Glossaire · Cloud souverain UE Cloud de Confiance (Trusted Cloud (certification française de cloud souverain))
Dispositif de certification du gouvernement français lancé en 2021 qui désigne les fournisseurs de cloud répondant aux exigences de souveraineté et de sécurité pour les charges de travail sensibles du secteur public et des opérateurs d'importance vitale.
## Ce qu'est réellement le Cloud de Confiance
Le Cloud de Confiance est une politique publique française et un cadre de certification introduits en **2021** afin de désigner les fournisseurs de cloud qui satisfont à un ensemble renforcé d'exigences de souveraineté et de sécurité. Il existe pour offrir aux administrations publiques françaises, aux hôpitaux, aux agences de défense et aux opérateurs d'importance vitale (OIV) une base juridique et opérationnelle pour utiliser des services cloud sur des charges de travail sensibles sans exposition au droit étranger extraterritorial.
Le cadre est administré conjointement par l'**ANSSI** (Agence nationale française de la sécurité des systèmes d'information) et le bras numérique du gouvernement français (DINUM, secrétariat général pour l'investissement). Le socle technique est **SecNumCloud** — la qualification de l'ANSSI pour les services cloud.
## Ce qu'exige le Cloud de Confiance
Pour être qualifié, un fournisseur doit satisfaire à plusieurs critères empilés :
### 1. Qualification SecNumCloud
La plateforme cloud du fournisseur doit détenir la qualification SecNumCloud de l'ANSSI — une norme de sécurité à haute assurance qui va au-delà d'ISO 27001 / ISO 27017.
### 2. Immunité au droit extraterritorial
Le fournisseur doit être structuré de telle sorte qu'**aucun droit hors UE** (notamment le [CLOUD Act](/fr/glossary/cloud-act/) américain, la FISA Section 702 ou les obligations chinoises de sécurité nationale) ne puisse contraindre à la divulgation de données clients. En pratique, cela impose une propriété majoritairement européenne et un contrôle d'entreprise européen.
### 3. Résidence des données dans l'UE
Les données clients et les métadonnées doivent être stockées et traitées exclusivement dans l'UE.
### 4. Souveraineté opérationnelle
Le personnel disposant d'un accès administrateur doit être résident dans l'UE et soumis au droit de l'UE.
## Fournisseurs certifiés (en 2026)
L'ensemble des fournisseurs ayant obtenu le statut Cloud de Confiance reste délibérément restreint. Certifications notables :
- **S3NS** — la coentreprise Thales / Google Cloud (Thales est actionnaire majoritaire ; opère la technologie Google Cloud Platform sous contrôle juridique français)
- **Bleu** — coentreprise Capgemini / Orange utilisant la technologie Microsoft Azure sous contrôle français (lancement commercial 2024-2025)
- **OVHcloud** — pour certaines offres qualifiées (l'hyperscaler français historique)
- **Outscale** (Dassault Systèmes) — qualifié SecNumCloud précocement
- **Numspot** — coentreprise Docaposte / Bouygues / Dassault / Banque des Territoires (lancée en 2024)
- Divers fournisseurs plus petits pour des services spécialisés
Les coentreprises avec les hyperscalers (S3NS, Bleu) sont les plus significatives sur le plan opérationnel — elles permettent au gouvernement français et aux OIV d'utiliser la technologie cloud de Google ou Microsoft tout en respectant le droit de la souveraineté.
## Pourquoi le Cloud de Confiance compte
### 1. Il a rendu la technologie des hyperscalers juridiquement utilisable pour les charges souveraines
Les coentreprises S3NS et Bleu ont montré que la pile technologique peut être découplée de la structure de contrôle juridique. Les administrations françaises peuvent utiliser les outils familiers de Google/Microsoft sans exposition au CLOUD Act.
### 2. Il a posé le schéma réglementaire adopté à travers l'Europe
Le BSI C5 allemand, le dispositif italien de l'ACN, l'ENS espagnol et le brouillon d'[EUCS](/fr/glossary/eucs/) à l'échelle de l'UE doivent tous structurellement leur conception à l'approche Cloud de Confiance / SecNumCloud.
### 3. Il a défini la « vraie » souveraineté
Le Cloud de Confiance distingue la *souveraineté marketing* (les « sovereign cloud regions » d'AWS avec un contrôle domicilié aux États-Unis) de la *souveraineté juridique* (fournisseur structurellement immunisé contre le droit étranger). Cette distinction se diffuse désormais dans les marchés publics européens.
### 4. Il a clarifié la feuille de route du secteur public
La « doctrine cloud au centre » française impose que les nouveaux projets cloud du secteur public utilisent le Cloud de Confiance pour les données sensibles. C'est un pipeline d'achat concret pour les fournisseurs certifiés.
## Cloud de Confiance vs dispositifs adjacents
| Dispositif | Pays | Objectif | Statut |
|--------|---------|-------|--------|
| Cloud de Confiance | France | Souveraineté + sécurité | Opérationnel depuis 2021 |
| BSI C5 | Allemagne | Base de sécurité | Opérationnel |
| EUCS | UE | Cybersécurité cloud pan-UE | En développement |
| ENS | Espagne | Sécurité secteur public | Opérationnel |
| ACN | Italie | Cadre cyber national | Opérationnel |
| SecNumCloud | France | Base technique de sécurité | Opérationnel |
SecNumCloud est le fondement technique ; le Cloud de Confiance est l'enveloppe de souveraineté plus large autour de lui.
## Ce que le Cloud de Confiance signifie en pratique
### Pour les acheteurs publics français
Le Cloud de Confiance devient de plus en plus obligatoire pour les charges sensibles. Le langage des marchés y fait directement référence.
### Pour les entreprises européennes en général
Les fournisseurs certifiés sont des options crédibles indépendamment de la nationalité. Une SaaS française hébergeant sur S3NS ou OVHcloud signale un alignement souverain.
### Pour les hyperscalers américains
Le schéma S3NS / Bleu est le modèle pour participer au cloud européen régulé — *céder le contrôle juridique majoritaire à un partenaire européen, licencier la pile technologique*. C'est commercialement peu attractif pour la plupart des hyperscalers américains.
### Pour les autres fournisseurs cloud européens
Le Cloud de Confiance crée un avantage concurrentiel légitime face aux hyperscalers dans les segments français régulés.
## Ce que 2026-2027 apporte
- **Poursuite du déploiement S3NS / Bleu** à mesure que les modèles opérationnels JV mûrissent
- **Extension aux charges d'IA** — les principes du Cloud de Confiance appliqués aux infrastructures d'IA sous l'EU AI Act
- **Coordination avec l'EUCS** — si l'EUCS est finalisé, le Cloud de Confiance correspondra probablement au plus haut niveau d'assurance
- **Davantage de coentreprises** alors que les fournisseurs américains tentent de participer via des partenaires français
- **Maturation de Numspot** — la JV 100 % française se positionne comme l'option la plus pure en matière de souveraineté
## Implications pratiques
Pour la plupart des acheteurs européens de technologie :
- **Si vous êtes une entité publique française** : cela vous concerne directement
- **Si vous servez des clients du secteur public français** : les fournisseurs Cloud de Confiance deviennent stratégiques
- **Si vous évaluez la souveraineté du cloud au sens large** : c'est le cadre européen le plus mature — étudiez-le
- **Si vous opérez ailleurs en Europe** : des cadres nationaux similaires émergent ; le Cloud de Confiance est le modèle
Pour les choix SaaS quotidiens, c'est un contexte de fond. Pour une stratégie de cloud souverain, c'est fondamental.
Cela vous a-t-il été utile ?
Merci pour votre retour !