utilisateurs, fournisseurs et autorités, que nous bâtirons une autonomie numérique réelle, au service de nos libertés.
Pour aller plus loin :
- eBook – Comprendre la qualification SecNumCloud (guide pédagogique sur ce standard de sécurité ANSSI et ses enjeux pour la souveraineté)
- eBook – Données & secteur public (enjeux du cloud souverain pour les administrations et collectivités, cadre NIS2, etc.)
- Blog Book – Cybermenaces globales (décryptage des menaces cyber internationales et importance de solutions de confiance)
- Événement – European Cyber Week – Venez échanger avec nous à Rennes du 17 au 20 novembre (stand n°91).
0 commentaires