Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Adossés respectivement aux technologies de Microsoft et de Google Cloud, Bleu et S3NS incarnent l’émergence d’un cloud de confiance présenté comme compatible avec une immunité aux lois extraterritoriales. Leur trajectoire vers la qualification SecNumCloud cristallise un débat de fond sur la portée réelle des garanties juridiques et opérationnelles offertes par ces modèles.
Les acteurs du cloud souverain Bleu (Capgemini, Orange, Microsoft) et S3NS (Thales, Google Cloud) se trouvent au cœur d’une problématique particulière : chacun repose sur un accord technologique avec un fournisseur américain. Cette dépendance, même strictement limitée au plan technique, soulève une question centrale : comment garantir qu’aucune autorité non européenne ne puisse invoquer des lois extraterritoriales comme le Cloud Act ou le FISA (Foreign Intelligence Surveillance Act) pour accéder aux données de leurs clients, alors même que la technologie provient d’entreprises soumises à ces législations ?
Pour Bleu et S3NS, le défi consiste à démontrer que l’usage d’une technologie américaine ne crée aucun lien juridique exploitable par une autorité étrangère pour exiger un accès aux données. Un des principaux leviers utilisés est la certification SecNumCloud que Bleu et S3NS affichent comme un objectif à atteindre. Pour mémoire, SecNumCloud désigne le référentiel de l’ANSSI qui encadre les services cloud destinés aux organisations nécessitant un haut niveau de confiance. Il fixe des exigences strictes en matière de gouvernance, d’hébergement, de maîtrise opérationnelle, de protection des données, de gestion des accès et de sécurité. Il vise à garantir que l’opérateur certifié relève exclusivement du droit européen et qu’aucune autorité étrangère n’est en mesure d’accéder aux données ou aux opérations du service.
Qualification SecNumCloud : le processus est enclenché
En novembre dernier, Bleu a annoncé avoir « franchi une étape importante dans son parcours de qualification SecNumCloud 3.2 », avec la validation du jalon J1 par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). « Le franchissement du jalon J1 marque notre engagement de bâtir un cloud français, sécurisé et conforme aux exigences de l’État. C’est une étape structurante dans notre stratégie de proposer des services cloud à l’état de l’art tout en protégeant les données sensibles de nos clients contre toute ingérence non-européenne. Nous poursuivons notre mobilisation pour obtenir la qualification SecNumCloud 3.2 dans les meilleurs délais », déclare Jean Coumaros, Président de Bleu.
De son côté S3NS a annoncé mi-octobre 2025 la disponibilité générale de son offre de cloud de confiance (PREMI3NS), une offre jusque-là disponible en accès anticipé. « La Disponibilité Générale, une étape clé avant la qualification SecNumCloud. (…) L’objectif pour PREMI3NS reste inchangé : obtenir la qualification SecNumCloud 3.2 de l’ANSSI dans les semaines à venir », peut-on lire sur le site web de S3NS.
Le service communication de Thales, que nous avons contacté, renchérit en avançant les arguments suivants : « SecNumCloud garantit que les données confiées par nos clients ne pourront en aucun cas être accessibles à une autorité non européenne, y compris dans le cadre de lois extraterritoriales américaines telles que le Cloud Act ou le FISA. Notre modèle repose sur un principe simple : une technologie Google Cloud, mais exploitée, managée et contrôlée par une société française, S3NS, détenue par Thales, opérant selon le droit français et européen ». Selon Thales, Google n’a pas d’accès opérationnel ni technique aux données. « Les clés de chiffrement, l’administration des services, la supervision, l’accès au support : tout est réalisé par des équipes S3NS en France, dans des conditions strictement encadrées par le référentiel SecNumCloud ».
Cloud de confiance hybride : une possibilité d’utiliser la technologie américaine à l’état de l’art
Pour Lise Breteau, avocate spécialisée en droit du numérique, la qualification SecNumCloud fixe des critères stricts pour garantir qu’un opérateur cloud relève exclusivement du droit français. Ces critères portent sur l’actionnariat, la gouvernance, la localisation du siège et des activités. « En respectant le cahier des charges de SecNumCloud, nous faisons en sorte que tous les critères de rattachement à la loi française sont bien réunis. Pour Bleu, c’est l’astuce que nous avons trouvée pour pouvoir continuer de bénéficier des technologies américaines. Microsoft n’intervient pas en tant que Microsoft dans l’actionnariat ni dans la joint-venture, mais en tant que partenaire extérieur, fournisseur de technologie. Est-ce que, concrètement, cela suffira pour éviter les intrusions extraterritoriales : à voir avec le temps », analyse-t-elle.
Les déclarations de Lise Breteau sont corroborées par celles de Vincent Strubel, Directeur Général de l’ANSSI, lors de son audition par la commission des affaires étrangères et de la défense du Sénat le 4 novembre 2025 (à 1:45:50) : « Est-ce que les solutions hybrides vont être qualifiées SecNumCloud ? Je n’en préjugerais pas, car ce serait tordre le modèle. Mais rien ne s’y oppose en termes de lecture de leur situation et de leur conformité a priori avec les différents critères d’évaluation. Je ne pense pas que ce soit une mauvaise chose, car ces solutions nous apportent une possibilité d’utiliser la technologie américaine à l’état de l’art, avec des protections supplémentaires, un ancrage européen et une capacité à opérer au niveau européen avec une immunité au droit américain. Cela remplit l’objectif de cybersécurité, cela ne remplit pas peut-être l’objectif de politique industrielle, mais ce n’est pas le but de SecNumCloud ».
L’immunité se démontre par une analyse multidimensionnelle au cas par cas
Pour Catherine Nohra-China, Président-Fondateur de B2CLOUD, acteur indépendant spécialisé dans l’évaluation et le benchmarking des offres cloud depuis 2013, aucun label, certification ou qualification ne permet aujourd’hui de garantir une immunité totale aux lois extraterritoriales. Les discours sur la souveraineté relèvent davantage du positionnement marketing que d’une réalité juridique démontrable. Elle commente : « SecNumCloud est décrit comme une qualification de sécurité issue de la doctrine ‘cloud au centre’, et non comme une certification juridique de souveraineté. Elle introduit certains garde-fous capitalistiques et organisationnels, mais ne constitue pas une protection juridique absolue contre le Cloud Act ou le FISA. Il est impossible d’affirmer qu’un acteur, même qualifié SecNumCloud, est totalement protégé contre une demande d’accès émanant d’une autorité étrangère ».
Selon Catherine Nohra-China, l’immunité ne peut pas être évaluée uniquement à partir de la gouvernance, de l’actionnariat ou des labels obtenus. « L’analyse doit intégrer l’architecture technique, l’isolement réel des services, la localisation effective des briques cloud et la nature globalisée des services hyperscalers, dont certains composants restent opérés depuis les États-Unis. Chez B2CLOUD, nous plaidons pour une évaluation offre par offre, client par client, fondée sur une analyse multidimensionnelle incluant le juridique, le contractuel, le technique, la localisation des services, les SLA et les dépendances fonctionnelles. Tant que ce travail n’est pas mené en profondeur, aucune garantie d’immunité complète ne peut être avancée de manière crédible », conclut-elle.
