Souveraineté numérique : l'Anssi défend la solidité du label SecNumCloud

Publié le par Olivier Devillers , pour Localtis
Europe et international, Numérique

La labellisation d'offres SecNumCloud intégrant des géants américains suscite des interrogations sur les garanties présentées par ce label en matière de souveraineté. Dans un long billet sur LinkedIn, le directeur général de l'Anssi défend la solidité du label et appelle à ne pas se tromper de sujet. Parallèlement, on signalera le lancement d'une consultation de la Commission sur la souveraineté numérique et les logiciels libres.

le post de Vincent Strubel sur linkedin

© AR

Fin décembre 2025, S3NS a obtenu la qualification SecNumCloud 3.2 de l'Anssi. Une décision qui n'est pas passée inaperçue car S3NS est un consortium porté par Thales mais qui intègre aussi Google Cloud. Bleu, porté par Orange et Cap Gemini avec le concours de Microsoft, est pour sa part dans la dernière ligne droite pour décrocher le label. L'irruption des géants américains sur un marché qu'ils dominent déjà largement, fait grincer des dents ceux qui voient ce label comme un moyen de favoriser les offres cloud "souveraines", portées par des acteurs européens.

Cette polémique a conduit Vincent Strubel, directeur général de l'Anssi, à publier un long billet sur LinkedIn le 6 janvier 2026 pour remettre les pendules à l'heure.

Des exigences techniques, juridiques et organisationnelles

"La qualification d'une offre n'est ni une décision arbitraire, ni un choix politique : elle découle d'un processus formalisé d'évaluation de la sécurité", rappelle tout d'abord Vincent Strubel. SecNumCloud repose ainsi sur 1.200 points de contrôle vérifiés par un évaluateur indépendant. Et très prosaïquement, le label, créé en 2014 et régulièrement actualisé, vise à protéger les usages sensibles des administrations et des entreprises contre trois types de risques : techniques (cyberattaques), juridiques (droit applicable) et organisationnels (accès illégitimes).

Protection contre les lois extraterritoriales…

Sur la question de la protection des données des législations extraterritoriales (dont le Cloud Act américain), le DG de l'Anssi est catégorique : "SecNumCloud protège contre ce risque, en attestant que seul un prestataire européen dispose du contrôle des données." Le caractère européen du prestataire est évalué "en termes de siège social et de capitalisation". Et si des sous-traitants non européens interviennent (comme Google et Microsoft), "il doit garantir que ces derniers n'ont en aucun cas accès aux données de ses clients". La qualification exige que le prestataire démontre "son autonomie dans l'exploitation de la technologie".

Vincent Strubel aborde aussi un risque récemment illustré par la coupure de services Microsoft subie par des magistrats de la Cour pénale internationale. "SecNumCloud offre une protection contre ce risque de coupure brutale : le prestataire européen n'est pas tenu de donner suite à une injonction de cette nature."

… mais pas des dépendances technologiques

Il invite ensuite à dissocier la qualification SecNumCloud, centrée sur la cybersécurité de solutions mises sur le marché, des enjeux de souveraineté et de dépendance technologique. Car toutes les offres, hybrides (intégrant un acteur étranger) ou non, souligne-t-il "dépendent de composants électroniques (CPU, GPU, etc.) et logiciels (systèmes d'exploitation, bases de données, couches d'orchestration…) dont la conception ou la mise à jour ne sont pas maîtrisées à 100% en Europe". Il concède toutefois qu'une "offre 'hybride' est sans doute plus exposée à ce risque".

Et de renvoyer l'Europe dans ses cordes en rappelant que la souveraineté numérique est moins une affaire de label que de politique industrielle

› Souveraineté numérique : Bruxelles veut lever les freins à l'adoption de l'open source

La Commission européenne a ouvert le 6 janvier jusqu'au 3 février 2026 une consultation sur l'évolution de la stratégie européenne des écosystèmes numériques open source. La Commission constate un paradoxe : l'open source représente 70 à 90% du code de l'économie numérique, mais la valeur générée profite essentiellement aux géants technologiques extra-européens. Pour réduire la dépendance de l'UE aux technologies non-européennes, elle veut soutenir les communautés de développeurs, mais aussi accélérer l'industrialisation des projets, accroître la visibilité des solutions et favoriser l'adoption des logiciels libres.

La stratégie s'articulera avec le futur Cloud and AI Development Act et le consortium Digital Commons Edic (voir notre article du 30 octobre 2025). Lancé fin octobre 2026 à Paris où il siège, ce consortium associe la France, l'Allemagne, les Pays-Bas et l'Italie. L'Edic doit proposer des alternatives ouvertes dans le domaine de l'IA, du cloud, de cybersécurité et des réseaux sociaux.

Les contributeurs sont invités à se connecter à la plateforme de la Commission.

 

Voir aussi

    Abonnez-vous à Localtis !

    Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

    Découvrir Localtis

    Back to Top of the Page