Questions frequentes.

NextHop est une initiative independante financee par l'activite d'audit et de conseil de son equipe. Aucun fournisseur cloud ne sponsorise la plate-forme. Le detail de notre modele economique et de notre gouvernance est decrit sur la page Charte d'independance.

Non. Aucun fournisseur cloud, hyperscaler ou editeur souverain ne nous remunere pour figurer dans l'observatoire ou pour influer sur un score. Les revenus proviennent exclusivement de missions d'audit pour des clients finaux et de conseil pour des organisations qui souhaitent piloter leur strategie cloud.

Un fournisseur, un client ou un journaliste peut envoyer un email a contact@nexthop.fr en indiquant le critere conteste et la source publique justifiant la revision. La procedure complete (accuse de reception sous 5 jours ouvres, decision motivee sous 30 jours, publication dans le changelog) est decrite sur la page Methodologie.

Une partie de notre infrastructure et de nos jeux de donnees ouverts est progressivement publiee sur GitHub. Le depot principal regroupe les composants de l'observatoire et de l'API publique. [A COMPLETER : lien depot public]

Le score est une somme ponderee directe de 6 criteres : juridiction (20), immunite extraterritoriale (20), technologie (15), donnees (20), certifications (15), ouverture (10). Aucune normalisation cachee, aucune ponderation secondaire. La page Methodologie detaille le bareme d'attribution des points.

Juridiction (droit applicable a l'entite operante), Immunite extraterritoriale (capacite a resister au CLOUD Act, FISA 702, NSL), Technologie (autonomie de la pile), Donnees (localisation effective des donnees, metadonnees et cles), Certifications (SecNumCloud, HDS, ISO 27001), Ouverture (reversibilite et standards ouverts).

Les scores sont revus tous les mois et a chaque changement structurel chez un fournisseur (rachat, qualification, perte de certification, evolution de gouvernance). Toute modification est tracee dans le changelog des scores avec sa source.

Le changement est instruit a partir de sources publiques, le score est revu si necessaire et l'entree est ajoutee au changelog des scores avec date, ancienne valeur, nouvelle valeur, motif et lien vers la source.

C'est un repere comparable d'un fournisseur a l'autre, pas une note absolue de qualite. Deux fournisseurs avec le meme score ne sont pas necessairement equivalents : le profil par critere et le contexte d'usage (donnees sensibles ou non, dependances metier) restent determinants.

Pas necessairement. La region cloud indique l'emplacement physique mais ne change pas la juridiction du fournisseur. Si le fournisseur ou sa maison-mere est sous droit americain, le CLOUD Act peut s'appliquer a vos donnees. La page CLOUD Act detaille les mecanismes de mitigation.

Non, le RGPD encadre le traitement des donnees personnelles mais ne neutralise pas une injonction etrangere. Au contraire, une remise de donnees au titre du CLOUD Act peut creer un conflit avec le RGPD, exposant l'organisation a des sanctions CNIL. C'est l'un des arguments du debat Schrems II.

Le CLOUD Act releve du droit penal et civil et autorise une injonction sur les donnees stockees a l'etranger par un fournisseur soumis a la juridiction US. FISA 702 releve du renseignement et vise les personnes non-americaines a l'etranger. Les deux peuvent concerner le meme fournisseur mais selon des regles differentes.

Arret de la Cour de justice de l'Union europeenne (juillet 2020) qui invalide le Privacy Shield, cadre de transfert de donnees entre l'UE et les Etats-Unis. La Cour cite explicitement FISA 702 et l'Executive Order 12333 comme problematiques. Depuis, tout transfert vers les USA doit faire l'objet d'une evaluation d'impact (Transfer Impact Assessment).

Examinez la nationalite de l'entite contractante et de sa maison-mere, ainsi que la presence d'une qualification SecNumCloud. L'observatoire NextHop indique pour chaque fournisseur sa juridiction, son score d'immunite extraterritoriale et ses certifications.

Le tarif depend du perimetre (nombre de services, complexite, niveau de profondeur attendu). Les forfaits standards (Diagnostic, Cartographie, Strategie) sont decrits sur la page Audit avec une fourchette indicative. Un devis precis est etabli apres un premier echange de cadrage gratuit.

Le forfait Diagnostic est livre en 2 a 3 semaines. La Cartographie complete et la mission Strategie demandent generalement 6 a 12 semaines selon la taille du patrimoine cloud et la disponibilite des interlocuteurs.

Les missions sont conduites par notre equipe d'experts cloud, droit du numerique et architecture. La methodologie est publique et identique pour tous les clients. Aucun sous-traitant hyperscaler n'intervient sur les missions souverainete.

Les rapports finaux sont confidentiels et couverts par un NDA. Lors du cadrage initial, nous partageons une trame anonymisee qui montre la structure, les sections et le niveau de detail. Contactez-nous pour la recevoir.

L'API publique NextHop expose les fournisseurs, les scores et les exports CSV/JSON via /api/v1. Aucune authentification requise pour la lecture, rate limit de 60 requetes par minute par IP. La page API publique liste les endpoints et fournit la specification OpenAPI.

Les exports publies sur /data sont distribues sous licence Creative Commons CC BY-SA 4.0. Reutilisation libre, y compris commerciale, sous reserve de citer NextHop comme source et de partager dans les memes conditions toute oeuvre derivee.

Oui : 60 requetes par minute par adresse IP sur les endpoints publics, en plus du limiter global de 100/min applique a l'ensemble des routes /api. Les headers standards RateLimit-Limit, RateLimit-Remaining et RateLimit-Reset sont retournes a chaque reponse.

Pour les usages a fort volume (synchronisation, integration produit, recherche academique), un acces authentifie avec quota dedie est possible. Contactez-nous pour decrire votre cas d'usage et obtenir un jeton d'API.