Woordenlijst · EU soevereine cloud Cloud de Confiance (Trusted Cloud (Franse soevereine cloudcertificering))
Franse overheidscertificering, gelanceerd in 2021, die cloudaanbieders aanwijst die voldoen aan eisen op het gebied van soevereiniteit en beveiliging voor gevoelige workloads in de publieke sector en bij operatoren van vitaal belang.
## Wat Cloud de Confiance precies is
Cloud de Confiance ('Vertrouwde Cloud') is een Frans overheidsbeleid en certificeringskader, ingevoerd in **2021**, dat cloudaanbieders aanwijst die voldoen aan een aangescherpte set eisen op het gebied van soevereiniteit en beveiliging. Het bestaat om Franse overheidsdiensten, ziekenhuizen, defensie-instanties en operatoren van vitaal belang (*opérateurs d'importance vitale* — OIV's) een juridische en operationele basis te bieden om cloudservices te gebruiken voor gevoelige workloads zonder blootstelling aan extraterritoriaal buitenlands recht.
Het kader wordt gezamenlijk beheerd door **ANSSI** (het Franse cyberveiligheidsagentschap) en de digitale tak van de Franse overheid (DINUM, secrétariat général pour l'investissement). De technische basis is **SecNumCloud** — de kwalificatie van ANSSI voor cloudservices.
## Wat Cloud de Confiance vereist
Om in aanmerking te komen moet een aanbieder voldoen aan meerdere gestapelde criteria:
### 1. SecNumCloud-kwalificatie
Het cloudplatform van de aanbieder moet beschikken over de SecNumCloud-kwalificatie van ANSSI — een beveiligingsstandaard met hoge assurance die verder gaat dan ISO 27001 / ISO 27017.
### 2. Immuniteit tegen extraterritoriaal recht
De aanbieder moet zo gestructureerd zijn dat **geen niet-EU-recht** (met name de Amerikaanse [CLOUD Act](/nl/glossary/cloud-act/), FISA Section 702 of Chinese nationale-veiligheidsverplichtingen) openbaarmaking van klantgegevens kan afdwingen. In de praktijk vereist dit een meerderheidseigenaarschap in Europese handen en Europese vennootschappelijke zeggenschap.
### 3. Dataresidentie in de EU
Klantgegevens en metadata moeten uitsluitend in de EU worden opgeslagen en verwerkt.
### 4. Operationele soevereiniteit
Personeel met administratieve toegang moet ingezetenen van de EU zijn die onderworpen zijn aan EU-recht.
## Gecertificeerde aanbieders (per 2026)
De groep aanbieders die de Cloud de Confiance-status hebben behaald, blijft bewust klein. Opvallende certificeringen:
- **S3NS** — de joint venture van Thales / Google Cloud (Thales is meerderheidsaandeelhouder; exploiteert Google Cloud Platform-technologie onder Franse juridische controle)
- **Bleu** — joint venture van Capgemini / Orange met gebruik van Microsoft Azure-technologie onder Franse controle (commercieel gelanceerd 2024-2025)
- **OVHcloud** — voor specifieke gekwalificeerde aanbiedingen (de historische Franse hyperscaler)
- **Outscale** (Dassault Systèmes) — vroeg SecNumCloud-gekwalificeerd
- **Numspot** — joint venture van Docaposte / Bouygues / Dassault / Banque des Territoires (gelanceerd 2024)
- Diverse kleinere aanbieders voor gespecialiseerde diensten
De joint ventures met hyperscalers (S3NS, Bleu) zijn operationeel het meest significant — ze laten de Franse overheid en OIV's gebruikmaken van Google- of Microsoft-cloudtechnologie terwijl wordt voldaan aan soevereiniteitswetgeving.
## Waarom Cloud de Confiance belangrijk is
### 1. Het maakte hyperscalertechnologie juridisch bruikbaar voor soevereine workloads
De joint ventures S3NS en Bleu toonden aan dat de technologiestack losgekoppeld kan worden van de juridische controlestructuur. Franse instanties kunnen vertrouwde Google-/Microsoft-tools gebruiken zonder blootstelling aan de CLOUD Act.
### 2. Het zette het regelgevingspatroon dat in heel Europa wordt overgenomen
De Duitse BSI C5, het Italiaanse ACN-schema, het Spaanse ENS en het bredere EU-kader [EUCS](/nl/glossary/eucs/) (in concept) hebben allemaal structurele schuld aan de aanpak van Cloud de Confiance / SecNumCloud.
### 3. Het definieerde 'echte' soevereiniteit
Cloud de Confiance maakt onderscheid tussen *marketingsoevereiniteit* (AWS 'sovereign cloud regions' met in de VS gevestigde zeggenschap) en *juridische soevereiniteit* (aanbieder is structureel immuun voor buitenlands recht). Dit onderscheid verspreidt zich nu over EU-aanbestedingen.
### 4. Het verduidelijkte de routekaart voor de publieke sector
De Franse 'doctrine cloud au centre' verplicht dat nieuwe cloudprojecten in de publieke sector Cloud de Confiance gebruiken voor gevoelige data. Dit is een concrete aanbestedingspijplijn voor gecertificeerde aanbieders.
## Cloud de Confiance versus aanverwante regelingen
| Regeling | Land | Focus | Status |
|--------|---------|-------|--------|
| Cloud de Confiance | Frankrijk | Soevereiniteit + beveiliging | Operationeel sinds 2021 |
| BSI C5 | Duitsland | Beveiligingsbasis | Operationeel |
| EUCS | EU | Pan-EU-cloudcyberveiligheid | In ontwikkeling |
| ENS | Spanje | Beveiliging publieke sector | Operationeel |
| ACN | Italië | Nationaal cyberkader | Operationeel |
| SecNumCloud | Frankrijk | Technische beveiligingsbasis | Operationeel |
SecNumCloud is de technische basis; Cloud de Confiance is het bredere soevereiniteitsomhulsel daaromheen.
## Wat Cloud de Confiance in de praktijk betekent
### Voor Franse afnemers in de publieke sector
Cloud de Confiance wordt steeds vaker verplicht voor gevoelige workloads. Aanbestedingsteksten verwijzen er rechtstreeks naar.
### Voor Europese bedrijven in het algemeen
De gecertificeerde aanbieders zijn geloofwaardige opties ongeacht nationaliteit. Een Frans SaaS-bedrijf dat host op S3NS of OVHcloud signaleert soevereiniteitsafstemming.
### Voor Amerikaanse hyperscalers
Het S3NS-/Bleu-patroon is het sjabloon voor deelname aan gereguleerde Europese cloud — *meerderheids-juridische zeggenschap afstaan aan Europese partner, technologiestack licentiëren*. Dit is voor de meeste Amerikaanse hyperscalers commercieel onaantrekkelijk.
### Voor andere Europese cloudaanbieders
Cloud de Confiance creëert een legitieme concurrentiële slotgracht tegen hyperscalers in gereguleerde Franse segmenten.
## Wat 2026-2027 brengt
- **Voortgezette uitrol van S3NS / Bleu** naarmate de JV-bedrijfsmodellen volwassen worden
- **Uitbreiding naar AI-workloads** — principes van Cloud de Confiance toegepast op AI-infrastructuur onder de EU AI Act
- **Coördinatie met EUCS** — als EUCS wordt afgerond, zal Cloud de Confiance waarschijnlijk worden gemapt op het hoogste assuranceniveau
- **Meer joint ventures** terwijl Amerikaanse aanbieders proberen deel te nemen via Franse partners
- **Volwassenwording van Numspot** — de volledig Franse JV positioneert zich als de meest soevereiniteitszuivere optie
## Praktische implicaties
Voor de meeste Europese techinkopers:
- **Als u een Franse entiteit in de publieke sector bent**: dit raakt u rechtstreeks
- **Als u klanten in de Franse publieke sector bedient**: aanbieders met Cloud de Confiance worden strategisch
- **Als u cloudsoevereiniteit breder evalueert**: dit is het meest volwassen Europese kader — bestudeer het
- **Als u elders in Europa opereert**: vergelijkbare nationale kaders zijn in opkomst; Cloud de Confiance is het sjabloon
Voor alledaagse SaaS-keuzes is dit achtergrondcontext. Voor strategie rond soevereine cloud is het fundamenteel.
Was dit nuttig?
Bedankt voor je feedback!