Se rendre au contenu

Le Cloud Sovereignty Framework de l'Union Européenne

14 décembre 2025 par
Le Cloud Sovereignty Framework de l'Union Européenne
IXEMELIS, Amélie DAGORN

Le Cloud Sovereignty Framework (version 1.2.1, octobre 2025), est un cadre de référence élaboré par la Commission Européenne (Direction générale des services numériques) pour définir et évaluer la souveraineté des services Cloud dans le cadre des marchés publics. 

Il vise à compléter les exigences de sécurité classiques par des garanties spécifiques de souveraineté, en s'inspirant de normes existantes comme Gaia-X, la certification de cybersécurité de l'UE (ENISA) et les stratégies nationales (comme le "Cloud de Confiance" en France).

Voici une synthèse de ce cadre : 

  1. Les 8 Objectifs de Souveraineté (SOV)Le cadre définit la souveraineté à travers huit piliers distincts que les fournisseurs doivent adresser :

    1. SOV-1 Souveraineté Stratégique : Ancrage dans l'écosystème UE (actionnariat, gouvernance, financement).
    2. SOV-2 Souveraineté Juridique : Immunité face aux lois extraterritoriales (ex: US CLOUD Act) et juridiction exclusivement européenne.
    3. SOV-3 Souveraineté des Données et IA : Contrôle exclusif du client sur le chiffrement, localisation du traitement en UE et indépendance des pipelines d'IA.
    4. SOV-4 Souveraineté Opérationnelle : Capacité à opérer, maintenir et migrer les services sans dépendance critique envers des acteurs non-UE.
    5. SOV-5 Souveraineté de la Chaîne d'Approvisionnement : Transparence et origine géographique du matériel et des logiciels.
    6. SOV-6 Souveraineté Technologique : Absence de verrouillage propriétaire (lock-in) et utilisation de standards ouverts/auditables.
    7. SOV-7 Souveraineté de Sécurité : Gestion de la sécurité (SOC) et conformité (ex: RGPD, NIS2) sous juridiction UE.
    8. SOV-8 Durabilité Environnementale : Autonomie énergétique et gestion des matières premières.

  3. Le Système d'Évaluation à Double Niveau

    L'évaluation des offres repose sur deux mécanismes complémentaires :

    1. Les Niveaux d'Assurance (SEAL - Sovereignty Effectiveness Assurance Levels) Il s'agit d'un critère éliminatoire. L'autorité contractante définit un niveau minimum requis pour chaque objectif. Si l'offre n'atteint pas ce seuil, elle est rejetée. L'échelle comporte 5 niveaux :

      1. SEAL-0 : Aucune souveraineté (contrôle total hors UE).
      2. SEAL-1 : Souveraineté juridictionnelle (droit UE applicable mais peu effectif).
      3. SEAL-2 : Souveraineté des données (contrôle indirect par des tiers hors UE).
      4. SEAL-3 : Résilience numérique (influence significative de l'UE, contrôle marginal hors UE).
      5. SEAL-4 : Pleine souveraineté numérique (contrôle total UE, aucune dépendance critique externe).
    2. Le Score de Souveraineté Il s'agit d'un critère d'attribution utilisé pour classer les offres qualifiées. L'autorité contractante calcule ce score en pondérant les points obtenus sur chaque objectif selon la répartition suivante :• 20% : Chaîne d'approvisionnement (SOV-5).• 15% : Stratégique, Opérationnel, Technologique (SOV-1, 4, 6).• 10% : Juridique, Données/IA, Sécurité (SOV-2, 3, 7).• 5% : Environnement (SOV-8).
  4. Méthode d'Évaluation Concrète
  5. L'évaluation se base sur un questionnaire et des preuves fournies par les soumissionnaires. Le document liste des "facteurs contributifs" précis pour vérifier chaque objectif, tels que la localisation des centres de décision, l'accès au code source, l'origine de la fabrication du