Sortez du cloud américain: Sovereign SaaS propose un aperçu + des recommandations d'action

La nécessité de la souveraineté numérique pour les entreprises européennes

La transformation numérique progresse à un rythme effréné, et le cloud computing, notamment le modèle SaaS (Software-as-a-Service), est devenu un outil indispensable pour les entreprises de toutes tailles. Il offre flexibilité, évolutivité et accès aux technologies innovantes. Parallèlement, cette évolution a engendré une forte dépendance à l'égard d'un petit nombre de fournisseurs de services cloud, principalement basés aux États-Unis.

Convient à:

• Pourquoi la loi sur le cloud américain est un problème et un risque pour l'Europe et le reste du monde: une loi avec des conséquences de grande envergure

Problématique : Dépendance croissante aux fournisseurs de cloud américains

Le marché européen du cloud est clairement dominé par les géants américains du cloud : Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP). Ces fournisseurs contrôlent une part importante du marché mondial. Même les principaux acteurs européens, tels que SAP et Deutsche Telekom, n’obtiennent qu’une faible part de marché en Europe. Cette concentration comporte un risque inhérent : une grande partie de l’infrastructure cloud mondiale, et notamment européenne, est potentiellement soumise à la juridiction américaine. Par conséquent, la prise de conscience des risques liés à cette dépendance s’accroît au sein des entreprises européennes et, de plus en plus, des administrations publiques. Les préoccupations relatives à la protection et à la sécurité des données, ainsi qu’à la perte de contrôle des données et processus critiques, prennent une importance croissante. La question de la souveraineté numérique devient un impératif stratégique.

Pertinence de la souveraineté des données et de la conformité au RGPD

Au cœur des préoccupations européennes se trouve le Règlement général sur la protection des données (RGPD). Depuis 2018, il constitue le cadre juridique strict de la protection des données personnelles au sein de l'Union européenne et réglemente en détail leur traitement et leur transfert, notamment vers des pays hors UE. Pour les entreprises européennes, la conformité au RGPD représente non seulement une obligation légale, mais aussi un facteur crucial pour préserver la confiance de leurs clients et partenaires commerciaux. Parallèlement, le concept de souveraineté numérique prend de l'importance. Il traduit l'ambition de l'Europe de reprendre ou de conserver la maîtrise de ses données, technologies et infrastructures numériques. Il ne s'agit pas seulement d'une question de protection des données, mais aussi d'un objectif de politique industrielle visant à renforcer l'économie et la compétitivité européennes dans un monde numérique globalisé. Pour les entreprises, cela implique de repenser leurs stratégies cloud et de rechercher activement des solutions à la fois conformes à la loi et fiables, garantissant ainsi leur capacité opérationnelle.

Convient à:

• Intégration de l'IA d'une plate-forme d'IA indépendante et croisée à l'échelle de la source pour toutes les questions de l'entreprise

Objectifs et structure du rapport

Ce rapport s'adresse aux décideurs européens du monde des affaires et des technologies de l'information confrontés au défi de développer une stratégie cloud pérenne et tenant compte des risques. Son objectif est de fournir une base solide pour la prise de décision en :

• Analyse les risques spécifiques que peuvent encourir les entreprises européennes du fait de l'utilisation de services SaaS basés aux États-Unis, notamment en ce qui concerne le conflit entre le RGPD et les lois américaines telles que le CLOUD Act et la FISA 702.
• Définit ce que l’on entend par « offres SaaS souveraines » dans le contexte européen et les critères auxquels elles doivent répondre.
• Voici un aperçu du marché des fournisseurs SaaS européens qui se positionnent comme des alternatives souveraines, classés par domaines d'application.
• Il compare les principales alternatives dans des catégories clés en ce qui concerne les fonctionnalités, les prix et, surtout, la mise en œuvre de la souveraineté des données et la conformité au RGPD.
• Des solutions spécialisées pour des secteurs sensibles tels que l'administration publique, la santé et la finance ont été mises en avant.
• Présente les initiatives européennes pertinentes (telles que Gaia-X) et les certifications (telles que EUCS, BSI C5) qui promeuvent la souveraineté du cloud.
• Elle en tire une conclusion et formule des recommandations quant à l'orientation stratégique des entreprises.

Analyse des risques : les services cloud américains et les défis pour les entreprises européennes

Le recours aux services cloud, notamment aux solutions SaaS, de fournisseurs basés aux États-Unis pose d'importants défis juridiques et opérationnels aux entreprises européennes. Ces défis découlent principalement du conflit fondamental entre la réglementation européenne stricte en matière de protection des données et la législation américaine très étendue en matière de surveillance et d'accès aux données.

Le conflit central : RGPD contre lois américaines sur la surveillance

Le Règlement général sur la protection des données (RGPD) constitue le fondement de la protection des données en Europe. Il établit des normes élevées pour le traitement des données personnelles des citoyens de l'UE. Les articles 44 et suivants du RGPD, qui régissent le transfert de ces données vers des pays tiers (pays hors UE/EEE), sont particulièrement pertinents pour l'utilisation du cloud. Un tel transfert n'est autorisé que si le pays tiers assure un « niveau de protection adéquat » (tel que déterminé par une décision d'adéquation de la Commission européenne) ou si des « garanties appropriées » (telles que des clauses contractuelles types ou des règles d'entreprise contraignantes) sont en place et si les personnes concernées disposent de droits opposables et de recours effectifs. Par ailleurs, l'article 48 du RGPD interdit explicitement le transfert de données aux autorités d'un pays tiers sur la base de leurs décisions ou jugements, sauf en présence d'un accord international, tel qu'un traité d'entraide judiciaire. Plusieurs lois américaines, qui accordent aux autorités américaines des droits d'accès étendus aux données, même si elles sont stockées hors des États-Unis, contreviennent à cette norme européenne de protection

• La loi américaine CLOUD Act (Clarifying Lawful Overseas Use of Data Act) : adoptée en 2018, cette loi autorise les forces de l'ordre et les services de renseignement américains à exiger des entreprises américaines de communication et de technologies qu'elles leur remettent les données sous leur contrôle, quel que soit leur lieu de stockage. Ceci inclut explicitement les données hébergées dans des centres de données situés au sein de l'Union européenne. La loi CLOUD Act compromet ainsi le principe de territorialité de la protection des données et contrevient directement aux exigences du RGPD, notamment à son article 48. Elle a été promulguée, en partie, en réponse à un long litige juridique entre Microsoft et le gouvernement américain concernant l'accès aux courriels stockés sur des serveurs en Irlande, et elle a modernisé d'anciennes réglementations d'accès datant de l'après-11 septembre 2001, telles que le Patriot Act. Bien que la loi CLOUD Act prévoie des mécanismes permettant à un fournisseur de contester une injonction de divulgation si elle enfreint la législation d'un autre État (comme le RGPD), l'efficacité pratique de ces mécanismes, en particulier face aux injonctions liées à la sécurité nationale, est très controversée et n'offre aucune garantie fiable aux entreprises européennes. Les fournisseurs se trouvent ainsi confrontés à un dilemme : s’ils se conforment à une injonction du CLOUD Act sans base juridique européenne, ils risquent de lourdes amendes au titre du RGPD ; s’ils refusent de divulguer des informations en invoquant le RGPD, ils s’exposent à des sanctions en vertu du droit américain.
• Article 702 de la FISA (Foreign Intelligence Surveillance Act) : Cette disposition, issue de la loi d’amendement de la FISA de 2008, autorise les agences de renseignement américaines, telles que la NSA, à mener une surveillance ciblée des communications électroniques de personnes non américaines situées hors des États-Unis. Cette surveillance vise à obtenir des « renseignements étrangers ». L’article 702 de la FISA oblige les fournisseurs américains de services de communications électroniques (FSE), parmi lesquels figurent de nombreux grands fournisseurs de services cloud et SaaS, à coopérer avec les autorités. L’étendue des données potentiellement collectées est très vaste et peut inclure non seulement les métadonnées, mais aussi le contenu des communications, même celles de tiers non impliqués qui mentionnent simplement une personne ciblée. Les programmes de surveillance mis en œuvre dans le cadre de l’article 702 de la FISA (tels que PRISM et Upstream) ont été au cœur des critiques formulées dans l’arrêt Schrems II de la Cour de justice de l’Union européenne (voir ci-dessous). Des critiques sont également formulées à l’encontre de l’absence de recours juridiques effectifs pour les citoyens européens concernés et du risque de surveillance de masse, malgré les dénégations des autorités américaines.
• Décret exécutif 12333 et autres : Outre le CLOUD Act et le FISA 702, d'autres bases juridiques existent, telles que le décret exécutif 12333, qui accordent aux agences de renseignement américaines des pouvoirs étendus pour mener une surveillance à l'étranger, souvent sans contrôle judiciaire ni restrictions légales spécifiques sur les personnes non américaines.

Ce conflit juridique fondamental crée une situation dans laquelle l'utilisation de services cloud de fournisseurs américains présente des risques inhérents pour les entreprises européennes.

Risques spécifiques pour les entreprises européennes

Le conflit juridique décrit présente des risques concrets pour les entreprises européennes qui utilisent des services SaaS basés aux États-Unis :

• Violations de données et amendes : La divulgation de données personnelles aux autorités américaines en vertu du CLOUD Act ou de la FISA 702, sans fondement juridique valable au regard du droit de l’UE (par exemple, un traité d’entraide judiciaire), constitue une violation manifeste du RGPD, notamment de son article 48. Ceci peut entraîner des amendes substantielles pouvant atteindre 4 % du chiffre d’affaires annuel mondial, ainsi que des poursuites civiles en dommages et intérêts de la part des personnes concernées. Le simple recours à un service cloud américain peut être considéré comme potentiellement non conforme au RGPD si le fournisseur ne peut garantir qu’il ne divulguera pas de données en violation du RGPD.
• Perte de souveraineté et de contrôle des données : les garanties contractuelles des fournisseurs américains assurant le stockage des données exclusivement dans des centres de données de l’UE n’offrent pas de protection efficace contre l’accès par les États-Unis en vertu du CLOUD Act ou de la FISA. La législation américaine peut primer sur ces garanties, voire sur les mesures de protection techniques. Même le chiffrement des données n’est pas une solution miracle si le fournisseur américain contrôle les clés de chiffrement, car il pourrait être contraint de les divulguer. De même, les mécanismes de contrôle d’accès peuvent être contournés et les journaux d’audit consultés à l’insu du propriétaire des données, en violation des exigences de transparence du RGPD. Les entreprises européennes perdent ainsi de fait le contrôle sur les personnes qui accèdent à leurs données et sur les circonstances de cet accès.
• Espionnage industriel et fuite de secrets commerciaux : la fuite potentielle de données sensibles d’entreprise représente un risque particulièrement grave. Cela inclut la propriété intellectuelle, les données de recherche et développement, les prototypes, les plans stratégiques, les données financières, ainsi que les données et communications confidentielles relatives aux clients. La crainte que les autorités américaines n’utilisent leurs droits d’accès à des fins économiques (espionnage industriel) incite fortement les entreprises européennes à rechercher des solutions alternatives ou à mettre en œuvre des mesures de protection supplémentaires. La perte de telles informations peut entraîner des pertes financières considérables, une atteinte à la réputation et la perte d’avantages concurrentiels.
• Incertitude juridique et perte de confiance : Le conflit non résolu entre le droit européen de la protection des données et les droits d’accès américains crée une incertitude juridique importante pour les entreprises utilisant des services américains. Cette incertitude complique la planification à long terme et les efforts de mise en conformité. De plus, le recours continu à des services où la protection des données ne peut être garantie peut gravement nuire à la confiance des clients, des employés et des partenaires commerciaux.
• Risques géopolitiques : des lois comme le CLOUD Act sont envisagées dans le contexte des tendances mondiales à la surveillance étatique accrue et à une fragmentation potentielle d’Internet (« Splinternet »). Des comparaisons sont établies avec des lois similaires dans d’autres pays, telles que la loi chinoise sur le renseignement national. Par ailleurs, une dépendance excessive à l’égard de fournisseurs de technologies situés dans une seule région non européenne représente un risque stratégique pour l’autonomie et la résilience numériques de l’Europe.

Les risques liés à l'utilisation de services cloud américains vont bien au-delà des sanctions potentielles du RGPD. Ils incluent la perte de données critiques, l'atteinte à la réputation et la menace pour la compétitivité due à un possible détournement des droits d'accès à des fins d'espionnage industriel. Ces risques collatéraux, souvent difficiles à quantifier mais potentiellement existentiels, sont facilement sous-estimés lorsqu'on se concentre uniquement sur la conformité au RGPD.

L’arrêt Schrems II et le cadre de protection des données (DPF)

L'incertitude juridique entourant les transferts transatlantiques de données a été considérablement aggravée par l'arrêt Schrems II de la Cour de justice de l'Union européenne (CJUE) en juillet 2020. La CJUE a invalidé l'accord Privacy Shield UE-États-Unis alors en vigueur. Elle a motivé sa décision en soulignant que la législation américaine en matière de surveillance, notamment la loi FISA 702 et les programmes connexes, autorise des atteintes aux droits fondamentaux des citoyens européens (protection des données, vie privée) qui ne se limitent pas à ce qui est strictement nécessaire et n'offrent pas une protection équivalente à celle en vigueur dans l'UE. De plus, les personnes concernées aux États-Unis ne disposent pas de recours juridiques effectifs contre de telles mesures de surveillance. Si l'arrêt a confirmé la validité générale des clauses contractuelles types (CCT) comme instrument alternatif pour les transferts de données, la CJUE a précisé que les exportateurs de données ne peuvent s'y fier aveuglément. Dans le cadre d'une analyse au cas par cas (analyse d'impact du transfert – AIT), il convient d'examiner si la législation et les pratiques du pays de destination (ici, les États-Unis) garantissent un niveau de protection « essentiellement équivalent » à celui de l'UE. Si tel n'est pas le cas en raison des lois sur la surveillance – comme l'a suggéré la CJUE pour les États-Unis – des mesures supplémentaires doivent être prises (par exemple, un chiffrement fort où le destinataire n'a pas accès aux clés) afin d'assurer la protection des données. Si même cela s'avère impossible, le transfert de données doit être suspendu. Le CLOUD Act a été perçu dans ce contexte comme un facteur qui fragilise davantage l'argument en faveur d'un niveau de protection équivalent. Face à l'incertitude juridique créée par l'arrêt Schrems II et afin de consolider les flux de données entre l'UE et les États-Unis, la Commission européenne et le gouvernement américain ont convenu du cadre de protection des données UE-États-Unis (DPF). Ce cadre est entré en vigueur en juillet 2023 suite à une nouvelle décision d'adéquation de la Commission européenne. Le cadre de protection des données (DPF) vise à répondre aux préoccupations soulevées par la Cour de justice de l'Union européenne (CJUE) dans l'arrêt Schrems II en renforçant les garanties du côté américain : l'accès des agences de renseignement américaines aux données des citoyens de l'UE est limité à ce qui est nécessaire et proportionné, et un nouveau mécanisme de recours juridique à deux niveaux (incluant la Cour de révision de la protection des données – DPRC) a été mis en place pour les citoyens de l'UE. Les entreprises américaines peuvent obtenir la certification DPF, et les transferts de données de l'UE vers ces entreprises certifiées sont alors considérés comme autorisés sans qu'il soit nécessaire de recourir à des instruments supplémentaires tels que les clauses contractuelles types (CCT) ou d'autres mesures. Toutefois, des doutes et des risques importants subsistent quant à la stabilité et à l'efficacité du DPF

• Les lois fondamentales américaines restent en vigueur : le CLOUD Act et la section 702 de la FISA n’ont pas été modifiés par le DPF. Les pouvoirs fondamentaux des autorités américaines en matière d’accès aux données demeurent.
• Doutes quant au contrôle de la Cour de justice de l'Union européenne (CJUE) : De nombreux experts et militants de la protection des données doutent que les garanties prévues par le Fonds de protection des données (FPD) et le nouveau mécanisme de recours juridique résistent à un nouvel examen par la CJUE. L'indépendance et le pouvoir de contrôle de la Commission de réglementation de la protection des données (CRPD) sont notamment remis en question.
• Un suivi continu est nécessaire : conformément à l’article 45, paragraphe 4, du RGPD, la Commission européenne est tenue de suivre en permanence l’évolution de la situation aux États-Unis et d’en réévaluer régulièrement la pertinence. Le premier examen a eu lieu durant l’été 2024. Des évolutions récentes, telles que l’extension et l’éventuelle extension de la loi FISA 702, pourraient à nouveau compromettre les fondements du cadre de protection des données.
• Risques pour les entreprises : Les entreprises qui s’appuient exclusivement sur le DPF prennent un risque considérable. Si la Cour de justice de l’Union européenne venait à invalider le DPF (scénario dit « Schrems III »), les transferts de données fondés sur ce dernier redeviendraient illégaux du jour au lendemain. Les entreprises qui n’auraient alors pas de solution de rechange (par exemple, changer de fournisseur au sein de l’UE ou mettre en œuvre des mesures complémentaires efficaces) ne pourraient prétendre à aucune clémence.

Le conflit fondamental entre la législation américaine sur l'accès aux données et le droit fondamental de l'UE à la protection des données persiste donc, même avec le Fonds de protection des données (DPF). Les lois américaines à l'origine du problème restent en vigueur. Le DPF constitue davantage une mesure politique et potentiellement temporaire qu'une solution juridique définitive. Le problème fondamental de l'accès potentiellement contraire au RGPD par les autorités américaines aux données des citoyens et des entreprises européens n'est pas résolu.

Définition et critères : Que signifie « SaaS souverain » ?

Face aux risques décrits, les entreprises européennes recherchent de plus en plus des solutions alternatives leur offrant un meilleur contrôle, une sécurité renforcée et une conformité légale accrue. Dans ce contexte, les termes « cloud souverain » ou « SaaS souverain » sont fréquemment employés. Mais que signifient précisément ces termes, et quels critères une offre doit-elle remplir pour être considérée comme souveraine en Europe ?

Éléments clés de la souveraineté dans le contexte du cloud

La souveraineté numérique dans l'environnement cloud est un concept multidimensionnel qui dépasse la simple fourniture technique de services. Elle peut être appréhendée à travers plusieurs éléments clés :

• Souveraineté des données : Il s’agit du principe fondamental. Les données sont soumises aux lois et réglementations du pays où elles sont stockées ou ont été collectées. En Europe, cela implique principalement l’application intégrale du droit européen de la protection des données (notamment le RGPD) et la protection contre l’accès par les autorités de pays tiers, conformément à des lois extraterritoriales telles que le Cloud Act américain. Le client conserve la maîtrise totale des personnes autorisées à accéder à ses données et des conditions de cet accès.
• Résidence et localisation des données :
  • La résidence des données garantit que les données client (y compris les métadonnées et les sauvegardes) sont stockées et traitées au sein d'une zone géographique définie, généralement l'UE ou l'EEE. Cette condition est nécessaire à la souveraineté des données dans le contexte de l'UE, mais insuffisante si le fournisseur est soumis à une législation non européenne.
  • La localisation des données est une exigence plus stricte qui stipule que les données ne peuvent pas quitter les frontières d'un pays donné. De telles lois sont rares au sein de l'UE, mais peuvent s'appliquer à certaines réglementations nationales ou à certains secteurs.
• Souveraineté opérationnelle : cet élément désigne le contrôle du fonctionnement de l’infrastructure cloud et des services qui y sont exécutés. Ses principaux aspects sont les suivants :
  • Exploitation par du personnel et des entités juridiques de l'UE : Il convient de s'assurer que le personnel ayant un accès physique ou logique à l'environnement cloud et aux données clients soit établi dans l'UE et soumis à la législation européenne. Tout accès depuis l'extérieur de l'UE doit être empêché ou strictement contrôlé par des mesures techniques et organisationnelles.
  • Siège social et structure de l'entreprise au sein de l'UE : Le fournisseur de services cloud lui-même, ou au moins l'entité juridique responsable des opérations dans l'UE, doit avoir son siège social dans un État membre de l'UE/EEE et être ainsi principalement soumis au droit européen. Il est également essentiel qu'il n'existe aucune dépendance vis-à-vis de sociétés mères ou de filiales situées dans des pays tiers (notamment aux États-Unis) susceptibles d'imposer le respect de leur législation (telle que le CLOUD Act ou la FISA).
  • Transparence et auditabilité : les clients exigent une transparence totale concernant les processus opérationnels, les sous-traitants et les mesures de sécurité mises en œuvre. La capacité d’examiner et d’auditer de manière indépendante les accès et les processus est une caractéristique essentielle de la souveraineté opérationnelle.
• Souveraineté technologique : il s’agit de la capacité à comprendre, contrôler, valider et, idéalement, développer davantage les technologies clés sous-jacentes. Cela inclut notamment :
  • Utilisation de standards ouverts et de logiciels libres : les standards ouverts et les logiciels libres favorisent l’interopérabilité entre les différents fournisseurs et solutions, accroissent la transparence (puisque le code est auditable), réduisent le risque de dépendance vis-à-vis d’un fournisseur unique et facilitent les audits de sécurité. Ils constituent souvent la base des architectures technologiques européennes telles que la Sovereign Cloud Stack (SCS).
  • Interopérabilité et portabilité : la capacité de migrer facilement des données et des applications entre différents fournisseurs de cloud ou vers sa propre infrastructure (sur site) est un signe d'indépendance et de flexibilité.
  • Maîtrise de la pile technologique : à long terme, la souveraineté technologique vise à réduire la dépendance aux composants matériels et logiciels propriétaires provenant de sources non européennes et à développer l’expertise européenne.

Convient à:

• Les plateformes d'IA indépendantes comme alternative stratégique pour les entreprises européennes

Démarcation et malentendus

Le terme « cloud souverain » n'est pas juridiquement protégé et est souvent utilisé par divers fournisseurs comme argument marketing, les concepts et mesures sous-jacents variant considérablement. Il est donc crucial pour les entreprises d'examiner attentivement ce qu'un fournisseur entend par souveraineté et quelles garanties spécifiques il offre. Une idée reçue courante est que le stockage des données dans un centre de données situé au sein de l'UE suffit à garantir la souveraineté. Ce n'est pas le cas. Comme expliqué dans la section II, le CLOUD Act américain autorise l'accès aux données appartenant à des entreprises américaines, quel que soit leur lieu de stockage. La résidence des données dans l'UE ne protège donc pas contre l'accès américain si le fournisseur lui-même ou sa société mère est basé aux États-Unis ou soumis à la juridiction américaine. Une autre idée reçue est que les offres de cloud souverain impliquent inévitablement des limitations fonctionnelles ou un rythme d'innovation plus lent que les hyperscalers mondiaux. Bien que cela puisse être vrai dans certains cas, les fournisseurs locaux ne bénéficiant souvent pas des mêmes économies d'échelle ni des mêmes budgets de recherche, l'objectif principal des solutions souveraines n'est pas la restriction, mais plutôt la combinaison des avantages du cloud computing (flexibilité, évolutivité) avec les exigences de contrôle, de sécurité et de conformité. De nombreux fournisseurs européens s'appuient sur des technologies ouvertes pour favoriser l'innovation et l'adaptabilité.

Critères applicables aux fournisseurs SaaS souverains du point de vue de l'UE

À partir des éléments fondamentaux de la souveraineté, des critères concrets peuvent être établis permettant aux entreprises européennes d'évaluer les fournisseurs de services SaaS :

• Protection des données et conformité : Le prestataire doit démontrer sa conformité aux exigences du RGPD. Cette conformité doit être formalisée par un accord de traitement des données (ATD) conforme à l’article 28 du RGPD et par des mesures techniques et organisationnelles appropriées. Le respect des autres réglementations européennes et nationales applicables (par exemple, celles relatives à des secteurs spécifiques) doit également être garanti.
• Localisation et traitement des données : Il doit être contractuellement garanti que toutes les données client, y compris les métadonnées, les données de configuration et les sauvegardes, sont stockées et traitées exclusivement au sein de l'UE ou de l'EEE.
• Exploitation et contrôle d'accès : L'exploitation des services et l'accès aux données clients doivent être assurés par du personnel établi dans l'UE et appartenant à une entité juridique de l'UE. Des mesures techniques et organisationnelles strictes doivent être mises en œuvre afin d'empêcher tout accès non autorisé, notamment depuis l'extérieur de l'UE.
• Structure de l'entreprise et juridiction : Le fournisseur doit avoir son siège social et son principal centre de contrôle juridique au sein de l'UE/EEE. Il ne doit exister aucune affiliation ni succursale dans des pays tiers (notamment aux États-Unis) susceptibles de le placer sous leur juridiction et de contraindre potentiellement à la divulgation de données (par exemple, en vertu du CLOUD Act ou de la FISA).
• Transparence : Le prestataire doit faire preuve de transparence quant à ses processus opérationnels, le recours à des sous-traitants, les lieux de traitement des données et les mesures de sécurité mises en œuvre. Il doit également prévoir la possibilité d’un audit par le client ou des tiers indépendants.
• Technologie et interopérabilité : L'utilisation privilégiée de normes ouvertes (par exemple, les API) et/ou de logiciels libres facilite l'intégration, les tests et le passage éventuel à d'autres fournisseurs (évitant ainsi la dépendance vis-à-vis d'un fournisseur unique).
• Certifications et attestations : Les certifications et attestations reconnues attestent de la conformité aux normes de sécurité et de conformité et renforcent la confiance. Les normes ISO 27001, BSI C5 (en Allemagne) et, prochainement, EUCS sont particulièrement pertinentes.

Il apparaît de plus en plus clairement que la souveraineté numérique dans le contexte du SaaS est un concept multidimensionnel. Elle ne se limite pas au lieu de stockage des données, mais concerne également les personnes qui les traitent et comment, les lois auxquelles le fournisseur est soumis et les fondements technologiques utilisés. Les entreprises doivent donc déterminer les dimensions de souveraineté les plus importantes à leurs yeux lors du choix d'un fournisseur et évaluer dans quelle mesure ce dernier répond à ces exigences spécifiques. La simple résidence des données au sein de l'UE est souvent insuffisante pour atténuer efficacement les risques, notamment ceux liés à la législation américaine. Parallèlement, les entreprises sont souvent confrontées à un dilemme : le désir d'une souveraineté et d'un contrôle maximums doit être mis en balance avec les inconvénients potentiels en termes de fonctionnalités, de rapidité d'innovation ou de coûts, qui peuvent apparaître avec certains fournisseurs européens ou strictement souverains, comparativement aux hyperscalers mondiaux. De nombreux fournisseurs européens considèrent l'utilisation de logiciels libres comme une approche stratégique pour garantir la transparence, la confiance et l'adaptabilité, même s'ils ne sont pas nécessairement à la pointe de chaque évolution technologique.

Bénéficiez de la vaste expertise de Xpert.Digital, quintuple, dans une offre de services complète | R&D, XR, RP et optimisation de la visibilité numérique - Image : Xpert.Digital

Xpert.Digital possède une connaissance approfondie de diverses industries. Cela nous permet de développer des stratégies sur mesure, adaptées précisément aux exigences et aux défis de votre segment de marché spécifique. En analysant continuellement les tendances du marché et en suivant les évolutions du secteur, nous pouvons agir avec clairvoyance et proposer des solutions innovantes. En combinant expérience et connaissances, nous générons de la valeur ajoutée et donnons à nos clients un avantage concurrentiel décisif.

En savoir plus ici :

• Utilisez l'expertise 5x de Xpert.Digital dans un seul forfait - à partir de seulement 500 €/mois

Aperçu du marché : Alternatives SaaS souveraines de l’UE

Le marché européen du logiciel en tant que service (SaaS) voit se développer un nombre croissant de fournisseurs se positionnant comme alternatives aux acteurs américains dominants. Nombre d'entre eux accordent une importance particulière à la protection des données, à la conformité au RGPD et à la souveraineté numérique afin de répondre aux besoins spécifiques des entreprises et organisations européennes.

Critères de sélection des prestataires

L'aperçu suivant se concentre sur les fournisseurs SaaS qui répondent aux critères suivants :

• Origine : Le siège social de l'entreprise est situé dans un État membre de l'Union européenne (UE), de l'Espace économique européen (EEE) ou en Suisse (CH), car la Suisse bénéficie d'une décision d'adéquation de la Commission européenne et est souvent étroitement intégrée à l'Espace économique européen.
• Positionnement : Le fournisseur se positionne explicitement comme une alternative souveraine ou conforme à la protection des données ou présente des caractéristiques essentielles de souveraineté numérique (par exemple, hébergement exclusif dans l'UE/EEE, conformité démontrable au RGPD, absence de soumission aux lois américaines telles que le CLOUD Act/FISA, utilisation de logiciels libres).
• Pertinence : Le fournisseur a été mentionné dans les sources de recherche sous-jacentes ou est reconnu comme une alternative pertinente dans sa catégorie.

Pour plus de clarté, les fournisseurs sont regroupés selon les catégories SaaS courantes.

Aperçu catégorisé des fournisseurs SaaS européens

Le tableau ci-dessous présente une sélection de fournisseurs SaaS européens, classés par domaine fonctionnel. Il constitue un point de départ pour une évaluation plus détaillée.

Aperçu des fournisseurs SaaS européens par catégorie

Aperçu des fournisseurs SaaS européens par catégorie – Image : Xpert.Digital

(Remarque : ce tableau est une sélection et n’est pas exhaustif. Les informations sont basées sur les sources disponibles et sont susceptibles d’être modifiées. Une vérification indépendante par l’entreprise est indispensable.)

L'aperçu des fournisseurs SaaS européens présente une large gamme de solutions, classées par type. Dans le secteur de la collaboration et des applications bureautiques, des fournisseurs comme Nextcloud Hub (Allemagne) proposent une plateforme open source pour les fichiers, la communication, le travail collaboratif et les applications bureautiques. Cette plateforme peut être auto-hébergée ou hébergée par un fournisseur et privilégie la souveraineté des données. Open-Xchange App Suite (Allemagne également) offre une solution complète pour la messagerie, le travail collaboratif, le stockage de fichiers et les documents, particulièrement adaptée aux entreprises et aux prestataires de services, et conforme à la norme ISO 27001. ONLYOFFICE (Lettonie) propose une suite bureautique avec des fonctionnalités de collaboration et un espace de travail (incluant CRM et messagerie). Compatible avec le cloud et les environnements sur site, elle est également conforme au RGPD. Collabora Online, basé sur LibreOffice, est fréquemment intégré à des plateformes comme Nextcloud. TeamDrive (Allemagne également) se concentre sur le stockage cloud hautement sécurisé avec chiffrement de bout en bout et principe de confidentialité zéro. Conceptboard (Allemagne également) offre un tableau blanc en ligne pour la collaboration visuelle, utilisant des serveurs européens et sans intervention américaine. CryptPad, une solution française, allie logiciel libre et chiffrement de bout en bout pour la collaboration. Stackfield, une plateforme allemande conforme au RGPD, propose des solutions de chat, de gestion des tâches et de visioconférence.

Dans le secteur CRM et des ventes, Zeeg (Allemagne) se distingue par sa solution de prise de rendez-vous conforme au RGPD, tandis que CentralStationCRM propose une solution CRM simple pour les PME. SAP CRM, intégré à la suite SAP, est destiné aux grandes entreprises. Côté stockage cloud, des fournisseurs comme pCloud (Suisse) proposent un chiffrement de bout en bout optionnel et des abonnements à vie. Tresorit combine haute sécurité, accès sans connaissance et conformité aux réglementations européennes. Proton Drive (Suisse également) offre un hébergement de fichiers chiffrés. Des fournisseurs allemands comme IONOS HiDrive et des solutions internationales comme Infomaniak kDrive complètent l'offre.

Pour la visioconférence, OpenTalk (Allemagne), avec son accent particulier sur la sécurité et la conformité au RGPD, et la solution open source Jitsi Meet méritent d'être mentionnés. eyeson (Autriche) propose des réunions vidéo dans le cloud, tandis qu'Univid (Suède) se concentre sur les webinaires. En matière d'analyse web, Matomo offre une solution open source avec un contrôle total des données, Plausible Analytics privilégie la simplicité d'utilisation et la confidentialité des données, etracker (Allemagne) évite l'utilisation des cookies, et Piwik PRO est destiné aux entreprises.

L'automatisation marketing est assurée par des fournisseurs comme Brevo (anciennement Sendinblue), dont les serveurs sont situés en Allemagne et dans l'UE, et Evalanche, spécialisé dans le B2B et certifié ISO. Personio est un leader des logiciels RH, offrant une plateforme complète pour les PME, complétée par des solutions telles que HRworks et Rexx Systems, disponibles en versions cloud et sur site. OpenProject est une solution allemande open source de gestion de projet, tandis que Zenkit se distingue par ses espaces de travail flexibles. Les fournisseurs de messagerie sécurisée comme Tutanota et Proton Mail privilégient la protection des données et le chiffrement de bout en bout. L'authentification unique est proposée par Bare.ID, basé en Allemagne, avec une sécurité conforme au RGPD. Côté outils de sondage, LamaPoll et LimeSurvey séduisent par leur personnalisation et leurs serveurs basés en Allemagne. QuestionPro, dans sa version européenne, complète cette liste avec des fonctionnalités étendues et sa conformité au RGPD.

Cet aperçu met en lumière la remarquable diversité et la spécialisation du marché européen du SaaS. Notamment dans les domaines où la protection et la sécurité des données jouent traditionnellement un rôle majeur – comme la collaboration, la communication sécurisée, le stockage cloud et l'analyse web – un large éventail d'alternatives existe. Nombre de ces fournisseurs sont des petites et moyennes entreprises (PME) ou des acteurs de niche spécialisés, implantés dans différents pays européens. Ils accordent souvent une grande importance à la conformité au RGPD et aux besoins spécifiques du marché européen, ce qui se traduit par des services tels que l'hébergement en UE, l'assistance en allemand ou des certifications de conformité spécifiques.

L'importance stratégique des logiciels libres pour de nombreux fournisseurs européens est également frappante. Notamment dans les domaines de la collaboration (Nextcloud, CryptPad), des applications bureautiques (ONLYOFFICE, Collabora), de la gestion de projet (OpenProject), de l'analyse web (Matomo) et de la visioconférence (Jitsi, OpenTalk), les technologies libres constituent souvent le socle de leurs solutions. Il ne s'agit pas d'un simple détail technique : c'est un choix délibéré qui favorise la transparence (grâce à un code source accessible), l'adaptabilité, l'auditabilité et l'indépendance vis-à-vis d'un fournisseur unique. Ces aspects sont des piliers essentiels de la souveraineté numérique et permettent aux fournisseurs européens de proposer des solutions fiables et flexibles sans nécessairement disposer des budgets de développement colossaux des géants mondiaux du cloud. Les clients bénéficient ainsi d'un meilleur contrôle et d'une visibilité accrue sur la technologie qu'ils utilisent.

Comparaison de certaines alternatives de l'UE

Après cet aperçu général du marché, nous présentons une comparaison plus détaillée d'alternatives SaaS européennes représentatives, sélectionnées dans des catégories clés. L'accent est mis sur les fonctionnalités essentielles, les modèles de tarification, les arguments de vente uniques et, en particulier, sur la mise en œuvre de la souveraineté des données et de la conformité au RGPD.

Méthodologie de comparaison

La sélection des fournisseurs pour la comparaison détaillée repose sur leur pertinence et la fréquence de leur mention dans les sources sous-jacentes, ainsi que sur leur positionnement en tant qu'alternatives européennes directes aux services américains reconnus. La comparaison s'appuie sur les informations issues des extraits spécifiques aux fournisseurs et sur d'autres données pertinentes provenant des extraits généraux. Les critères incluent :

• Fonctions principales : Que fait le logiciel au fond ?
• Modèle de tarification : Quelle est la structure tarifaire (abonnement, freemium, à vie, sur site) ?
• Localisation/hébergement des données : Où sont hébergées les données (UE/Allemagne garantie) ? Existe-t-il des options d’auto-hébergement ?
• Chiffrement : Quelles méthodes de chiffrement sont utilisées (en particulier le chiffrement de bout en bout et le chiffrement à connaissance nulle) ?
• Certifications/Conformité : Quelles sont les certifications pertinentes (ISO 27001, BSI C5, etc.) et les engagements de conformité (RGPD) existants ?
• Points forts/faiblesses en matière de souveraineté : caractéristiques ou limitations particulières concernant le contrôle des données, la transparence et l’indépendance.

Comparaison détaillée par catégorie

Comparaison détaillée des principales alternatives SaaS de l'UE

Comparaison détaillée des principales alternatives SaaS de l'UE – Image : Xpert.Digital

Une comparaison détaillée des principales alternatives SaaS européennes révèle que Nextcloud Hub, plateforme modulaire, offre des fonctionnalités telles que la synchronisation et le partage de fichiers, la visioconférence, le travail collaboratif et l'intégration bureautique, tandis qu'Open-Xchange App Suite, suite intégrée, se concentre sur la messagerie, l'agenda, les contacts et le stockage. Nextcloud Hub permet un contrôle total grâce à l'auto-hébergement et propose un chiffrement de bout en bout optionnel, mais exige des ressources informatiques plus importantes. Open-Xchange se distingue par sa certification ISO et sa protection des données conforme au RGPD, mais dépend du fournisseur de cloud. Dans le secteur CRM, Zeeg marque des points grâce à sa conformité RGPD et son hébergement en Allemagne, tandis que CentralStationCRM séduit par sa simplicité et son orientation PME. Ces deux fournisseurs proposent des modèles freemium et garantissent des emplacements de données conformes au RGPD. Dans le secteur du stockage cloud, pCloud offre des avantages en termes de flexibilité avec des abonnements à vie et des options de stockage en UE ; cependant, le chiffrement de bout en bout est optionnel et payant. Tresorit, quant à lui, marque des points grâce à un chiffrement à connaissance nulle constant et une conformité élevée, mais est plus cher. ONLYOFFICE et Collabora Online offrent des solutions bureautiques complètes, fortement axées sur les normes européennes et proposant des options open source. ONLYOFFICE se distingue par sa compatibilité avec Microsoft et ses fonctionnalités de collaboration. Collabora Online, étroitement intégré à des plateformes comme Nextcloud, privilégie donc les fonctionnalités autonomes. Côté visioconférence, OpenTalk se démarque par des fonctionnalités telles que les webinaires, les sondages et une conformité RGPD irréprochable, tandis que Jitsi Meet, solution open source gratuite, offre une grande autonomie et une simplicité d'utilisation optimale. Les deux solutions proposent des options sur site et une protection des données renforcée. OpenTalk se distingue par sa certification de sécurité BSI IT.

Une analyse comparative détaillée révèle qu'il existe rarement une seule « meilleure » alternative européenne. Le choix dépend fortement des exigences et priorités spécifiques de l'entreprise. Des compromis évidents apparaissent, par exemple entre sécurité maximale et prix (pCloud vs Tresorit) ou entre un contrôle complet grâce à l'auto-hébergement et la praticité d'une solution SaaS gérée (Nextcloud vs OX App Suite Cloud). Les entreprises doivent déterminer quel aspect – fonctionnalités, facilité d'utilisation, coût ou niveau de souveraineté et de sécurité – est le plus important pour elles.

L'une des caractéristiques essentielles de nombreux fournisseurs européens réside dans la flexibilité de leurs modèles opérationnels. Des solutions comme Nextcloud, ONLYOFFICE, OpenTalk et Jitsi proposent des options à la fois cloud (SaaS) et sur site (auto-hébergées). Les entreprises peuvent ainsi définir leur niveau de contrôle et de souveraineté. Elles peuvent privilégier la simplicité d'une solution SaaS proposée par un fournisseur européen de confiance ou opter pour un contrôle maximal de leurs données et de leur infrastructure en les exploitant dans leur propre centre de données. Ce choix répond directement au besoin fondamental de contrôle qui alimente le débat sur la souveraineté.

Intégration d'une plate-forme d'IA indépendante et transversale à l'échelle de la source pour toutes les questions de l'entreprise: Xpert.Digital

KI-GAMECHANGER: Les solutions de fabrication de plate-forme d'IA les plus flexibles qui réduisent les coûts, améliorent leurs décisions et augmentent l'efficacité

Plateforme d'IA indépendante: intègre toutes les sources de données de l'entreprise pertinentes

• Cette plate-forme AI interagit avec toutes les sources de données spécifiques
  • De SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox et de nombreux autres systèmes de gestion des données
• Intégration rapide de l'IA: solutions d'IA sur mesure pour les entreprises en heures ou jours au lieu de mois
• Infrastructure flexible: cloud ou hébergement dans votre propre centre de données (Allemagne, Europe, libre choix de l'emplacement)

• La sécurité des données la plus élevée: l'utilisation dans les cabinets d'avocats est la preuve sûre
• Utiliser sur une grande variété de sources de données de l'entreprise
• Choix de vos propres modèles d'IA (DE, DE, UE, USA, CN)

Défis que notre plateforme d'IA résout

• Un manque de précision des solutions d'IA conventionnelles
• Protection des données et gestion sécurisée des données sensibles
• Coûts élevés et complexité du développement individuel d'IA
• Manque d'IA qualifiée
• Intégration de l'IA dans les systèmes informatiques existants

En savoir plus ici :

• Intégration de l'IA d'une plate-forme d'IA indépendante et croisée à l'échelle de la source pour toutes les questions de l'entreprise

Solutions spécialisées : SaaS souverain pour les secteurs sensibles

Bien que les solutions SaaS évoquées jusqu'ici soient souvent applicables à différents secteurs, certains secteurs présentent des exigences particulièrement élevées en matière de sécurité, de conformité et de souveraineté numérique. C'est notamment le cas de l'administration publique, de la santé et du secteur financier. Des offres spécialisées et des cadres réglementaires se développent dans ces domaines, encourageant voire imposant le recours à des solutions de cloud souverain.

administration publique

En Allemagne et en Europe, le secteur public a un intérêt fondamental à la souveraineté numérique afin de garantir la maîtrise des données des citoyens et des processus gouvernementaux critiques. Les exigences vont souvent au-delà de la simple conformité au RGPD et incluent des normes de sécurité spécifiques telles que le référentiel BSI IT Baseline Protection ou le catalogue de critères BSI C5. L'interopérabilité entre les différentes autorités et niveaux de gouvernement, ainsi que la préférence pour les logiciels libres afin d'éviter les dépendances, sont également des aspects importants.

Plusieurs initiatives visent à créer une infrastructure cloud souveraine pour l'administration :

• Stratégie allemande pour le cloud administratif (DVS) : Pilotée par le Conseil de planification informatique et FITKO, cette stratégie vise à établir un écosystème cloud fédéral, sécurisé, interopérable et souverain pour l’État fédéral, les Länder et les communes. Elle repose sur des standards ouverts, une approche multicloud et l’intégration de fournisseurs de services informatiques publics (tels que Dataport, AKDB et IT.NRW), qui jouent un rôle central et bénéficient d’une grande confiance. À l’avenir, des fournisseurs externes conformes à la DVS pourront également être intégrés. Le portail de services cloud (CSP) constitue un élément clé, servant de plateforme pour les services cloud standardisés et certifiés.
• Plateforme cloud fédérale / Plateforme d'opérations informatiques fédérales : L'ITZBund exploite déjà des plateformes cloud (SaaS, PaaS) pour les autorités fédérales, qui seront consolidées en 2025 et répondront à des exigences élevées en matière de sécurité et de protection des données.
• Centre pour la souveraineté numérique (ZenDiS) : Cette institution promeut spécifiquement l'utilisation de logiciels libres dans l'administration publique et soutient des projets tels qu'OpenDesk, une alternative libre à Microsoft 365, spécialement développée pour le secteur public.
• Gaia-X et Sovereign Cloud Stack (SCS) : ces initiatives européennes fournissent des bases techniques et des normes essentielles pour la construction d’infrastructures de cloud souverain, que DVS entend également utiliser. SCS, une pile open source basée sur OpenStack et Kubernetes, est déjà utilisée par plusieurs fournisseurs allemands (par exemple, plusserver).

Les offres SaaS souveraines et concrètes destinées à l'administration publique proviennent à la fois de prestataires de services informatiques publics (par exemple, Conceptboard d'IT.NRW, dDataBox de Dataport) et de fournisseurs commerciaux spécialisés, souvent certifiés BSI C5 et disponibles sur des plateformes comme govdigital (par exemple, plusserver, STACKIT, IONOS, OVHcloud). Les solutions open source telles que Nextcloud ou OpenDesk jouent également un rôle important.

Convient à:

• Selon le nuage américain? La lutte de l'Allemagne pour le cloud: comment rivaliser avec AWS (Amazon) et Azure (Microsoft)

soins de santé

Le secteur de la santé traite des données personnelles extrêmement sensibles (données de santé, telles que définies à l'article 9 du RGPD), qui font l'objet d'une protection particulière. Outre le RGPD et le secret médical, des lois nationales spécifiques s'appliquent, comme la loi allemande sur la protection des données des patients (PDSG) et, plus récemment, la loi allemande sur la santé numérique (DigiG). La sécurité, la disponibilité et la confidentialité sont primordiales dans ce contexte.

L'un des principaux facteurs favorisant l'utilisation de solutions de cloud souverain dans le système de santé allemand est la loi numérique (DigiG), entrée en vigueur en mars 2024. Si le nouvel article 393 du livre V du Code social allemand (SGB V) autorise explicitement le traitement des données sociales et de santé par le biais du cloud computing, il y associe des conditions très strictes :

• Traitement des données uniquement dans l'UE/EEE/CH ou dans un pays ayant fait l'objet d'une décision d'adéquation : le traitement des données ne peut avoir lieu qu'au niveau national, dans un État membre de l'UE/EEE, en Suisse ou dans un pays tiers ayant fait l'objet d'une décision d'adéquation de la Commission européenne.
• La certification BSI C5 devient obligatoire : à compter du 1er juillet 2024, les fournisseurs de services cloud traitant des données sociales ou de santé pour le compte de professionnels de santé (médecins, hôpitaux, organismes d’assurance maladie, etc.) doivent être en mesure de présenter une certification BSI C5 valide. Jusqu’au 30 juin 2025, une certification de type 1 (adéquation des contrôles) est suffisante ; à compter du 1er juillet 2025, une certification de type 2 (preuve d’efficacité sur une période donnée) est obligatoire.
• Cela s'applique également aux fournisseurs SaaS : cette obligation s'applique non seulement aux fournisseurs d'infrastructure (IaaS) ou de plateforme (PaaS), mais aussi explicitement aux fournisseurs de logiciels en tant que service (SaaS) dont les applications sont utilisées dans le cloud (par exemple, les systèmes d'information hospitaliers (SIH), les systèmes de gestion de cabinet (SGC), les systèmes de réservation de rendez-vous, les DiGA).
• Mise en œuvre des contrôles clients : L’établissement utilisateur (clinique, cabinet, etc.) doit à son tour mettre en œuvre les contrôles destinés à l’utilisateur final mentionnés dans le rapport d’audit du fournisseur de services cloud.

Ce règlement renforce considérablement les exigences relatives aux services cloud dans le secteur de la santé, faisant de la certification BSI C5 une condition sine qua non pour les fournisseurs de ce marché. Des fournisseurs de cloud tels qu'Open Telekom Cloud, AWS (région de Francfort), Azure, GCP et des fournisseurs allemands comme plusserver, STACKIT et IONOS détiennent déjà la certification C5 pour leurs infrastructures. Désormais, les solutions SaaS pour la santé reposant sur ces infrastructures (systèmes d'information hospitaliers, systèmes de gestion de cabinet médical, composants du dossier patient électronique, etc.) doivent également fournir cette certification. Parmi les entreprises actives dans l'environnement cloud de la santé et/ou en cours d'obtention des certifications requises, on peut citer Gini, Doctolib et Kite Consult. Selon Gematik, le dossier patient électronique est hébergé sur des serveurs situés en Allemagne et dans l'UE, conformément au RGPD.

Finance

Le secteur financier (banques, compagnies d'assurance, prestataires de services financiers) est lui aussi fortement réglementé et traite des données extrêmement sensibles. Des exigences réglementaires strictes s'y appliquent, imposées par l'Autorité fédérale de surveillance financière allemande (BaFin) (par exemple, BAIT, KAIT, VAIT, ZAIT), ainsi que par une réglementation européenne de plus en plus harmonisée. Des normes élevées en matière de sécurité informatique, de gestion des risques, de résilience et d'auditabilité sont la norme.

Les principaux facteurs réglementaires à l'origine du déploiement de solutions cloud sécurisées et souveraines sont les suivants :

• Directive NIS2 : Les banques et les infrastructures de marché financier sont généralement considérées comme des entités « essentielles » ou « importantes » selon la directive NIS2. Elles doivent donc satisfaire à des exigences plus strictes en matière de gestion des risques, de sécurité de la chaîne d’approvisionnement (y compris les fournisseurs de services cloud), de signalement des incidents et de responsabilité de la direction.
• DORA (Digital Operational Resilience Act) : ce règlement européen vise spécifiquement à renforcer la résilience opérationnelle numérique du secteur financier. Il définit des exigences détaillées en matière de gestion des risques liés aux TIC, de signalement des incidents graves liés aux TIC, de tests de résilience numérique et, en particulier, de gestion des risques par les prestataires de services TIC tiers, notamment les fournisseurs de services cloud. DORA exige, entre autres, des accords contractuels clairs avec les fournisseurs de services cloud et des droits d’audit.

Les fournisseurs de services cloud souhaitant servir les institutions financières doivent démontrer leur capacité à respecter ces exigences réglementaires. Ceci passe souvent par des certifications telles que BSI C5 ou ISO 27001, des garanties contractuelles spécifiques et une transparence totale quant à leur architecture et leurs processus de sécurité. Des fournisseurs comme plusserver, T-Systems, Microsoft avec son EU Data Boundary et AWS avec son European Sovereign Cloud se positionnent précisément sur ce marché réglementé.

Par ailleurs, des fournisseurs SaaS spécialisés proposent des solutions de conformité pour le secteur financier, notamment en matière de lutte contre le blanchiment d'argent (LCB), de connaissance du client (KYC), de vérification des listes de sanctions, de détection des fraudes et de surveillance des abus de marché. Parmi les fournisseurs présents en Europe, on peut citer ACTICO (Allemagne), Pelican AI (Royaume-Uni ?), Sopra Financial Technology (Allemagne/France), Otris (Allemagne) et ViClarity (Irlande/États-Unis ?).

Dans ces secteurs hautement sensibles, il apparaît clairement que le choix de solutions de cloud souverain ne relève plus uniquement de la minimisation des risques, mais est de plus en plus dicté par des obligations légales et des exigences de conformité strictes. L'obligation de présenter des certifications telles que BSI C5 transforme la prise de décision, passant d'une évaluation volontaire des risques à une condition préalable impérative à l'accès au marché.

Cela pose de nouveaux défis aux fournisseurs de SaaS. Si, auparavant, le fournisseur d'infrastructure (IaaS/PaaS) détenait souvent les certifications requises, des réglementations telles que l'article 393 du livre V du Code social allemand (SGB V) exigent désormais explicitement des fournisseurs de SaaS qu'ils fournissent également une documentation correspondante, comme la certification BSI C5. Les coûts et les efforts nécessaires à l'obtention et au maintien de ces certifications sont considérables et pourraient constituer un obstacle majeur, notamment pour les petites entreprises SaaS innovantes, et potentiellement entraîner une consolidation du marché dans ces secteurs réglementés.

Convient à:

• La politique américaine inspire les entreprises technologiques de l'UE? Données souveraineté de la domination américaine: l'avenir du nuage en Europe

Promouvoir la souveraineté : initiatives et certifications de l'UE

Afin de renforcer la souveraineté numérique de l'Europe et de créer un cadre fiable pour le cloud computing, diverses initiatives et normes de certification ont été lancées aux niveaux européen et national. Elles visent à promouvoir l'interopérabilité, à harmoniser les normes de sécurité et à accroître la confiance dans les services cloud.

Gaia-X : Vision d'une infrastructure de données européenne fédérée

Gaia-X est l'une des initiatives européennes les plus importantes visant à renforcer la souveraineté numérique. Lancée en 2019 par l'Allemagne et la France, elle rassemble aujourd'hui de nombreux partenaires issus du monde des affaires, de la science et de la politique dans plusieurs pays européens.

• Objectifs : L’objectif principal de Gaia-X est de créer une infrastructure de données sécurisée, fédérée et interopérable, fondée sur des valeurs européennes telles que la protection des données (RGPD), la transparence, la confiance et l’autodétermination. Elle vise à renforcer l’indépendance numérique de l’Europe vis-à-vis des fournisseurs non européens, à favoriser l’innovation grâce à des échanges de données sécurisés et à consolider la compétitivité des entreprises européennes.
• Architecture et approche : Il est important de comprendre que Gaia-X n’est pas un fournisseur de cloud et ne construit pas son propre « super-cloud européen ». Gaia-X définit plutôt un ensemble de règles, de normes communes et d’éléments architecturaux pour un écosystème décentralisé d’espaces de données interopérables et en réseau, ainsi que de services d’infrastructure cloud. Ce modèle repose sur des principes tels que l’ouverture, la transparence, la modularité et l’utilisation de standards ouverts et de logiciels libres. L’Association Gaia-X pour les données et le cloud (AISBL) élabore des spécifications, des règles, des politiques et un cadre de vérification de la conformité (Gaia-X Compliance), qui sera mis en œuvre par le biais des Gaia-X Digital Clearing Houses (GXDCH).
• Composants et projets : Dans le cadre de Gaia-X, des éléments constitutifs et des projets concrets émergent. La Sovereign Cloud Stack (SCS) en est un exemple important : une pile technologique standardisée et open source (basée sur OpenStack, Kubernetes, etc.) permettant de construire des infrastructures de cloud souverain conformes à Gaia-X (IaaS/PaaS). Elle est conçue pour servir de base technique à des offres de cloud interopérables et souveraines, notamment le Cloud administratif allemand.
• Cas d'utilisation : Afin de démontrer les avantages de Gaia-X, des espaces de données et des applications concrets sont développés dans divers domaines. On peut citer comme exemples l'Industrie 4.0 (par exemple, Catena-X pour l'industrie automobile), la mobilité, l'énergie, la finance, l'administration publique et, plus particulièrement, la santé. Des projets tels que TEAM-X, Health-X dataLOFT et GAIA-Med visent à permettre l'échange sécurisé et souverain de données de santé pour améliorer les soins et la recherche.
• Défis : Malgré ses objectifs ambitieux, Gaia-X fait face à des défis et à des critiques. Parmi ceux-ci figurent la complexité du projet, la lenteur de sa mise en œuvre pratique, des définitions parfois imprécises et la crainte d’une mainmise des géants mondiaux du cloud sur l’initiative. On lui reproche également d’avoir trop longtemps privilégié l’infrastructure (IaaS/PaaS) au détriment de la couche applicative (SaaS).

EUCS : Système européen de certification de cybersécurité pour les services cloud

Le système européen de certification de cybersécurité pour les services cloud (EUCS) est un cadre de certification développé par l'Agence européenne de cybersécurité (ENISA) en vertu de la loi européenne sur la cybersécurité (CSA).

• Objectif : L’objectif principal est d’harmoniser les exigences et les certifications de cybersécurité pour les services cloud (IaaS, PaaS, SaaS) au sein de l’UE. Il vise à créer une norme unifiée afin de pallier la fragmentation engendrée par les différents systèmes de certification nationaux (tels que SecNumCloud en France ou C5 en Allemagne) et de renforcer le marché unique numérique. Pour les utilisateurs du cloud, l’EUCS a pour but d’accroître la transparence et la confiance en démontrant que les services certifiés répondent à des normes de sécurité spécifiques.
• Niveaux d'assurance : Le système définit trois (ou quatre dans les versions précédentes) niveaux de sécurité (« Basique », « Substantiel », « Élevé » et éventuellement « Élevé+ ») qui reflètent différents niveaux de risque et de capacités des attaquants. Plus le niveau est élevé, plus les exigences relatives aux mesures de sécurité mises en œuvre (par exemple, sécurité du réseau, du stockage, du chiffrement, tests d'intrusion) et la rigueur de l'évaluation par les organismes d'évaluation de la conformité (OEC) accrédités sont importantes.
• Volontaire ou obligatoire : la certification EUCS est généralement volontaire. Cependant, la loi sur la cybersécurité et la directive NIS2 autorisent les États membres de l’UE à imposer le recours à des services TIC certifiés pour certains secteurs, notamment pour les infrastructures critiques (KRITIS). Il est donc probable que la certification EUCS devienne de facto une exigence obligatoire ou un critère essentiel dans les appels d’offres, au moins dans les secteurs réglementés.
• Débat sur la souveraineté : Un point central et controversé du développement de l’EUCS a concerné les exigences spécifiques en matière de souveraineté, notamment pour le niveau de sécurité le plus élevé (« Élevé » ou « Élevé+ »). Les premières versions stipulaient que la localisation des données au sein de l’UE était obligatoire pour ce niveau et que le fournisseur devait avoir son siège social et son centre mondial dans un État membre de l’UE afin de garantir la protection contre les législations non européennes (telles que le CLOUD Act). Cependant, ces exigences ont apparemment été supprimées ou assouplies dans les versions ultérieures (à partir de 2024). Cette évolution a suscité de vives critiques de la part des fournisseurs de services cloud européens (en particulier les PME), des associations professionnelles et des défenseurs de la protection des données, qui craignent un affaiblissement de la souveraineté numérique de l’Europe, une dépendance accrue vis-à-vis des hyperscalers non européens et une exposition accrue aux risques pour les données des citoyens et des entreprises européens. Le débat sur la formulation finale de ces exigences se poursuit.

BSI C5 : Norme allemande pour la sécurité du cloud

Le catalogue des critères de conformité du cloud computing (C5) de l'Office fédéral allemand de la sécurité de l'information (BSI) est un catalogue établi de critères qui définit des exigences minimales spécifiques pour la sécurité de l'information des services cloud.

• Objectif et contenu : C5 vise à guider les clients du cloud dans le choix de fournisseurs sécurisés et à établir les bases de leur gestion des risques. Il s’appuie sur des normes internationales reconnues telles que l’ISO/IEC 27001, complétées par des exigences spécifiques au cloud et mettant l’accent sur la transparence grâce à des paramètres environnementaux. Ces paramètres fournissent des informations sur des aspects tels que la localisation des données, la juridiction, les certifications et les obligations de déclaration auprès des autorités compétentes, permettant ainsi aux clients de mieux évaluer les risques (par exemple, l’espionnage industriel ou les violations de données). Le catalogue comprend 17 domaines thématiques, dont l’organisation de la sécurité de l’information, la sécurité du personnel, la gestion des actifs, la cryptographie, la gestion des identités et des accès, la gestion des incidents et la sécurité physique.
• Certificat d’audit (Type 1 et Type 2) : La conformité aux critères C5 est attestée par un certificat d’audit délivré par un auditeur indépendant et qualifié. Il existe deux types de certificats d’audit : le certificat de type 1 atteste de l’adéquation de la conception et de la mise en œuvre des contrôles de sécurité à une date précise. Le certificat de type 2 confirme en outre l’efficacité opérationnelle de ces contrôles sur une période d’audit définie (généralement de 6 à 12 mois). Le certificat d’audit de type 2 est considéré comme plus complet et sera exigé pour les audits de suivi et dans le secteur de la santé à partir de juillet 2025.
• Pertinence : La norme C5 est devenue une référence en matière de sécurité du cloud computing en Allemagne, notamment pour l’administration publique et les secteurs fortement réglementés comme la santé et la finance. Comme indiqué précédemment, la certification C5 deviendra obligatoire pour les services cloud dans le secteur de la santé via la loi sur les infrastructures numériques (DigiG) à compter de juillet 2024/2025. De nombreux fournisseurs de services cloud allemands, européens et internationaux (pour leurs régions au sein de l’UE) proposent déjà la certification C5 pour leurs services.

Autres normes pertinentes

Outre les initiatives et certifications susmentionnées, les normes internationales établies jouent également un rôle important :

• ISO/IEC 27001 : Norme internationale reconnue pour les systèmes de gestion de la sécurité de l’information (SGSI). Elle définit une approche systématique de la gestion des informations sensibles de l’entreprise afin d’en garantir la confidentialité, l’intégrité et la disponibilité. La certification ISO 27001 est souvent une condition préalable pour les fournisseurs de services cloud et sert de base à des normes plus spécifiques telles que C5.
• ISO/IEC 27017 : Cette norme fournit un code de bonnes pratiques comportant des mesures de contrôle spécifiques pour la sécurité de l’information dans les environnements cloud, en complément de la norme ISO/IEC 27002.
• La norme ISO/IEC 27018 porte sur la protection des données personnelles dans les clouds publics agissant en tant que sous-traitants. Elle contient des lignes directrices étroitement alignées sur les principes européens de protection des données et peut compléter la norme C5, qui ne traite pas principalement de la protection des données.

Ces différentes initiatives et normes ne doivent pas nécessairement être perçues comme concurrentes, mais plutôt comme complémentaires. Gaia-X propose une vision et des règles pour un écosystème souverain, EUCS vise à harmoniser la certification à l'échelle de l'UE, et des normes nationales telles que BSI C5 offrent déjà des exigences concrètes et établies, ainsi que des mécanismes de test. Le défi consistera à intégrer efficacement ces approches et à créer un cadre cohérent qui réponde aux aspirations de l'Europe en matière de souveraineté, tout en étant pratique pour les fournisseurs et les utilisateurs. Cependant, le débat actuel autour des exigences de souveraineté au sein d'EUCS démontre que des efforts politiques et techniques supplémentaires sont encore nécessaires.

Il est important que les entreprises comprennent que les certifications telles que BSI C5 ou ISO 27001 constituent de précieux gages de confiance, favorisant la transparence et facilitant la démonstration des efforts déployés en matière de sécurité. Toutefois, elles ne sont pas une solution miracle et ne remplacent pas l'évaluation des risques et la diligence raisonnable propres au client. Par exemple, la certification C5 d'un fournisseur américain ne le dispense pas de l'application du CLOUD Act. La responsabilité de la sécurité de l'utilisation du cloud demeure partagée entre le fournisseur et le client, et les entreprises doivent systématiquement vérifier si les mesures mises en place par le fournisseur sont suffisantes au regard de leurs exigences et risques spécifiques.

Convient à:

• Systèmes de gestion des données dans le changement: stratégies pour le succès de l'entreprise à l'ère de l'IA

Avantages stratégiques du passage à des fournisseurs SaaS européens

L’analyse des risques liés à l’utilisation de services cloud basés aux États-Unis et l’examen du marché croissant des alternatives SaaS européennes souveraines permettent de tirer une conclusion claire : pour les entreprises européennes, aborder leur stratégie cloud sous l’angle de la souveraineté numérique est non seulement conseillé, mais de plus en plus une nécessité stratégique.

Résumé des résultats

Les principales conclusions de ce rapport peuvent être résumées comme suit :

• Risques persistants liés aux fournisseurs américains : L’utilisation de services SaaS proposés par des entreprises soumises à la juridiction américaine présente des risques importants et permanents pour les entreprises européennes. Le conflit fondamental entre le RGPD de l’UE et les lois américaines telles que le CLOUD Act et la section 702 de la loi FISA peut entraîner des violations de données, des amendes importantes, une perte de contrôle des données et un risque d’espionnage industriel. Même le cadre de protection des données UE-États-Unis (DPF) actuel ne résout pas ce conflit fondamental et sa pérennité reste incertaine (voir section II).
• La souveraineté comme concept multidimensionnel : dans le contexte européen, le terme « SaaS souverain » ne se limite pas au simple stockage de données dans des centres de données de l’UE. Il englobe la conformité au droit européen (notamment le RGPD), la protection contre les accès non européens, l’exploitation par des entités et du personnel de l’UE et, idéalement, l’ouverture et l’interopérabilité technologiques afin d’éviter toute dépendance (voir section III).
• Marché en pleine expansion des alternatives européennes : Un marché diversifié et en croissance de fournisseurs SaaS existe, dont le siège social et les activités se situent dans l’UE/EEE/Suisse. Ces fournisseurs proposent des solutions dans de nombreuses catégories, souvent axées sur la protection des données, la sécurité et les besoins locaux. Nombre d’entre eux s’appuient stratégiquement sur l’open source pour optimiser la transparence et le contrôle (voir sections IV et V).
• Pression réglementaire dans les secteurs sensibles : Dans des domaines tels que l'administration publique, la santé et le secteur financier, l'utilisation de solutions cloud manifestement sécurisées et souveraines (souvent avec la certification BSI C5 ou une preuve comparable) devient de plus en plus obligatoire par le biais de la législation (par exemple DigiG, DORA, NIS2) et des exigences stratégiques (par exemple DVS) (voir section VI).
• Conditions-cadres par le biais d’initiatives et de normes : les initiatives européennes telles que Gaia-X et les certifications telles que l’EUCS prévue, ainsi que les normes nationales établies telles que BSI C5, créent des conditions-cadres importantes, favorisent l’interopérabilité et sont destinées à renforcer la confiance dans les offres de cloud souverain (voir section VII).

Avantages stratégiques des alternatives SaaS de l'UE

Opter pour des fournisseurs SaaS européens répondant aux critères de souveraineté, ou privilégier ces derniers, offre aux entreprises des avantages stratégiques qui vont au-delà de la simple minimisation des risques :

• Amélioration de la conformité et de la sécurité juridique : le recours à des prestataires exclusivement soumis au droit de l’UE et garantissant le traitement des données au sein de l’Union européenne réduit considérablement le risque de violation du RGPD et de conflits avec les législations non européennes. Il en résulte un cadre juridique plus stable et prévisible pour le traitement des données.
• Renforcement du contrôle et de la sécurité des données : les fournisseurs européens soucieux de la souveraineté offrent souvent un niveau de contrôle accru sur vos données. Ceci est possible grâce à des options d’auto-hébergement, un chiffrement de bout en bout systématique (connaissance nulle), des processus opérationnels transparents et l’exclusion de l’accès par les autorités de pays tiers.
• Renforcement de la souveraineté numérique : le choix de fournisseurs européens réduit la dépendance stratégique vis-à-vis des entreprises technologiques non européennes. Il favorise le développement d’un écosystème numérique résilient en Europe et dynamise l’économie numérique locale.
• Assistance locale et proximité culturelle : les fournisseurs européens proposent souvent un service client plus accessible et compréhensible, dans la langue et le fuseau horaire locaux. Leur connaissance approfondie des spécificités et des usages du marché européen facilite la coopération et les négociations contractuelles.
• Instaurer la confiance : L’utilisation de solutions conformes aux normes de protection des données et souveraines témoigne d’un engagement fort en matière de protection et de sécurité des données auprès des clients, des partenaires et des employés. Cela peut constituer un atout majeur en termes de confiance et de compétitivité.

Recommandations pour les entreprises européennes

Pour tirer parti des avantages des solutions SaaS souveraines et gérer les risques liés à l'adoption du cloud, les entreprises européennes devraient envisager les étapes suivantes :

• Effectuez une analyse de risques individuelle : évaluez de manière critique les services SaaS que vous utilisez actuellement (en particulier ceux basés aux États-Unis). Analysez le type de données traitées (sensibilité, données personnelles), les exigences réglementaires applicables (RGPD, réglementations sectorielles) et l’impact potentiel d’un accès non autorisé aux données ou d’une interruption de service sur votre activité.
• Définissez les exigences de souveraineté : déterminez le niveau de souveraineté des données, de contrôle opérationnel et d’indépendance technologique nécessaire et souhaitable pour votre organisation. Toutes les applications n’exigent pas le même niveau de souveraineté. Établissez des priorités en fonction des risques et de l’importance stratégique.
• Évaluez systématiquement le marché des alternatives européennes : utilisez les études de marché (comme celle de ce rapport) et vos propres recherches pour identifier les fournisseurs SaaS européens potentiels qui répondent à vos exigences fonctionnelles et de souveraineté. Tenez compte de la taille du fournisseur, de sa spécialisation, de ses références et de sa viabilité future.
• Une analyse approfondie est essentielle lors du choix d'un prestataire : ne vous fiez pas aux arguments marketing. Examinez avec soin les informations fournies par le prestataire concernant l'emplacement des données (y compris les sauvegardes et les métadonnées), le personnel d'exploitation, la structure de l'entreprise (propriété, siège social), les sous-traitants utilisés, les technologies de chiffrement (en particulier le chiffrement de bout en bout/à connaissance nulle) et les mesures de sécurité. Demandez les accords de traitement des données (ATD), les mesures techniques et organisationnelles (MTO) et les certificats ou attestations pertinents (par exemple, ISO 27001, BSI C5) et examinez-les attentivement.
• Élaborez une stratégie de migration et un plan de sortie : planifiez soigneusement toute migration potentielle. Tenez compte des coûts, des efforts techniques nécessaires à la migration des données, des ajustements d’interface requis et de la gestion du changement pour vos employés. Assurez l’interopérabilité et définissez une stratégie de sortie claire pour faciliter un futur changement de fournisseur ou la restauration des données.
• Envisagez l'Open Source comme une option : évaluez si les solutions SaaS basées sur l'open source, qu'elles soient proposées en tant que service géré par un fournisseur de l'UE ou auto-hébergées, représentent une alternative appropriée pour atteindre une transparence, une adaptabilité et un contrôle optimaux.
• Surveillez le contexte réglementaire : restez informé des évolutions en matière de trafic de données transatlantique (vérification DPF), des normes de certification européennes (EUCS) et des lois pertinentes (NIS2, DORA, réglementations spécifiques au secteur), car celles-ci peuvent influencer considérablement votre stratégie cloud.

Le choix d'utiliser ou non des services cloud spécifiques, notamment en ce qui concerne les fournisseurs américains par rapport aux alternatives européennes, dépasse largement le cadre d'une simple question technique ou de conformité. Il s'agit d'une décision stratégique aux implications à long terme pour la sécurité juridique, la sécurité des données, la maîtrise des processus métier critiques et, en définitive, la résilience et la compétitivité de l'entreprise dans l'environnement numérique mondial. Les risques liés à la dépendance envers des fournisseurs non européens sont considérables et sont exacerbés, plutôt qu'atténués, par le contexte géopolitique et juridique actuel.

Parallèlement, le passage à des solutions européennes n'est pas automatique. Les entreprises doivent soigneusement évaluer si les avantages en matière de conformité et de contrôle compensent les inconvénients potentiels liés aux fonctionnalités, à la rapidité d'innovation ou à l'effort de migration. Une analyse approfondie de leurs besoins, une évaluation réaliste des alternatives disponibles et une planification rigoureuse de la transition sont essentielles à la réussite. Toutefois, le marché européen propose de plus en plus d'options viables et fiables permettant aux entreprises de tirer parti des avantages du cloud sans compromettre leur souveraineté numérique.

☑️ Accompagnement des PME en stratégie, conseil, planification et mise en œuvre

Création ou réalignement de la stratégie de l'IA

☑️ Développement commercial pionnier

Konrad Wolfenstein

Je serais heureux de vous servir de conseiller personnel.

Vous pouvez me contacter en remplissant le formulaire de contact ci-dessous ou simplement m'appeler au +49 89 89 674 804 (Munich) .

J'attends avec impatience notre projet commun.

Xpert.Digital est une plateforme industrielle axée sur la numérisation, la construction mécanique, la logistique/intralogistique et le photovoltaïque.

Avec notre solution de développement commercial à 360°, nous accompagnons des entreprises de renom depuis les nouvelles affaires jusqu'à l'après-vente.

L'intelligence de marché, le smarketing, l'automatisation du marketing, le développement de contenu, les relations publiques, les campagnes de courrier électronique, les médias sociaux personnalisés et le lead nurturing font partie de nos outils numériques.

Vous pouvez en savoir plus sur : www.xpert.digital - www.xpert.solar - www.xpert.plus