Pourquoi maintenant
Le CLOUD Act (2018), le FISA Section 702, les sanctions extraterritoriales et la fragmentation géopolitique récente ont changé la nature du risque numérique. Une décision d'hébergement n'est plus seulement technique ou financière : c'est un acte qui engage votre juridiction applicable, votre continuité d'activité et la confidentialité de vos données.
Les bons réflexes
6 réflexes d'hygiène souveraine
Pour chaque réflexe : le risque concret qu'il couvre, et la façon de le mettre en pratique demain matin.
Connaître son droit applicable
Une donnée hébergée chez un fournisseur US-controlled peut être réquisitionnée par un juge américain (CLOUD Act 2018, FISA 702), sans information de la personne concernée, sans recours UE.
Avant tout contrat : vérifier le siège juridique du fournisseur, l'identité de sa maison-mère, sa réponse documentée à un éventuel CLOUD Act request.
Tracer la chaîne capitalistique
Un cloud « européen » détenu majoritairement par un fonds extra-UE retombe sous des leviers étrangers (sanctions, restrictions export). Le pavillon ne suffit pas.
Demander l'organigramme actionnarial à 3 niveaux. Surveiller les mouvements de capital (M&A) qui modifient la juridiction effective.
Localiser physiquement ses données
« Région européenne » dans une console ne garantit ni que les données restent en UE, ni que les backups, journaux ou métadonnées ne transitent ailleurs.
Exiger un schéma de flux : où sont les données primaires, les répliques, les logs, le plan de contrôle. Demander des engagements contractuels par écrit.
Maîtriser ses clés de chiffrement
Si le fournisseur détient les clés, il peut être contraint de déchiffrer. Le chiffrement-au-repos « managed » est une garantie technique, pas juridique.
BYOK (Bring Your Own Key) ou HYOK (Hold Your Own Key) via HSM souverain. Pour les données sensibles : chiffrement applicatif côté client, clé jamais transmise.
Aligner ses certifications sur ses risques
ISO 27001 ne dit rien de la souveraineté. SecNumCloud et HDS répondent à des risques précis (données santé, OIV/OSE), à choisir selon votre exposition réglementaire.
Cartographier vos données par sensibilité (publique → secret défense). Pour chaque classe : exiger la certification adaptée + un audit récent.
Préserver sa réversibilité
Le lock-in (formats propriétaires, APIs spécifiques, services managés exclusifs) transforme un coût d'exploitation en dépendance stratégique : on ne peut plus partir.
Privilégier les standards ouverts (Kubernetes, S3, OpenStack). Vérifier le SLA de sortie (durée, format, coût). Tester un PRA chez un autre fournisseur tous les 12 mois.
Auto-évaluation
5 niveaux de maturité - où en êtes-vous ?
Identifiez le niveau qui vous décrit le mieux aujourd'hui. L'objectif n'est pas d'être au sommet, mais de progresser d'un cran chaque semestre.
Les 6 réflexes sont intégrés au cycle achat & exploitation. Tableau de bord souveraineté à la DSI.
« Vous avez un PRA testé chez un cloud souverain alternatif. »
Cartographie complète, fournisseurs principaux audités, clés client maîtrisées sur le périmètre sensible.
« Vous savez où sont vos données critiques et qui peut y accéder. »
Démarche lancée : audit en cours, premières migrations critiques planifiées, formation équipes IT.
« Vous avez identifié les angles morts et chiffré la dette de souveraineté. »
Vous percevez le risque mais vous ne disposez pas encore d'une cartographie ni d'un plan formalisé.
« Vous savez qu'il faut agir, sans encore savoir par où commencer. »
Données critiques hébergées sans analyse de risque juridique. Aucune réversibilité testée.
« Un événement géopolitique ou commercial peut couper votre service du jour au lendemain. »
Plan d'action
Par où commencer ?
Cinq étapes concrètes pour passer du niveau N1/N2 vers N3 en un trimestre, sans budget supplémentaire.
Comité d'évaluation
Qui évaluera le label EJCI
Le label EJCI ne sera pas attribué par NextHop seul. Un comité d'évaluation multi-stakeholder est en cours de constitution : un avis ANSSI envisagé, des juristes spécialisés en droit du cloud, des RSSI du secteur public et des journalistes spécialisés. L'objectif est de croiser les regards et de partager la responsabilité des décisions.
Statut
Comité en cours de constitution, publication prévue Q3 2026. Aucune nomination effective à date. Les sollicitations en cours et les acceptations seront publiées ici, datées et signées.
Procédure de candidature
5 étapes pour postuler au label EJCI
La procédure cible les fournisseurs cloud et les éditeurs SaaS souhaitant attester de leur conformité EJCI. Elle est volontairement progressive pour limiter le formalisme initial.
Auto-évaluation
Le candidat remplit la grille publique des 6 réflexes, fournit les justificatifs pour chaque item (URLs publiques, contrats, certifications). Aucun frais à ce stade.
Dossier écrit
Soumission d'un dossier formalisé au secrétariat EJCI : déclarations juridiques, schémas d'architecture, attestations indépendantes. Vérification de complétude sous 15 jours.
Audit terrain par comité
Audit sur site (ou en visio pour les services purement cloud) par 2 membres du comité, avec entretiens techniques et juridiques. Durée typique 2 jours.
Décision motivée
Le comité délibère et publie une décision motivée : attribution, attribution conditionnelle, ou refus. La décision est rendue publique avec les motifs principaux.
Renouvellement annuel
Le label est valable 12 mois. Une revue annuelle simplifiée vérifie le maintien des engagements et l'absence de changement matériel (M&A, fin de certification, etc.).
Procédure de contestation
Contester une décision EJCI
Un fournisseur refusé, un client en désaccord avec une attribution, ou un tiers signalant un manquement peut déclencher une démarche de contestation. Trois étapes, décision publique.
Saisine écrite motivée
Email à label@nexthop.fr avec le numéro de dossier ou le nom du candidat, le motif de contestation, et les pièces justifiant la démarche. Accusé de réception sous 5 jours ouvrés.
Instruction contradictoire
Le secrétariat EJCI informe le candidat concerné, recueille sa réponse écrite (15 jours), puis transmet le dossier complet au comité. Audition contradictoire si demandée par l'une des parties.
Décision motivée publiée
Le comité rend une décision motivée sous 60 jours. La décision est publiée avec les motifs principaux, y compris en cas de rejet de la contestation. Aucun recours interne au-delà.
Versions
Versioning du label
Chaque version majeure du label sera publiée ici avec les changements de barème, l'évolution des réflexes attendus et la durée de validité des labels déjà attribués sous la version précédente.
Ressources
Aller plus loin
Cette grille est inspirée du « Guide d'hygiène informatique » de l'ANSSI (42 mesures pour la sécurité des systèmes d'information) et de la doctrine cloud souverain française (SecNumCloud, doctrine « cloud au centre »).
Vous voulez un repère précis sur votre posture ? Notre observatoire scorent en permanence les fournisseurs du marché : utile pour vous comparer à vos pairs avant tout choix d'architecture.