Cloud Sovereignty Framework : 10 % de souveraineté juridique, 90 % de débats

Entre outil de pilotage et cheval de Troie, le Cloud Sovereignty Framework divise. Pour Bruxelles, il s’agit d’un progrès méthodologique vers un marché plus transparent. Pour ses critiques, c’est un texte ambigu, où la souveraineté se dilue dans un score… au risque de donner un avantage à ceux qu’il voulait encadrer.

Faute d’accord politique sur l’EUCS, la Commission européenne dévoile un nouveau cadre d’évaluation : le Cloud Sovereignty Framework. Présenté comme un outil de mesure, il introduit un « score » censé quantifier la souveraineté des offres cloud dans la commande publique. Mais cette approche, loin de faire consensus, réveille les critiques sur la dépendance persistante de l’Europe envers les hyperscalers américains.
Car, derrière ses airs de grille méthodologique, ce nouveau référentiel pourrait surtout avantager ceux qu’il prétend contenir : AWS, Microsoft et Google. Et relancer, en creux, le débat suspendu de l’EUCS.

On rembobine l’EUCS et on le reformule

Depuis trois ans, l’Europe cherche à bâtir un cadre commun de certification du cloud souverain. Ce projet, baptisé EUCS (European Cybersecurity Certification Scheme for Cloud Services), devait permettre d’identifier les fournisseurs véritablement conformes aux exigences européennes de sécurité et d’indépendance. Mais le texte s’est enlisé : entre États membres, la discussion sur le niveau « High+ », celui qui garantit une immunité aux lois extraterritoriales américaines, s’est révélée explosive. La Commission européenne a donc choisi une autre voie : transformer la souveraineté en méthode, plutôt qu’en label.

« C’est le principe d’un appel d’offres que de proposer des pondérations. Ce serait compliqué, d’un point de vue politique, de restreindre les marchés publics aux seuls fournisseurs européens », observe Henri d’Agrain, délégué général du Cigref. Pour lui, l’impasse actuelle autour de l’EUCS n’est pas une fatalité, à condition de repenser son architecture. « On pense que la meilleure façon de procéder est d’avoir un EUCS en deux parties. Une première, qui serait consacrée à la cybersécurité, avec trois niveaux – basic, substantial et high – et une seconde partie, un label que l’on appelle Plus, qui couvre les critères d’immunité aux législations non européennes à portée extraterritoriale. » Ce label « Plus » pourrait être associé à n’importe quel niveau de certification, selon la sensibilité des données ou des usages. « L’une des critiques principales du High Plus, c’était qu’il imposait des exigences extrêmement coûteuses pour les opérateurs comme pour les clients. Imaginons qu’une entreprise souhaite du Basic Plus : pourquoi pas ? »

L’idée, résume-t-il, est de « sortir par le haut » lors de la révision en cours du Cybersecurity Act, en rendant le futur EUCS plus pragmatique sans renoncer à l’exigence souveraine.

Faute d’accord sur le niveau « High+ » de l’EUCS, la Commission a pour l’heure choisi de contourner l’impasse pour répondre à ses propres besoins de commande publique. Plutôt que d’attendre une certification unique, elle opte pour une approche pragmatique : évaluer, pondérer, mesurer.

Ainsi est né le Cloud Sovereignty Framework, un texte bref (six pages à peine) mais ambitieux par son intention : transformer la souveraineté en score.

De l’EUCS au Framework : la souveraineté transformée en score

En pratique, ce Cloud Sovereignty Framework servira dès 2026 à départager les offres dans le programme européen Cloud III DPS, la plateforme d’achat de services cloud des institutions de l’UE. Jusqu’à quatre fournisseurs seront retenus sur la base de ce score de souveraineté. Pour la Commission, l’enjeu est de créer des conditions de concurrence équitables et un référentiel commun pour la commande publique ; pour nombre d’acteurs européens, ce barème risque toutefois de masquer des faiblesses critiques de certains acteurs non-UE derrière de bons scores sur d’autres critères.

L’idée : mesurer la souveraineté au travers de huit objectifs (SOV-1 à SOV-8) couvrant la stratégie, la juridiction, la gouvernance des données, les opérations, la chaîne d’approvisionnement, la technologie, la sécurité et la durabilité.

Chaque critère reçoit une note sur une échelle SEAL 0 à 4, reflétant le degré de conformité aux standards européens, puis une pondération. Le tout donne un « Sovereignty Score » global.

Les pondérations, elles, disent beaucoup : la chaîne d’approvisionnement (SOV-5) compte pour 20 %, la technologie (SOV-6) et les opérations (SOV-4) 15 % chacune, la stratégie (SOV-1) 15 %. Mais la juridiction (SOV-2) – autrement dit, la capacité d’un fournisseur à se protéger des lois extraterritoriales américaines, comme le Cloud Act ou la FISA 702 – ne pèse que 10 % du score global. Un arbitrage que la Commission justifie par « l’existence d’autres garde-fous juridiques » dans la commande publique.

Une justification que beaucoup jugent insuffisante, voire contre-productive, tant ce critère est perçu comme le talon d’Achille du cloud européen.

Des doutes sur l’esprit du texte

Pour le CISPE, l’association européenne des fournisseurs cloud (38 membres), le Framework risque de favoriser les géants américains qu’il était censé contenir. « Les critères sont si larges et si pondérés qu’ils pourraient permettre à un fournisseur de cocher assez de cases pour obtenir un bon score sans vraiment respecter l’esprit de la souveraineté européenne », déclarait l’organisation à The Register le 27 octobre dernier. « On ne peut pas être 75 % souverain », résume un autre communiqué du CISPE, accusant Bruxelles de « créer la confusion ».

Même prudence du côté des acteurs français. David Chassan, directeur de la stratégie d’Outscale (groupe Dassault Systèmes), juge que la logique du score dilue l’exigence : « Favoriser la concurrence ne doit pas signifier diluer l’exigence. Les citoyens, les entreprises et les institutions méritent un cloud réellement européen. On ne coche pas des cases pour cocher la souveraineté. Chez Outscale, on prouve l’immunité, on contrôle les opérations, on maîtrise la technologie. »

Outscale dans une note interne met en garde contre l’« effet moyenne » : un bon score agrégé pourrait masquer des faiblesses critiques. « Un fournisseur pourrait obtenir une note flatteuse malgré une vulnérabilité juridique majeure. Il faut des seuils planchers non compensables sur les piliers essentiels : juridique, opérationnel et technologique. »

Même constat du côté d’Adequacy, éditeur français spécialisé dans la conformité RGPD et la gouvernance des données. Pour Alessandro Fiorentino, product owner au sein de l’entreprise : « Aucun fournisseur ne peut aujourd’hui se prévaloir d’être totalement souverain : l’interdépendance est une réalité à laquelle tous les États sont confrontés. C’est pourquoi il faudrait parler d’autonomie stratégique plutôt que de souveraineté. Un European Cloud Strategic Autonomy Framework aurait été mieux accueilli. » Il reconnaît que le texte « offre une grille d’analyse rigoureuse », intégrant la gouvernance, la supply chain, la technologie et la durabilité, mais prévient : « Attribuer seulement 10 % de poids à la souveraineté juridique (SOV-2), alors que l’extraterritorialité est le talon d’Achille des fournisseurs non européens, fait perdre en crédibilité au dispositif. C’est un peu comme dire : “On veut un cloud souverain… mais si un gouvernement étranger peut y accéder, ce n’est pas si grave.” »

Un cadre salué pour sa clarté, pas pour son ambition

Tous ne partagent pas ce scepticisme. Sébastien Lescop, CEO de Cloud Temple, y voit au contraire une avancée : « Le cadre publié par la Commission vient compléter l’EUCS : il donne enfin une méthode pour mesurer la souveraineté cloud, au-delà des discours et des intentions. L’Europe se dote d’un langage commun de confiance, où la maîtrise technologique, la résilience juridique et la durabilité deviennent des critères industriels à part entière. La souveraineté, ce n’est plus se protéger du monde, c’est se donner les moyens d’y peser. »

De son côté, Henri d’Agrain salue l’effort de la Commission pour créer une base commune, mais souligne que le texte s’appuie sur une version dépassée des travaux du Cigref : « La Commission fait référence à notre référentiel de 2020, alors que nous avons publié, en mai 2024, un clausier de confiance beaucoup plus abouti. »

Ce document, rappelle-t-il, offre une grille d’analyse claire pour évaluer les fournisseurs selon des critères de confiance, de gouvernance et d’immunité juridique. « Plusieurs de nos membres l’utilisent déjà dans leurs appels d’offres, publics comme privés. La Commission aurait gagné en cohérence en s’en inspirant. »

Le cahier des clauses, mis à jour par le Cigref en 2024, formalise un ensemble de clauses techniques modulables pour les marchés de services cloud. Il s’impose aujourd’hui comme la référence sectorielle pour contractualiser la notion de « cloud de confiance ».

La publication du Cloud Sovereignty Framework illustre à quel point l’Europe avance sur une ligne de crête : entre ambition politique et prudence économique.

Elle veut se doter d’outils d’évaluation sans exclure les hyperscalers ni décourager ses propres acteurs. Mais à force de vouloir tout concilier, elle risque de transformer une exigence stratégique en simple indicateur de conformité.

Reste à savoir si, le 18 novembre à Berlin, la Commission parviendra à accorder ses ambitions politiques et la réalité industrielle des acteurs européens. Car derrière la mécanique du score, c’est bien la capacité du continent à se doter d’une souveraineté tangible qui se joue.

---

Le Cloud Sovereignty Framework, un outil plus politique que technique

En pratique, ce Framework servira dès 2026 à départager les offres dans le programme européen Cloud III DPS, la plateforme d’achat de services cloud des institutions européennes. Jusqu’à quatre fournisseurs seront retenus sur la base de leur « score de souveraineté ». Pour la Commission, l’enjeu est de « garantir la transparence et l’équité dans les marchés publics ». Mais pour les acteurs européens, ce nouveau barème risque surtout de masquer les failles critiques de certains acteurs non européens, derrière de bons scores environnementaux ou d’interopérabilité.

Chaque objectif est décliné en quatre niveaux dits « SEAL » (de 1 à 4).

Le score final correspond à une moyenne pondérée, ce qui permet d’obtenir une bonne note globale tout en étant faible sur un pilier essentiel — comme l’immunité juridique. Plusieurs acteurs, dont Outscale, recommandent donc d’imposer des seuils planchers non compensables sur les trois piliers fondamentaux : données, opérations et technologie.

Critère	Code	Pondération
Souveraineté stratégique	SOV-1	15 %
Souveraineté juridique et juridiction	SOV-2	10 %
Sécurité et conformité	SOV-3	10 %
Souveraineté opérationnelle	SOV-4	15 %
Chaîne d’approvisionnement	SOV-5	20 %
Souveraineté technologique	SOV-6	15 %
Transparence et ouverture	SOV-7	10 %
Durabilité environnementale	SOV-8	5 %

---

À suivre — Le rendez-vous du 18 novembre à Berlin

Un sommet européen de la souveraineté numérique se tiendra à Berlin le 18 novembre 2025, coorganisé par la Commission européenne, la France et l’Allemagne. Au programme : l’articulation entre le Cloud Sovereignty Framework et le futur EUCS révisé, la définition de seuils minimaux de souveraineté pour les marchés publics, et la question sensible de l’immunité juridique face aux lois extraterritoriales.

Selon les premières notes de cadrage, Bruxelles pourrait y présenter les contours du « Digital Sovereignty Package », qui prolongerait le paquet Omnibus pour mieux relier souveraineté, innovation et commande publique. Un rendez-vous décisif : il dira si l’Europe choisit de parler d’une seule voix — ou de plusieurs dialectes — sur sa souveraineté numérique.

---

À LIRE AUSSI :

Cloud

Le Cigref publie un référentiel pour l’achat de services cloud de confiance

La rédaction

1 Juil