Peut-on réduire la souveraineté à un score ?
« On est bio ou on ne l’est pas ; c’est 100 % ou rien », illustre le CISPE. Or, ce que propose aujourd’hui la Commission européenne avec le Cloud Sovereignty Framework ce n’est rien de moins qu’un score qui divise.
Certes, il s’agit d’un progrès méthodologique vers un marché plus transparent. N’empêche. Le texte du Cloud Sovereignty Framework est ambigu ; la souveraineté se dilue dans un score… au risque de donner un avantage à ceux qu’il voulait encadrer.
L’Europe a besoin d’une définition claire du « cloud souverain » : le framework de souveraineté du cloud de l’Union européenne n’en propose aucune. « On ne peut être bio à 75 %, on ne peut être souverain à 75 % », illustre le CISPE. Le risque de confusion est réel.
Après l’échec du EUCS
Depuis trois ans, l’Europe cherche à bâtir un cadre commun de certification du cloud souverain. Ce projet, baptisé EUCS (European Cybersecurity Certification Scheme for Cloud Services), devait permettre d’identifier les fournisseurs véritablement conformes aux exigences européennes de sécurité et d’indépendance.
Mais le texte s’est enlisé : entre États membres, la discussion sur le niveau « High+ », celui qui garantit une immunité aux lois extraterritoriales américaines, s’est révélée explosive. La Commission européenne a donc choisi une autre voie : transformer la souveraineté en référentiel pour les fournisseurs de services cloud.
Peut-on se contenter d’un « Sovereignty Score » ?
Le niveau de souveraineté est évalué au travers de huit objectifs (SOV-1 à SOV-8) couvrant la stratégie, la juridiction, la gouvernance des données, les opérations, la chaîne d’approvisionnement, la technologie, la sécurité et la durabilité. Chaque critère reçoit une note sur une échelle SEAL 0 à 4, reflétant le degré de conformité aux standards européens, puis une pondération. Le tout donne un « Sovereignty Score » global.
Les pondérations, elles, disent beaucoup : la chaîne d’approvisionnement (SOV-5) compte pour 20 %, la technologie (SOV-6) et les opérations (SOV-4) 15 % chacune, la stratégie (SOV-1) 15 %. Mais la juridiction (SOV-2) – autrement dit, la capacité d’un fournisseur à se protéger des lois extraterritoriales américaines, comme le Cloud Act ou la FISA 702 – ne pèse que 10 % du score global !
Favoriser la concurrence ne doit pas signifier diluer l’exigence
Au lieu d’apporter de la clarté, ce cadre brouille les pistes. Le score, en effet, mélange l’impossible et l’inutile. Il mêle des objectifs inatteignables -comme le contrôle total de l’UE sur chaque composant matériel- à des notions vagues telles que les « garanties contre le changement de contrôle ». En créant une moyenne de moyennes pondérées, le Cloud Sovereignty Framework s’éloigne encore davantage de la transparence et laisse une large place à la dissimulation des vérités gênantes, laisse entendre le CISPE.
En pratique, nombre d’acteurs du marché, la plupart des fournisseurs européens de services cloud risquent d’obtenir des scores inférieurs à ceux des hyperscalers étrangers dans le cadre de ce système. Le message semble clair : vous ne pouvez pas respecter les exigences européennes en matière de propriété et de contrôle ? Qu’importe, rattrapez votre retard grâce à des investissements ou à la participation à des programmes européens.
Favoriser la concurrence ne doit pas signifier diluer l’exigence. Les citoyens, les entreprises et les institutions méritent un cloud réellement européen. On ne coche pas des cases pour cocher la souveraineté.
(photo Data Bendo, European Union, 2025)
