Domaine : Cloud souverain & offres hybrides · Sujet : secnumcloud
Couverture : 53 citations · 17 positions · 22 auditions
_Slugs bruts fusionnés : secnumcloud, cloud-souverain-secnumcloud, secnumcloud-eucs, secnumcloud-anssi, secnumcloud-joint-ventures, secnumcloud-fragmentation, secnumcloud-hybride, secnumcloud-cloud-hybride, certification-europeenne-eucs, certification-europeenne, eucs-immunite-extraterritoriale_
Positions exprimées
- M. Tomasz Blanc (M. Tomasz Blanc) : Le label SecNumCloud, bien que remarquable contre le Cloud Act, est insuffisant pour les données sensibles car les serveurs restent exploités par des salariés du privé non contrôlables ; seule l'exploitation directe par des agents publics est acceptable (Boget refuse d'y déposer la moindre donnée sensible ; Nubo intègre les règles SecNumCloud plus la PSSI-E). _(tranchant 5)_
- (table ronde) (des fournisseurs de cloud .) : Il faut une certification européenne (ou au moins un référentiel commun) intégrant un critère de souveraineté/indépendance technologique, ce que le schéma EUCS a raté. Divergence sur la forme : label vs cadre multi-axes. _(tranchant 4)_
- MM. Antoine Duboscq (M. Antoine Duboscq) : Le critère souverain de SecNumCloud (capital européen, absence de dépendance aux lois extracommunautaires) doit être maintenu comme préférence communautaire et opportunité pour les entreprises françaises ; l'ANSSI rayonne en Europe. _(tranchant 4)_
- M. Vincent Strubel (M. Vincent Strubel) : SecNumCloud offre aujourd'hui le niveau de garantie le plus élevé face au droit extraterritorial et doit être obligatoire pour tout système d'information critique d'OIV hébergé dans le cloud ; une notation graduelle ne peut s'y substituer. _(tranchant 4)_
- M. Henri d’Agrain (M. Henri d’Agrain) : La multiplication des acteurs français de cloud de confiance (Bleu, OVHcloud, Scaleway, Outscale, Cloud Temple...) est économiquement irrationnelle ; il faut concentrer les investissements sur un nombre limité de champions à l’échelle européenne. _(tranchant 4)_
- M. Henri d’Agrain (M. Henri d’Agrain) : Le retrait des critères d’immunité extraterritoriale de l’EUCS résulte d’un lobbying américain (CCIA, BSA, note Blinken) et d’une distinction artificielle « technique / non technique » qui n’a aucun sens pour l’utilisateur ; la révision CSA2 doit réintroduire des labels d’immunité optionnels. _(tranchant 4)_
- (table ronde) (Table ronde, ouverte à la presse, sur les infrastructures numériques) : Le cloud hybride validé par SecNumCloud répond à un besoin immédiat mais ne garantit pas l'autonomie stratégique (Cloud Act) et risque de pérenniser la dépendance extra-européenne. _(tranchant 3)_
- (table ronde) (des directeurs de systèmes d’information de ministères) : Position pragmatique assumée : faute d'offre souveraine conforme et fonctionnellement suffisante, le recours à un acteur US (Salesforce pour Virtuo) peut être décidé avec mesures de sécurité et filtrage des données, sous avis Dinum/Cnil/Anssi. _(tranchant 3)_
- Mme Stéphanie Schaer (Mme Stéphanie Schaer) : La bonne stratégie cloud est mixte et résiliente : des clouds internes (Pi, Nubo) mis au même niveau que le SecNumCloud privé, combinables entre eux, avec SecNum réservé aux données sensibles et non-SecNum ailleurs selon la sensibilité. _(tranchant 3)_
- Mme Marie-Laure Denis (Mme Marie-Laure Denis) : SecNumCloud est une amélioration réelle mais imparfaite : la dépendance demeure via les joint-ventures avec des hyperscalers américains ; il faut néanmoins éviter le fatalisme et faire émerger des alternatives françaises et européennes. _(tranchant 3)_
- Mme Christel Heydemann (Mme Christel Heydemann) : SecNumCloud est plus protectrice que la certification européenne EUCS promue par le CSA ; Orange plaide pour un EUCS+ et propose ses propres offres souveraines (Cloud Avenue) à l'écosystème. _(tranchant 3)_
- M. Arnaud Caudoux (M. Arnaud Caudoux) : Les solutions hybrides SecNumCloud (S3NS Thales-Google, Bleu) fonctionnent, la France est pionnière ; un cloud 100 % européen de bout en bout est illusoire faute de briques matérielles disponibles. _(tranchant 3)_
- (table ronde) (des fournisseurs de cloud .) : SecNumCloud est un référentiel unique en Europe, d'une exigence quasi militaire, qui clarifie le marché face au sovereign washing — mais il ne doit pas devenir un label binaire unique qui assècherait l'offre. _(tranchant 3)_
- MM. Thomas Courbe (M. Thomas Courbe) : Les entreprises doivent recourir à des offres SecNumCloud (17 certifiées) pour leurs données les plus sensibles, à l'image de ce que la loi Sren impose déjà à l'État. _(tranchant 3)_
- MM. Emmanuel Marcovitch (M. Emmanuel Marcovitch) : Il faut trouver un chemin entre l'exigence française forte et l'absence de consensus européen ; la France a eu raison de circonscrire ses exigences de souveraineté (loi Sren, double critère) pour ne pas exclure du marché public les entreprises d'autres États membres, mais l'issue au niveau européen reste incertaine. _(tranchant 2)_
- M. Dominique Luzeaux (M. Dominique Luzeaux) : SecNumCloud est utile (cahier des charges explicite) mais limité : coûteux, peu de solutions certifiées, exigences interprétables et surtout sans équivalent européen, ce qui bride l'export. _(tranchant 2)_
- M. Cédric O (M. Cédric O) : Il défend la conception française de SecNumCloud, avec un niveau d'exigence sécuritaire maximal, contre la position allemande qui intégrerait davantage d'opérateurs extra-européens. _(tranchant 2)_
Citations (verbatim, sourcées)
« L'Anssi a édicté à cette fin la qualification souveraine SecNumCloud, dont bénéficient à ce jour dix-sept fournisseurs de services. »
— Emmanuel Marcovitch — Cour des comptes (audite, audition de M. Emmanuel Marcovitch, 2026-03-17)
_Chiffre-clé sur l'écosystème souverain français : seulement dix-sept fournisseurs qualifiés, mesure de la maturité limitée du marché._
« mais avec un surcoût par rapport à un hébergement traditionnel évalué entre 25 % et 45 %, sans compter le coût de migration pour des applications déjà existantes. »
— Emmanuel Marcovitch — Cour des comptes (audite, audition de M. Emmanuel Marcovitch, 2026-03-17)
_Chiffre le prix économique de la souveraineté : le surcoût SecNumCloud est un frein concret à son adoption._
« le schéma de certification des fournisseurs de service de cloud (EUCS) en cours d'élaboration n'intégrera pas les questions de souveraineté et n'évoquera donc pas un niveau de sécurité de type SecNumCloud. »
— Emmanuel Marcovitch — Cour des comptes (audite, audition de M. Emmanuel Marcovitch, 2026-03-17)
_Révèle l'échec de la France à faire valoir sa vision de la souveraineté au niveau européen, ce qui fragilise le référentiel SecNumCloud._
« nous voyons apparaître des opérateurs tels que Bleu Cloud et S3NS, qui sont souverains dans leur entité et leur financement, mais qui utilisent des technologies américaines, et pour cette raison ne prémunissent pas contre le risque de kill switch . »
— Mme Cyrielle Chatelain (rapporteur, audition de M. Laurent Vilboeuf, 2026-03-17)
_Formule le cœur de la controverse « cloud de confiance » : une souveraineté capitalistique de façade sur une pile technologique américaine ne protège pas de la dépendance matérielle._
« Serait-il pertinent, selon vous, d'aligner la certification HDS sur les exigences de souveraineté de la qualification SecNumCloud ? »
— Mme Cyrielle Chatelain (rapporteur, audition de M. Laurent Vilboeuf, 2026-03-17)
_Ouvre une piste normative concrète : conditionner l'hébergement de données de santé (y compris privé, type Doctolib) à des critères de souveraineté aujourd'hui absents du référentiel HDS._
« son niveau d’exigence n’a pas d’équivalent européen, ce qui pose problème pour l’exporter et répondre aux appels d’offres internationaux. »
— M. Dominique Luzeaux — Otan (ACT) / ancien Agence du numérique de défense (audite, audition de M. Dominique Luzeaux, 2026-03-18)
_Diagnostic des limites de SecNumCloud : isolement normatif français faute d'équivalent européen._
« vous les réintégrez dans le jeu, d’une certaine manière. »
— Mme Cyrielle Chatelain (rapporteur, audition de M. Aiman Ezzat, 2026-03-26)
_Cœur de l'accusation de la rapporteure : en devenant actionnaire de Bleu, Capgemini remet Microsoft dans les offres les plus sécurisées d'où il était exclu._
« Dans le cas du cloud, le Cloud Act américain peut toujours s’appliquer, ce qui crée des zones d’incertitude juridique difficiles à lever complètement. »
— Francesca Musiani — CIS-CNRS (audite, audition de Table ronde, ouverte à la presse, sur les infrastructures numériques, 2026-04-02)
_Pose la limite intrinsèque du cloud hybride SecNumCloud : l'exploitation encadrée ne neutralise pas le droit étranger._
« Je vous pose cette question, qui n’est pas un piège, car j’ai le sentiment qu’on assiste à une sorte de sovereign washing . »
— Philippe Latombe (president, audition de des acheteurs publics, 2026-04-09)
_Le president nomme frontalement le soupçon de « souverainete de façade » derriere les offres cloud dites souveraines d'acteurs americains (AWS European Sovereign Cloud)._
« la question du kill switch n’est pas entièrement traitée. »
— Edward Jossa — Ugap (audite, audition de des acheteurs publics, 2026-04-09)
_Meme les clouds juges souverains (Bleu, S3NS) laissent ouvert le risque d'un arret de service impose de l'exterieur : la souverainete des donnees ne couvre pas la dependance industrielle._
« un acteur américain comme Kyndryl, qui se prévaut, notamment sur LinkedIn, des solutions cloud qu’il fournit au Nuage public pour se féliciter de contribuer à la souveraineté française. »
— Cyrielle Chatelain (rapporteur, audition de des acheteurs publics, 2026-04-09)
_Cas precis de recuperation : un acteur americain utilise l'outil de communication « souverain » de l'Etat (logo bleu-blanc-rouge de Nuage public) pour se faire passer pour un contributeur de la souverainete._
« Tôt ou tard, le besoin de données sera tel qu’il y aura inévitablement un mouvement assez massif vers l’hébergement en cloud au détriment des solutions traditionnelles. »
— Edward Jossa — Ugap (audite, audition de des acheteurs publics, 2026-04-09)
_Prospective : l'IA va pousser massivement vers le cloud, ce qui renforcera mecaniquement la dependance si l'offre souveraine ne suit pas._
« il a été décidé, de façon concertée, de recourir à l'éditeur américain Salesforce, dont l'offre présentait des mesures de sécurité jugées suffisantes. »
— Audran Le Baron — Ministère de l'éducation nationale (DNE) (audite, audition de des directeurs de systèmes d’information de ministères, 2026-04-09)
_Cas emblématique du choix d'un acteur US pour un SIRH sensible faute d'alternative souveraine conforme et fonctionnellement suffisante._
« d’abord la recherche de l’immunité au droit extraterritorial, qui nous conduit à choisir des solutions répondant à cette exigence, notamment le label SecNumCloud lorsqu’il s’agit de données sensibles »
— Mme Stéphanie Schaer — Dinum (audite, audition de Mme Stéphanie Schaer, 2026-04-14)
_Traduit la souveraineté en critère opérationnel : immunité au Cloud Act / droit extraterritorial via SecNumCloud pour les données sensibles._
« Sept acteurs ont obtenu la qualification SecNumCloud et 99% de la commande publique de l’État est orientée vers des acteurs européens, essentiellement français. »
— Mme Stéphanie Schaer — Dinum (audite, audition de Mme Stéphanie Schaer, 2026-04-14)
_Chiffre de réussite avancé par la Dinum : quasi-totalité de la commande cloud centrale vers des acteurs français._
« la commande de cloud aux acteurs privés a augmenté d’un peu plus de 60 % en 2025 »
— Mme Stéphanie Schaer — Dinum (audite, audition de Mme Stéphanie Schaer, 2026-04-14)
_Indicateur de dynamique du marché du cloud de confiance stimulé par la commande publique._
« on pense à la coupure des services en cloud, ce que l’on appelle le kill switch : le risque d’arrêt des services est très prégnant en cas d’interaction avec des acteurs extra-européens ou de soumission à des lois extra-européennes. »
— Mme Stéphanie Schaer — Dinum (audite, audition de Mme Stéphanie Schaer, 2026-04-14)
_Nomme le risque géopolitique majeur (kill switch) qui fonde la stratégie de maîtrise des briques et du poste souverain._
« Ledit risque ne saurait être pleinement couvert par quelque qualification que ce soit, d'autant qu'il ruisselle sur tous les composants d'un cloud, en particulier ses volets logiciels et matériels. »
— Florent Della Valle — Cnil (audite, audition de Mme Marie-Laure Denis, 2026-04-15)
_Nuance d'expert : aucune qualification (SecNumCloud inclus) ne supprime totalement la dépendance, qui « ruisselle » jusque dans le logiciel et le matériel — tempère l'idée d'un label rassurant._
« Vu la nature de la plateforme à laquelle s'est liée S3NS et la composition de son capital, je peux dire que l'Anssi a ouvert si ce n'est un portail, du moins un portillon. »
— Sophie-Laurence Roy (president, audition de Mme Marie-Laure Denis, 2026-04-15)
_Métaphore forte de la présidente de séance suggérant que la qualification SecNumCloud accordée à S3NS (5 % Google, techno Google Cloud) ouvre une brèche dans la souveraineté qu'elle est censée garantir._
« La dépendance demeure, mais il faut tout faire pour qu'émergent des alternatives françaises et européennes. Évitons tout fatalisme. »
— Marie-Laure Denis — Cnil (audite, audition de Mme Marie-Laure Denis, 2026-04-15)
_Ligne d'équilibre de la Cnil face à la critique des joint-ventures : reconnaître la dépendance persistante tout en refusant le fatalisme et en appelant à des alternatives souveraines._
« qu'elles tentent de répondre à des besoins de services dans le cadre de joint-ventures montre une certaine incapacité à dépasser notre dépendance. »
— Cyrielle Chatelain (rapporteur, audition de Mme Marie-Laure Denis, 2026-04-15)
_La rapporteure exprime un scepticisme plus tranché que la Cnil : recourir à des joint-ventures avec les hyperscalers traduit un échec à sortir de la dépendance, pas une solution._
« Un cloud , même souverain dans ses statuts juridiques, ne l’est qu’autant que les infrastructures qui le portent le sont également – les fibres, les câbles sous-marins, les interconnexions de données et toute l’intelligence requise pour les opérer. Si ces couches physiques ne sont pas maîtrisées, il n’est pas de souveraineté numérique qui tienne. »
— Christel Heydemann — Orange (audite, audition de Mme Christel Heydemann, 2026-04-16)
_Thèse-cadre de toute l'audition : Orange, opérateur d'infrastructures, subordonne la souveraineté du cloud à la maîtrise des couches physiques, ce qui légitime son plaidoyer pour les opérateurs télécoms._
« SecNumCloud est effectivement une norme française, et nous plaidons pour son déploiement au niveau européen afin de renforcer notre souveraineté. »
— Cyrielle Chatelain (rapporteur, audition de Mme Christel Heydemann, 2026-04-16)
_Position de la rapporteure : elle plaide pour l'européanisation de SecNumCloud, alignée sur la demande d'un EUCS+ mais posée comme objectif politique de la commission._
« Nous voyons cela comme un mur de briques où l'on essaie, l'une après l'autre, d'avoir des briques souveraines, mais parfois, certaines ont disparu et il n'est pas toujours évident de les remplacer. »
— M. Thierry Sommelet — BPIFrance (audite, audition de M. Arnaud Caudoux, 2026-04-21)
_Métaphore du mur de briques pour dire l'impossibilité d'un cloud 100 % européen de bout en bout._
« Nous avons eu des débats sur le fait que Microsoft pourrait un jour arrêter de fournir les mises à jour de la version spéciale de son logiciel destinée au cloud souverain. »
— M. Thierry Sommelet — BPIFrance (audite, audition de M. Arnaud Caudoux, 2026-04-21)
_Reconnaît la dépendance résiduelle (kill switch potentiel) au cœur du modèle hybride Bleu._
« en finir avec l'idée reçue que la sécurité et la souveraineté seraient incompatibles avec la performance. C'est faux, et nous en sommes la démonstration quotidienne. »
— Sébastien Lescop — Cloud Temple (audite, audition de des fournisseurs de cloud ., 2026-04-21)
_Pose d'entrée le fil directeur de la table ronde : la souveraineté n'est pas un handicap de performance._
« Le fait de repeindre en bleu, blanc, rouge ou aux couleurs de l'Europe des technologies américaines ne confère aucune indépendance technologique. »
— Philippe Miltin — Outscale Dassault Systèmes (audite, audition de des fournisseurs de cloud ., 2026-04-21)
_Attaque frontale contre les offres « souveraines » adossées à des technologies US ; plaide pour un critère d'indépendance technologique dans les référentiels._
« il s'agit véritablement d'une approche militaire du cloud. »
— Octave Klaba — OVHcloud (audite, audition de des fournisseurs de cloud ., 2026-04-21)
_Caractérise le niveau d'exigence unique de SecNumCloud, distinct des certifications de processus._
« je ne parlerai pas de souveraineté, car on ne sait plus très bien ce que l'on met sous ce label, qui a peut-être été victime d'un peu trop de « sovereignty washing ». »
— Damien Lucas — Scaleway (audite, audition de des fournisseurs de cloud ., 2026-04-21)
_Un patron de cloud « souverain » qui refuse le mot souveraineté : rare mise à distance du terme dévoyé._
« Chez Scaleway, nous faisons 72 mises à jour quotidiennes, dont une proportion non négligeable sont des mises à jour de sécurité. Je vois donc deux options : soit ils ont une technologie incroyable que je ne connais pas, soit ils connaissent déjà toutes les failles de sécurité qui seront découvertes dans les douze prochains mois et les ont déjà corrigées. »
— Damien Lucas — Scaleway (audite, audition de des fournisseurs de cloud ., 2026-04-21)
_Démolit par l'ironie la promesse des offres hybrides « souveraines » de tenir un an sans correctifs américains._
« pour un fournisseur de cloud, il faut passer les certifications vingt-sept fois dans le pire des cas. Aucun d'entre nous autour de cette table ne peut se le permettre. »
— Damien Lucas — Scaleway (audite, audition de des fournisseurs de cloud ., 2026-04-21)
_Chiffre le coût de la fragmentation réglementaire qui favorise les géants._
« Or, selon moi, ces deux sujets sont orthogonaux. »
— Alain Garnier — Jamespot / collectif #Fab8 (audite, audition de M. Antoine Duboscq, 2026-04-29)
_Position dissidente au sein même du collectif : découpler souveraineté et cybersécurité._
« elle n'a aucune garantie que ses données ne soient pas consultées par les services de renseignement américains. Je peux d'ailleurs vous assurer que c'est le cas. »
— Thomas Fauré — Whaller / collectif #Fab8 (audite, audition de M. Antoine Duboscq, 2026-04-29)
_Affirmation forte sur l'accès effectif des services américains aux données hébergées aux États-Unis._
« le premier est que le capital de l'entreprise doit être majoritairement européen ; le second est l'absence de dépendance à des lois extracommunautaires. »
— Thomas Fauré — Whaller / collectif #Fab8 (audite, audition de M. Antoine Duboscq, 2026-04-29)
_Explicite le double critère souverain de SecNumCloud, cœur de la préférence communautaire._
« Cet historique explique qu’aujourd’hui, nous comptions 302 acteurs certifiés HDS, contre seulement neuf acteurs, sauf erreur, certifiés SecNumCloud. »
— Mme Hela Ghariani — Plateforme des données de santé (Health Data Hub) (audite, audition de Mme Hela Ghariani, 2026-04-29)
_Chiffre-clé du débat souveraineté du cloud santé : l'écart 302 contre 9 illustre l'impossibilité d'imposer SecNumCloud du jour au lendemain sans effondrer le marché de l'hébergement de santé._
« Dans ce cadre, cette qualification offre aujourd’hui le niveau de garantie le plus élevé face aux effets du droit extraterritorial. »
— M. Vincent Strubel — Anssi (audite, audition de M. Vincent Strubel, 2026-04-30)
_Positionne SecNumCloud comme le meilleur bouclier disponible contre l'extraterritorialité juridique._
« C’est pourquoi SecNumCloud ne garantit pas la protection des données contre l’opérateur de cloud, mais par celui-ci contre des tiers, et impose qu’il soit européen. »
— M. Vincent Strubel — Anssi (audite, audition de M. Vincent Strubel, 2026-04-30)
_Précise la nature exacte de la garantie SecNumCloud : protection par l'opérateur, pas contre lui, d'où l'exigence de nationalité._
« lorsqu’il s’agit de se prémunir contre l’application du droit extraterritorial, la logique ne peut être graduelle et est nécessairement binaire. »
— M. Vincent Strubel — Anssi (audite, audition de M. Vincent Strubel, 2026-04-30)
_Explique pourquoi une notation graduelle du cloud ne peut remplacer une certification face au risque juridique._
« En septembre 2023, le secrétaire d’État américain Antony Blinken a adressé une note diplomatique à la Commission et aux chancelleries européennes, indiquant que l’adoption de l’EUCS en l’état pourrait engendrer des conséquences sur les relations économiques et sécuritaires transatlantiques. »
— M. Henri d’Agrain — Cigref (audite, audition de M. Henri d’Agrain, 2026-04-30)
_Documente une ingérence diplomatique américaine directe dans un dossier de certification européen, cœur du recul sur l’immunité._
« Qu’un risque soit qualifié de technique ou non, dès lors qu’il affecte la confidentialité, l’intégrité ou la disponibilité des données et des traitements associés, il constitue un risque de sécurité numérique. »
— M. Henri d’Agrain — Cigref (audite, audition de M. Henri d’Agrain, 2026-04-30)
_Démonte la distinction juridique technique/non technique utilisée pour évacuer l’immunité extraterritoriale de l’EUCS._
« peut‑on raisonnablement penser qu’une telle dispersion permettra de faire émerger un champion de taille européenne ? »
— M. Henri d’Agrain — Cigref (audite, audition de M. Henri d’Agrain, 2026-04-30)
_Critique directe de la stratégie française de multiplication d’acteurs de cloud de confiance, jugée économiquement irrationnelle._
« même un SecNumCloud ne peut offrir les garanties de sécurité que procure une exploitation directe par des gendarmes au sein de nos propres casernes. »
— M. le général de corps d’armée Marc Boget — Anfsi (audite, audition de M. Tomasz Blanc, 2026-05-07)
_Position tranchée : le label SecNumCloud est jugé insuffisant pour les données sensibles face à l'exploitation par des agents publics._
« Or face au coût mondial de la cybercriminalité, estimé à plus de 10 500 milliards de dollars en 2025, la réalité de la corruption ne peut être ignorée. »
— M. le général de corps d’armée Marc Boget — Anfsi (audite, audition de M. Tomasz Blanc, 2026-05-07)
_Justifie le refus du SecNumCloud pour données sensibles par le risque de corruption d'opérateurs privés non contrôlables._
« le fond du problème est d’ordre politique puisque certains de nos partenaires, soucieux de préserver leur relation avec le gouvernement américain, craignent de créer un contentieux. »
— Thomas Courbe — DGE (direction générale des entreprises) (audite, audition de M. Thomas Courbe, 2026-05-07)
_Nomme la vraie cause du blocage sur la protection extraterritoriale : la réticence politique des partenaires vis-à-vis de Washington._
« Il existe en France 17 offres certifiées SecNumCloud, qui assurent le plus haut niveau de protection, aussi bien sur le plan de la cybersécurité que de l’accès extraterritorial aux données. »
— Thomas Courbe — DGE (direction générale des entreprises) (audite, audition de M. Thomas Courbe, 2026-05-07)
_Chiffre l'offre souveraine certifiée disponible pour les données sensibles._
« Quant aux clients certifiés SecNumCloud, ils représentent moins de 5 % de notre chiffre d'affaires en France. »
— M. Fabrice Coquio — Digital Realty (audite, audition de M. Fabrice Coquio, 2026-05-12)
_Mesure la faiblesse de la part souveraine certifiée dans l'activité d'un opérateur pourtant leader en France._
« Si nos clients en France ont besoin de services de cloud, ils peuvent opter pour du cloud américain, chinois, français, souverain et certifié SecNumCloud… Ils font ce qu'ils veulent ou ce à quoi ils sont contraints. »
— M. Fabrice Coquio — Digital Realty (audite, audition de M. Fabrice Coquio, 2026-05-12)
_Illustre la neutralité revendiquée : Digital Realty ne pilote pas le choix souverain ou non de ses clients cloud._
« de nationalité et de capital, nous sommes américains. Par construction, le SecNumCloud ne peut pas être pour nous. »
— Frédéric Geraud de Lescazes — Google Cloud (audite, audition de des représentants en France des Gafam, 2026-05-13)
_Aveu clair que le SecNumCloud exclut par nature les acteurs américains, justifiant la construction de S3NS avec Thales._
« Nous n’avons pas le droit d’entrer, ni même de sonner, dans cette maison dont nous détenons pourtant 5 % »
— Frédéric Geraud de Lescazes — Google Cloud (audite, audition de des représentants en France des Gafam, 2026-05-13)
_Image concrète de l’étanchéité opérationnelle de S3NS vis-à-vis de Google, argument central sur la crédibilité souveraine de l’offre._
« Il serait aberrant que le plus haut niveau de certification SecNumCloud ne corresponde pas à un niveau d’exigence sécuritaire maximal, ce que la position allemande ne me paraît pas garantir. »
— M. Cédric O (audite, audition de M. Cédric O, 2026-05-13)
_Défense frontale de la conception française de SecNumCloud contre l'assouplissement allemand._
« J’ai l’impression que le débat progresse, principalement grâce – si je puis dire – au président Trump. »
— M. Cédric O (audite, audition de M. Cédric O, 2026-05-13)
_Reconnaît que la prise de conscience européenne de sa dépendance doit paradoxalement à Trump._
« La proportion d'achats publics consacrée à des offres de cloud souveraines progresse d'ailleurs de manière significative, à hauteur de 62 % en 2025. »
— M. David Amiel — Gouvernement (audite, audition de Mme Anne Le Hénanff, 2026-05-20)
_Preuve chiffrée d'un basculement déjà engagé sur le cloud public souverain._
« Le 23 avril 2026, la plateforme des données de santé a officiellement choisi Scaleway pour remplacer Microsoft Azure, la migration devant être effective entre la fin 2026 et le début 2027. »
— M. David Amiel — Gouvernement (audite, audition de Mme Anne Le Hénanff, 2026-05-20)
_Décision emblématique de reprise de souveraineté sur les données de santé, dossier sensible de longue date._