Do not follow this hidden link or you will be blocked from this website !
Cloud de confiance face aux lois extraterritoriales : la mise au point de l’ANSSI
12 / 01 / 2026 Rgpd Sécurité

Cloud de confiance face aux lois extraterritoriales : la mise au point de l’ANSSI

Dans le débat européen sur la souveraineté numérique, la question du cloud « de confiance » et de sa capacité à protéger efficacement les données sensibles revient fréquemment sur le devant de la scène. Cette controverse a récemment poussé le directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), à faire une mise au point importante sur le rôle et les garanties offertes par SecNumCloud, la qualification de sécurité des services cloud élaborée par l’agence française.

SecNumCloud vise à distinguer les offres d’infrastructure et de services en nuage qui respectent un haut niveau d’exigence en matière de cybersécurité. Sa révision 3.2 intègre notamment des mécanismes destinés à répondre aux risques liés aux lois extraterritoriales — comme le Cloud Act américain ou la loi chinoise sur le renseignement de 2017 — qui permettent à des États étrangers d’accéder aux données même si elles sont physiquement stockées en Europe. Dans ce cadre, le référentiel ne prétend pas offrir une indépendance technologique complète, mais il impose que les prestataires qualifiés aient le contrôle effectif des données, même lorsqu’ils recourent à des sous-traitants non européens.

Un autre des risques pris en compte par SecNumCloud est ce que certains qualifient de « kill switch » », c’est-à-dire la possibilité pour un acteur étranger de couper l’accès à des services essentiels en réponse à une injonction locale. Là encore, l’agence vérifie l’autonomie du prestataire quant aux technologies qu’il exploite, ce qui rend techniquement impossible la mise à l’arrêt d’un service qualifié simplement parce qu’une autorité étrangère l’a exigé.

La norme SecNumCloud ne promet pas qu’un prestataire puisse fonctionner de façon totalement autonome contre toute influence étrangère. Dans la pratique, un opérateur cloud a besoin de briques logicielles et matérielles — firmware, bibliothèques, systèmes d’exploitation — souvent conçues et maintenues par des acteurs extra-européens, ce qui crée des dépendances structurelles. Une coupure de ces chaînes logicielles pourrait entraîner une dégradation progressive du niveau de sécurité offert par la plateforme qualifiée.

Cette nuance est importante car elle reflète une réalité plus large du paysage numérique européen : la simple présence physique des données en Europe ne suffit pas à les protéger des contraintes légales étrangères ou des pressions économiques. Comme l’a relevé un rapport du ministère de l’Intérieur allemand, sans dispositifs juridiques et industriels complémentaires, la localisation seule ne protège pas d’éventuelles injonctions internationales sur l’accès aux données.

L’ANSSI réfute l’idée que SecNumCloud soit un instrument de politique industrielle ; il s’agit avant tout d’un outil de cybersécurité, visant à garantir un niveau robuste de protection des données et des traitements sensibles. Les décisions politiques plus larges, y compris celles liées à l’autonomie technologique ou aux stratégies industrielles, relèvent en revanche du pouvoir politique.