SecNumCloud 3.2 : l'étalon de l'immunité juridique cloud

Pourquoi SecNumCloud change la donne

Dans le paysage fragmenté de la cybersécurité cloud, une qualification se distingue par sa rigueur et son ambition : SecNumCloud 3.2, délivrée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Ce n'est pas un simple label marketing. C'est un référentiel technique et juridique exigeant, conçu pour répondre à une menace précise et bien identifiée : l'exposition des données européennes aux lois extraterritoriales étrangères.

Le Cloud Act américain, le FISA Section 702, ou encore la loi chinoise sur le renseignement national permettent à ces États d'exiger l'accès aux données hébergées par leurs entreprises, quel que soit le pays où ces données sont physiquement stockées. Un serveur situé à Paris, opéré par une filiale européenne d'un hyperscaler américain, reste juridiquement accessible aux autorités américaines. SecNumCloud 3.2 a été conçu précisément pour briser cette chaîne de dépendance juridique.

L'article 19.6 : le cœur du dispositif

L'article 19.6 du référentiel SecNumCloud 3.2 constitue la disposition la plus structurante — et la plus débattue — de la qualification. Son exigence est claire : le fournisseur de services cloud qualifié doit être immunisé contre toute législation extraterritoriale non européenne.

Concrètement, cela impose :

• Un actionnariat majoritairement européen : l'entité opératrice du service ne peut être contrôlée, directement ou indirectement, par une entreprise soumise à une juridiction extra-européenne.
• Un siège social en Union européenne : pas de simple filiale — l'entité juridique responsable doit être de droit européen.
• L'absence de lien contractuel ou technique permettant à un tiers non européen d'accéder aux données, aux clés de chiffrement ou aux systèmes d'administration.
• Un personnel habilité exclusivement européen pour les opérations sensibles d'administration et de maintenance.

Ces exigences ne sont pas théoriques. L'ANSSI les vérifie par des audits techniques et organisationnels approfondis, renouvelés régulièrement. Un fournisseur qualifié SecNumCloud qui ne respecterait plus ces critères perdrait sa qualification — et avec elle, l'accès aux marchés publics sensibles et aux données réglementées.

Protection contre les lois extraterritoriales : comment ça fonctionne

Le mécanisme de protection repose sur un principe de rupture de chaîne juridique. Prenons l'exemple de S3NS, la coentreprise Thales-Google Cloud qualifiée SecNumCloud :

• Les clés de chiffrement sont détenues et opérées exclusivement par Thales, entité de droit français. Google n'y a techniquement pas accès.
• L'infrastructure physique est localisée en France, opérée par du personnel français.
• La technologie Google Cloud est utilisée sous licence, mais l'opération du service est juridiquement et techniquement dissociée de Google LLC.

Résultat : même si les autorités américaines invoquaient le Cloud Act auprès de Google, celui-ci serait techniquement et juridiquement incapable de fournir les données hébergées dans l'environnement S3NS. La rupture est à la fois cryptographique, opérationnelle et juridique.

L'alignement avec EUCS : vers un standard européen

Le schéma européen de certification cloud EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), en cours de finalisation sous l'égide de l'ENISA, s'inspire directement des principes posés par SecNumCloud. La France a pesé de tout son poids pour que le niveau le plus élevé de la certification EUCS intègre des exigences d'immunité juridique similaires à celles de l'article 19.6.

L'enjeu est considérable : si EUCS adopte un niveau « High+ » incluant des critères de souveraineté, les fournisseurs déjà qualifiés SecNumCloud bénéficieront d'un avantage structurel sur le marché européen. À l'inverse, les hyperscalers qui n'auraient pas anticipé cette exigence devront créer des structures ad hoc — un processus long, coûteux et incertain.

Pour les entreprises, l'alignement SecNumCloud-EUCS signifie une convergence réglementaire bienvenue : un investissement dans la conformité SecNumCloud aujourd'hui prépare la conformité EUCS de demain, évitant le cauchemar d'une double certification aux exigences divergentes.

Ce que SecNumCloud 3.2 implique concrètement pour les entreprises

Pour les DSI et les RSSI, SecNumCloud 3.2 n'est pas qu'une affaire de conformité réglementaire. C'est un critère de sélection stratégique qui structure les choix d'architecture cloud pour les années à venir :

• Secteur public et OIV : pour les opérateurs d'importance vitale et les administrations, SecNumCloud est en passe de devenir une exigence contractuelle incontournable. La doctrine « Cloud au centre » de l'État français y fait explicitement référence.
• Santé et données HDS : le croisement des exigences HDS (Hébergement de Données de Santé) et SecNumCloud offre le plus haut niveau de protection pour les données médicales sensibles.
• Industrie et R&D : les entreprises soucieuses de protéger leur propriété intellectuelle contre l'espionnage économique trouvent dans SecNumCloud une garantie crédible et vérifiable.
• IA et agents autonomes : à mesure que les agents IA manipulent des données sensibles de manière autonome, l'exigence d'un environnement qualifié SecNumCloud devient un prérequis de gouvernance.

Chez SFEIR, nous aidons nos clients à cartographier leurs workloads en fonction de leur niveau de sensibilité, à identifier ceux qui nécessitent un environnement SecNumCloud, et à concevoir des architectures hybrides qui optimisent le ratio coût-souveraineté. Car toutes les données ne se valent pas — et la réponse n'est jamais « tout dans le cloud souverain » ou « rien dans le cloud souverain ». L'intelligence est dans le placement stratégique.

SecNumCloud 3.2 n'est pas la fin du chemin. C'est la fondation sur laquelle bâtir une confiance numérique durable, vérifiable et juridiquement robuste.