Souverainete numerique

6 min de lecture

SecNumCloud, HDS.

Souveraineté numérique : pourquoi héberger vos données en France

La souveraineté numérique est passée en quelques années d'un concept théorique à un impératif stratégique. Face à la domination des hyperscalers américains et aux révélations successives sur les programmes de surveillance étrangers, la France et l'Europe ont construit un cadre réglementaire parmi les plus protecteurs au monde. Pour les entreprises qui manipulent des données sensibles, le choix de l'hébergement n'est plus anodin : c'est une décision qui engage leur conformité, leur réputation et la confiance de leurs clients.

SecNumCloud : le bouclier souverain de l'ANSSI

Le référentiel SecNumCloud, développé par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), constitue la pierre angulaire de la stratégie française de souveraineté numérique. Cette qualification impose des exigences de sécurité parmi les plus strictes au monde et inclut un critère décisif : l'immunité aux lois extraterritoriales non européennes.

Concrètement, pour obtenir la qualification SecNumCloud, un prestataire cloud ne doit pas être détenu à plus de 25 % par des actionnaires non européens. Cette règle exclut de facto les filiales européennes des géants américains (AWS, Azure, Google Cloud) de la qualification, même lorsqu'elles hébergent les données sur le sol français.

Depuis 2024, SecNumCloud est devenu obligatoire pour les marchés publics impliquant des données sensibles. Les administrations, les collectivités territoriales et les établissements publics doivent désormais recourir à des prestataires qualifiés pour tout traitement de données de santé, de données judiciaires ou de données classifiées.

La qualification SecNumCloud ne se limite pas à des critères techniques de sécurité. Elle intègre une dimension juridique fondamentale : garantir que les données hébergées ne peuvent être saisies ou accédées par des autorités extracommunautaires.

Les hébergeurs français qualifiés

L'écosystème des hébergeurs souverains français s'est considérablement renforcé ces dernières années. Plusieurs acteurs ont obtenu ou sont en cours d'obtention de la qualification SecNumCloud :

  • OVHcloud : leader européen du cloud, OVHcloud a été parmi les premiers à obtenir la qualification SecNumCloud. L'entreprise opère ses propres datacenters en France et en Europe, avec une chaîne de contrôle intégralement européenne.
  • Scaleway (groupe Iliad) : cet hébergeur français propose une infrastructure cloud complète avec des datacenters à Paris et Amsterdam. Scaleway s'est positionné comme une alternative souveraine crédible pour les entreprises de toutes tailles.
  • S3NS (Thales + Google) : cette coentreprise entre Thales et Google Cloud vise à proposer les services Google Cloud sous contrôle souverain français. Les clés de chiffrement sont gérées exclusivement par Thales, et la structure capitalistique répond aux exigences SecNumCloud.
  • Outscale (Dassault Systèmes) : filiale de Dassault Systèmes, Outscale propose un cloud souverain qualifié SecNumCloud, particulièrement adapté aux secteurs régaliens et industriels sensibles.

HDS : la certification santé renforcée

Pour les données de santé, la France dispose d'un cadre spécifique encore plus exigeant : la certification Hébergeur de Données de Santé (HDS). Mise à jour en avril 2024, cette certification impose des exigences renforcées en matière de sécurité, de disponibilité et de confidentialité des données de santé.

Les hébergeurs certifiés HDS doivent renouveler leur certification avant mai 2026 selon le nouveau référentiel. Ce renouvellement introduit des contrôles plus stricts sur la localisation des données et les conditions d'accès, alignant progressivement la certification HDS avec les principes de SecNumCloud.

Le cas du Health Data Hub illustre parfaitement les enjeux de souveraineté dans le secteur de la santé. Cette plateforme nationale de données de santé, initialement hébergée sur Microsoft Azure, doit migrer vers un hébergeur souverain avant fin 2026. Cette migration, imposée par le Conseil d'État et la CNIL, reconnaît qu'un hébergement chez un prestataire américain est incompatible avec la protection des données de santé des citoyens français.

La France, championne européenne de la protection des données

La France occupe une position singulière en Europe en matière de souveraineté numérique. Son cadre réglementaire est l'un des plus protectionnistes du continent, porté par une volonté politique forte et une tradition de protection des libertés individuelles incarnée par la CNIL depuis 1978.

Au niveau européen, le débat autour de l'EUCS (European Union Cybersecurity Certification Scheme) pour le cloud illustre les tensions entre les différentes approches nationales. La France milite activement pour que le niveau le plus élevé de certification EUCS intègre des critères de souveraineté similaires à ceux de SecNumCloud, excluant les prestataires soumis à des lois extraterritoriales. D'autres pays, sous l'influence du lobbying des hyperscalers américains, s'y opposent.

Cette position française n'est pas un protectionnisme déguisé : c'est une réponse pragmatique à une réalité juridique. Le CLOUD Act américain permet aux autorités américaines d'exiger l'accès aux données détenues par des entreprises américaines, où que ces données soient stockées dans le monde. Sans souveraineté sur l'hébergement, la protection offerte par le RGPD reste théorique.

Héberger ses données en France, chez un prestataire français non soumis à des législations extraterritoriales, n'est pas un choix idéologique. C'est la seule manière de garantir juridiquement que vos données ne seront pas accessibles à des autorités étrangères sans votre consentement.

Les risques concrets d'un hébergement non souverain

Les entreprises qui continuent d'héberger leurs données sensibles chez des prestataires non souverains s'exposent à plusieurs risques bien identifiés :

  • Risque juridique : non-conformité au RGPD pour les transferts de données hors UE, exposition aux sanctions des autorités de contrôle qui peuvent atteindre 4 % du chiffre d'affaires mondial.
  • Risque d'accès non autorisé : les lois de surveillance étrangères (CLOUD Act, FISA 702, loi chinoise sur le renseignement) permettent aux gouvernements d'accéder aux données sans que l'entreprise ou les personnes concernées en soient informées.
  • Risque de réputation : les clients et partenaires sont de plus en plus sensibles à la localisation de leurs données. Un incident lié à un accès étranger peut durablement ternir la confiance.
  • Risque d'exclusion des marchés publics : l'obligation SecNumCloud ferme progressivement les marchés publics aux prestataires non qualifiés.

ZeroTrustTransfer : conçu et hébergé en France

ZeroTrustTransfer incarne cette vision de la souveraineté numérique appliquée au transfert de fichiers. Conçu par Kioroeya, une entreprise française, et hébergé intégralement sur des infrastructures situées en France, ZeroTrustTransfer garantit que vos données ne quittent jamais le territoire français.

Au-delà de la localisation, l'architecture zero-knowledge de ZeroTrustTransfer signifie que même Kioroeya n'a aucun accès au contenu de vos fichiers. Le chiffrement de bout en bout AES-256 s'effectue directement sur votre appareil, et les clés de déchiffrement ne sont jamais transmises à nos serveurs. C'est la souveraineté dans sa forme la plus aboutie : vos données restent en France, et seuls vous et vos destinataires peuvent y accéder.

Dans un contexte où la souveraineté numérique devient un critère de sélection pour les marchés publics et un argument commercial pour le secteur privé, choisir un outil de transfert français et souverain est un investissement stratégique. Découvrez ZeroTrustTransfer et reprenez le contrôle de vos données.

Partager

Besoin d'un transfert sécurisé ?

Chiffrement AES-256 côté client. Le serveur ne voit jamais vos fichiers.

Transférer un fichier