NextHop et son indépendance
Comment fonctionne le projet et qui le finance.
Qui finance NextHop ?+
NextHop est une initiative indépendante financée par l'activité d'audit et de conseil de son équipe. Aucun fournisseur cloud ne sponsorise la plate-forme. Le détail de notre modèle économique et de notre gouvernance est décrit sur la page Charte d'indépendance.
En savoir plus →NextHop est-il payé par des fournisseurs cloud ?+
Non. Aucun fournisseur cloud, hyperscaler ou éditeur souverain ne nous rémunère pour figurer dans l'observatoire ou pour influer sur un score. Les revenus proviennent exclusivement de missions d'audit pour des clients finaux et de conseil pour des organisations qui souhaitent piloter leur stratégie cloud.
Comment contester un score ?+
Un fournisseur, un client ou un journaliste peut envoyer un email à contact@nexthop.fr en indiquant le critère contesté et la source publique justifiant la révision. La procédure complète (accusé de réception sous 5 jours ouvrés, décision motivée sous 30 jours, publication dans le changelog) est décrite sur la page Méthodologie.
En savoir plus →NextHop publie-t-il son code source ?+
Une partie de notre infrastructure et de nos jeux de données ouverts est progressivement publiée sur GitHub. Le dépôt principal regroupe les composants de l'observatoire et de l'API publique. [À COMPLÉTER : lien dépôt public]
En savoir plus →Méthodologie de scoring
Comment NextHop note la souveraineté des fournisseurs.
Comment est calculé le score de souveraineté ?+
Le score est une somme pondérée directe de 6 critères : juridiction (20), immunité extraterritoriale (20), technologie (15), données (20), certifications (15), ouverture (10). Aucune normalisation cachée, aucune pondération secondaire. La page Méthodologie détaille le barème d'attribution des points.
En savoir plus →Quels sont les 6 critères ?+
Juridiction (droit applicable à l'entité opérante), Immunité extraterritoriale (capacité à résister au CLOUD Act, FISA 702, NSL), Technologie (autonomie de la pile), Données (localisation effective des données, métadonnées et clés), Certifications (SecNumCloud, HDS, ISO 27001), Ouverture (réversibilité et standards ouverts).
En savoir plus →À quelle fréquence sont mis à jour les scores ?+
Les scores sont revus tous les mois et à chaque changement structurel chez un fournisseur (rachat, qualification, perte de certification, évolution de gouvernance). Toute modification est tracée dans le changelog des scores avec sa source.
En savoir plus →Que se passe-t-il quand un fournisseur change de politique ?+
Le changement est instruit à partir de sources publiques, le score est revu si nécessaire et l'entrée est ajoutée au changelog des scores avec date, ancienne valeur, nouvelle valeur, motif et lien vers la source.
En savoir plus →Le score est-il un classement absolu ou un repère ?+
C'est un repère comparable d'un fournisseur à l'autre, pas une note absolue de qualité. Deux fournisseurs avec le même score ne sont pas nécessairement équivalents : le profil par critère et le contexte d'usage (données sensibles ou non, dépendances métier) restent déterminants.
CLOUD Act et lois extraterritoriales
Ce que le CLOUD Act et FISA 702 changent réellement pour les organisations européennes.
Mes données en Europe sont-elles protégées du CLOUD Act ?+
Pas nécessairement. La région cloud indique l'emplacement physique mais ne change pas la juridiction du fournisseur. Si le fournisseur ou sa maison-mère est sous droit américain, le CLOUD Act peut s'appliquer à vos données. La page CLOUD Act détaille les mécanismes de mitigation.
En savoir plus →Le RGPD me protège-t-il du CLOUD Act ?+
Non, le RGPD encadre le traitement des données personnelles mais ne neutralise pas une injonction étrangère. Au contraire, une remise de données au titre du CLOUD Act peut créer un conflit avec le RGPD, exposant l'organisation à des sanctions CNIL. C'est l'un des arguments du débat Schrems II.
En savoir plus →FISA 702 vs CLOUD Act, quelle difference ?+
Le CLOUD Act relève du droit pénal et civil et autorise une injonction sur les données stockées à l'étranger par un fournisseur soumis à la juridiction US. FISA 702 relève du renseignement et vise les personnes non-américaines à l'étranger. Les deux peuvent concerner le même fournisseur mais selon des règles différentes.
En savoir plus →Schrems II, c'est quoi ?+
Arrêt de la Cour de justice de l'Union européenne (juillet 2020) qui invalide le Privacy Shield, cadre de transfert de données entre l'UE et les États-Unis. La Cour cite explicitement FISA 702 et l'Executive Order 12333 comme problématiques. Depuis, tout transfert vers les USA doit faire l'objet d'une évaluation d'impact (Transfer Impact Assessment).
En savoir plus →Comment savoir si mon fournisseur est concerne ?+
Examinez la nationalité de l'entité contractante et de sa maison-mère, ainsi que la présence d'une qualification SecNumCloud. L'observatoire NextHop indique pour chaque fournisseur sa juridiction, son score d'immunité extraterritoriale et ses certifications.
En savoir plus →Audit et accompagnement
Comment se passe une mission NextHop.
Combien coute un audit ?+
Le tarif dépend du périmètre (nombre de services, complexité, niveau de profondeur attendu). Les forfaits standards (Diagnostic, Cartographie, Stratégie) sont décrits sur la page Audit avec une fourchette indicative. Un devis précis est établi après un premier échange de cadrage gratuit.
En savoir plus →En combien de temps un audit est-il livre ?+
Le forfait Diagnostic est livré en 2 à 3 semaines. La Cartographie complète et la mission Stratégie demandent généralement 6 à 12 semaines selon la taille du patrimoine cloud et la disponibilité des interlocuteurs.
En savoir plus →Qui réalise les audits ?+
Les missions sont conduites par notre équipe d'experts cloud, droit du numérique et architecture. La méthodologie est publique et identique pour tous les clients. Aucun sous-traitant hyperscaler n'intervient sur les missions souveraineté.
En savoir plus →Puis-je voir un exemple de rapport ?+
Les rapports finaux sont confidentiels et couverts par un NDA. Lors du cadrage initial, nous partageons une trame anonymisée qui montre la structure, les sections et le niveau de détail. Contactez-nous pour la recevoir.
En savoir plus →API publique et donnees
Comment exploiter les jeux de données ouverts NextHop.
Comment utiliser l'API ?+
L'API publique NextHop expose les fournisseurs, les scores et les exports CSV/JSON via /api/v1. Aucune authentification requise pour la lecture, rate limit de 60 requêtes par minute par IP. La page API publique liste les endpoints et fournit la spécification OpenAPI.
En savoir plus →Quelle licence pour les datasets ?+
Les exports publiés sur /data sont distribués sous licence Creative Commons CC BY-SA 4.0. Réutilisation libre, y compris commerciale, sous réserve de citer NextHop comme source et de partager dans les mêmes conditions toute oeuvre dérivée.
En savoir plus →Y a-t-il un rate limit ?+
Oui : 60 requêtes par minute par adresse IP sur les endpoints publics, en plus du limiter global de 100/min appliqué à l'ensemble des routes /api. Les headers standards RateLimit-Limit, RateLimit-Remaining et RateLimit-Reset sont retournés à chaque réponse.
En savoir plus →Puis-je avoir un accès authentifié ?+
Pour les usages à fort volume (synchronisation, intégration produit, recherche académique), un accès authentifié avec quota dédié est possible. Contactez-nous pour décrire votre cas d'usage et obtenir un jeton d'API.
En savoir plus →Une autre question ?
Écrivez à contact@nexthop.fr ou utilisez le formulaire de contact. Nous répondons sous 48 heures ouvrées.