Cloud souverain français : définition et enjeux

Un enjeu majeur

Cloud souverain français : définition, cadre juridique et certifications

🇫🇷🇫🇷🇫🇷 Entreprise française, serveurs en France

Qu’est-ce qu’un cloud souverain ? Définition officielle

Un cloud souverain est une solution d’hébergement et de traitement de données dont l’intégralité des opérations – infrastructure, exploitation, gestion – est réalisée en France, par une entreprise de droit français, soumise exclusivement à la législation française. Ce modèle garantit que les données sont stockées et traitées conformément aux lois et régulations nationales, offrant ainsi une plus grande protection pour la confidentialité et la sécurité des données.

Cette définition s’inscrit dans le cadre de la stratégie nationale pour le cloud publiée par le ministère de l’Économie, qui distingue les offres souveraines maîtrisées par l’État des offres commerciales qualifiées SecNumCloud, les deux étant protégées de toute réglementation extraterritoriale (source : economie.gouv.fr). Elle repose sur trois critères cumulatifs :

Localisation des données : les serveurs sont physiquement situés en France.
Nationalité juridique de l’opérateur : l’entreprise qui exploite le cloud est soumise au droit français, sans capital ni actionnariat extra-européen pouvant exercer une influence déterminante.
Absence de dépendance extraterritoriale : aucune loi étrangère ne peut contraindre l’opérateur à communiquer des données à un gouvernement tiers.

Ces trois critères sont indissociables. Un cloud dont les serveurs sont en France mais dont l’opérateur est filiale d’un groupe américain ou chinois n’est pas souverain, quelle que soit la conformité RGPD affichée.

Par conséquent, si vos données sont localisées en France mais sont gérées par une entreprise américaine ou chinoise alors le cloud que vous utilisez n’est pas souverain.

Pourquoi la souveraineté numérique est fondamentale ?

Quand nous stockons nos données chez des entreprises étrangères, nous en perdons le contrôle car nous devenons dépendants des réglementations et des pratiques de ces entreprises, qui peuvent différer considérablement des normes et protections offertes dans notre propre pays.

La loi FISA (Foreign Intelligence Surveillance Act) aux États-Unis et la loi chinoise sur le renseignement de 2017 sont des exemples concrets de réglementations qui peuvent affecter la sécurité des données sur des clouds non-souverains. La loi FISA permet aux agences américaines d’obtenir l’accès aux données des non-citoyens américains hors des États-Unis sans mandat. De même, en Chine, la loi exige que les entreprises nationales assistent le gouvernement dans des activités de renseignement incluant l’accès aux données stockées sur leurs serveurs.

Stockez ses données sur des clouds qui ne sont pas souverains, c’est donc s’exposer à des dangers significatifs de fuites, d’espionnage, d’ingérence extérieure, de violations potentielles de confidentialité. Actuellement, en France la majorité des données sont entre les mains de grandes entreprises technologiques, souvent américaines ou chinoises : Amazon, Google et Microsoft stockent 70% des données des citoyens européens.

Leviia : un cloud souverain français certifié ISO 27001 et HDS

Leviia est un fournisseur cloud 100 % français. Notre siège social est en Seine-et-Marne (77), nos serveurs sont répartis entre Paris, Lyon et Marseille. Nous n’avons aucune dépendance capitalistique ou opérationnelle vis-à-vis d’acteurs extra-européens.

Nous sommes certifiés ISO 27001 et HDS, certifications qui s’étendent à l’ensemble de notre organisation : produits, services, processus, métiers et collaborateurs.

Nous assurons ainsi une protection maximale contre les accès non autorisés, les fuites ou les pertes de données, conformément aux réglementations et à la législation française sur la protection des données y compris des données de santé.

Nous proposons deux solutions :

Leviia Next : une suite collaborative souveraine (stockage, partage, édition de documents, messagerie, visioconférence), positionnée comme alternative à Microsoft 365 pour les organisations qui ne peuvent ou ne veulent pas externaliser leurs données vers des acteurs américains.
Leviia Storag3 : un stockage objet compatible S3, souverain, pour les éditeurs de logiciels, ESN et entreprises qui gèrent des volumes importants de données non structurées.