Mardi 17 Février 2026, par Benjamin Lepeltier
Autre
Il y a des décisions politiques qui passent presque inaperçues. Pas d’annonce spectaculaire, pas de conférence de presse grand public. Pourtant, elles façonnent l’avenir numérique de tout un continent.
C’est exactement ce qui vient de se produire à Bruxelles.
Selon une analyse publiée par Le Monde Informatique, l’Union européenne a choisi de ne pas intégrer un équivalent de la qualification français SecNumCloud dans son futur cadre de certification cloud.
Derrière cette décision technique se cache une question essentielle : qui contrôle vraiment les données européennes ?
Aujourd’hui, le cloud est partout. Quand une administration stocke des dossiers médicaux, quand une entreprise gère ses emails, quand une start-up déploie son application… tout passe par des centres de données distants.
Ces infrastructures sont souvent opérées par de grands acteurs internationaux. Cela fonctionne très bien techniquement. Mais un détail change tout : le droit applicable.
Car dans le monde numérique, la question n’est pas seulement “où sont les serveurs ?” C’est aussi : à quelles lois est soumis le fournisseur ?
Pour répondre à ces enjeux, la France a créé une qualification particulièrement exigeante : SecNumCloud.
Délivré par l’ANSSI, il ne se contente pas de vérifier la solidité technique d’un prestataire. Il impose aussi des garanties fortes contre les lois extraterritoriales, comme la FISA ou le Cloud Act américain, qui peut contraindre une entreprise américaine à transmettre certaines données aux autorités Américaines, même si ces données sont stockées en Europe.
Cette qualification impose :
Concrètement, c’est une qualification de confiance très élevé, souvent qualifié de “cloud de confiance”, car il combine des critères cyber et juridiques qui ne se retrouvent pas dans toutes les certifications existantes.
Au niveau européen, un projet baptisé EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) est en préparation depuis plusieurs années. Il s’inscrit dans le cadre du Cybersecurity Act, qui vise à harmoniser les certifications de cybersécurité dans l’Union européenne.
Dans l’esprit de Paris, cette certification européenne devait intégrer un niveau équivalent au SecNumCloud français, parfois appelé niveau High+, avec des garanties contre les lois extraterritoriales.
Mais dans la version récente du Cybersecurity Act présentée en janvier 2026, la Commission européenne n’a pas inclus ce niveau spécifique ni d’exigences juridiques fortes sur ce point : le texte se concentre surtout sur des aspects purement techniques liés à la cybersécurité, plutôt que sur les questions de souveraineté juridique.
Pour la France, c’est un revers : l’absence d’un “SecNumCloud européen” signifie que ses entreprises certifiées ou en cours de certification ne pourront pas forcément mutualiser leurs investissements à l’échelle du continent et que la reconnaissance d’exigences juridiques strictes à l’échelle européenne serait pour l’instant reportée.
Le débat sur la souveraineté numérique ne disparaît pas avec cette décision. Au contraire, il s’intensifie. La Commission européenne prévoit de publier en mars un “package souveraineté” qui pourrait inclure de nouvelles propositions concernant l’IA, le cloud ou l’open source, et potentiellement relancer la discussion sur ces enjeux.
Le refus d’un “SecNumCloud européen” n’est peut-être qu’une étape. Car dans un monde où les données sont devenues une ressource stratégique, la question du contrôle ne peut pas rester longtemps en arrière-plan.
Et c’est bien là tout l’enjeu : Le cloud n’est plus seulement une infrastructure technique, Il est devenu un sujet de souveraineté.
Au-delà du débat européen, une réalité demeure : en France, SecNumCloud reste la référence la plus exigeante pour les services cloud destinés aux environnements sensibles.
Chez Cyberzen, nous accompagnons des entreprises dans leur démarche de qualification SecNumCloud :
Parce que SecNumCloud n’est pas qu’une qualification : c’est une transformation en profondeur des pratiques de sécurité, d’architecture et de gouvernance. Bien préparée, cette démarche devient aussi un avantage compétitif et un marqueur fort de confiance sur le marché.
