Pourquoi maintenant
Le CLOUD Act (2018), le FISA Section 702, les sanctions extraterritoriales et la fragmentation géopolitique récente ont changé la nature du risque numérique. Une décision d'hébergement n'est plus seulement technique ou financière : c'est un acte qui engage votre juridiction applicable, votre continuité d'activité et la confidentialité de vos données.
Les bons réflexes
6 réflexes d'hygiène souveraine
Pour chaque réflexe : le risque concret qu'il couvre, et la façon de le mettre en pratique demain matin.
Connaître son droit applicable
Une donnée hébergée chez un fournisseur US-controlled peut être réquisitionnée par un juge américain (CLOUD Act 2018, FISA 702), sans information de la personne concernée, sans recours UE.
Avant tout contrat : vérifier le siège juridique du fournisseur, l'identité de sa maison-mère, sa réponse documentée à un éventuel CLOUD Act request.
Tracer la chaîne capitalistique
Un cloud « européen » détenu majoritairement par un fonds extra-UE retombe sous des leviers étrangers (sanctions, restrictions export). Le pavillon ne suffit pas.
Demander l'organigramme actionnarial à 3 niveaux. Surveiller les mouvements de capital (M&A) qui modifient la juridiction effective.
Localiser physiquement ses données
« Région européenne » dans une console ne garantit ni que les données restent en UE, ni que les backups, journaux ou métadonnées ne transitent ailleurs.
Exiger un schéma de flux : où sont les données primaires, les répliques, les logs, le plan de contrôle. Demander des engagements contractuels par écrit.
Maîtriser ses clés de chiffrement
Si le fournisseur détient les clés, il peut être contraint de déchiffrer. Le chiffrement-au-repos « managed » est une garantie technique, pas juridique.
BYOK (Bring Your Own Key) ou HYOK (Hold Your Own Key) via HSM souverain. Pour les données sensibles : chiffrement applicatif côté client, clé jamais transmise.
Aligner ses certifications sur ses risques
ISO 27001 ne dit rien de la souveraineté. SecNumCloud et HDS répondent à des risques précis (données santé, OIV/OSE), à choisir selon votre exposition réglementaire.
Cartographier vos données par sensibilité (publique → secret défense). Pour chaque classe : exiger la certification adaptée + un audit récent.
Préserver sa réversibilité
Le lock-in (formats propriétaires, APIs spécifiques, services managés exclusifs) transforme un coût d'exploitation en dépendance stratégique : on ne peut plus partir.
Privilégier les standards ouverts (Kubernetes, S3, OpenStack). Vérifier le SLA de sortie (durée, format, coût). Tester un PRA chez un autre fournisseur tous les 12 mois.
Auto-évaluation
5 niveaux de maturité - où en êtes-vous ?
Identifiez le niveau qui vous décrit le mieux aujourd'hui. L'objectif n'est pas d'être au sommet, mais de progresser d'un cran chaque semestre.
Les 6 réflexes sont intégrés au cycle achat & exploitation. Tableau de bord souveraineté à la DSI.
« Vous avez un PRA testé chez un cloud souverain alternatif. »
Cartographie complète, fournisseurs principaux audités, clés client maîtrisées sur le périmètre sensible.
« Vous savez où sont vos données critiques et qui peut y accéder. »
Démarche lancée : audit en cours, premières migrations critiques planifiées, formation équipes IT.
« Vous avez identifié les angles morts et chiffré la dette de souveraineté. »
Vous percevez le risque mais vous ne disposez pas encore d'une cartographie ni d'un plan formalisé.
« Vous savez qu'il faut agir, sans encore savoir par où commencer. »
Données critiques hébergées sans analyse de risque juridique. Aucune réversibilité testée.
« Un événement géopolitique ou commercial peut couper votre service du jour au lendemain. »
Plan d'action
Par où commencer ?
Cinq étapes concrètes pour passer du niveau N1/N2 vers N3 en un trimestre, sans budget supplémentaire.
Comite d'evaluation
Qui evaluera le label EJCI
Le label EJCI ne sera pas attribue par NextHop seul. Un comite d'evaluation multi-stakeholder est en cours de constitution : un avis ANSSI envisage, des juristes specialises en droit du cloud, des RSSI du secteur public et des journalistes specialises. L'objectif est de croiser les regards et de partager la responsabilite des decisions.
Statut
Comite en cours de constitution, publication prevue Q3 2026. Aucune nomination effective a date. Les sollicitations en cours et les acceptations seront publiees ici, datees et signees.
Procedure de candidature
5 etapes pour postuler au label EJCI
La procedure cible les fournisseurs cloud et les editeurs SaaS souhaitant attester de leur conformite EJCI. Elle est volontairement progressive pour limiter le formalisme initial.
Auto-evaluation
Le candidat remplit la grille publique des 6 reflexes, fournit les justificatifs pour chaque item (URLs publiques, contrats, certifications). Aucun frais a ce stade.
Dossier ecrit
Soumission d'un dossier formalise au secretariat EJCI : declarations juridiques, schemas d'architecture, attestations independantes. Verification de completude sous 15 jours.
Audit terrain par comite
Audit sur site (ou en visio pour les services purement cloud) par 2 membres du comite, avec entretiens techniques et juridiques. Duree typique 2 jours.
Decision motivee
Le comite delibere et publie une decision motivee : attribution, attribution conditionnelle, ou refus. La decision est rendue publique avec les motifs principaux.
Renouvellement annuel
Le label est valable 12 mois. Une revue annuelle simplifiee verifie le maintien des engagements et l'absence de changement materiel (M&A, fin de certification, etc.).
Procedure de contestation
Contester une decision EJCI
Un fournisseur refuse, un client en desaccord avec une attribution, ou un tiers signalant un manquement peut declencher une demarche de contestation. Trois etapes, decision publique.
Saisine ecrite motivee
Email a label@nexthop.fr avec le numero de dossier ou le nom du candidat, le motif de contestation, et les pieces justifiant la demarche. Accuse de reception sous 5 jours ouvres.
Instruction contradictoire
Le secretariat EJCI informe le candidat concerne, recueille sa reponse ecrite (15 jours), puis transmet le dossier complet au comite. Audition contradictoire si demandee par l'une des parties.
Decision motivee publiee
Le comite rend une decision motivee sous 60 jours. La decision est publiee avec les motifs principaux, y compris en cas de rejet de la contestation. Aucun recours interne au-dela.
Versions
Versioning du label
Chaque version majeure du label sera publiee ici avec les changements de bareme, l'evolution des reflexes attendus et la duree de validite des labels deja attribues sous la version precedente.
Ressources
Aller plus loin
Cette grille est inspirée du « Guide d'hygiène informatique » de l'ANSSI (42 mesures pour la sécurité des systèmes d'information) et de la doctrine cloud souverain française (SecNumCloud, doctrine « cloud au centre »).
Vous voulez un repère précis sur votre posture ? Notre observatoire scorent en permanence les fournisseurs du marché : utile pour vous comparer à vos pairs avant tout choix d'architecture.