Source: Commission européenne (DG for Digital Services) — Contexte: publication du « Cloud Sovereignty Framework » v1.2.1 (octobre 2025), définissant objectifs, niveaux d’assurance et méthode de scoring pour évaluer la souveraineté des services cloud dans les procédures de marchés publics.

Le document précise 8 objectifs de souveraineté (SOV-1 à SOV-8) s’appuyant sur des référentiels et initiatives européens (CIGREF v2, Gaia-X, ENISA/NIS2/DORA) et sur des retours d’expérience nationaux (France « Cloud de Confiance », Allemagne « Souveräner Cloud »). Les objectifs couvrent:

  • SOV-1: Souveraineté stratégique (ancrage UE: gouvernance, stabilité, alignement stratégique)
  • SOV-2: Souveraineté juridique & juridictionnelle (exposition à des lois extra-UE, applicabilité du droit UE)
  • SOV-3: Souveraineté Data & IA (contrôle cryptographique client, localisation UE, autonomie des modèles IA)
  • SOV-4: Souveraineté opérationnelle (opérabilité autonome dans l’UE, pas de lock-in)
  • SOV-5: Souveraineté de la chaîne d’approvisionnement (origine géographique, firmware, logiciels, auditabilité)
  • SOV-6: Souveraineté technologique (ouverture, standards, auditabilité, indépendance HPC)
  • SOV-7: Souveraineté sécurité & conformité (certifications, SOC en UE, logs, patching autonome, audits)
  • SOV-8: Durabilité environnementale (PUE, circularité, transparence carbone/eau, énergies renouvelables)

Le cadre introduit des niveaux d’assurance « SEAL » utilisés comme niveaux minimaux obligatoires dans les appels d’offres, avec rejet si non atteints sur un objectif:

  • SEAL-0: Aucune souveraineté (contrôle et juridiction non-UE)
  • SEAL-1: Souveraineté juridictionnelle (droit UE applicable mais contrôle non-UE)
  • SEAL-2: Souveraineté des données (droit UE applicable et exécutoire, dépendances non-UE matérielles)
  • SEAL-3: Résilience numérique (influence UE significative, dépendances non-UE marginales)
  • SEAL-4: Souveraineté numérique complète (contrôle et juridiction 100% UE, sans dépendances critiques non-UE)

L’évaluation est fondée sur un questionnaire (questions taguées par objectif), des preuves fournies par le soumissionnaire et des informations publiques. Des facteurs contributifs détaillés guident l’analyse, par exemple: gouvernance et financement UE (SOV-1), exposition à des lois à portée extraterritoriale comme le CLOUD Act (SOV-2), contrôle des clés par le client et confinement strict UE des traitements (SOV-3), exploitabilité sans prestataire non-UE et documentation complète (SOV-4), provenance matérielle/logicielle et droits d’audit (SOV-5), standards ouverts et droits d’audit/modification (SOV-6), SOC et reporting sous juridiction UE, patching autonome (SOV-7), et métriques/énergie bas-carbone (SOV-8). Des faiblesses matérielles sur un facteur abaissent le niveau d’assurance retenu.

Un Sovereignty Score complémentaire est calculé pour le classement des offres, en pondérant les points par objectif: SOV-5 (20%), SOV-1 (15%), SOV-4 (15%), SOV-6 (15%), SOV-2 (10%), SOV-3 (10%), SOV-7 (10%), SOV-8 (5%). La pondération tient compte des garde-fous déjà présents en juridique (SOV-2) et sécurité (SOV-7). Le score contribue à la note qualité en tant que critère d’attribution, et les résultats d’évaluation peuvent aussi orienter, pendant l’exécution du marché, le type de systèmes déployables selon les profils de risque.

Type d’article: cadre politique/technique de référence visant à définir et mesurer la souveraineté des services cloud dans les achats publics.

🔗 Source originale : https://interoperable-europe.ec.europa.eu/collection/eprocurement/news/cloud-sovereignty-framework