Regarde l'étiquette. « Cloud souverain », « hébergé en France », un beau logo bleu blanc rouge posé au-dessus. Tes analyses médicales, ta feuille d'impôts, les mouvements de ta carte bancaire dorment peut-être derrière ce drapeau. Question toute simple, celle que la commission a reposée audition après audition : ce drapeau, c'est un blindage — ou une couche de peinture ?
La France a fabriqué un étalon-or. Il s'appelle SecNumCloud.
Avant de juger la peinture, il faut connaître le mètre étalon — et la France en a un. Il s'appelle SecNumCloud : un label délivré par l'ANSSI, l'agence de cybersécurité de l'État. Imagine un contrôle technique à 1 200 points de vérification, avec une règle qui change tout : pour décrocher le tampon, l'entreprise qui exploite tes données doit être européenne, à capitaux européens, hors de portée du droit américain. C'est aujourd'hui, dans le corpus, la référence à laquelle tout le monde se compare.
« Dans ce cadre, cette qualification offre aujourd'hui le niveau de garantie le plus élevé face aux effets du droit extraterritorial. »
— Vincent Strubel (directeur général de l'ANSSI, M. Vincent Strubel, 2026-04-30)
(directeur général de l'ANSSI, l'agence cyber de l'État — il tient SecNumCloud pour le meilleur bouclier disponible contre le droit américain, mais refuse de vendre du rêve.)
**Attention au malentendu : le label ne te protège pas de l'hébergeur, il te protège par lui.** C'est la nuance que Strubel martèle, et elle est décisive pour comprendre toute la suite. SecNumCloud ne pose pas un mur entre toi et ton opérateur ; il exige que cet opérateur soit européen, et lui confie la charge de te protéger des tiers — à commencer par le juge de Washington.
« C'est pourquoi SecNumCloud ne garantit pas la protection des données contre l'opérateur de cloud, mais par celui-ci contre des tiers, et impose qu'il soit européen. »
— Vincent Strubel (directeur général de l'ANSSI, M. Vincent Strubel, 2026-04-30)
Petit rappel du danger que le label cherche à écarter — le fameux Cloud Act. C'est la loi qui permet à un juge américain de réclamer des données détenues par une entreprise américaine, même stockées à Paris. Un peu comme si ton coffre-fort en France restait ouvrable avec une clé fabriquée à Washington. Voilà pourquoi la nationalité de l'opérateur compte plus que l'adresse du data center. Et voilà pourquoi, mécaniquement, un géant américain ne peut pas obtenir le tampon. Il le dit lui-même.
« de nationalité et de capital, nous sommes américains. Par construction, le SecNumCloud ne peut pas être pour nous. »
— Frédéric Geraud de Lescazes (Google Cloud, des représentants en France des Gafam, 2026-05-13)
L'étalon est rare — et l'Europe n'a pas su le graver chez elle
Établi Le bouclier existe, mais il équipe une toute petite armée. La qualité a un prix — un surcoût « évalué entre 25 % et 45 % » par rapport à un hébergement classique, chiffre la Cour des comptes (Emmanuel Marcovitch, M. Emmanuel Marcovitch, 2026-03-17) — et le marché reste minuscule. La responsable de la plateforme des données de santé pose le contraste d'un chiffre :
« Cet historique explique qu'aujourd'hui, nous comptions 302 acteurs certifiés HDS, contre seulement neuf acteurs, sauf erreur, certifiés SecNumCloud. »
— Hela Ghariani (Plateforme des données de santé, Mme Hela Ghariani, 2026-04-29)
Deux sigles, deux exigences : HDS, pour « Hébergeur de Données de Santé », c'est l'agrément minimal pour ranger des données médicales en France ; SecNumCloud, lui, est l'étalon-or, celui qui ajoute l'immunité au droit américain. Attention alors à ce que ce « 9 » veut dire : pas « la France n'a que neuf hébergeurs dignes de confiance ». Il dit qu'entre le label le plus exigeant et le label de santé courant, l'écart d'adoption est énorme. On ne bascule pas tout un pays sur l'étalon-or du jour au lendemain sans faire tomber la moitié du marché.
Pire : quand la France a voulu graver son étalon dans le marbre européen, l'exigence de souveraineté a disparu en route. Le projet de certification européenne, l'EUCS, devait embarquer l'équivalent du critère souverain français — l'immunité au droit américain. Il en est sorti vidé. Le délégué général du Cigref documente le moment de bascule.
« En septembre 2023, le secrétaire d'État américain Antony Blinken a adressé une note diplomatique à la Commission et aux chancelleries européennes, indiquant que l'adoption de l'EUCS en l'état pourrait engendrer des conséquences sur les relations économiques et sécuritaires transatlantiques. »
— Henri d'Agrain (délégué général du Cigref, M. Henri d’Agrain, 2026-04-30)
(délégué général du Cigref, le club des grandes entreprises françaises utilisatrices du numérique — pour lui « souveraineté » est un mot qui appartient aux États, pas une étiquette commerciale.)
Le montage : un opérateur français par-dessus une techno américaine
Puisque le label ferme la porte aux géants américains, une solution est née : garder leur technologie, mais la faire opérer par une société française. C'est le principe de Bleu (une coentreprise Orange–Capgemini bâtie sur la technologie Microsoft) et de S3NS (Thales sur la technologie Google). Sur le papier : capital français, données en France, tampon SecNumCloud visé — mais moteur américain sous le capot. Le patron de Capgemini en fait une doctrine assumée.
« Il est possible de renforcer sa souveraineté technologique sans nécessairement passer par des technologies européennes. »
— Aiman Ezzat (directeur général de Capgemini, M. Aiman Ezzat, 2026-03-26)
(directeur général de Capgemini, géant français des services numériques et co-actionnaire de Bleu — il défend qu'on peut être souverain sans exclure la technologie américaine.)
Disputé Son argument de vente tient en un mot : « étanche ». Selon lui, Bleu est une bulle scellée où l'américain n'entre pas — c'est ce point-là, précisément, que ses contradicteurs refusent de prendre pour argent comptant.
« personne chez Microsoft n'a accès à quoi que ce soit qui se passe dans Bleu. »
— Aiman Ezzat (directeur général de Capgemini, M. Aiman Ezzat, 2026-03-26)
Mais Ezzat concède lui-même le fil qui relie encore la bulle à son fabricant. Un fil contractuel, et payant.
« Bleu a par définition un contrat avec Microsoft, puisqu'il utilise la solution Microsoft : il y a un accord commercial pour rémunérer Microsoft pour l'accès à sa technologie – Microsoft ne fait rien gratuitement ! »
— Aiman Ezzat (directeur général de Capgemini, M. Aiman Ezzat, 2026-03-26)
C'est là que la rapporteure serre le nœud : en remettant Microsoft au cœur des offres les plus sécurisées — celles d'où il était justement exclu —, ne le fait-on pas rentrer par la fenêtre ?
« vous les réintégrez dans le jeu, d'une certaine manière. »
— Cyrielle Chatelain (rapporteure de la commission, M. Aiman Ezzat, 2026-03-26)
Le point qui coince : ceux qui construisent Bleu le reconnaissent aussi
Et l'essentiel vient du camp de la défense. Christel Heydemann dirige Orange, l'un des deux co-actionnaires de Bleu — difficile de la soupçonner de charger sa propre maison. Or elle dit deux choses en même temps, et les deux sont vraies. Un : Bleu protège bien du juge américain. Deux : Bleu ne rend pas la France indépendante de Microsoft.
« Les données sont hébergées en France et ne peuvent pas quitter le territoire – c'est l'essence même de la technologie air gap développée par Microsoft. »
— Christel Heydemann (directrice générale d'Orange, Mme Christel Heydemann, 2026-04-16)
(directrice générale d'Orange, co-investisseuse de Bleu — elle assume que Bleu protège du droit américain, mais refuse de faire croire à une indépendance technologique.)
L'air gap, c'est l'idée d'un sas sans porte vers les États-Unis : les données restent enfermées côté français. Bouclier juridique, donc, réel. Mais Heydemann ne s'arrête pas là, et ce qui suit vient de l'intérieur même du camp qui construit Bleu.
« Il n'y a pas d'indépendance technologique, puisque les briques restent celles fournies par Microsoft. »
— Christel Heydemann (directrice générale d'Orange, Mme Christel Heydemann, 2026-04-16)
Et pour ceux qui rêvent de tout débrancher un matin, elle chiffre la vraie longueur de la laisse : sortir complètement de Microsoft ne se fait pas en un clic.
« la migration de l'ensemble des postes, dans tous les pays où le groupe est implanté, vers cette solution prendrait trois ans. Compte tenu de la vitesse à laquelle surviennent les crises géopolitiques, ce n'est pas envisageable. »
— Christel Heydemann (directrice générale d'Orange, Mme Christel Heydemann, 2026-04-16)
Les critiques : « un drapeau collé sur un serveur américain »
Pour un autre camp, appeler ça « souverain » n'est pas une nuance : c'est un tour de passe-passe qui a même un nom. Le juriste Max Schrems — celui qui a fait tomber devant la justice européenne deux accords successifs de transfert de données vers les États-Unis — l'a baptisé.
« le nouveau terme à la mode dans le monde de la protection de la vie privée est ce qu'on appelle le soveregnity washing , c'est-à-dire le fait de prétendre qu'une solution est souveraine quand, en réalité, on se contente d'utiliser un bon vieux serveur américain en le parant d'un drapeau européen. »
— Max Schrems (fondateur de noyb, M. Max Schrems, 2026-03-26)
(juriste autrichien, fondateur de l'ONG noyb — il soutient que la vraie souveraineté est techniquement possible, mais qu'on ne l'obtient que si un pays fait vraiment appliquer ses lois : la preuve, dit-il, ces mêmes géants la fournissent en Chine.)
Un patron de cloud français va droit au titre de cette pièce. Philippe Miltin dirige Outscale, le cloud de Dassault Systèmes : difficile de le ranger parmi les naïfs.
« Le fait de repeindre en bleu, blanc, rouge ou aux couleurs de l'Europe des technologies américaines ne confère aucune indépendance technologique. »
— Philippe Miltin (directeur général d'Outscale, des fournisseurs de cloud ., 2026-04-21)
(directeur général d'Outscale (Dassault Systèmes), l'un des premiers clouds français labellisés — il réclame un critère d'indépendance technologique dans les référentiels, pas seulement un critère de capital.)
Et le Cigref congédie carrément le vocabulaire, en visant non pas telle offre mais le mot lui-même.
« parler de « solutions souveraines » ou de « cloud souverain » relève bien souvent d'une forme de paresse intellectuelle »
— Henri d'Agrain (délégué général du Cigref, M. Henri d’Agrain, 2026-04-30)
Sur le fond technique, on ne tranche pas — et voici pourquoi
Ici, on s'arrête sur la partie technique : le corpus lui-même n'est pas d'accord, et ce serait malhonnête de faire semblant. Car la même ANSSI qui pose l'étalon vient compliquer le procès en washing. Strubel observe que l'opposition « vrai cloud / cloud repeint » est plus trouble qu'elle n'en a l'air — parfois, la version encadrée est mieux surveillée que le Microsoft banalisé de nos administrations.
« On peut même observer, non sans une certaine ironie, que les mises à jour de Google dans un environnement comme S3NS font l'objet d'un contrôle bien plus attentif que celles de Microsoft, déployées quasi automatiquement sur les systèmes de nos administrations et de nos entreprises. »
— Vincent Strubel (directeur général de l'ANSSI, M. Vincent Strubel, 2026-04-30)
Mais l'autre plateau de la balance existe aussi, et il vient d'une présidente de séance à propos de S3NS (Google détient 5 % du capital) : accorder le tampon à une offre bâtie sur une pile américaine, n'est-ce pas entrouvrir la porte que le label est censé verrouiller ?
« Vu la nature de la plateforme à laquelle s'est liée S3NS et la composition de son capital, je peux dire que l'Anssi a ouvert si ce n'est un portail, du moins un portillon. »
— Sophie-Laurence Roy (présidente de séance, Mme Marie-Laure Denis, 2026-04-15)
Disputé Le cœur du désaccord porte un nom : le « kill switch ». L'image : un interrupteur qu'un acteur étranger pourrait actionner à distance pour couper le service. Ezzat le juge très faible à court terme ; Strubel estime que dans le modèle SecNumCloud, où l'opérateur européen tient la manette, ce scénario de coupure ne s'applique pas ; mais l'UGAP, la centrale d'achat de l'État, refuse de considérer l'affaire close.
« la question du kill switch n'est pas entièrement traitée. »
— Edward Jossa (UGAP, des acheteurs publics, 2026-04-09)
Sur le principe, Strubel donne la clé de lecture qui empêche de couper la poire en deux : face au droit américain, on ne peut pas être « à moitié protégé ».
« lorsqu'il s'agit de se prémunir contre l'application du droit extraterritorial, la logique ne peut être graduelle et est nécessairement binaire. »
— Vincent Strubel (directeur général de l'ANSSI, M. Vincent Strubel, 2026-04-30)
Ce qu'on peut trancher, en revanche, c'est le mécanisme — et là, les deux camps disent la même chose. Fait constant : Bleu tourne sur de la technologie Microsoft, sous contrat payant ; S3NS tourne sur de la technologie Google, qui en détient 5 %. Fait constant : le label le plus exigeant exclut par construction les opérateurs américains. Le désaccord ne porte pas sur ces faits — il porte sur un seul mot. « Souverain » : est-ce que ça décrit une société française qui met du droit et un pare-feu entre toi et Washington ? Ou est-ce que ça devrait exiger, en plus, que la machine sous le capot soit européenne ? Là, le corpus se sépare, et c'est à toi de trancher.
Un dernier fait, concret, pour montrer que rien n'est figé : le plus emblématique des dossiers — la base des données de santé des Français, longtemps hébergée sur Microsoft Azure — a fini par changer de crémerie.
« Le 23 avril 2026, la plateforme des données de santé a officiellement choisi Scaleway pour remplacer Microsoft Azure, la migration devant être effective entre la fin 2026 et le début 2027. »
— David Amiel (gouvernement, Mme Anne Le Hénanff, 2026-05-20)
Pose ta question au dossier.