Souveraineté & conformité : héberger sa sécurité en France

La souveraineté numérique, c'est la capacité pour une organisation (ou un État) à maîtriser ses données, ses infrastructures et ses outils numériques sans dépendance à une juridiction extraterritoriale.

Jusqu'en 2018, c'était un sujet théorique. Le CLOUD Act américain, signé en mars 2018, a rendu le sujet opérationnel du jour au lendemain : toute donnée stockée par une entreprise soumise au droit américain peut être requise par les autorités américaines, indépendamment de sa localisation géographique.

En d'autres termes : vos données peuvent être physiquement hébergées en France et rester soumises au droit américain, si l'éditeur est américain.

Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) permet aux autorités américaines de demander à un fournisseur de services sous juridiction US de remettre des données, quel que soit le pays où elles sont stockées. Il n'y a pas d'obligation d'en informer le client concerné.

Les trois conséquences pratiques pour une entreprise française :

1. 1Même si votre fournisseur cloud vous promet « datacenters en France », la donnée reste accessible à une juridiction étrangère.
2. 2Même si votre contrat est régi par le droit français, la loi extraterritoriale américaine prime pour un fournisseur sous juridiction US.
3. 3Vous ne saurez probablement pas qu'une demande a été faite — les gag orders sont la norme.

On parle beaucoup de souveraineté pour les données personnelles, les données de santé, les données financières. On parle beaucoup moins des données de sécurité applicative. C'est une erreur.

Une donnée AppSec, c'est littéralement la carte de vos failles. Elle contient :

• La liste détaillée de vos vulnérabilités connues, avec leur sévérité
• Les chemins d'attaque exploitables dans votre code
• L'architecture de vos applications et de vos dépendances
• L'inventaire complet de vos repositories et de leur organisation
• Les secrets qui ont fuité dans vos CI/CD (et qui peuvent ne pas avoir été tournés)
• Vos métriques de MTTR — donc le temps qu'il vous faut pour corriger

Plusieurs certifications encadrent la souveraineté technique des hébergeurs et des éditeurs cloud.

SecNumCloud (France)

Référentiel de l'ANSSI pour les services cloud. C'est la certification la plus exigeante en Europe. Elle impose notamment que l'éditeur soit immunisé du droit extraterritorial (pas sous contrôle capitalistique non-UE supérieur à 24%).

EUCS (European Union Cybersecurity Scheme)

Schéma européen en cours de finalisation. Vise à unifier les exigences de cybersécurité cloud à l'échelle de l'Union. La question de l'exigence de souveraineté dans le niveau le plus élevé fait encore débat.

C5 (Allemagne)

Référentiel du BSI allemand, équivalent approximatif de SecNumCloud. Reconnu dans l'UE mais n'impose pas l'exigence de souveraineté capitalistique.

La directive NIS2, transposée en droit français en 2024, impose aux entités essentielles et importantes de gérer activement le risque de leur chaîne d'approvisionnement numérique. Concrètement :

• Évaluation du risque de chaque fournisseur critique (y compris les éditeurs cybersécurité)
• Prise en compte de la politique de sécurité du fournisseur et de ses sous-traitants
• Prise en compte de la qualité des produits et services fournis
• Prise en compte des pratiques de développement sécurisé du fournisseur
• Documentation et revue régulière de cette évaluation

Le choix d'un éditeur sous juridiction extraterritoriale devient donc un risque documenté à justifier. Pour beaucoup d'entités critiques, ce risque est tout simplement disqualifiant.

Digital Operational Resilience Act, applicable depuis janvier 2025. Vise le secteur financier (banques, assurances, gestion d'actifs, fintechs). Impose notamment :

• Un registre complet des prestataires TIC critiques
• Une due diligence renforcée avant contractualisation
• Une stratégie de sortie documentée pour chaque prestataire critique
• Des tests de résilience opérationnelle réguliers, incluant la dimension fournisseur

Pour un établissement financier, la question du choix entre un éditeur souverain et un éditeur extraterritorial devient un sujet de gouvernance du risque TIC, pas un choix technique isolé.

Le transfert de données personnelles vers les États-Unis reste juridiquement fragile depuis l'arrêt Schrems II (2020). Le Data Privacy Framework signé en 2023 fournit une base temporaire, mais son espérance de vie juridique est incertaine. Un troisième invalidation par la CJUE est régulièrement anticipée par les juristes.

Pour une organisation, choisir aujourd'hui un éditeur européen pour ses données sensibles, c'est se prémunir contre le risque d'avoir à migrer en urgence demain.

• L'éditeur est-il une société européenne ? (immatriculation, siège social)
• Son capital est-il majoritairement européen ? (pas >24% non-UE au sens SecNumCloud)
• Ses dirigeants sont-ils résidents UE ?
• L'infrastructure est-elle hébergée dans l'UE — et chez un hébergeur lui-même souverain ?
• L'éditeur s'engage-t-il contractuellement à refuser les demandes extraterritoriales ?
• Le code source est-il contrôlé par l'éditeur (pas de dépendance à des composants sous contrôle US pour les parties sensibles) ?
• Quelle est la gouvernance en cas de rachat par un acteur non-UE ?
• L'éditeur est-il certifié SecNumCloud, ou en cours de certification ?

Cyber Coach a été conçu depuis le premier jour comme une plateforme souveraine. Ce n'est pas un argument marketing — c'est une contrainte architecturale et capitalistique.

• Société française, siège en France, capital 100% français
• Hébergement 100% en France, chez un hébergeur souverain
• Infrastructure immunisée du CLOUD Act par construction
• Conformité NIS2, DORA et RGPD by design
• Engagement contractuel de refus de toute demande extraterritoriale
• Équipe technique française, pas de support offshore
• Roadmap de certification SecNumCloud

« Les données de sécurité applicative sont la carte de nos failles. Nous avons fait le choix, depuis le premier jour, de ne les confier qu'à une infrastructure que nous contrôlons entièrement, sans intermédiaire juridique étranger. »