La souveraineté du cloud est devenue l’un des termes à la mode dans le secteur technologique européen. Gouvernements, entreprises réglementées et fournisseurs de cloud l’utilisent pour parler de contrôle des données, d’indépendance opérationnelle et de protection face aux législations étrangères. Cependant, cette expression ne signifie pas toujours la même chose. CISPE, l’association regroupant les fournisseurs européens d’infrastructures cloud, souhaite clarifier ce débat avec le lancement de son Cadre pour des Services Cloud Souverains et Résilients.

Ce nouveau cadre, présenté à Bruxelles lors de la rencontre EU Tech Sovereignty 2026 par Francisco Mingorance, secrétaire général de CISPE, vise à offrir une méthode vérifiable pour distinguer les services véritablement souverains, les services résilients et les offres qui se revendiquent de la souveraineté sans apporter de garanties vérifiables. L’association résume cette démarche par une expression de plus en plus courante dans le secteur : éviter le « sovereignty washing », ou lavomanie de la souveraineté.

Une réponse à la confusion autour du terme “souverain”

Le lancement intervient à un moment particulièrement sensible pour l’infrastructure numérique européenne. La dépendance vis-à-vis de grands fournisseurs hors de l’Union, la pression réglementaire, l’avancée de l’intelligence artificielle et l’augmentation des dépenses publiques dans le cloud ont transformé la souveraineté numérique en enjeu stratégique. Mais parallèlement, le marché se remplit d’offres qui se présentent comme souveraines en opérant en Europe, en utilisant des centres de données européens ou en respectant des normes de cybersécurité, sans que cela garantisse pour autant une indépendance juridique, opérationnelle ou technique.

CISPE insiste sur le fait que les clients doivent savoir si un service cloud peut être exposé à des interférences de juridictions étrangères, à des risques d’interruption, de blocage d’accès ou de dépendance vis-à-vis d’un fournisseur. Dans sa communication publique, l’association évoque même des services « Trump Proof », une expression frappante pour faire référence à la crainte de décisions politiques ou juridiques de pays tiers pouvant affecter les services numériques utilisés par des organisations européennes.

Le cadre ne se limite pas à poser la question de l’emplacement des données. Son objectif est d’évaluer le contrôle effectif sur les données, l’infrastructure, les charges de travail et les opérations. Cette distinction est cruciale, car une certification en cybersécurité peut prouver qu’un service est bien protégé contre les attaques ou vulnérabilités, mais ne garantit pas nécessairement qu’il soit exempt de risques liés à une dépendance juridique, à un blocage commercial ou à l’irréversibilité.

Services souverains et services résilients : deux trajectoires distinctes

La proposition de CISPE introduit deux catégories complémentaires. D’une part, les services souverains, qui visent à garantir le contrôle par conception. D’autre part, les services résilients, qui acceptent l’existence d’éléments non pleinement souverains, mais exigent des mécanismes techniques et opérationnels permettant au client de garder le contrôle en cas de problème.

Ce distinguo cherche à résoudre une tension fréquente sur le marché. Toutes les organisations ne peuvent aujourd’hui pas contracter des services entièrement souverains pour toutes leurs exigences, notamment lorsqu’elles nécessitent une échelle mondiale, des capacités spécifiques en intelligence artificielle, des écosystèmes logiciels ou une intégration avec des plateformes existantes. Dans ces cas, CISPE considère que la résilience peut constituer une alternative valable, à condition que le client conserve une capacité réelle de réaction.

La comparaison utilisée par l’association est simple : la souveraineté serait comme la pose de pneus anti-crevaison, qui évitent le risque dès la conception ; la résilience ressemblerait plus à des pneus run-flat, permettant de continuer à rouler même en cas de problème. La métaphore, bien que commerciale, permet de saisir l’approche : toutes les charges ne nécessitent pas le même niveau de souveraineté, mais toutes devraient pouvoir être évaluées selon des critères clairs.

Certification par service, pas seulement par fournisseur

Un point clé du cadre est que la certification s’applique à des services cloud spécifiques, pas à l’ensemble de la société. Un fournisseur ne pourra ainsi pas se présenter de manière générique comme « souverain » si seul certains de ses services répondent aux critères. Chaque service devra suivre son propre processus, avec une vérification formelle réalisée par un tiers accrédité.

CISPE indique que les services conformes pourront recevoir des labels spécifiques et apparaître dans un registre public, ce qui facilitera l’identification par les clients et les administrations des offres évaluées. Selon l’association, plus de 40 services ont déjà été déclarés conformes au nouveau cadre, notamment dans des domaines liés aux assistants en intelligence artificielle, au cloud public, à Kubernetes, ou au stockage. Le terme « déclarés » est important : la véritable évaluation résidera dans la profondeur des audits, la transparence du registre et la confiance qu’ils inspireront aux acheteurs publics et privés.

Le cadre intègre également des mesures optionnelles visant à refléter la durabilité environnementale et l’utilisation de logiciels open source. Ces éléments ne sont pas secondaires. En Europe, la souveraineté numérique est souvent associée à d’autres objectifs politiques et industriels : réduction de la dépendance technologique, interopérabilité, transparence, efficacité énergétique et renforcement de l’écosystème local.

La souveraineté cloud dans l’arène réglementaire européenne

Le mouvement de CISPE ne se déploie pas dans le vide. La Commission européenne a déjà développé son propre Cloud Sovereignty Framework pour les processus de passation, avec des objectifs liés à la souveraineté stratégique, juridique, en matière de données et d’intelligence artificielle, d’opérations, de chaîne d’approvisionnement, de technologie, de sécurité et de durabilité environnementale. Ce cadre utilise des niveaux de garanties et des scores pour évaluer les offres cloud.

CISPE, quant à elle, réclame depuis plusieurs mois que l’Europe définisse la souveraineté par un contrôle réel plutôt que par la simple présence en territoire européen ou le respect de standards de sécurité. En mars 2026, l’association avait déjà demandé que la future loi sur le Cloud et le Développement de l’IA place la souveraineté, la résilience et une concurrence équitable au cœur de la politique cloud européenne. Sa position est claire : si la conception de la « cloud souverain » se dilue trop, les grandes plateformes non européennes pourraient continuer à dominer le marché sous de nouvelles étiquettes.

Ce positionnement a aussi une lecture industrielle. CISPE représente les fournisseurs européens d’infrastructure cloud et défend un cadre qui, probablement, favorisera les entreprises à propriété, contrôle opérationnel et chaîne décisionnelle situés en Europe. Cela n’invalide pas ses arguments, mais incite à voir cette initiative comme une composante d’une lutte plus large entre fournisseurs européens, géants américains et gouvernements cherchant à équilibrer sécurité, coût, innovation et autonomie stratégique.

L’impact potentiel de ce cadre dépendra de son adoption. Si les administrations publiques, les entreprises réglementées et les grands acheteurs l’intègrent dans leurs processus de passation, il pourrait devenir une référence clé pour différencier les offres cloud. Sinon, s’il reste une initiative sectorielle sans réelle traction, son influence sera limitée.

Ce qui semble évident, c’est que la période des déclarations vagues sur la souveraineté du cloud touche à sa fin. Dans un marché marqué par l’intelligence artificielle, la concentration des fournisseurs et l’incertitude géopolitique, les clients réclameront plus que de simples promesses. Ils voudront savoir qui opère le service, sous quelle juridiction, avec quelle dépendance technologique, ce qui se passe en cas d’interruption, et comment récupérer ou déplacer leurs charges de travail.

La démarche innovante de CISPE vise précisément à rendre la souveraineté numérique mesurable, vérifiable et comparable. L’enjeu sera de démontrer que ce cadre ne constitue pas une complexification supplémentaire du marché, mais un outil utile pour faciliter de meilleures décisions.

Questions fréquentes

Qu’est-ce que le Cadre CISPE pour des Services Cloud Souverains et Résilients ?

C’est un cadre mis en place par CISPE pour évaluer, auditer et distinguer les services cloud souverains et résilients. Son but est d’aider entreprises et administrations à vérifier si un service offre un contrôle réel sur les données, l’infrastructure, les charges de travail et les opérations.

Quelle différence entre cloud souverain et cloud résilient ?

Un service souverain vise à éviter le risque dès la conception, avec une propriété, une gouvernance et une exploitation dans la juridiction concernée. Un service résilient accepte des dépendances extérieures, mais exige des contrôles tels que chiffrement géré par le client, portabilité, copies indépendantes et possibilité de changer de fournisseur ou de redéployer les charges.

Une certification en cybersécurité garantit-elle la souveraineté du cloud ?

Pas nécessairement. La cybersécurité prouve la protection technique contre les menaces, mais la souveraineté numérique inclut aussi la juridiction, le contrôle opérationnel, l’indépendance technologique, la réversibilité, la chaîne d’approvisionnement et la protection contre les ingérences extérieures.

Pourquoi CISPE évoque-t-il le “sovereignty washing” ?

CISPE utilise cette expression pour dénoncer les offres qui se revendiquent de la souveraineté sans fournir de garanties vérifiables de contrôle réel. Le cadre ambitionne de réduire cette confusion par des audits, des labels et un registre des services évalués.

via : cispe cloud