Cloud souverain : l'Europe lance son label et son cadre Des acteurs européens lancent un cadre et un label pour certifier la souveraineté et la résilience des services cloud, avec audits par un tiers et critères SEAL.
Le cloud souverain entre dans une nouvelle phase avec des acteurs européens qui lancent leur propre cadre d’évaluation et un label destinés à certifier la souveraineté et la résilience des services infonuagiques. Après une grille évoquée à Bruxelles en fin d'année dernière, les fournisseurs qui décrochent le badge feront l’objet d’audits réalisés par un tiers indépendant.
Un cadre spécifique pour certifier le cloud souverain et résilient
Le référentiel du CISPE — l’alliance des opérateurs européens du cloud — prévoit un badge rouge pour les offres souveraines et un badge bleu pour les services résilients, complété par des chevrons vert et gris indiquant l’impact environnemental et l’usage du code open‑source. Quarante services — cloud public, stockage, Kubernetes — viseront cette certification après avoir franchi le parcours d’audit.
Le cadre a été développé et testé exclusivement par des fournisseurs européens d’infrastructures cloud afin de certifier les garanties de souveraineté et de résilience. Le CISPE rappelle que le marché est aujourd’hui inondé d’offres prétendument souveraines et peu vérifiables, ce qui rend difficile pour les clients de comprendre ce qu’ils achètent réellement.
Le CISPE affirme que le cadre vise à éviter toute forme de « souveraineté washing » et à garantir le contrôle des données, des infrastructures et des charges de travail.
Comment ça marche et ce que couvre le label
Le cadre du CISPE propose deux approches, complémentaires mais distinctes : souveraine et résiliente. La souveraineté porte sur les services détenus et exploités au sein d’une juridiction donnée, où les autorités étrangères n’auraient pas de moyen d’interférer. L’approche par conception vise ce contrôle strict. En parallèle, l’approche par les capacités garantit des garanties techniques et opérationnelles permettant, par exemple, le chiffrement géré par le client, la portabilité des données, des sauvegardes indépendantes, et la possibilité de changer de fournisseur ou de redéployer des charges de travail.
- Contrôle par conception : les services sont gouvernés et exploités dans la juridiction concernée.
- Contrôle par les capacités : garanties techniques et opérationnelles suffisantes pour faire face à des éléments non souverains.
Contexte et limites : ce qu’on sait et ce qu’on ne sait pas encore
La grille de souveraineté du cloud, présentée cet automne par la Commission européenne, repose sur huit critères et un système de pondération qui permet de classer les fournisseurs selon des niveaux SEAL, allant de SEAL 0 à SEAL 4. Le problème souvent évoqué est qu’une entité peut obtenir une bonne note malgré une dépendance à une juridiction étrangère, d’où la vigilance du CISPE et la nécessité d’audits tiers.
Des critiques portent aussi sur la clarté des définitions et sur la transparence des méthodes d’évaluation. Le cadre, s’il est appliqué, pourrait toutefois servir de repère pour éviter les abus et renforcer la confiance des clients.
Convergences et implications européennes
Le référentiel s’aligne avec le niveau 3 de Gaia‑X, l’infrastructure européenne de données, tout en élargissant la notion de souveraineté au-delà de l’UE. Des scénarios existent même pour des services hébergés en dehors de l’Europe : un service japonais pourrait décrocher un label « souverain au Japon », et s’il n’est pas souverain en Europe, il pourrait obtenir un label « résilient en Europe » grâce à son interopérabilité et à la présence de ressources locales. L’objectif reste de renforcer la confiance dans le contrôle des données et des charges de travail dans le cloud.
Les fournisseurs devront passer par un audit réalisé par un tiers accrédité pour obtenir la certification et le droit de déclarer un service comme souverain ou résilient.
Pour terminer
Reste à voir si ce cadre répondra aux attentes des clients et des autorités publiques, et s’il suffira à prévenir le phénomène de « souveraineté washing ». La suite dépendra de la clarté des critères et de leur application concrète dans les contrats et les infrastructures.
