Glosario · Nube soberana de la UE Cloud de Confiance (Trusted Cloud (certificación francesa de nube soberana))
Esquema de certificación del Gobierno francés lanzado en 2021 que designa a los proveedores de nube que cumplen los requisitos de soberanía y seguridad para cargas de trabajo sensibles del sector público y de operadores de importancia vital.
## Qué es realmente Cloud de Confiance
Cloud de Confiance ('Nube de Confianza') es una política pública francesa y un marco de certificación introducidos en **2021** para designar a los proveedores de nube que cumplen un conjunto reforzado de requisitos de soberanía y seguridad. Existe para ofrecer a las administraciones públicas francesas, hospitales, agencias de defensa y operadores de importancia vital (*opérateurs d'importance vitale* — OIV) una base jurídica y operativa para utilizar servicios en la nube en cargas de trabajo sensibles sin exposición a derecho extranjero extraterritorial.
El marco es administrado conjuntamente por **ANSSI** (la agencia francesa de ciberseguridad) y el brazo digital del Gobierno francés (DINUM, secrétariat général pour l'investissement). La base técnica es **SecNumCloud** — la cualificación de la ANSSI para servicios en la nube.
## Qué exige Cloud de Confiance
Para cualificar, un proveedor debe cumplir varios criterios acumulados:
### 1. Cualificación SecNumCloud
La plataforma cloud del proveedor debe contar con la cualificación SecNumCloud de la ANSSI, un estándar de seguridad de alto nivel de garantía que va más allá de ISO 27001 / ISO 27017.
### 2. Inmunidad frente a derecho extraterritorial
El proveedor debe estar estructurado de modo que **ningún derecho fuera de la UE** (en particular la [CLOUD Act](/es/glossary/cloud-act/) estadounidense, FISA Sección 702 u obligaciones chinas de seguridad nacional) pueda obligar a divulgar datos de los clientes. En la práctica, requiere propiedad mayoritariamente europea y control corporativo europeo.
### 3. Residencia de los datos en la UE
Los datos de los clientes y los metadatos deben almacenarse y procesarse exclusivamente en la UE.
### 4. Soberanía operativa
El personal con acceso administrativo debe residir en la UE y estar sujeto al derecho de la UE.
## Proveedores certificados (a 2026)
El conjunto de proveedores que han alcanzado el estatus Cloud de Confiance se mantiene deliberadamente reducido. Certificaciones destacadas:
- **S3NS** — la empresa conjunta Thales / Google Cloud (Thales es accionista mayoritario; opera tecnología de Google Cloud Platform bajo control jurídico francés)
- **Bleu** — empresa conjunta Capgemini / Orange que utiliza tecnología Microsoft Azure bajo control francés (lanzamiento comercial 2024-2025)
- **OVHcloud** — para ofertas específicas cualificadas (el hiperscaler histórico francés)
- **Outscale** (Dassault Systèmes) — cualificada SecNumCloud de forma temprana
- **Numspot** — empresa conjunta Docaposte / Bouygues / Dassault / Banque des Territoires (lanzada en 2024)
- Diversos proveedores de menor tamaño para servicios especializados
Las empresas conjuntas con hiperscalers (S3NS, Bleu) son las más significativas en lo operativo: permiten al Gobierno francés y a los OIV usar tecnología cloud de Google o Microsoft cumpliendo a la vez el derecho de soberanía.
## Por qué importa Cloud de Confiance
### 1. Hizo utilizable jurídicamente la tecnología de los hiperscalers para cargas soberanas
Las empresas conjuntas S3NS y Bleu mostraron que la pila tecnológica puede desacoplarse de la estructura de control jurídico. Las administraciones francesas pueden usar herramientas familiares de Google/Microsoft sin exposición a la CLOUD Act.
### 2. Estableció el patrón regulatorio adoptado en toda Europa
El BSI C5 alemán, el esquema ACN italiano, el ENS español y el borrador de [EUCS](/es/glossary/eucs/) en la UE deben todos una deuda estructural al planteamiento Cloud de Confiance / SecNumCloud.
### 3. Definió la 'verdadera' soberanía
Cloud de Confiance distingue entre *soberanía de marketing* (las 'sovereign cloud regions' de AWS con control domiciliado en EE. UU.) y *soberanía jurídica* (proveedor estructuralmente inmune al derecho extranjero). Esta distinción se está extendiendo ahora por la contratación pública de la UE.
### 4. Aclaró la hoja de ruta del sector público
La 'doctrine cloud au centre' francesa exige que los nuevos proyectos de nube del sector público utilicen Cloud de Confiance para datos sensibles. Es una canalización concreta de contratación para proveedores certificados.
## Cloud de Confiance frente a esquemas adyacentes
| Esquema | País | Foco | Estado |
|--------|---------|-------|--------|
| Cloud de Confiance | Francia | Soberanía + seguridad | Operativo desde 2021 |
| BSI C5 | Alemania | Base de seguridad | Operativo |
| EUCS | UE | Ciberseguridad cloud paneuropea | En desarrollo |
| ENS | España | Seguridad sector público | Operativo |
| ACN | Italia | Marco cibernético nacional | Operativo |
| SecNumCloud | Francia | Base técnica de seguridad | Operativo |
SecNumCloud es el cimiento técnico; Cloud de Confiance es la envoltura más amplia de soberanía a su alrededor.
## Qué significa Cloud de Confiance en la práctica
### Para compradores públicos franceses
Cloud de Confiance es cada vez más obligatorio para cargas sensibles. Los pliegos de contratación lo referencian directamente.
### Para empresas europeas en general
Los proveedores certificados son opciones creíbles independientemente de su nacionalidad. Una empresa SaaS francesa alojada en S3NS u OVHcloud está señalando alineamiento soberano.
### Para hiperscalers estadounidenses
El patrón S3NS / Bleu es la plantilla para participar en la nube europea regulada — *ceder el control jurídico mayoritario a un socio europeo, licenciar la pila tecnológica*. Resulta comercialmente poco atractivo para la mayoría de hiperscalers estadounidenses.
### Para otros proveedores cloud europeos
Cloud de Confiance crea un foso competitivo legítimo frente a los hiperscalers en segmentos franceses regulados.
## Qué traerá 2026-2027
- **Despliegue continuado de S3NS / Bleu** a medida que maduran los modelos operativos de JV
- **Extensión a cargas de IA** — principios de Cloud de Confiance aplicados a infraestructura de IA bajo la EU AI Act
- **Coordinación con EUCS** — si EUCS se finaliza, Cloud de Confiance probablemente se asignará al nivel de garantía más alto
- **Más empresas conjuntas** a medida que los proveedores estadounidenses intentan participar a través de socios franceses
- **Maduración de Numspot** — la JV totalmente francesa se posiciona como la opción más pura en soberanía
## Implicaciones prácticas
Para la mayoría de los compradores europeos de tecnología:
- **Si es una entidad pública francesa**: le afecta directamente
- **Si atiende a clientes del sector público francés**: los proveedores Cloud de Confiance se vuelven estratégicos
- **Si está evaluando la soberanía cloud en general**: este es el marco europeo más maduro; estúdielo
- **Si opera en otras zonas de Europa**: están surgiendo marcos nacionales similares; Cloud de Confiance es la plantilla
Para las decisiones SaaS cotidianas, es contexto de fondo. Para la estrategia de nube soberana, es fundamental.
¿Te resultó útil?
¡Gracias por tu opinión!