Methodologie

Comment NextHop note la souverainete.

Notre framework de scoring est public, documente et auditable. Ce document expose les 6 criteres retenus, leur ponderation, le bareme d'attribution des points, les sources utilisees et la procedure pour contester un score.

Vous reprenez cette methodologie dans une publication ?Comment citer NextHop ->

L'essentiel

6 criteres pour evaluer la souverainete d'un service cloud, ponderation totale 100 pour cent.

Notation a partir de sources publiques uniquement : ANSSI, registres officiels, communications du fournisseur, jurisprudence.

Mise a jour mensuelle des scores, journal public des changements consultable sur la page changelog.

Tout fournisseur peut demander une revue contradictoire par email a contact@nexthop.fr.

Sommaire

Juridiction (20 pour cent)

Immunite extraterritoriale (20 pour cent)

Technologie (15 pour cent)

Hebergement et donnees (20 pour cent)

Certifications (15 pour cent)

Ouverture et portabilite (10 pour cent)

Les 6 criteres

Definition, bareme et sources

Juridiction

20 pour cent

Definition

Mesure la soumission de l'entite juridique fournissant le service au droit d'un pays soumis a des regimes extraterritoriaux (CLOUD Act, FISA 702, NSL chinoises). Le siege social, la nationalite des actionnaires de controle et la chaine capitalistique sont consideres ensemble.

Bareme d'attribution

20Entite juridique etablie dans un Etat membre UE, sans actionnaire de controle hors UE.

15Entite UE avec lien capitalistique mineur hors UE (moins de 25 pour cent, sans droits de veto).

10Entite UE controlee par un acteur AELE ou Royaume-Uni.

5Entite UE filiale d'un groupe non UE sans dispositif souverain documente.

0Entite etablie aux Etats-Unis, en Chine, ou directement soumise a un regime extraterritorial actif.

Sources consultees

Registres nationaux des entreprises (Infogreffe, Handelsregister, Companies House)

Documents de reference et rapports annuels du groupe

ANSSI, doctrine cloud au centre et liste des prestataires qualifies

Publications officielles du droit applicable (CLOUD Act, FISA, NSL)

Cas limites traites

Joint ventures recentes (Bleu, S3NS) : la structure juridique francaise ne neutralise pas la dependance a une stack editeur US non auditable. Elles restent exposees a FISA 702 / CLOUD Act et ne sont pas creditees comme souveraines par defaut ; les dependances technologiques pesent dans le critere Technologie.

Fournisseurs UE recemment rachetes par un groupe non UE : la note est revisee a la baisse a partir de l'effective date de l'operation, pas a la signature.

Immunite extraterritoriale

20 pour cent

Definition

Capacite documentee du fournisseur a refuser ou a ne pas etre legalement contraint de transmettre des donnees client a une autorite etrangere. Distinct du critere Juridiction, qui regarde le statut juridique : ici on regarde les engagements operationnels et leur traduction contractuelle.

Bareme d'attribution

20Engagement contractuel d'immunite extraterritoriale, qualification SecNumCloud ou equivalent, transparency report montrant zero transfert sous injonction etrangere.

15Engagement contractuel, sans qualification ANSSI, transparency report public et detaille.

10Clauses standards limitant la coooperation, sans engagement d'immunite et sans transparency report detaille.

5Conditions generales mentionnant explicitement la cooperation aux injonctions etrangeres au-dela des obligations minimales.

0Soumission active a un regime extraterritorial avec historique documente de transferts (transparency reports US, statistiques DOJ).

Sources consultees

ANSSI, referentiel SecNumCloud v3.2 et liste des prestataires qualifies

Conditions generales et accords-cadres publies par le fournisseur

Transparency reports publies annuellement par les fournisseurs

Avis EDPB et decisions des autorites de protection des donnees

Cas limites traites

Bleu et S3NS : malgre leurs engagements contractuels, la dependance a une stack logicielle US non auditable plafonne leur score d'immunite. Une qualification technique (SecNumCloud) ne neutralise pas le droit americain.

Pour les hyperscalers, le score se base sur les transparency reports US qui ne distinguent pas la juridiction du client final ; la note tient compte de cette opacite.

Technologie

15 pour cent

Definition

Independance technique de la pile : hyperviseur, systeme d'exploitation, dependances cles, capacite de reproduire le service avec des briques open-source ou europeennes. Mesure le risque de capture technologique en cas de rupture commerciale ou diplomatique.

Bareme d'attribution

15Pile entierement open-source, hyperviseur europeen ou KVM upstream, OS Linux mainline, dependance reduite aux services tiers non UE.

10Pile majoritairement open-source mais avec dependances proprietaires non critiques.

5Pile mixant briques proprietaires US et open-source, sans plan de reversibilite documente.

0Service entierement base sur une pile proprietaire non europeenne sans alternative documentee.

Sources consultees

Documentation technique publique du fournisseur

Inventaires des projets open-source contributeurs (OpenStack, Kubernetes, KVM)

Etudes sectorielles (Hexatrust, CIGREF) sur les piles cloud souveraines

Cas limites traites

Partenariats Bleu (Azure) et S3NS (Google Anthos) : le score Technologie reste prudent car la pile reste americaine, meme si la structure juridique est francaise.

Fournisseurs revendiquant l'open-source : verification effective de la disponibilite du code source du service final, pas uniquement de ses dependances.

Hebergement et donnees

20 pour cent

Definition

Localisation effective des donnees, des metadonnees, des journaux et des cles de chiffrement. Verifie la realite du controle utilisateur sur ces elements et la coherence avec les engagements du fournisseur.

Bareme d'attribution

20Donnees, metadonnees, journaux et cles residant exclusivement sur le territoire UE, controle utilisateur effectif via BYOK ou HYOK.

15Donnees et journaux en UE, cles managees par le fournisseur dans des HSM EU certifies.

10Donnees en region UE selectionnable, metadonnees et journaux pouvant transiter hors UE.

5Region UE disponible mais sans engagement contractuel ferme sur les metadonnees ni sur les cles.

0Aucune region UE ou region UE servie depuis des operateurs non UE sans dispositif souverain.

Sources consultees

Documentation regions du fournisseur

Conditions generales sur la localisation des donnees

Audits independants (ISAE 3402, SOC 2) lorsque disponibles

Verifications de NextHop sur la liste des datacenters operateurs

Cas limites traites

Les services manages (databases, AI) ont souvent des metadonnees stockees hors region : la note tient compte de l'ecart entre la promesse marketing et la realite operationnelle.

Le BYOK est credite seulement si les cles sont stockees dans un HSM externe non controle par le fournisseur ou par sa maison mere.

Certifications

15 pour cent

Definition

Qualifications detenues sur le perimetre evalue : SecNumCloud, HDS, ISO 27001, ISO 27017, ISO 27018, eIDAS, C5, ENS, qualifications sectorielles. Le poids est donne aux qualifications attestant d'un controle independant et regulierement audite.

Bareme d'attribution

15Qualification SecNumCloud v3.2 sur le perimetre evalue, plus une qualification sectorielle au minimum (HDS, ENS High).

10ISO 27001 plus une qualification sectorielle (HDS, C5, ENS), sans SecNumCloud.

5ISO 27001 seul, ou attestations declaratives non verifiees par un tiers independant.

0Aucune certification publique verifiable sur le perimetre evalue.

Sources consultees

Liste officielle des prestataires qualifies SecNumCloud (cyber.gouv.fr)

Liste des fournisseurs HDS (esante.gouv.fr)

Registres ENISA et BSI pour les certifications europeennes

Pages certifications du fournisseur, croisees avec les organismes emetteurs

Cas limites traites

Les certifications detenues par une maison mere sans application au service evalue ne sont pas creditees.

Les certifications expirees ou en cours de renouvellement sont creditees pendant la duree contractuelle de leur prorogation lorsque celle-ci est publique.

Ouverture et portabilite

10 pour cent

Definition

Capacite a quitter le fournisseur sans cout prohibitif : standards ouverts, API documentees, formats d'export interoperables, contribution open-source, absence de verrouillage par des services proprietaires sans equivalent.

Bareme d'attribution

10API conformes a des standards ouverts (OpenStack, S3, OCI), formats d'export documentes et eprouves, contribution active a l'open-source.

7API documentees, formats d'export standard, dependances proprietaires limitees aux services secondaires.

4API specifiques au fournisseur, export possible mais non standard, lock-in modere.

0Services majeurs proprietaires sans equivalent ouvert, export incomplet ou payant, dependance forte aux outils maison.

Sources consultees

Documentation API publique

Politiques de portabilite et de migration

Outils de migration documentes par le fournisseur ou par des tiers

Empreinte open-source publique (GitHub, OpenStack, CNCF)

Cas limites traites

Les fournisseurs offrant une API S3-compatible sont credites meme s'ils developpent par ailleurs des services proprietaires, dans la mesure ou le client peut sortir.

Les services AI generative sont evalues separement car les modeles, les prompts et les fine-tunings sont rarement exportables.

Score total

Comment on calcule le score final

Le score final est une somme ponderee directe. Chaque critere produit un nombre de points compris entre 0 et son poids maximal (20, 15 ou 10). Le total brut est donc compris entre 0 et 100 points.

Aucune normalisation supplementaire n'est appliquee, et aucune ponderation n'est masquee derriere des coefficients secondaires. Si un critere n'est pas evaluable faute de source publique, il est note 0 par defaut, ce qui penalise mecaniquement l'opacite.

Formule

score = juridiction + immunite + technologie + donnees + certifications + ouverture

Avec chaque terme dans son intervalle de bareme respectif. Maximum theorique : 100.

Versions

Changelog de la methodologie

v1.02026-04Lancement public du framework. 6 criteres, ponderations 20/20/15/20/15/10, sources publiques uniquement.

Toute evolution future du bareme, des ponderations ou de la liste des sources sera enregistree ici et accompagnee d'une note explicative. La page changelog des scores liste, separement, les changements appliques aux fournisseurs.

Contester

Comment contester un score

Un fournisseur, un client ou un journaliste peut signaler une erreur ou demander une revue contradictoire. La procedure est volontairement simple, gratuite et sans formalisme.

1. Email a contact@nexthop.fr

Indiquez le fournisseur, le critere conteste, et la source publique justifiant la revision.

2. Accuse de reception sous 5 jours ouvres

Si la demande est recevable, elle est inscrite dans le journal interne de revue.

3. Decision motivee sous 30 jours

Acceptation, refus ou demande de pieces complementaires. La decision est publiee dans le changelog des scores avec la source.

Voir l'observatoire Changelog des scores Sources et bibliographie