Le Cloud Sovereignty Framework
de l'Union Européenne
- 1 Cadre européen d'évaluation de la souveraineté cloud pour les marchés publics (v1.2.1, 2025)
- 2 8 objectifs SOV : gouvernance, juridique, données, opérationnel, chaîne d'appro, tech, sécurité, environnement
- 3 5 niveaux SEAL éliminatoires — une offre sous le seuil est rejetée sans examen du prix
- 4 SOV-5 Chaîne d'appro = 20 % du score, critère le plus pondéré
- 5 Odoo & Sellsy : SEAL-2 en SaaS, SEAL-3 avec hébergement HDS en France
- 6 PME sous-traitantes d'entités NIS2 : exigences dans les contrats dès 2026
Le Cloud Sovereignty Framework (version 1.2.1, octobre 2025) est le cadre de référence de la Commission Européenne pour évaluer la souveraineté des services cloud dans les marchés publics. Il définit 8 objectifs de souveraineté (SOV-1 à SOV-8), un système d'évaluation éliminatoire à 5 niveaux (SEAL-0 à SEAL-4) et un score pondéré pour classer les offres. Son objectif central : garantir que les données des entités publiques européennes restent hors de portée du CLOUD Act américain.
1. Contexte et objectifs du cadre
Élaboré par la Direction générale des services numériques de la Commission Européenne, ce cadre ne repart pas de zéro : il s'articule autour des normes existantes déjà connues des professionnels IT européens.
Gaia-X — Initiative européenne pour un cloud interopérable et souverain
EUCS (ENISA) — Schéma européen de certification de cybersécurité cloud
Cloud de Confiance (France) — Qualification nationale alignée sur SecNumCloud
NIS2 — Directive européenne sur la sécurité des réseaux et systèmes d'information
L'objectif est de compléter les exigences de sécurité classiques par des garanties spécifiques de souveraineté : il ne suffit plus qu'un cloud soit "sécurisé" — il doit aussi être sous contrôle européen et juridiquement immunisé contre les lois étrangères.
Le déclencheur principal est le US CLOUD Act (2018), qui autorise les autorités américaines à contraindre les entreprises tech américaines à fournir des données stockées n'importe où dans le monde, y compris en Europe. AWS, Microsoft Azure et Google Cloud — qui dominent plus de 70 % du marché cloud européen — sont directement concernés.
2. Les 8 objectifs de souveraineté (SOV-1 à SOV-8)
Le cadre décompose la souveraineté numérique en huit piliers distincts que les fournisseurs cloud doivent chacun adresser dans leur réponse à appel d'offres.
Souveraineté Stratégique
Ancrage dans l'écosystème UE : actionnariat, gouvernance, centres de décision et financement européens.
Souveraineté Juridique
Immunité face aux lois extraterritoriales (CLOUD Act US). Juridiction exclusivement européenne applicable.
Souveraineté Données & IA
Contrôle exclusif du client sur le chiffrement. Traitement des données et pipelines IA localisés en UE.
Souveraineté Opérationnelle
Capacité à opérer, maintenir et migrer les services sans dépendance critique envers des acteurs non-UE.
Chaîne d'Approvisionnement
Transparence et origine géographique du matériel et des logiciels. Critère le plus pondéré du score (20 %).
Souveraineté Technologique
Absence de verrouillage propriétaire (lock-in). Utilisation de standards ouverts et auditables.
Souveraineté de Sécurité
SOC et conformité (RGPD, NIS2) sous juridiction UE. Gestion des incidents en Europe.
Durabilité Environnementale
Autonomie énergétique des datacenters et gestion responsable des matières premières.
3. Le système d'évaluation SEAL
L'évaluation repose sur deux mécanismes. Le premier est le système SEAL : un critère éliminatoire à 5 paliers. Si le fournisseur n'atteint pas le niveau minimum requis, son offre est rejetée sans examen du prix.
| Niveau | Nom | Description | Usage typique |
|---|---|---|---|
| SEAL-0 | Aucune souveraineté | Contrôle total hors UE. Fournisseur soumis à des lois étrangères sans protection. | Éliminatoire pour tout marché public |
| SEAL-1 | Souveraineté juridictionnelle | Droit UE applicable mais peu effectif en pratique. | Marchés bas risque uniquement |
| SEAL-2 | Souveraineté des données | Contrôle indirect des données, influence possible de tiers hors UE. | Standard pour marchés sensibles |
| SEAL-3 | Résilience numérique | Influence UE significative, contrôle résiduel marginal hors UE. | Données de santé, OIV |
| SEAL-4 | Pleine souveraineté | Contrôle total UE. Aucune dépendance critique envers des acteurs non-européens. | Données classifiées, défense |
SEAL-0 = données dans un cloud américain standard → votre fournisseur peut être contraint de les communiquer aux autorités US sans vous prévenir.
SEAL-4 = données hébergées en France dans un datacenter 100 % européen, avec chiffrement dont vous seul détenez les clés.
4. Le score de souveraineté pondéré
Une fois les offres qualifiées (seuil SEAL atteint), elles sont classées selon un score pondéré. Voici la répartition officielle :
SOV-5
SOV-1
SOV-4
SOV-6
SOV-2
SOV-3
SOV-7
SOV-8
Lecture stratégique : la chaîne d'approvisionnement (SOV-5) est le critère le plus pondéré, devant même la souveraineté juridique. Cela traduit la préoccupation de l'UE sur l'origine des composants matériels (puces, serveurs) majoritairement produits hors Europe.
5. Méthode d'évaluation concrète
L'évaluation repose sur un questionnaire structuré et des preuves documentaires. Le cadre définit des "facteurs contributifs" précis pour vérifier chaque objectif.
Exemples de preuves attendues par objectif
- SOV-1 Stratégique : organigramme des actionnaires, localisation des centres de décision, origine des financements
- SOV-2 Juridique : avis juridique confirmant l'inapplicabilité du CLOUD Act, contrats sous droit UE exclusivement
- SOV-3 Données/IA : documentation sur les clés de chiffrement (HSM client ?), localisation des datacenters, architecture des pipelines IA
- SOV-4 Opérationnel : plan de continuité sans dépendance US, procédures de portabilité et migration des données
- SOV-5 Chaîne d'appro : origine géographique des serveurs et composants, certifications des fournisseurs matériels
- SOV-6 Technologique : liste des API et standards ouverts, accès au code source ou audit tiers, plan de sortie sans lock-in
- SOV-7 Sécurité : certification ISO 27001, HDS ou SecNumCloud, localisation du SOC, procédures RGPD (notification 72h)
- SOV-8 Environnemental : PUE des datacenters, mix énergétique renouvelable, politique WEEE en fin de vie
Chaque autorité contractante définit librement le niveau SEAL minimum par objectif. Un appel d'offres peut exiger SEAL-3 pour SOV-2 et SOV-3, mais seulement SEAL-2 pour SOV-8. Les fournisseurs doivent démontrer leur niveau objectif par objectif — pas un niveau global unique.
6. Implications pratiques pour les PME françaises
Le Cloud Sovereignty Framework cible les marchés publics, mais ses effets sur l'écosystème PME sont concrets et immédiats.
Positionnement des solutions que nous déployons
| Solution | Gouvernance | Hébergement UE | SEAL SaaS standard | SEAL optimal |
|---|---|---|---|---|
| Odoo | 🇧🇪 Belge / Open source | ✅ Odoo.sh ou on-premise | SEAL-2 | SEAL-3 |
| Sellsy | 🇫🇷 Français (La Rochelle) | ✅ Hébergement FR natif | SEAL-2 | SEAL-3 |
| Brevo | 🇫🇷 Français (Paris) | ✅ Datacenter EU | SEAL-2 | SEAL-2 |
| Microsoft 365 | 🇺🇸 Américain | ⚠️ EU Data Boundary partiel | SEAL-1 | SEAL-2 (Sovereign Cloud) |
Pour la grande majorité des PME françaises non soumises aux marchés publics, un niveau SEAL-2 est largement suffisant et atteignable avec les solutions que nous déployons. L'enjeu n'est pas de viser SEAL-4, mais de documenter votre niveau actuel pour répondre aux exigences de vos donneurs d'ordre.
Réponses aux questions les plus posées par nos clients dirigeants de PME sur la souveraineté cloud.
Qu'est-ce que le Cloud Sovereignty Framework de l'UE exactement ?
Le Cloud Sovereignty Framework (v1.2.1, octobre 2025) est le cadre de référence de la Commission Européenne pour définir et évaluer la souveraineté des services cloud dans les marchés publics. Il définit 8 objectifs SOV, 5 niveaux SEAL (critère éliminatoire) et un score pondéré pour classer les offres qualifiées. Son but : protéger les données publiques européennes du CLOUD Act américain.
Quels sont les 8 objectifs SOV en résumé ?
- SOV-1 — Stratégique : gouvernance et capital ancrés en UE
- SOV-2 — Juridique : immunité CLOUD Act, juridiction UE
- SOV-3 — Données & IA : chiffrement client, localisation UE
- SOV-4 — Opérationnel : pas de dépendance critique non-UE
- SOV-5 — Chaîne d'appro : origine matérielle et logicielle (20 % du score)
- SOV-6 — Technologique : standards ouverts, pas de lock-in
- SOV-7 — Sécurité : RGPD, NIS2, SOC sous juridiction UE
- SOV-8 — Environnemental : autonomie énergétique des datacenters
Comment fonctionnent les niveaux SEAL ?
SEAL (Sovereignty Effectiveness Assurance Levels) est un critère éliminatoire à 5 paliers. L'autorité contractante fixe un niveau minimum par objectif. Une offre sous le seuil est écartée sans examen du prix.
- SEAL-0 : aucune souveraineté → éliminatoire
- SEAL-1 : droit UE peu effectif
- SEAL-2 : souveraineté des données avec contrôle indirect
- SEAL-3 : résilience numérique, influence UE significative
- SEAL-4 : pleine souveraineté, contrôle total UE
Ce cadre concerne-t-il les PME hors marchés publics ?
Pas directement, mais trois catégories de PME sont touchées indirectement :
- Sous-traitants d'entités NIS2 : les donneurs d'ordre répercuteront ces exigences dans leurs cahiers des charges fournisseurs
- Fournisseurs IT du secteur public : ces critères apparaîtront dans les appels d'offres dès 2026
- PME soucieuses du RGPD : aligner ses outils sur SOV-2, SOV-3, SOV-7 renforce mécaniquement la conformité
Odoo et Sellsy sont-ils compatibles avec ce cadre ?
Odoo (belge, open source) : code auditable (SOV-6 ✅), hébergeable en France sur Odoo.sh ou on-premise (SOV-3, SOV-4 ✅), gouvernance européenne (SOV-1, SOV-2 ✅). SEAL-2 en SaaS standard, SEAL-3 atteignable avec hébergement certifié HDS en France.
Sellsy (français, La Rochelle) : hébergement France natif (SOV-3 ✅), gouvernance 100 % française. SEAL-2 en standard, SEAL-3 avec contractualisation renforcée.
Comment évaluer le niveau SEAL de mes outils actuels ?
Quatre étapes concrètes pour votre auto-évaluation :
- 1. Identifier la nationalité juridique de vos fournisseurs cloud (maison-mère, actionnaires)
- 2. Localiser vos données : pays d'hébergement des fichiers, bases, sauvegardes
- 3. Vérifier vos contrats : clause de localisation, droit applicable, notification en cas de demande étrangère
- 4. Recenser vos certifications : ISO 27001, HDS, SecNumCloud, DPA RGPD signé
IXEMELIS propose un diagnostic gratuit de 30 minutes couvrant ces 4 points, avec recommandations adaptées à votre contexte PME.
Évaluez la souveraineté de vos outils cloud
En 30 minutes, nous cartographions votre exposition aux risques CLOUD Act, évaluons votre niveau SEAL actuel et vous recommandons les solutions adaptées à votre contexte PME.
Sans engagement · Réponse sous 24h · Conseil indépendant
Le Cloud Sovereignty Framework
de l'Union Européenne
- 1 Cadre européen d'évaluation de la souveraineté cloud pour les marchés publics (v1.2.1, 2025)
- 2 8 objectifs SOV : gouvernance, juridique, données, opérationnel, chaîne d'appro, tech, sécurité, environnement
- 3 5 niveaux SEAL éliminatoires — une offre sous le seuil est rejetée sans examen du prix
- 4 SOV-5 Chaîne d'appro = 20 % du score, critère le plus pondéré
- 5 Odoo & Sellsy : SEAL-2 en SaaS, SEAL-3 avec hébergement HDS en France
- 6 PME sous-traitantes d'entités NIS2 : exigences dans les contrats dès 2026
Le Cloud Sovereignty Framework (version 1.2.1, octobre 2025) est le cadre de référence de la Commission Européenne pour évaluer la souveraineté des services cloud dans les marchés publics. Il définit 8 objectifs de souveraineté (SOV-1 à SOV-8), un système d'évaluation éliminatoire à 5 niveaux (SEAL-0 à SEAL-4) et un score pondéré pour classer les offres. Son objectif central : garantir que les données des entités publiques européennes restent hors de portée du CLOUD Act américain.
1. Contexte et objectifs du cadre
Élaboré par la Direction générale des services numériques de la Commission Européenne, ce cadre ne repart pas de zéro : il s'articule autour des normes existantes déjà connues des professionnels IT européens.
Gaia-X — Initiative européenne pour un cloud interopérable et souverain
EUCS (ENISA) — Schéma européen de certification de cybersécurité cloud
Cloud de Confiance (France) — Qualification nationale alignée sur SecNumCloud
NIS2 — Directive européenne sur la sécurité des réseaux et systèmes d'information
L'objectif est de compléter les exigences de sécurité classiques par des garanties spécifiques de souveraineté : il ne suffit plus qu'un cloud soit "sécurisé" — il doit aussi être sous contrôle européen et juridiquement immunisé contre les lois étrangères.
Le déclencheur principal est le US CLOUD Act (2018), qui autorise les autorités américaines à contraindre les entreprises tech américaines à fournir des données stockées n'importe où dans le monde, y compris en Europe. AWS, Microsoft Azure et Google Cloud — qui dominent plus de 70 % du marché cloud européen — sont directement concernés.
2. Les 8 objectifs de souveraineté (SOV-1 à SOV-8)
Le cadre décompose la souveraineté numérique en huit piliers distincts que les fournisseurs cloud doivent chacun adresser dans leur réponse à appel d'offres.
Souveraineté Stratégique
Ancrage dans l'écosystème UE : actionnariat, gouvernance, centres de décision et financement européens.
Souveraineté Juridique
Immunité face aux lois extraterritoriales (CLOUD Act US). Juridiction exclusivement européenne applicable.
Souveraineté Données & IA
Contrôle exclusif du client sur le chiffrement. Traitement des données et pipelines IA localisés en UE.
Souveraineté Opérationnelle
Capacité à opérer, maintenir et migrer les services sans dépendance critique envers des acteurs non-UE.
Chaîne d'Approvisionnement
Transparence et origine géographique du matériel et des logiciels. Critère le plus pondéré du score (20 %).
Souveraineté Technologique
Absence de verrouillage propriétaire (lock-in). Utilisation de standards ouverts et auditables.
Souveraineté de Sécurité
SOC et conformité (RGPD, NIS2) sous juridiction UE. Gestion des incidents en Europe.
Durabilité Environnementale
Autonomie énergétique des datacenters et gestion responsable des matières premières.
3. Le système d'évaluation SEAL
L'évaluation repose sur deux mécanismes. Le premier est le système SEAL : un critère éliminatoire à 5 paliers. Si le fournisseur n'atteint pas le niveau minimum requis, son offre est rejetée sans examen du prix.
| Niveau | Nom | Description | Usage typique |
|---|---|---|---|
| SEAL-0 | Aucune souveraineté | Contrôle total hors UE. Fournisseur soumis à des lois étrangères sans protection. | Éliminatoire pour tout marché public |
| SEAL-1 | Souveraineté juridictionnelle | Droit UE applicable mais peu effectif en pratique. | Marchés bas risque uniquement |
| SEAL-2 | Souveraineté des données | Contrôle indirect des données, influence possible de tiers hors UE. | Standard pour marchés sensibles |
| SEAL-3 | Résilience numérique | Influence UE significative, contrôle résiduel marginal hors UE. | Données de santé, OIV |
| SEAL-4 | Pleine souveraineté | Contrôle total UE. Aucune dépendance critique envers des acteurs non-européens. | Données classifiées, défense |
SEAL-0 = données dans un cloud américain standard → votre fournisseur peut être contraint de les communiquer aux autorités US sans vous prévenir.
SEAL-4 = données hébergées en France dans un datacenter 100 % européen, avec chiffrement dont vous seul détenez les clés.
4. Le score de souveraineté pondéré
Une fois les offres qualifiées (seuil SEAL atteint), elles sont classées selon un score pondéré. Voici la répartition officielle :
SOV-5
SOV-1
SOV-4
SOV-6
SOV-2
SOV-3
SOV-7
SOV-8
Lecture stratégique : la chaîne d'approvisionnement (SOV-5) est le critère le plus pondéré, devant même la souveraineté juridique. Cela traduit la préoccupation de l'UE sur l'origine des composants matériels (puces, serveurs) majoritairement produits hors Europe.
5. Méthode d'évaluation concrète
L'évaluation repose sur un questionnaire structuré et des preuves documentaires. Le cadre définit des "facteurs contributifs" précis pour vérifier chaque objectif.
Exemples de preuves attendues par objectif
- SOV-1 Stratégique : organigramme des actionnaires, localisation des centres de décision, origine des financements
- SOV-2 Juridique : avis juridique confirmant l'inapplicabilité du CLOUD Act, contrats sous droit UE exclusivement
- SOV-3 Données/IA : documentation sur les clés de chiffrement (HSM client ?), localisation des datacenters, architecture des pipelines IA
- SOV-4 Opérationnel : plan de continuité sans dépendance US, procédures de portabilité et migration des données
- SOV-5 Chaîne d'appro : origine géographique des serveurs et composants, certifications des fournisseurs matériels
- SOV-6 Technologique : liste des API et standards ouverts, accès au code source ou audit tiers, plan de sortie sans lock-in
- SOV-7 Sécurité : certification ISO 27001, HDS ou SecNumCloud, localisation du SOC, procédures RGPD (notification 72h)
- SOV-8 Environnemental : PUE des datacenters, mix énergétique renouvelable, politique WEEE en fin de vie
Chaque autorité contractante définit librement le niveau SEAL minimum par objectif. Un appel d'offres peut exiger SEAL-3 pour SOV-2 et SOV-3, mais seulement SEAL-2 pour SOV-8. Les fournisseurs doivent démontrer leur niveau objectif par objectif — pas un niveau global unique.
6. Implications pratiques pour les PME françaises
Le Cloud Sovereignty Framework cible les marchés publics, mais ses effets sur l'écosystème PME sont concrets et immédiats.
Positionnement des solutions que nous déployons
| Solution | Gouvernance | Hébergement UE | SEAL SaaS standard | SEAL optimal |
|---|---|---|---|---|
| Odoo | 🇧🇪 Belge / Open source | ✅ Odoo.sh ou on-premise | SEAL-2 | SEAL-3 |
| Sellsy | 🇫🇷 Français (La Rochelle) | ✅ Hébergement FR natif | SEAL-2 | SEAL-3 |
| Brevo | 🇫🇷 Français (Paris) | ✅ Datacenter EU | SEAL-2 | SEAL-2 |
| Microsoft 365 | 🇺🇸 Américain | ⚠️ EU Data Boundary partiel | SEAL-1 | SEAL-2 (Sovereign Cloud) |
Pour la grande majorité des PME françaises non soumises aux marchés publics, un niveau SEAL-2 est largement suffisant et atteignable avec les solutions que nous déployons. L'enjeu n'est pas de viser SEAL-4, mais de documenter votre niveau actuel pour répondre aux exigences de vos donneurs d'ordre.
Réponses aux questions les plus posées par nos clients dirigeants de PME sur la souveraineté cloud.
Qu'est-ce que le Cloud Sovereignty Framework de l'UE exactement ?
Le Cloud Sovereignty Framework (v1.2.1, octobre 2025) est le cadre de référence de la Commission Européenne pour définir et évaluer la souveraineté des services cloud dans les marchés publics. Il définit 8 objectifs SOV, 5 niveaux SEAL (critère éliminatoire) et un score pondéré pour classer les offres qualifiées. Son but : protéger les données publiques européennes du CLOUD Act américain.
Quels sont les 8 objectifs SOV en résumé ?
- SOV-1 — Stratégique : gouvernance et capital ancrés en UE
- SOV-2 — Juridique : immunité CLOUD Act, juridiction UE
- SOV-3 — Données & IA : chiffrement client, localisation UE
- SOV-4 — Opérationnel : pas de dépendance critique non-UE
- SOV-5 — Chaîne d'appro : origine matérielle et logicielle (20 % du score)
- SOV-6 — Technologique : standards ouverts, pas de lock-in
- SOV-7 — Sécurité : RGPD, NIS2, SOC sous juridiction UE
- SOV-8 — Environnemental : autonomie énergétique des datacenters
Comment fonctionnent les niveaux SEAL ?
SEAL (Sovereignty Effectiveness Assurance Levels) est un critère éliminatoire à 5 paliers. L'autorité contractante fixe un niveau minimum par objectif. Une offre sous le seuil est écartée sans examen du prix.
- SEAL-0 : aucune souveraineté → éliminatoire
- SEAL-1 : droit UE peu effectif
- SEAL-2 : souveraineté des données avec contrôle indirect
- SEAL-3 : résilience numérique, influence UE significative
- SEAL-4 : pleine souveraineté, contrôle total UE
Ce cadre concerne-t-il les PME hors marchés publics ?
Pas directement, mais trois catégories de PME sont touchées indirectement :
- Sous-traitants d'entités NIS2 : les donneurs d'ordre répercuteront ces exigences dans leurs cahiers des charges fournisseurs
- Fournisseurs IT du secteur public : ces critères apparaîtront dans les appels d'offres dès 2026
- PME soucieuses du RGPD : aligner ses outils sur SOV-2, SOV-3, SOV-7 renforce mécaniquement la conformité
Odoo et Sellsy sont-ils compatibles avec ce cadre ?
Odoo (belge, open source) : code auditable (SOV-6 ✅), hébergeable en France sur Odoo.sh ou on-premise (SOV-3, SOV-4 ✅), gouvernance européenne (SOV-1, SOV-2 ✅). SEAL-2 en SaaS standard, SEAL-3 atteignable avec hébergement certifié HDS en France.
Sellsy (français, La Rochelle) : hébergement France natif (SOV-3 ✅), gouvernance 100 % française. SEAL-2 en standard, SEAL-3 avec contractualisation renforcée.
Comment évaluer le niveau SEAL de mes outils actuels ?
Quatre étapes concrètes pour votre auto-évaluation :
- 1. Identifier la nationalité juridique de vos fournisseurs cloud (maison-mère, actionnaires)
- 2. Localiser vos données : pays d'hébergement des fichiers, bases, sauvegardes
- 3. Vérifier vos contrats : clause de localisation, droit applicable, notification en cas de demande étrangère
- 4. Recenser vos certifications : ISO 27001, HDS, SecNumCloud, DPA RGPD signé
IXEMELIS propose un diagnostic gratuit de 30 minutes couvrant ces 4 points, avec recommandations adaptées à votre contexte PME.
Évaluez la souveraineté de vos outils cloud
En 30 minutes, nous cartographions votre exposition aux risques CLOUD Act, évaluons votre niveau SEAL actuel et vous recommandons les solutions adaptées à votre contexte PME.
Sans engagement · Réponse sous 24h · Conseil indépendant