Sortez du cloud américain: Sovereign SaaS propose un aperçu + des recommandations d'action

Le besoin de souveraineté numérique pour les entreprises européennes

La transformation numérique progresse imparable et le cloud computing, en particulier le logiciel en tant que service (SaaS), est devenu un outil indispensable pour les entreprises de toutes tailles. Il permet la flexibilité, l'évolutivité et l'accès aux technologies innovantes. Dans le même temps, ce développement a conduit à une dépendance significative à l'égard de quelques-uns, principalement des fournisseurs de cloud américains.

Convient à:

• Pourquoi la loi sur le cloud américain est un problème et un risque pour l'Europe et le reste du monde: une loi avec des conséquences de grande envergure

Problème: dépendance croissante à l'égard des fournisseurs de cloud américains

Le marché européen du cloud est clairement dominé par les grandes hyperscaleurs américains: Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP). Ces fournisseurs combinent une grande partie de la part de marché mondiale. Même les principaux fournisseurs européens tels que SAP ou Deutsche Telekom en Europe n'atteignent que de petites parts de marché en Europe. Cette concentration représente un danger inhérent: une grande partie de l'infrastructure globale et en particulier de l'infrastructure cloud européenne est potentiellement soumise à la compétence des lois américaines. Dans les entreprises européennes et de plus en plus dans les administrations publiques, la sensibilisation aux risques associés à cette dépendance augmente. Les causes concernant la protection des données, la sécurité des données et la perte de contrôle sur les données critiques et les processus sont au premier plan. La question de la souveraineté numérique devient une nécessité stratégique.

Pertinence de la souveraineté des données et de la conformité du RGPD

Le règlement général sur la protection des données (RGPD) est au centre des préoccupations européennes. Depuis 2018, il s'agit du cadre juridique strict pour la protection des données personnelles dans l'Union européenne et réglemente son traitement et sa transmission en détail, en particulier dans les pays en dehors de l'UE. Le respect du RGPD n'est pas seulement une obligation légale pour les entreprises européennes, mais aussi un facteur important pour la confiance des clients et des partenaires commerciaux. Dans le même temps, le concept de souveraineté numérique gagne en importance. Il décrit les efforts de l'Europe à reprendre ou à garder le contrôle de vos propres données, technologies et infrastructures numériques. Ce n'est pas seulement une question de protection des données, mais aussi un objectif de politique industrielle pour renforcer l'économie et la compétitivité européennes dans un monde numérique mondialisé. Pour les entreprises, cela signifie la nécessité de repenser les stratégies cloud et de rechercher de manière proactive des solutions qui sont à la fois légalement conformes et dignes de confiance et d'assurer leur propre capacité à agir.

Convient à:

• Intégration de l'IA d'une plate-forme d'IA indépendante et croisée à l'échelle de la source pour toutes les questions de l'entreprise

Objectif et structure du rapport

Ce rapport s'adresse aux affaires européennes et aux décideurs informatiques qui sont confrontés au défi de développer une stratégie cloud à l'épreuve des futurs et soucieuses des risques. Il poursuit l'objectif de créer une base bien fondée pour la décision par:

• Les risques spécifiques analysés qui découlent de l'utilisation des services SaaS basés aux États-Unis pour les entreprises européennes, en particulier en ce qui concerne le conflit entre les lois du RGPD et les lois américaines telles que la Cloud Act et la FISA 702.
• Définit ce qui doit être compris sous «Sovereign SaaS offre» dans un contexte européen et quels critères ils doivent répondre.
• Un aperçu du marché des fournisseurs de SaaS européens, qui se positionnent comme des alternatives souveraines, catégorise les zones d'application.
• Une comparaison des alternatives importantes dans les catégories clés en ce qui concerne les fonctions, les prix et, surtout, la mise en œuvre de la souveraineté des données et de la conformité du RGPD.
• Solutions spécialisées pour les secteurs sensibles tels que l'administration publique, les soins de santé et les finances.
• Présentent les initiatives pertinentes de l'UE (telles que GAIA-X) et les certifications (telles que les EUC, BSI C5) qui favorisent la souveraineté des nuages.
• Une conclusion et des recommandations d'action pour l'orientation stratégique des entreprises dérivent.

Analyse des risques: services cloud américains et défis pour les entreprises européennes

L'utilisation des services cloud, en particulier les offres du SaaS, des prestataires basés aux États-Unis, présente aux entreprises européennes de défis juridiques et opérationnels considérables. Ceux-ci résultent principalement du conflit fondamental entre les réglementations strictes sur la protection des données européennes et les lois de surveillance américaine et d'accès aux données américaines.

Le conflit de base: lois de surveillance du RGPB contre les États-Unis

Le règlement général sur la protection des données (RGPD) constitue le fondement de la protection européenne des données. Il établit des normes élevées pour le traitement des données personnelles des citoyens de l'UE. Article 44 FF. Le RGPD qui réglemente la transmission de ces données en pays du troisième pays (pays en dehors de l'UE / EEE) sont particulièrement pertinents pour l'utilisation du cloud. Une telle transmission n'est autorisée que s'il existe un «niveau de protection raisonnable» dans le pays tiers (déterminé par une décision d'adéquation de la Commission de l'UE) ou si des «garanties appropriées» (telles que des clauses de contrat standard ou des règles contraignantes) sont disponibles et des droits exécutoires et des remèdes légaux efficaces sont disponibles pour les personnes touchées. En outre, l'article 48 du RGPD interdit explicitement la transmission des données aux autorités d'un pays tiers en raison de leurs décisions ou de leurs jugements s'il n'y a pas d'accord international, comme un accord d'assistance juridique. Plusieurs lois américaines sont opposées à cette affirmation de protection européenne qui accorde aux autorités américaines des droits d'accès de grande envergure aux données, même si elles sont stockées en dehors des États-Unis:

• La loi américaine sur le cloud (clarification de la loi sur l'utilisation à l'étranger légal): Cet 2018, qui est adopté en 2018, autorise les autorités américaines de poursuites pénales et les services de renseignement pour demander la publication de données sous leur contrôle, ce qui est sans rapport où ces données sont stockées dans le monde. Cela comprend explicitement des données situées dans des centres de données au sein de l'Union européenne. La loi sur le cloud sape ainsi le principe de la territorialité de la protection des données et est en contradiction directe avec les exigences du RGPD, en particulier l'article 48. Il a été créé, entre autres, en réponse à un long différend juridique entre Microsoft et le gouvernement américain sur l'accès aux e-mails stockés en Irlande et les réglementations d'accès plus anciennes modernisées à partir de septembre 2001, comme le Patriot Act. Les mécanismes de la loi sur le cloud, selon lesquels un fournisseur peut contester un arrangement d'émission, s'il viole la loi d'un autre État (comme le RGPD), mais l'efficacité pratique de ces mécanismes, en particulier dans le domaine de la sécurité nationale, est très controversée et n'offre pas de garantie fiable pour les entreprises européennes. Les prestataires sont donc en conflit: s'ils suivent un arrangement de loi sur le cloud sans base juridique de l'UE, risquez un RGPD massif; Si vous refusez de publier, citant le RGPD, menacez les sanctions en vertu de la loi américaine.
• Article 702 de la FISA (Foreign Intelligence Surveillance Act): Cette disposition, qui fait partie de la loi sur les modifications de la FISA à partir de 2008, permet aux services de renseignement américains tels que la NSA, la surveillance ciblée de la communication électronique des personnes non américaines qui ne sont pas en dehors des États-Unis. La surveillance a lieu pour obtenir des «informations de renseignement étrangères». FISA 702 oblige les fournisseurs américains de services de communication électronique (fournisseurs de services de communication électronique-ECSPS), qui comprennent de nombreux grands fournisseurs de cloud et SaaS, pour coopérer avec les autorités. La portée des données potentiellement enregistrées est très large et, en plus des métadonnées, peut également inclure du contenu de communication, même de tiers non impliqués qui ne mentionnent qu'une seule personne cible. Les programmes de surveillance de la FISA 702 (comme le prisme et en amont) ont été un point central de critique dans le jugement de Schrems II de la CJCE (voir ci-dessous). L'absence de remèdes juridiques efficaces aux citoyens affectés par l'UE et le potentiel de surveillance de masse sont également critiqués, même si les autorités américaines le nient.
• Commande exécutive 12333 et autres: En plus de Cloud Act et de la FISA 702, il existe d'autres bases juridiques, telles que le décret exécutif 12333, qui accordent aux services de renseignement américain des pouvoirs de surveillance de la surveillance à l'étranger, souvent sans contrôle judiciaire ou restrictions légales spécifiques sur les non-IP.

Ce conflit juridique fondamental crée une situation dans laquelle l'utilisation des services cloud des fournisseurs américains pour les entreprises européennes comporte des risques inhérents.

Risques concrets pour les entreprises européennes

Le conflit juridique décrit entraîne des risques tangibles pour les entreprises européennes qui utilisent les services SaaS basés aux États-Unis:

• Violations et amendes de la protection des données: La reddition des données personnelles aux autorités américaines sur la base de la loi sur le cloud ou de la FISA 702, sans une base juridique valide en vertu du droit de l'UE (par exemple, un accord d'assistance juridique), est une violation claire du RGPD, en particulier par rapport à l'article 48. Cela peut entraîner des amendes sensibles de 4% des exppensions annuelles mondiales, ainsi que des allégations de droit civil de ces amendes affectées. L'utilisation d'un service cloud américain à elle seule ne peut pas être considérée comme potentiellement non conforme au RGPD si le fournisseur ne peut garantir qu'il ne publie pas de données tout en violant le RGPD.
• Perte de la souveraineté et de contrôle des données: assurance contractuelle des fournisseurs américains pour ne stocker que des données dans les centres de données de l'UE, n'offre pas une protection efficace contre l'accès aux États-Unis en vertu de la loi sur le cloud ou de la FISA. Les lois américaines peuvent saper ces assurances ainsi que les mesures de protection technique. Même le cryptage des données n'est pas une panacée si le fournisseur américain a le contrôle des clés de chiffrement car elle pourrait être forcée de les divulguer. De même, les mécanismes de contrôle d'accès peuvent être évités et les protocoles d'audit peuvent être consultés à l'insu du propriétaire des données, ce qui viole les exigences de transparence du RGPD. En fait, les entreprises européennes perdent en fait le contrôle des circonstances accès à leurs données.
• Espionage économique et perte des secrets d'entreprise: un risque particulièrement grave est le drainage potentiel des données sensibles de l'entreprise. Cela comprend la propriété intellectuelle, les données de recherche et de développement, les prototypes, les plans stratégiques, les données financières ou les données et communications client confidentielles. La préoccupation que les autorités américaines pourraient également utiliser leurs droits d'accès à des fins économiques (espionnage commercial) est un moteur essentiel pour les entreprises européennes pour rechercher des alternatives ou prendre des mesures de protection supplémentaires. La perte de ces informations peut entraîner des pertes financières considérables, des dommages à la réputation et la perte d'avantages compétitifs.
• Incertitude juridique et perte de confiance: le conflit non résolu entre la loi européenne sur la protection des données et les droits d'accès aux États-Unis crée une incertitude juridique considérable pour les entreprises qui utilisent les services américains. Cette incertitude complique les efforts de planification et de conformité à long terme. En outre, l'utilisation continue des services dans lesquelles la protection des données ne peut pas être garanti peut saper considérablement la confiance des clients, des employés et des partenaires commerciaux.
• Risques géopolitiques: des lois telles que la loi sur le cloud sont observées dans le contexte des tendances mondiales vers l'augmentation de la surveillance de l'État et une éventuelle fragmentation d'Internet («Splinternet»). Les comparaisons avec des lois similaires dans d'autres pays telles que le droit national du renseignement chinois sont établies. Une dépendance excessive à l'égard des prestataires de technologies d'une seule région non européenne abrite également des risques stratégiques pour l'autonomie numérique et la résilience de l'Europe.

Les risques de l'utilisation des nuages ​​américains vont donc bien au-delà des pénalités potentielles du RGPD. Ils incluent la perte de données commerciales critiques, les dommages à la réputation et la mise en danger de compétitivité en raison de l'éventuel abus de droits d'accès à l'espionnage des entreprises. Ces risques souvent difficiles quantifiables, mais potentiellement existentiels, sont légèrement sous-estimés sur une pure focalisation sur la conformité du RGPD.

La décision Schrems II et le cadre de confidentialité des données (DPF)

L'incertitude légale du trafic de données transatlantique a été massivement resserrée par le jugement de Schrems II de la Cour de justice européenne (CJCE) en juillet 2020. La CJCE a déclaré l'accord de Shield de vie privée alors applicable invalide. La raison: les lois sur la surveillance américaine, en particulier la FISA 702 et les programmes associés, permettent une interférence dans les droits fondamentaux des citoyens de l'UE (protection des données, confidentialité), qui ne se limitent pas au niveau obligatoire et n'offrent pas de protection équivalente comme dans l'UE. En outre, il existe un manque de recours juridiques efficaces pour les personnes touchées aux États-Unis contre de telles mesures de surveillance. Le jugement a confirmé la validité fondamentale des clauses de contrat standard (clauses contractuelles standard - SCC) comme instrument alternatif pour les transferts de données. Cependant, la CJCE a clairement indiqué que les exportateurs de données ne sont pas autorisés à compter aveuglément sur les SCC. Dans le cadre d'un test de cas individuel (évaluation d'impact sur le transfert - TIA), vous devez vérifier si le droit et la pratique dans le pays cible (ici les États-Unis) garantissent une protection qui est "essentiellement égale" dans l'UE. Si ce n'est pas le cas dû aux lois de surveillance - que la CJCE a suggérée aux États-Unis - des mesures supplémentaires (mesures supplémentaires) doivent être prises (par exemple, un fort cryptage dans lequel le destinataire n'a pas accès aux clés) pour assurer la protection. Si cela n'est pas possible, le transfert de données doit être suspendu. Dans ce contexte, la loi sur le cloud a été considérée comme un facteur qui sape encore l'argument de l'équivalence dans le niveau de protection. En réponse à l'incertitude juridique causée par Schrems II et à mettre le flux de données entre l'UE et les États-Unis sur une base solide, la Commission de l'UE et le gouvernement américain ont convenu du cadre de confidentialité des données de l'UE (DPF). Ceci est entré en vigueur en juillet 2023 par une nouvelle pertinence de la Commission de l'UE. Le DPF est destiné à répondre aux préoccupations exprimées dans le jugement de Schrems II en fournissant des mesures de protection supplémentaires du côté américain: l'accès via les services de renseignement américains aux données des citoyens de l'UE devrait être limité au niveau nécessaire et proportionnel, et un nouveau remède juridique en deux étapes (y compris la revue de protection des données-DPRC) a été créé pour les citoyens de l'UE. Aux États-Unis, les entreprises peuvent être certifiées pour le DPF, et les transferts de données de l'UE à ces sociétés certifiés sont ensuite considérés comme autorisés sans instruments supplémentaires tels que SCCS ou autres mesures. Cependant, il y a encore des doutes et des risques considérables concernant la stabilité et l'efficacité du DPF:

• Les lois américaines de base restent: la loi sur le cloud et la FISA 702 n'ont pas été modifiées par le DPF. Les pouvoirs de base des autorités américaines pour l'accès aux données se poursuivent.
• Des doutes sur la force de la CJCE: de nombreux experts en protection des données et militants doutent que les mesures de protection prévues dans le DPF et le nouveau mécanisme de recours juridique résisteraient à une nouvelle revue de la CJCE. En particulier, l'indépendance et l'assurance du DPRC sont remises en question.
• Surveillance continue requise: selon l'art. 45 par. 4 RGPD, la Commission de l'UE est obligé de surveiller en permanence les développements aux États-Unis et de vérifier régulièrement la pertinence. La première revue a eu lieu à l'été 2024. Des développements récents, tels que l'extension et l'expansion potentielle de la FISA 702, pourraient à nouveau mettre en danger la base du DPF.
• Risque pour les entreprises: les entreprises qui comptent exclusivement sur le DPF comportent un risque non insensible. Si la CJCE invalide également le DPF à l'avenir (un scénario «Schrems III»), les transferts de données sur cette base seraient à nouveau illégaux sur cette base. Les entreprises qui n'ont alors pas de «plan B» (par exemple, le passage aux fournisseurs de l'UE ou la mise en œuvre de mesures supplémentaires efficaces) ne peuvent pas compter sur le retrait.

Le conflit central entre la loi américaine sur l'accès approfondi des données et le droit fondamental de l'UE à la protection des données reste en vertu du DPF. Les lois américaines qui causent le problème sont toujours en vigueur. Le DPF est plus un pontage politique et éventuellement temporaire qu'une solution juridique finale. Le problème de base de l'accès potentiellement au RGPD par les autorités américaines aux données des citoyens et des entreprises européens n'est pas effacé.

Définition et critères: que signifie «SaaS souverain»?

Compte tenu des risques décrits, les entreprises européennes recherchent de plus en plus des alternatives qui leur offrent plus de contrôle, de sécurité et de conformité juridique. Dans ce contexte, le concept de «nuage souverain» ou de «SaaS confiant» tombe souvent. Mais qu'est-ce qui se cache exactement derrière et quels critères une offre doit-elle répondre pour être considérée comme souverain dans le contexte européen?

Éléments fondamentaux de la souveraineté dans le contexte du cloud

La souveraineté numérique dans l'environnement cloud est un concept complexe qui va au-delà de la pure fourniture de services techniques. Il peut être saisi en utilisant plusieurs éléments de base:

• Data Souverainté (données Soverabnty): Il s'agit du principe central. Il indique que les données sont soumises aux lois et réglementations de la juridiction dans laquelle elles sont ou ont été soulevées. Pour l'Europe, cela signifie avant tout la validité sans restriction de la loi de la protection des données de l'UE (en particulier le RGPD) et la protection contre l'accès par les autorités des pays tiers basés sur des lois extraterritoriales telles que la loi sur le cloud américain. Le client garde le contrôle total sur les conditions qui peuvent accéder à ses données.
• Data Residence and Data Localisation:
  • La résidence des données signifie que les données clients (y compris les métadonnées et les sauvegardes) sont garanties dans une région géographique définie, généralement de l'UE ou de l'EEE. Il s'agit d'une condition préalable nécessaire à la souveraineté des données dans le contexte de l'UE, mais en soi, pas suffisant si le fournisseur est soumis à des lois non européennes.
  • La localisation des données est une exigence plus stricte qui stipule que les données ne sont pas autorisées à laisser les limites d'un pays spécifique. Ces lois sont rares au sein de l'UE, mais peuvent être pertinentes pour des réglementations ou des secteurs nationaux spécifiques.
• Souverain de fonctionnement (souveraineté opérationnelle): Cet élément fait référence au contrôle du fonctionnement de l'infrastructure cloud et des services à ce sujet. Les aspects importants sont:
  • Fonctionnement par le biais du personnel de l'UE et des personnes juridiques de l'UE: il faut s'assurer que le personnel, l'accès physique ou logique à l'environnement cloud et aux données des clients, réside dans l'UE et est soumis au droit de l'UE. L'accès de l'extérieur de l'UE doit être évité techniquement et organisationnel ou strictement contrôlé.
  • Siège et structure d'entreprise de l'UE: le fournisseur de cloud lui-même ou du moins la personne juridique responsable de l'entreprise de l'UE devrait avoir son siège social dans un État de l'UE / EEE et donc principalement subordonné au droit européen. Il est également crucial qu'il n'y ait pas de dépendances sur les sociétés mères ou les succursales dans les pays tiers (en particulier les États-Unis), ce qui pourrait faire respecter une soumission en vertu de leurs lois (telles que Cloud Act ou FISA).
  • Transparence et auditabilité: les clients ont besoin de transparence via les processus d'exploitation, les sous-traitants utilisés et les mesures de sécurité implémentées. La possibilité d'une revue indépendante et d'un audit de l'accès et des processus est une caractéristique importante de la souveraineté opérationnelle.
• Souveraineté technologique (sovergny technologique): Cela fait référence à la capacité de comprendre, de contrôler, de valider et de développer idéalement les technologies clés sous-jacentes elles-mêmes. Les aspects de cela sont:
  • L'utilisation de normes ouvertes et de logiciels open source: les normes ouvertes et les logiciels ouverts à la source favorisent l'interopérabilité entre différents fournisseurs et solutions, augmenter la transparence (puisque le code peut être vérifié), réduire le risque de verrouillage du fournisseur et faciliter les audits de sécurité. Ils forment souvent la base des piles de technologies européennes telles que la pile de cloud Soveign (SCS).
  • Interopérabilité et portabilité: La capacité de migrer facilement des données et des applications entre différents fournisseurs de cloud ou de retour dans votre propre infrastructure (sur site) est un signe d'indépendance et de flexibilité.
  • Contrôle de la pile technologique: à long terme, la souveraineté technologique vise à réduire la dépendance à l'égard des composants matériels et logiciels propriétaires provenant de sources non européennes et de construction de leurs propres compétences européennes.

Convient à:

• Les plateformes d'IA indépendantes comme alternative stratégique pour les entreprises européennes

Différenciation et malentendus

Le terme «cloud confiant» n'est pas légalement protégé et est souvent utilisé par divers fournisseurs comme outil de marketing, par lequel les concepts et mesures sous-jacents peuvent varier considérablement. Il est donc crucial pour les entreprises de vérifier exactement ce qu'un fournisseur signifie par souveraineté et quelles garanties spécifiques qu'elle offre. Un malentendu courant est que le stockage des données dans un centre de données au sein de l'UE est suffisant pour assurer la souveraineté. Cependant, ce n'est pas le cas. Comme expliqué dans la section II, la loi sur le cloud américain permet d'accéder aux données des sociétés américaines, quel que soit le lieu. La résidence des données dans l'UE ne protège pas l'accès aux États-Unis si le fournisseur lui-même ou sa société mère est américain ou autrement soumis à la juridiction américaine. Un autre préjugé indique que le cloud souverain offre inévitablement des restrictions fonctionnelles moyennes ou une vitesse d'innovation plus lente par rapport aux hyperscaleurs mondiaux. Bien que cela puisse s'appliquer dans certains cas, comme les prestataires locaux n'ont souvent pas les mêmes effets d'échelle et les mêmes budgets de recherche, l'objectif n'est pas principalement la restriction, mais la combinaison des avantages du cloud computing (flexibilité, évolutivité) avec les exigences de contrôle, de sécurité et de conformité. De nombreux fournisseurs européens comptent sur des technologies ouvertes pour permettre l'innovation et l'adaptabilité.

Critères pour les fournisseurs de SaaS souverains du point de vue de l'UE

Sur la base des éléments fondamentaux de la souveraineté, les critères concrets peuvent provenir de laquelle les entreprises européennes peuvent évaluer les prestataires SaaS:

• Protection et conformité des données: le fournisseur s'est avéré répondre aux exigences du RGPD. Cela devrait être documenté par un contrat de traitement des commandes (AVV) conformément à l'art. 28 RGPD et mesures techniques-organisationnelles appropriées (TOMS). Le respect de l'UE et des réglementations nationales pertinentes (par exemple pour des secteurs spécifiques) doivent être garanties.
• Emplacement et traitement des données: il faut garantir contractuellement que toutes les données des clients, y compris les métadonnées, les données de configuration et les sauvegardes, ne sont enregistrées et traitées que dans l'UE ou l'EEE.
• Opération et contrôle d'accès: le fonctionnement des services et l'accès aux données des clients doit être effectué par le personnel basé à l'UE et appartient à une personnalité juridique de l'UE. Des mesures techniques et organisationnelles strictes doivent être mises en œuvre pour empêcher un accès non autorisé, en particulier de l'extérieur de l'UE.
• Structure et juridiction de l'entreprise: le fournisseur devrait avoir son siège social et son contrôle juridique pertinent dans l'UE / EEE. Il ne doit pas y avoir d'ingérence ou de succursale du droit social dans les pays tiers (en particulier les États-Unis), qui amène le fournisseur en vertu de leur juridiction et pourrait potentiellement forcer les données à se rendre (par exemple par Cloud Act ou FISA).
• Transparence: le fournisseur doit fournir des informations transparentes sur ses processus de fonctionnement, l'utilisation de sous-traitants, les emplacements du traitement des données et les mesures de sécurité mises en œuvre. La possibilité d'audit par le client ou des tiers indépendantes doit être donnée.
• Technologie et interopérabilité: l'utilisation préférée des normes ouvertes (par exemple les API) et / ou les logiciels open source facilitent l'intégration, les tests et les changements potentiels à d'autres fournisseurs (évitement du verrouillage des fournisseurs).
• Certifications et tests: Les certifications et les tests reconnus peuvent servir de preuve de conformité aux normes de sécurité et de conformité et créer la confiance. ISO 27001, BSI C5 (en Allemagne) et les EUCS à l'avenir sont particulièrement pertinents.

Il devient clair que la souveraineté numérique dans le contexte SaaS est un concept multidimensionnel. Il ne s'agit pas seulement de savoir où les données sont stockées, mais aussi de qui les traite, quelle loi est soumise au fournisseur et quelles bases technologiques sont utilisées. Lors du choix d'un fournisseur, les entreprises doivent donc vérifier quelles dimensions de la souveraineté sont prioritaires pour elles et dans quelle mesure le fournisseur répond à ces exigences spécifiques. Une résidence de données pure dans l'UE n'est souvent pas suffisante pour atténuer efficacement les risques, en particulier par le biais des lois américaines. Dans le même temps, les entreprises sont souvent confrontées à un domaine de tension: le désir de souveraineté et de contrôle maximum doit être évalué contre les inconvénients potentiels aux fonctions, à la vitesse d'innovation ou aux coûts qui peuvent survenir chez certains fournisseurs européens ou strictement souverains par rapport aux hyperscaltes mondiaux. L'utilisation de logiciels open source est considérée par de nombreux fournisseurs européens comme un moyen stratégique d'assurer la transparence, la confiance et l'adaptabilité, même s'ils peuvent ne pas être à l'avant-garde des derniers développement technologiques.

Xpert.Digital possède une connaissance approfondie de diverses industries. Cela nous permet de développer des stratégies sur mesure, adaptées précisément aux exigences et aux défis de votre segment de marché spécifique. En analysant continuellement les tendances du marché et en suivant les évolutions du secteur, nous pouvons agir avec clairvoyance et proposer des solutions innovantes. En combinant expérience et connaissances, nous générons de la valeur ajoutée et donnons à nos clients un avantage concurrentiel décisif.

En savoir plus ici :

• Utilisez l'expertise 5x de Xpert.Digital dans un seul forfait - à partir de seulement 500 €/mois

Aperçu du marché: alternatives SaaS souveraines de l'UE

Le marché européen du logiciel en tant que service (SaaS) propose un nombre croissant de prestataires qui se positionnent comme des alternatives aux acteurs américains dominants. Beaucoup d'entre eux mettent particulièrement l'accent sur la protection des données, la conformité du RGPD et la souveraineté numérique afin de répondre aux exigences spécifiques des entreprises et des organisations européennes.

Critères pour la sélection des fournisseurs

L'aperçu suivant se concentre sur les fournisseurs de SaaS qui répondent aux critères suivants:

• Origine: La société a son siège social dans un État membre de l'Union européenne (UE), de l'Espace économique européen (EEE) ou de la Suisse (CH), car la Suisse a une décision d'adéquation de la Commission de l'UE et est souvent étroitement intégrée dans la zone économique européenne.
• Positionnement: Le fournisseur se positionne explicitement comme une alternative souverain ou conforme à la protection des données ou a des caractéristiques essentielles de la souveraineté numérique (par exemple, l'hébergement exclusif dans l'UE / EEE, la conformité du GDPR démontrable, aucune soumission en vertu des lois américaines telles que Cloud Act / FISA, utilisation de l'ouverture de Source).
• Pertinence: le fournisseur a été mentionné dans les sources de recherche sous-jacente ou est connu comme une alternative pertinente dans sa catégorie.

Les prestataires sont regroupés pour une meilleure clarté selon les catégories du SaaS communes.

Aperçu catégorisé des fournisseurs de SaaS européens

Le tableau suivant donne un aperçu des fournisseurs de SaaS européens sélectionnés, dans l'ordre selon les domaines fonctionnels. Il sert de point de départ pour une évaluation plus détaillée.

Aperçu des fournisseurs de SaaS européens par catégories

(Remarque: ce tableau est une sélection et ne prétend pas être terminé. Les informations sont basées sur les sources disponibles et peuvent changer. Un examen séparé par la société est essentiel.)

L'aperçu des fournisseurs de SaaS européens montre une variété de solutions qui sont commandées en fonction des catégories. Dans le domaine de la collaboration et de l'Office, il existe des fournisseurs tels que NextCloud Hub d'Allemagne avec une plate-forme open source pour les fichiers, les discussions, les groupes de groupage et les bureaux, qui peuvent être hébergés à la fois de soi et s'appuient sur la souveraineté de données. Open-Xchange App Suite, également en provenance d'Allemagne, propose une solution complète pour les e-mails, les groupes de groupement, le lecteur et les documents, en particulier pour les fournisseurs et les entreprises, et respecte les normes ISO 27001. OnlyOffice de la Lettonie fournit une suite de bureaux avec des options de collaboration et un espace de travail (y compris CRM et Email), il est à la fois conforme au cloud et à la compétence sur site et au RGPD. Collabora Online, basé sur LibreOffice, est souvent intégré à des plateformes telles que NextCloud. TeamDrive de l'Allemagne se concentre sur la mémoire des nuages ​​à haute résistance avec un chiffrement de bout en bout et un principe de connaissance zéro. Conceptboard, également d'Allemagne, propose une merde en ligne pour la collaboration visuelle avec les serveurs de l'UE et sans participation américaine. CryptPad from France combine l'open source et la collaboration cryptée par E2E. Stackfield en provenance d'Allemagne offre une plate-forme conforme au RGPD pour le chat, les tâches et la vidéo.

Dans le domaine de CRM & Sales, Zeeg d'Allemagne avec un horaire conforme au RGPD comprend la planification, tandis que CentralStationCrm offre un CRM simple pour les PME. SAP CRM, dans le cadre de la suite SAP, s'adresse aux entreprises. Dans les solutions de stockage cloud, des fournisseurs tels que PCLOUD de Suisse se distinguent par le chiffrement E2E et les plans à vie en option. La tresorite combine une haute sécurité, une connaissance nulle et une conformité pour l'Europe. Proton Drive, également de Suisse, propose un fichier crypté. Les fournisseurs allemands tels que Ionos Hidrive et les options internationales telles que Infaniak Kdrive complètent l'offre.

Pour la vidéoconférence, OPENTALK d'Allemagne avec un accent particulier sur la sécurité et le RGPD ainsi que la rencontre de la solution open source Jitsi doivent être soulignés. Eyeson d'Autriche propose une vidéo basée sur la vidéo basée sur le cloud, tandis que Univid From Suède se concentre sur les webinaires. Dans l'analyse Web, Matomo propose une option open source avec un contrôle complet des données, l'analyse plausible se concentre sur la convivialité et la protection des données faciles, Etracker de l'Allemagne fait sans cookies et Piwik Pro.

L'automatisation du marketing est couverte par des fournisseurs tels que Brevo (anciennement SendinBlue) avec des serveurs en Allemagne / UE et Evanche avec B2B Focus et Certification ISO. Dans le cas des logiciels RH, Personio est un leader, une plate-forme complète pour les PME, complétée par des solutions telles que les systèmes HRWorks et Rexx qui offrent à la fois des modèles cloud et sur site. OpenProject in Project Management est une solution open source allemande, tandis que Zenkit marque avec des espaces de travail flexibles. Des fournisseurs de courriels sûrs tels que Tutanota et Proton Mail pour la protection des données et le cryptage de bout en bout. L'authentification unique est desservie par Bare.id d'Allemagne avec une sécurité conforme au RGPD. Pour les outils d'enquête, Lamapoll et Limesurvey conviennent avec l'adaptabilité et les normes de serveur allemand. Questionpro dans la version de l'UE arrête de la liste avec des fonctions étendues et une conformité RGPD.

Cet aperçu illustre la diversité et la spécialisation remarquables sur le marché européen du SaaS. En particulier dans les domaines dans lesquels la protection et la sécurité des données jouent traditionnellement un rôle majeur, comme la collaboration, la communication sûre, le stockage du cloud et l'analyse Web - il y a un large éventail d'alternatives. Beaucoup de ces prestataires sont des sociétés de petite ou moyenne (PME) ou des acteurs de niche spécialisés de différents pays européens. Ils se concentrent souvent sur la conformité avec le RGPD et les besoins spécifiques du marché européen, qui s'exprime dans des caractéristiques telles que l'hébergement de l'UE, le soutien en langue allemande ou les certifications de conformité spécifiques.

L'importance stratégique des logiciels open source pour de nombreux fournisseurs européens est également frappante. En particulier dans les domaines de la collaboration (NextCloud, CryptPad), du bureau (uniquement Office, Collabora), de la gestion de projet (OpenProject), de l'analyse Web (MATOMO) et des conférences vidéo (Jitsi, Opealk), les technologies de Source -Open forment souvent la base. C'est plus qu'un simple détail technique; C'est une décision consciente de promouvoir la transparence (par le code visible), l'adaptabilité, l'auditabilité et d'éviter les dépendances (verrouillage des fournisseurs). Ces aspects sont des éléments constitutifs centraux de la souveraineté numérique et permettent aux fournisseurs européens d'offrir des solutions dignes de confiance et flexibles sans nécessairement avoir les énormes budgets de développement des hyperscales mondiaux. Cela donne aux clients plus de contrôle et de compréhension de la technologie utilisée.

Comparaison des alternatives de l'UE sélectionnées

Selon la vue d'ensemble du marché général, il existe désormais une comparaison plus détaillée des alternatives SaaS européennes sélectionnées et représentatives dans les catégories clés. L'accent est mis sur les fonctions de base, les modèles de prix, les arguments de vente uniques et en particulier la mise en œuvre de la souveraineté des données et de la conformité du RGPD.

Méthodologie de la comparaison

La sélection des prestataires pour la comparaison détaillée est basée sur leur pertinence et leur fréquence de mention dans les sources sous-jacentes et leur positionnement en tant qu'alternatives européennes directes aux services américains connus. La comparaison est basée sur les informations des extraits de fournisseurs spécifiques et d'autres points de données pertinents des extraits généraux. Les critères comprennent:

• Fonctions principales: que fait le logiciel dans le cœur?
• Modèle de prix: Quelle est la structure des prix (abonnement, freemium, vie, sur site)?
• Emplacement / hébergement des données: où sont hébergés les données (UE / DE GARANTIE)? Y a-t-il des options d'auto-hébergement?
• Encryption: Quelles méthodes de chiffrement sont utilisées (en particulier de bout en bout, la connaissance zéro)?
• Certifications / conformité: Quels sont les certificats pertinents (ISO 27001, BSI C5 etc.) et les engagements de conformité (RGPD)?
• Forces / faiblesses concernant la souveraineté: caractéristiques ou restrictions spéciales en termes de contrôle des données, de transparence et d'indépendance.

Comparaison des détails par catégories

Comparaison détaillée des alternatives importantes de l'UE-SAAS

La comparaison détaillée d'importantes alternatives SaaS de l'UE montre que NextCloud Hub en tant que plate-forme modulaire propose des fonctions telles que la synchronisation et la publication des fichiers, les conférences vidéo, le groupware et l'intégration de bureau, tandis que la suite d'applications Open-Xchange est axée sur le courrier électronique, le calendrier, les contacts et la mémoire. NextCloud Hub permet un contrôle complet via l'auto-hébergement et offre un chiffrement de bout en bout en option, mais a des exigences informatiques plus élevées pour votre propre hébergement. Open-Xchange se démarque du point de vue de l'UE grâce à la certification ISO et à la protection des données, mais dépend du cloud du fournisseur. Dans la zone CRM, Zeeg marque avec une conformité et l'hébergement du GDPR clairement en Allemagne, tandis que CentralStationCrm convainc avec simplicité et concentration en PME. Les deux fournisseurs proposent des modèles freemium et des emplacements de données compatibles GDPR garantis. Avec la mémoire du cloud, le PCLOUD avec des plans à vie et les options de mémoire de l'UE affiche des avantages en termes de flexibilité, mais le chiffrement E2E est facultatif et moyennant des frais, tandis que la tresorite marque avec un cryptage cohérent de connaissances zéro et une conformité élevée, mais est plus cher. SeulOffice et Collabora Online offrent des alternatives de bureau approfondies avec une forte orientation et des options open source, selon lesquelles seulement laOffice brille à travers les fonctions de compatibilité et de collaboration de la SEP. Collabora Online est étroitement intégré à des plateformes telles que NextCloud et donc moins autonomes. Dans le domaine des conférences vidéo, OpealK scores avec des fonctions telles que des webinaires, des enquêtes et une orientation claire du RGPD, tandis que JiTsi Meet offre une maîtrise de soi et une simplicité maximale en tant que solution open source gratuite. Les deux solutions offrent des options sur site et de solides fonctionnalités de protection des données, selon lesquelles OpealK se démarque par la plaque d'immatriculation BSI IT Security.

La comparaison des détails souligne qu'il existe rarement une seule «meilleure» alternative européenne. La sélection dépend fortement des exigences et priorités spécifiques de l'entreprise. Il y a des compromis clairs, par exemple entre la sécurité et le prix maximum (PCLOUD vs Safe) ou entre le contrôle complet par l'auto-hébergement et le confort d'une solution SaaS gérée (NextCloud vs Ox App Suite Cloud). Les entreprises doivent peser quel aspect - l'éventail des fonctions, l'amisure des utilisateurs, les coûts ou le degré de souveraineté et de sécurité - est le plus important pour eux.

Une caractéristique décisive de nombreux fournisseurs européens est la flexibilité du modèle d'exploitation. Des solutions telles que NextCloud, OnlyTalk ou JiTsi offrent à la fois des variantes basées sur le cloud (SaaS) et sur site ou auto-hébergées. Cela donne aux entreprises la possibilité de déterminer le degré de contrôle et de souveraineté eux-mêmes. Vous pouvez choisir le confort d'une solution SaaS pour un fournisseur européen digne de confiance ou choisir le contrôle maximal sur les données et les infrastructures en opérant dans votre propre centre de données. Ce choix répond au besoin central après le contrôle, qui anime le débat souveraine.

KI-GAMECHANGER: Les solutions de fabrication de plate-forme d'IA les plus flexibles qui réduisent les coûts, améliorent leurs décisions et augmentent l'efficacité

Plateforme d'IA indépendante: intègre toutes les sources de données de l'entreprise pertinentes

• Cette plate-forme AI interagit avec toutes les sources de données spécifiques
  • De SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox et de nombreux autres systèmes de gestion des données
• Intégration rapide de l'IA: solutions d'IA sur mesure pour les entreprises en heures ou jours au lieu de mois
• Infrastructure flexible: cloud ou hébergement dans votre propre centre de données (Allemagne, Europe, libre choix de l'emplacement)

• La sécurité des données la plus élevée: l'utilisation dans les cabinets d'avocats est la preuve sûre
• Utiliser sur une grande variété de sources de données de l'entreprise
• Choix de vos propres modèles d'IA (DE, DE, UE, USA, CN)

Défis que notre plateforme d'IA résout

• Un manque de précision des solutions d'IA conventionnelles
• Protection des données et gestion sécurisée des données sensibles
• Coûts élevés et complexité du développement individuel d'IA
• Manque d'IA qualifiée
• Intégration de l'IA dans les systèmes informatiques existants

En savoir plus ici :

• Intégration de l'IA d'une plate-forme d'IA indépendante et croisée à l'échelle de la source pour toutes les questions de l'entreprise

Solutions spécialisées: SaaS souveraine pour les secteurs sensibles

Bien que les solutions SaaS considérées jusqu'à présent puissent souvent être utilisées dans toutes les industries, il existe des secteurs avec des exigences particulièrement élevées en matière de sécurité, de conformité et de souveraineté numérique. Cela comprend en particulier l'administration publique, les soins de santé et le secteur financier. Des offres spécialisées et un cadre réglementaire se développent ici qui favorisent ou même prescrivent l'utilisation de solutions de cloud souveraines.

Administration publique

Le secteur public en Allemagne et en Europe présente un intérêt inhérent à la souveraineté numérique pour assurer le contrôle des données des citoyens et des processus critiques de l'État. Les exigences vont souvent au-delà de la conformité standard du RGPD et comprennent des normes de sécurité spécifiques telles que la protection de base informatique BSI ou le catalogue des critères BSI C5. L'interopérabilité entre les différentes autorités et les niveaux ainsi qu'une préférence pour les logiciels open source afin d'éviter les dépendances sont également des aspects importants.

Plusieurs initiatives visent à créer une infrastructure cloud souverain pour l'administration:

• Stratégie de cloud administrative allemande (DVS): Cette stratégie, motivée par le Conseil de planification informatique et le Fitko, poursuit l'objectif d'établir un écosystème de cloud fédéral, sûr, interopérable et souverain pour les fédéraux, les états et les municipalités. Il s'appuie sur des normes ouvertes, une approche multi-cloud et l'intégration des fournisseurs de services informatiques publics (tels que Dataport, Akdb, It.nrw) qui jouent un rôle central et jouissent d'un haut degré de confiance. Les fournisseurs externes et conformes à DVC devraient également être intégrés en perspective. Un élément central est le portail de services cloud (CSP) en tant que marché pour les services cloud standardisés et testés.
• BundesCloud / IT Operating Platform Bund: L'Itzbund exploite déjà des plates-formes cloud (SaaS, PaaS) pour les autorités fédérales qui doivent être consolidées en 2025 et répondre aux exigences élevées pour la sécurité et la protection des données.
• Centre de souveraineté numérique (Zendis): Cette installation promeut spécifiquement l'utilisation de logiciels open source dans l'administration et prend en charge des projets tels que OpenSK, une alternative open source à Microsoft 365, qui est spécialement développée pour le secteur public.
• Gaia-X et Soveign Cloud Stack (SCS): Ces initiatives européennes fournissent des fondations et des normes techniques importantes pour la structure des infrastructures cloud souverains, qui doivent également être utilisées par les DVS. Le SCS, une pile open source basée sur OpenStack et Kubernetes, est déjà utilisée par plusieurs fournisseurs allemands (par exemple, plus serveur).

Les offres Sovereign SaaS concrets pour l'administration proviennent de fournisseurs de services informatiques publics (par exemple, conceptboard par it.nrw, dddatabox by dataprat) ainsi que de fournisseurs commerciaux spécialisés qui ont souvent des tests BSI C5 et sont disponibles via des marchés tels que GoVdigital (par exemple plus serveur, ionos, ovhcloud). Les solutions open source telles que NextCloud ou OpenDendK jouent également un rôle important.

Convient à:

• Selon le nuage américain? La lutte de l'Allemagne pour le cloud: comment rivaliser avec AWS (Amazon) et Azure (Microsoft)

Soins de santé

Le système de santé traite des données personnelles extrêmement sensibles (données de santé conformément à l'art. 9 RGPD) qui sont soumis à une protection spéciale. En plus du RGPD et de la confidentialité médicale, des lois nationales spécifiques telles que la loi sur la protection des données des patients (PDSG) et récemment la loi numérique (Digig) s'appliquent. La sécurité, la disponibilité et la confidentialité sont de la plus haute importance ici.

Un moteur crucial pour l'utilisation de solutions de cloud souverain dans le système de santé allemand est le Digital Act (Didig), qui est entré en vigueur en mars 2024. Le nouveau § 393 SGB V permet expressément le traitement des données sociales et de santé à l'aide du cloud computing, mais cela est basé sur des conditions très strictes:

• Traitement des données uniquement dans le pays de l'UE / EEE / CH ou de la pertinence: le traitement des données ne peut être effectué qu'en Allemagne, un État de l'UE / EEE, la Suisse ou un pays tiers avec une décision d'adéquation de la Commission de l'UE.
• Le test BSI C5 est obligatoire: à partir du 1er juillet 2024, les prestataires de services cloud qui doivent traiter les données sociales ou de santé au nom des prestataires de services (médecins, hôpitaux, assureurs de santé, etc.) doivent être en mesure de montrer un test BSI C5 valide. Un test de type 1 (pertinence des contrôles) est suffisant jusqu'au 30 juin 2025, à partir du 1er juillet 2025, un test de type 2 est obligatoire (preuve d'efficacité sur une période).
• S'applique également aux fournisseurs de SaaS: cette obligation affecte non seulement les fournisseurs d'infrastructure (IAAS) ou les fournisseurs de plate-forme (PAAS), mais aussi explicitement des fournisseurs de logiciels en tant que service (SaaS) dont les applications sont utilisées par le cloud (par exemple les systèmes d'information hospitalière (KIS), les systèmes d'administration de pratique (PVS), les systèmes de réservation de rendez-vous, les digas).
• Implémentation des contrôles des clients: L'établissement d'utilisateurs (clinique, pratique, etc.) doit à son tour mettre en œuvre les contrôles utilisateur finaux mentionnés dans le rapport de test du fournisseur de cloud.

Ce règlement resserre considérablement les exigences pour les services cloud dans le système de santé et de facto rend le solde BSI C5 au billet d'entrée pour les fournisseurs de ce marché. Les fournisseurs de cloud tels que l'Open Telekom Cloud, AWS (région de Francfurt), Azure, GCP ou les fournisseurs allemands tels que plus Server, Stackit et Ionos ont déjà des tests C5 pour leurs infrastructures. Maintenant, les solutions SaaS pour les soins de santé (KIS, PVS, composants EPA, etc.) en fonction de cela doivent également fournir cette preuve. Des exemples d'entreprises qui sont actives dans l'environnement du cloud de la santé et / ou de la recherche de certifications pertinentes sont Gini, Doctolib ou Kite Consult. Le fichier électronique du patient (EPA) lui-même est hébergé sur des serveurs en Allemagne et conforme au RGPD de l'UE.

Finance

Le secteur financier (banques, compagnies d'assurance, fournisseurs de services financiers) est également très réglementé et traite des données extrêmement sensibles. Les exigences réglementaires strictes de la Federal Financial Supervisory Authority (Bafin) en Allemagne (par exemple Bait, Kait, Vait, Zait) et les directives européennes de plus en plus harmonisées s'appliquent ici. Des demandes élevées sur la sécurité informatique, la gestion des risques, la fiabilité et la sécurité de l'audit sont standard.

Les moteurs réglementaires importants pour l'utilisation de solutions cloud sûres et souverains sont:

• Directive NIS2: les banques et les infrastructures du marché financier relèvent généralement des catégories d'installations «essentielles» ou «importantes» conformément à NIS2. Vous devez donc répondre aux exigences plus strictes pour la gestion des risques, la sécurité des chaînes d'approvisionnement (y compris le fournisseur de cloud), le rapport d'incident et la responsabilité de la gestion.
• DORA (Digital Operational Resilience Act): Ce règlement de l'UE vise spécifiquement à renforcer la résilience opérationnelle numérique dans le secteur financier. Il impose des exigences détaillées pour la gestion des risques TIC, la déclaration d'incidents graves liés aux TIC, les tests de résilience numérique et en particulier à la gestion des risques par les fournisseurs de services tiers des TIC, y compris les fournisseurs de cloud. Entre autres choses, Dora demande des réglementations contractuelles claires avec les fournisseurs de cloud et les droits d'audit.

Les fournisseurs de cloud qui souhaitent servir les institutions financières doivent prouver qu'ils peuvent répondre à ces exigences réglementaires. Cela se fait souvent par la détection de certifications telles que BSI C5 ou ISO 27001, une assurance contractuelle spécifique et une exploration transparente de votre architecture de sécurité et de vos processus. Les fournisseurs tels que plus Server, T-Systems, Microsoft avec sa limite de données de l'UE ou AWS avec le cloud souverain européen sont spécifiquement positionnés pour ce marché réglementé.

En outre, il existe des fournisseurs SaaS spécialisés qui proposent des solutions de conformité pour le secteur financier, par exemple pour la prévention du blanchiment d'argent (AML), connaissez votre client (KYC), test de liste de sanctions, détection de fraude ou surveillance des abus du marché. Des exemples de prestataires ayant une relation ou une présence européenne sont Actico (DE), Pelican AI (Royaume-Uni?), Sopra Financial Technology (DE / FR), OTRIS (DE) ou Viclarity (IE / US?).

Dans ces secteurs très sensibles, il devient clair que la décision pour les solutions de nuages ​​souverains n'est plus une question de minimisation des risques, mais est de plus en plus motivée par les exigences légales et les exigences de conformité strictes. La nécessité de montrer des certifications telles que BSI C5 déplace la base de la décision d'une évaluation des risques volontaires vers une condition préalable obligatoire pour la participation du marché.

Cela présente les fournisseurs SaaS en particulier avec de nouveaux défis. Alors que jusqu'à présent, le fournisseur d'infrastructures (IAAS / PAA) a souvent eu les certifications pertinentes, des réglementations telles que le § 393 SGB V sont désormais exigeantes explicitement des preuves de fournisseurs SaaS tels que le test BSI C5. Les coûts et les efforts pour l'acquisition et l'entretien de ces tests sont importants et pourraient être un obstacle, en particulier pour les petites entreprises SaaS innovantes, ce qui pourrait potentiellement conduire à la consolidation du marché dans ces zones réglementées.

Convient à:

• La politique américaine inspire les entreprises technologiques de l'UE? Données souveraineté de la domination américaine: l'avenir du nuage en Europe

Promotion de la souveraineté: initiatives et certifications de l'UE

Afin de renforcer la souveraineté numérique de l'Europe et de créer un cadre de confiance pour le cloud computing, diverses initiatives et normes de certification ont été lancées au niveau européen et national. Ceux-ci sont destinés à favoriser l'interopérabilité, à harmoniser les normes de sécurité et à accroître la confiance dans les services cloud.

GAIA-X: Vision d'une infrastructure de données européennes fédérée

Gaia-X est l'une des initiatives européennes les plus importantes pour renforcer la souveraineté numérique. Lancé par l'Allemagne et la France en 2019, de nombreux partenaires des affaires, des sciences et de la politique de nombreux pays européens participent désormais.

• Objectifs: La destination principale de Gaia-X est la création d'une infrastructure de données sûre, nourrie et interopérable basée sur des valeurs européennes telles que la protection des données (RGPD), la transparence, la confiance et l'autodétermination. Il est destiné à accroître l'indépendance numérique de l'Europe des prestataires non européens, permettent des innovations grâce à une échange de données sûr et renforcer la compétitivité des entreprises européennes.
• Architecture et approche: Il est important de comprendre que Gaia-X lui-même n'est pas un fournisseur de cloud et ne construit pas son propre «super cloud européen». Au lieu de cela, Gaia-X définit un ensemble de règles, de normes communes et d'éléments architecturaux pour un écosystème décentralisé de salles de données interopérables en réseau et de services d'infrastructure cloud. Il est basé sur des principes tels que l'ouverture, la transparence, la modularité et l'utilisation de normes ouvertes et de logiciels open source. L'association Gaia-X pour les données et le cloud (AISBL) développe des spécifications, des règles, des politiques et un cadre de vérification de la conformité (conformité GAIA-X), qui doit être mis en œuvre par les maisons de compensation numériques de Gaia-X (GXDCH).
• Composants et projets: des blocs de construction en béton et des projets sont créés dans le cadre Gaia X. La pile Cloud Soegeign (SCS) est un exemple important: une pile technologique standardisée basée sur l'open source (basée sur OpenStack, Kubernetes, etc.) pour l'établissement d'infrastructures cloud souverain conformes à Gaia-X et conformes aux gaia-x (IAAS / PAAS). Il est destiné à servir de base technique pour les offres de cloud interopérables et confiantes, également pour le cloud administratif allemand.
• Cas d'applications (cas d'utilisation): Afin de démontrer les avantages de GAIA-X, des salles de données et des applications en béton sont développées dans divers domaines. Des exemples peuvent être trouvés dans l'industrie 4.0 (par exemple Catena-X pour l'industrie automobile), la mobilité, l'énergie, la finance, l'administration publique et surtout dans les soins de santé. Des projets tels que Team-X, Health-X Dataloft ou Gaia-Med visent à permettre l'échange sûr et souverain de données de santé pour améliorer les soins et la recherche.
• Défis: Malgré les objectifs ambitieux, Gaia-X est également confronté aux défis et aux critiques. Cela inclut la complexité du projet, les progrès lents dans la mise en œuvre pratique, parfois les définitions peu claires et la peur que l'initiative puisse être dominée par les hyperscaleurs mondiaux établis. Il a également été critiqué que l'objectif était trop fort au niveau des infrastructures (IAAS / PaaS) et que le niveau d'application (SaaS) a été négligé.

EUCS: Schéma de certification européen de cybersécurité pour les services cloud

Le Schéma européen de certification de cybersécurité pour les services cloud (EUCS) est un cadre de certification qui est développé en vertu de l'UE Cybersecurity Act (CSA) par l'Agence européenne pour la cybersécurité (EISA).

• Objectif: L'objectif principal est l'harmonisation des exigences et certifications de cybersécurité pour les services cloud (IAAS, PaaS, SaaS) dans toute l'UE. Une norme uniforme doit être créée pour surmonter la fragmentation par différents régimes de certification nationale (tels que SecnumCloud en France ou C5 en Allemagne) et pour renforcer le marché interne numérique. Pour les utilisateurs du cloud, les EUCS devraient créer plus de transparence et de confiance en prouvant que les services certifiés répondent à certaines normes de sécurité.
• Niveaux d'assurance: le schéma définit trois (ou dans les conceptions précédentes quatre) niveaux de sécurité («basiques», «substantiels», «élevés» et éventuellement «élevés +»), qui reflètent différents niveaux de risque et les compétences d'attaque. Avec l'augmentation du niveau, les exigences pour les mesures de sécurité mises en œuvre (par exemple le réseau, la mémoire, la sécurité du cryptage, les tests de pénétration) et la rigueur de l'évaluation par les agences accréditées d'évaluation de la conformité (corps d'évaluation des conformes).
• Voluntaire vs obligatoire: la certification selon les EUCS est généralement volontaire. Cependant, la Loi sur la cybersécurité ou la directive NIS2 permet aux États membres de l'UE, pour certains domaines, en particulier pour les institutions «essentielles» ou «importantes» (critiques), pour spécifier l'utilisation de services ICT certifiés. Il est donc probable que les EUC, au moins dans les secteurs réglementés, deviendront de facto une exigence obligatoire ou un critère important pour les appels d'offres.
• Débat de souveraineté: Un point central et controversé dans le développement de l'EUC était la question des exigences spécifiques de souveraineté, en particulier pour le niveau de sécurité le plus élevé («élevé» ou «élevé +»). Des conceptions antérieures ont prévu que la localisation des données au sein de l'UE est absolument nécessaire pour ce niveau et que le fournisseur doit avoir son siège social et son siège social dans un État membre de l'UE pour assurer la protection contre les lois non européennes (comme la loi sur le cloud). Cependant, ces exigences ont été apparemment supprimées ou affaiblies dans les conceptions ultérieures (à partir de 2024). Cela a rencontré des critiques violentes des fournisseurs de cloud européens (en particulier des PME), des associations industrielles et des protectionnistes de données qui craignent que cela affaiblit la souveraineté numérique de l'Europe, cimentant la dépendance à l'égard des hyperscalers non européens et les données des citoyens et des entreprises européens sont exposés à un risque accru. Le débat sur la conception finale de ces exigences se poursuit.

BSI C5: Norme allemande pour la sécurité du cloud

Le catalogue des critères de conformité au cloud computing (C5) de l'Office fédéral allemand pour les technologies de l'information (BSI) est un catalogue de critères établi qui définit des exigences minimales spécifiques pour la sécurité de l'information des services cloud.

• Objectif et contenu: C5 doit fournir une orientation des clients du cloud lors du choix des fournisseurs sûrs et créer une base pour leur gestion des risques. Il est basé sur des normes internationalement reconnues telles que ISO / IEC 27001, mais les complète par des exigences spécifiques au cloud et attache une importance particulière à la transparence grâce à des paramètres dits environnementaux. Ces paramètres fournissent des informations sur des aspects tels que les emplacements de données, le lieu de compétence, la certification et la divulgation aux organismes d'État, qui visent à aider les clients (par exemple par l'espionnage économique ou les violations de la protection des données). Le catalogue comprend 17 sujets, notamment l'organisation de la sécurité de l'information, la sécurité du personnel, la gestion des actifs, la cryptographie, la gestion de l'identité et de l'accès, la gestion des incidents et la sécurité physique.
• Testat (Type 1 et Type 2): La conformité aux critères C5 est démontrée par un testat, qui est publié par un vérificateur indépendant et qualifié. Il existe deux types de tests: le type 1 certifie la pertinence de la conception et la mise en œuvre des vérifications de sécurité dans une certaine date clé. Le type 2 confirme également l'efficacité opérationnelle de ces contrôles via une période d'examen définie (généralement 6 à 12 mois). Le test de type 2 est considéré comme plus significatif et est nécessaire pour les examens de suivi et dans le système de santé à partir de juillet 2025.
• Pertinence: C5 s'est transformé en une norme de facto pour la sécurité du cloud computing en Allemagne, en particulier pour l'administration publique et dans des industries fortement réglementées telles que le système de santé et le secteur financier. Comme déjà mentionné, un test C5 sera légalement obligatoire par le Digig pour les services cloud dans le système de santé à partir de juillet 2024/2025. De nombreux fournisseurs de cloud allemands et européens, mais aussi internationaux (pour leurs régions de l'UE) ont des tests C5 pour leurs services.

Autres normes pertinentes

En plus des initiatives et des certifications mentionnées, les normes internationales établies jouent également un rôle important:

• ISO / IEC 27001: la norme globalement reconnue pour les systèmes de gestion de la sécurité de l'information (ISMS). Il définit une approche systématique de la gestion des informations sensibles de l'entreprise pour assurer leur confidentialité, leur intégrité et leur disponibilité. La certification ISO 27001 est souvent une exigence de base pour les fournisseurs de cloud et sert de base à des normes plus spécifiques telles que C5.
• ISO / IEC 27017: Cette norme propose un guide (code de pratique) avec des mesures de contrôle spécifiques pour la sécurité de l'information dans les environnements cloud, en plus de l'ISO / IEC 27002.
• ISO / IEC 27018: se concentre sur la protection des données personnelles (informations personnellement identifiables - PII) dans les nuages ​​publics qui agissent comme des processeurs. Il contient des lignes directrices qui sont étroitement basées sur les principes européens de protection des données et peuvent servir de supplément à C5 qui ne couvre pas principalement la protection des données.

Ces différentes initiatives et normes ne sont pas nécessairement considérées comme des concurrents, mais peuvent se compléter mutuellement. Gaia-X fournit la vision et les règles d'un écosystème souverain, les EUCS sont censés harmoniser la certification à travers l'UE, et des normes nationales telles que BSI C5 offrent déjà des exigences et des mécanismes de test établis. Le défi sera d'intégrer ces approches sensiblement et de créer un cadre cohérent qui répond à la fois sur les revendications de souveraineté en Europe et qui est également pratique pour les fournisseurs et les utilisateurs. Cependant, le débat actuel sur les exigences de souveraineté dans les EUCS montre que les détails politiques et techniques sont toujours nécessaires ici.

Il est important que les entreprises comprennent que des certifications telles que BSI C5 ou ISO 27001 sont des ancres de confiance précieuses, créent la transparence et facilitent la prouvance des efforts de sécurité. Cependant, ils ne sont pas une panacée et ne remplacent pas votre propre évaluation des risques et le test de diligence raisonnable par le client. Un test C5 pour un fournisseur américain, par exemple, ne modifie pas sa soudaine entre la loi sur le cloud. La responsabilité partagée («responsabilité partagée») reste entre le fournisseur et le client pour la sécurité de l'utilisation du cloud, et les entreprises doivent toujours vérifier si les mesures du fournisseur sont suffisantes pour leurs exigences et risques spécifiques.

Convient à:

• Systèmes de gestion des données dans le changement: stratégies pour le succès de l'entreprise à l'ère de l'IA

Avantages stratégiques du passage aux fournisseurs de SAAS de l'UE

L'analyse des risques dans l'utilisation des services cloud basés sur les États-Unis et l'enquête sur le marché croissant des alternatives Sovereign European SaaS permettent une conclusion claire: pour les entreprises européennes, le traitement de leur stratégie cloud n'est pas seulement conseillé du point de vue de la souveraineté numérique, mais est de plus en plus une nécessité stratégique.

Résumé des résultats

Les résultats centraux de ce rapport peuvent être résumés comme suit:

• Risques persistants parmi les fournisseurs américains: l'utilisation de services SaaS des entreprises soumises à la juridiction américaine abrite des risques importants et continus pour les entreprises européennes. Le conflit fondamental entre le RGPD de l'UE et les lois américaines tels que Cloud Act et FISA 702 conduit à des blessures potentielles sur la protection des données, à des amendes élevées, à la perte de contrôle des données et au risque d'espionnage commercial. Même le cadre actuel de confidentialité des données (DPF) actuel ne dissout pas ce conflit de base et sa stabilité à long terme est incertaine (voir la section II).
• La souveraineté en tant que concept multidimensionnel: «SaaS souveraine» dans un contexte européen signifie plus que le simple stockage de données dans les centres informatiques de l'UE. Il comprend le respect du droit européen (en particulier le RGPD), la protection contre l'accès non européen, l'opération des entités et du personnel de l'UE ainsi que l'ouverture technologique et l'interopérabilité pour éviter les dépendances (voir section III).
• Marché croissant pour les alternatives de l'UE: Il existe un marché diversifié et croissant pour les fournisseurs de SaaS avec le siège et opérant dans l'UE / EEE / CH. Ceux-ci offrent des solutions dans de nombreuses catégories, souvent avec un fort accent sur la protection des données, la sécurité et les besoins locaux. Beaucoup s'appuient stratégiquement sur l'open source pour maximiser la transparence et le contrôle (voir section IV et V).
• Pression réglementaire dans les secteurs sensibles: dans des domaines tels que l'administration publique, le système de santé et le secteur financier, l'utilisation de solutions cloud sécurisées et souverains (souvent avec des tests BSI C5 ou des preuves comparables) devient de plus en plus une obligation (par exemple Digig, NIS2) et des spécifications stratégiques (voir la section VI).
• Conditions-cadre à travers des initiatives et des normes: des initiatives européennes telles que GAIA-X et des certifications telles que les EUC prévues et les normes nationales établies telles que BSI C5 créent des conditions de cadre importantes, favorisent l'interopérabilité et visent à renforcer la confiance dans les offres de nuages ​​souverains (voir section VII).

Avantages stratégiques des alternatives de l'UE-SAAS

Le changement ou le principal choix des fournisseurs de SaaS européens qui répondent aux critères de la souveraineté offre aux entreprises au-delà de la minimisation des risques purs:

• Amélioration de la conformité et de la certitude juridique: l'utilisation de prestataires qui sont soumis exclusivement et garantit que les données de l'UE réduisent considérablement le risque de violations du RGPD et de conflits avec les lois non européennes. Cela crée une base juridique plus stable et prévisible pour le traitement des données.
• L'augmentation du contrôle et de la sécurité des données: les fournisseurs européens en mettant l'accent sur la souveraineté offrent souvent un niveau de contrôle plus élevé sur vos propres données. Cela peut être réalisé grâce à des options d'auto-hébergement, à un cryptage de bout en bout cohérent (connaissance zéro), à des processus d'exploitation transparents et à l'exclusion de l'accès par les autorités du troisième pays.
• Soverigny numérique en forme: la décision pour les prestataires européens réduit les dépendances stratégiques des groupes de technologie non européens. Il soutient l'établissement d'un écosystème numérique résistant en Europe et renforce l'économie numérique locale.
• Soutien local et proximité culturelle: les fournisseurs européens peuvent souvent offrir un service client plus accessible et compréhensible dans la langue nationale et le fuseau horaire respectifs. Ils ont souvent une compréhension plus approfondie des exigences et des coutumes spécifiques du marché européen, ce qui peut faciliter la coopération et les négociations contractuelles.
• Formation de confiance: L'utilisation de la protection des données et des solutions confiantes indique des clients, des partenaires et des employés manifestement un niveau d'engagement élevé en matière de protection et de sécurité des données. Cela peut devenir une confiance importante et un avantage concurrentiel.

Recommandations pour l'action pour les entreprises européennes

Afin d'utiliser les avantages des solutions Sovereign SaaS et de gérer les risques d'utilisation du cloud, les entreprises européennes devraient considérer les étapes suivantes:

• Effectuer une analyse des risques individuels: Calder les services SaaS actuellement utilisés (en particulier basés sur les États-Unis). Analyser le type de données traitées (sensibilité, référence personnelle), les exigences réglementaires applicables (RGPD, exigences spécifiques à l'industrie) et les effets potentiels de l'accès aux données non autorisées ou un échec du service sur votre entreprise.
• Définir les exigences de souveraineté: déterminer le degré de souveraineté des données, le contrôle opérationnel et l'indépendance technologique de votre entreprise. Toutes les applications ne nécessitent pas le même niveau de souveraineté. Prioriser en fonction des risques et de l'importance stratégique.
• Évaluer systématiquement le marché des alternatives de l'UE: utiliser des aperçus du marché (tels que ceux de ce rapport) et vos propres recherches pour identifier les fournisseurs de SaaS européens potentiels qui répondent à leurs exigences fonctionnelles et de souveraineté. Tenez compte de la taille du fournisseur, de la spécialisation, des références et de la viabilité future.
• Diligence raisonnable minutieuse dans la sélection du fournisseur: ne comptez pas sur des déclarations de marketing. Vérifiez les informations du fournisseur sur les emplacements de données (y compris les sauvegardes, les métadonnées), le personnel opérationnel, la structure d'entreprise (propriété, le siège), les sous-traitants utilisés, les technologies de cryptage (en particulier la connaissance E2E / Zero) et les mesures de sécurité. Demandez les contrats de traitement des commandes (AVV), les mesures techniques-organisationnelles (TOMS) et les certificats ou tests pertinents (par exemple ISO 27001, BSI C5) et vérifiez soigneusement.
• Élaborer une stratégie de migration et un plan de sortie: planifiez soigneusement un changement potentiel. Prenez en compte les coûts, les efforts techniques pour la migration des données, les ajustements nécessaires aux interfaces et la gestion du changement pour vos employés. Faites attention à l'interopérabilité et définissez une stratégie de sortie claire pour permettre le changement futur du fournisseur ou un retour des données (réversibilité).
• Vérifiez l'Open Source en tant qu'option: évaluez si les solutions SAAS open source, que ce soit en tant que service géré d'un fournisseur de l'UE ou d'une interne (auto-hébergée), représentent une alternative appropriée afin d'atteindre une transparence, une adaptabilité et un contrôle maximales.
• Observez le paysage réglementaire: restez sur les développements du trafic de données transatlantiques (vérification du DPF), informé des normes de certification européenne (EUCS) et des lois pertinentes (NIS2, DORA, réglementations spécifiques à l'industrie), car elles peuvent influencer considérablement votre stratégie de cloud.

La décision pour ou contre l'utilisation de certains services cloud, en particulier en ce qui concerne les prestataires américains par rapport aux alternatives européennes, est bien plus qu'une question technique ou pure de conformité. Il s'agit d'un cours stratégique avec des effets à long terme sur la certitude juridique, la sécurité des données, le contrôle des processus commerciaux critiques et, finalement, la résilience et la compétitivité de l'entreprise dans la concurrence numérique mondiale. Les risques analysés de la dépendance à l'égard des prestataires non européens sont substantiels et augmentent plutôt qu'affaiblissants par le mélange géopolitique et juridique actuel.

Dans le même temps, passer à des alternatives européennes n'est pas un succès sûr. Les entreprises doivent soigneusement déterminer si les avantages de la conformité et du contrôle l'emportent sur les inconvénients potentiels en ce qui concerne l'éventail des fonctions, la vitesse d'innovation ou l'effort de migration. Une analyse approfondie de vos propres besoins, une évaluation réaliste des alternatives disponibles et une planification minutieuse de la transition sont cruciales pour le succès. Cependant, le marché européen offre des options de plus en plus durables et dignes de confiance qui permettent aux entreprises d'utiliser les avantages du cloud sans compromettre leur souveraineté numérique.

☑️ Accompagnement des PME en stratégie, conseil, planification et mise en œuvre

Création ou réalignement de la stratégie de l'IA

☑️ Développement commercial pionnier

 

Je serais heureux de vous servir de conseiller personnel.

Vous pouvez me contacter en remplissant le formulaire de contact ci-dessous ou simplement m'appeler au +49 89 89 674 804 (Munich) .

J'attends avec impatience notre projet commun.

 

 

Xpert.Digital est une plateforme industrielle axée sur la numérisation, la construction mécanique, la logistique/intralogistique et le photovoltaïque.

Avec notre solution de développement commercial à 360°, nous accompagnons des entreprises de renom depuis les nouvelles affaires jusqu'à l'après-vente.

L'intelligence de marché, le smarketing, l'automatisation du marketing, le développement de contenu, les relations publiques, les campagnes de courrier électronique, les médias sociaux personnalisés et le lead nurturing font partie de nos outils numériques.

Vous pouvez en savoir plus sur : www.xpert.digital - www.xpert.solar - www.xpert.plus