Aller au contenu
NNextHop
Méthodologie

Comment NextHop note la souveraineté.

Notre framework de scoring est public, documenté et auditable. Ce document expose les 6 critères retenus, leur pondération, le barème d'attribution des points, les sources utilisées et la procédure pour contester un score.

Vous reprenez cette méthodologie dans une publication ?Comment citer NextHop ->

L'essentiel

6 critères pour évaluer la souveraineté d'un service cloud, pondération totale 100 pour cent.
Notation à partir de sources publiques uniquement : ANSSI, registres officiels, communications du fournisseur, jurisprudence.
Mise à jour mensuelle des scores, journal public des changements consultable sur la page changelog.
Tout fournisseur peut demander une revue contradictoire par email à contact@nexthop.fr.

Sommaire

Juridiction (20 pour cent)
Immunité extraterritoriale (20 pour cent)
Technologie (15 pour cent)
Hébergement et données (20 pour cent)
Certifications (15 pour cent)
Ouverture et portabilité (10 pour cent)

Les 6 critères

Définition, barème et sources

Juridiction

20 pour cent

Définition

Mesure la soumission de l'entité juridique fournissant le service au droit d'un pays soumis à des régimes extraterritoriaux (CLOUD Act, FISA 702, NSL chinoises). Le siège social, la nationalité des actionnaires de contrôle et la chaîne capitalistique sont considérés ensemble.

Barème d'attribution

20Entité juridique établie dans un État membre UE, sans actionnaire de contrôle hors UE.
15Entité UE avec lien capitalistique mineur hors UE (moins de 25 pour cent, sans droits de veto).
10Entité UE contrôlée par un acteur AELE ou Royaume-Uni.
5Entité UE filiale d'un groupe non UE sans dispositif souverain documenté.
0Entité établie aux États-Unis, en Chine, ou directement soumise à un régime extraterritorial actif.

Sources consultées

Registres nationaux des entreprises (Infogreffe, Handelsregister, Companies House)
Documents de référence et rapports annuels du groupe
ANSSI, doctrine cloud au centre et liste des prestataires qualifiés
Publications officielles du droit applicable (CLOUD Act, FISA, NSL)

Cas limites traités

Joint ventures récentes (Bleu, S3NS) : la structure juridique française ne neutralise pas la dépendance à une stack éditeur US non auditable. Elles restent exposées à FISA 702 / CLOUD Act et ne sont pas créditées comme souveraines par défaut ; les dépendances technologiques pèsent dans le critère Technologie.
Fournisseurs UE récemment rachetés par un groupe non UE : la note est révisée à la baisse à partir de l'effective date de l'opération, pas à la signature.

Immunité extraterritoriale

20 pour cent

Définition

Capacité documentée du fournisseur à refuser ou à ne pas être légalement contraint de transmettre des données client à une autorité étrangère. Distinct du critère Juridiction, qui regarde le statut juridique : ici on regarde les engagements opérationnels et leur traduction contractuelle.

Barème d'attribution

20Engagement contractuel d'immunité extraterritoriale, qualification SecNumCloud ou équivalent, transparency report montrant zéro transfert sous injonction étrangère.
15Engagement contractuel, sans qualification ANSSI, transparency report public et détaillé.
10Clauses standards limitant la coooperation, sans engagement d'immunité et sans transparency report détaillé.
5Conditions générales mentionnant explicitement la coopération aux injonctions étrangères au-delà des obligations minimales.
0Soumission active à un régime extraterritorial avec historique documenté de transferts (transparency reports US, statistiques DOJ).

Sources consultées

ANSSI, référentiel SecNumCloud v3.2 et liste des prestataires qualifiés
Conditions générales et accords-cadres publiés par le fournisseur
Transparency reports publiés annuellement par les fournisseurs
Avis EDPB et décisions des autorités de protection des données

Cas limites traités

Bleu et S3NS : malgré leurs engagements contractuels, la dépendance à une stack logicielle US non auditable plafonne leur score d'immunité. Une qualification technique (SecNumCloud) ne neutralise pas le droit américain.
Pour les hyperscalers, le score se base sur les transparency reports US qui ne distinguent pas la juridiction du client final ; la note tient compte de cette opacité.

Technologie

15 pour cent

Définition

Indépendance technique de la pile : hyperviseur, système d'exploitation, dépendances clés, capacité de reproduire le service avec des briques open-source ou européennes. Mesure le risque de capture technologique en cas de rupture commerciale ou diplomatique.

Barème d'attribution

15Pile entièrement open-source, hyperviseur européen ou KVM upstream, OS Linux mainline, dépendance réduite aux services tiers non UE.
10Pile majoritairement open-source mais avec dépendances propriétaires non critiques.
5Pile mixant briques propriétaires US et open-source, sans plan de réversibilité documenté.
0Service entièrement basé sur une pile propriétaire non européenne sans alternative documentée.

Sources consultées

Documentation technique publique du fournisseur
Inventaires des projets open-source contributeurs (OpenStack, Kubernetes, KVM)
Études sectorielles (Hexatrust, CIGREF) sur les piles cloud souveraines

Cas limites traités

Partenariats Bleu (Azure) et S3NS (Google Anthos) : le score Technologie reste prudent car la pile reste américaine, même si la structure juridique est française.
Fournisseurs revendiquant l'open-source : vérification effective de la disponibilité du code source du service final, pas uniquement de ses dépendances.

Hébergement et données

20 pour cent

Définition

Localisation effective des données, des métadonnées, des journaux et des clés de chiffrement. Vérifie la réalité du contrôle utilisateur sur ces éléments et la cohérence avec les engagements du fournisseur.

Barème d'attribution

20Données, métadonnées, journaux et clés résidant exclusivement sur le territoire UE, contrôle utilisateur effectif via BYOK ou HYOK.
15Données et journaux en UE, clés managées par le fournisseur dans des HSM EU certifiés.
10Données en région UE sélectionnable, métadonnées et journaux pouvant transiter hors UE.
5Région UE disponible mais sans engagement contractuel ferme sur les métadonnées ni sur les clés.
0Aucune région UE ou région UE servie depuis des opérateurs non UE sans dispositif souverain.

Sources consultées

Documentation régions du fournisseur
Conditions générales sur la localisation des données
Audits indépendants (ISAE 3402, SOC 2) lorsque disponibles
Vérifications de NextHop sur la liste des datacenters opérateurs

Cas limites traités

Les services managés (databases, AI) ont souvent des métadonnées stockées hors région : la note tient compte de l'écart entre la promesse marketing et la réalité opérationnelle.
Le BYOK est crédité seulement si les clés sont stockées dans un HSM externe non contrôlé par le fournisseur ou par sa maison mère.

Certifications

15 pour cent

Définition

Qualifications détenues sur le périmètre évalué : SecNumCloud, HDS, ISO 27001, ISO 27017, ISO 27018, eIDAS, C5, ENS, qualifications sectorielles. Le poids est donné aux qualifications attestant d'un contrôle indépendant et régulièrement audité.

Barème d'attribution

15Qualification SecNumCloud v3.2 sur le périmètre évalué, plus une qualification sectorielle au minimum (HDS, ENS High).
10ISO 27001 plus une qualification sectorielle (HDS, C5, ENS), sans SecNumCloud.
5ISO 27001 seul, ou attestations déclaratives non vérifiées par un tiers indépendant.
0Aucune certification publique vérifiable sur le périmètre évalué.

Sources consultées

Liste officielle des prestataires qualifiés SecNumCloud (cyber.gouv.fr)
Liste des fournisseurs HDS (esante.gouv.fr)
Registres ENISA et BSI pour les certifications européennes
Pages certifications du fournisseur, croisées avec les organismes émetteurs

Cas limites traités

Les certifications détenues par une maison mère sans application au service évalué ne sont pas créditées.
Les certifications expirées ou en cours de renouvellement sont créditées pendant la durée contractuelle de leur prorogation lorsque celle-ci est publique.

Ouverture et portabilité

10 pour cent

Définition

Capacité à quitter le fournisseur sans coût prohibitif : standards ouverts, API documentées, formats d'export interopérables, contribution open-source, absence de verrouillage par des services propriétaires sans équivalent.

Barème d'attribution

10API conformes à des standards ouverts (OpenStack, S3, OCI), formats d'export documentés et éprouvés, contribution active à l'open-source.
7API documentées, formats d'export standard, dépendances propriétaires limitées aux services secondaires.
4API spécifiques au fournisseur, export possible mais non standard, lock-in modéré.
0Services majeurs propriétaires sans équivalent ouvert, export incomplet ou payant, dépendance forte aux outils maison.

Sources consultées

Documentation API publique
Politiques de portabilité et de migration
Outils de migration documentés par le fournisseur ou par des tiers
Empreinte open-source publique (GitHub, OpenStack, CNCF)

Cas limites traités

Les fournisseurs offrant une API S3-compatible sont crédités même s'ils développent par ailleurs des services propriétaires, dans la mesure où le client peut sortir.
Les services AI générative sont évalués séparément car les modèles, les prompts et les fine-tunings sont rarement exportables.

Score total

Comment on calcule le score final

Le score final est une somme pondérée directe. Chaque critère produit un nombre de points compris entre 0 et son poids maximal (20, 15 ou 10). Le total brut est donc compris entre 0 et 100 points.

Aucune normalisation supplémentaire n'est appliquée, et aucune pondération n'est masquée derrière des coefficients secondaires. Si un critère n'est pas évaluable faute de source publique, il est noté 0 par défaut, ce qui pénalise mécaniquement l'opacité.

Formule

score = juridiction + immunite + technologie + donnees + certifications + ouverture

Avec chaque terme dans son intervalle de barème respectif. Maximum théorique : 100.

Versions

Changelog de la méthodologie

v1.02026-04Lancement public du framework. 6 critères, pondérations 20/20/15/20/15/10, sources publiques uniquement.

Toute évolution future du barème, des pondérations ou de la liste des sources sera enregistrée ici et accompagnée d'une note explicative. La page changelog des scores liste, séparément, les changements appliqués aux fournisseurs.

Contester

Comment contester un score

Un fournisseur, un client ou un journaliste peut signaler une erreur ou demander une revue contradictoire. La procédure est volontairement simple, gratuite et sans formalisme.

1. Email à contact@nexthop.fr

Indiquez le fournisseur, le critère contesté, et la source publique justifiant la révision.

2. Accusé de réception sous 5 jours ouvrés

Si la demande est recevable, elle est inscrite dans le journal interne de revue.

3. Décision motivée sous 30 jours

Acceptation, refus ou demande de pièces complémentaires. La décision est publiée dans le changelog des scores avec la source.