Passer au contenu principal

La souveraineté n'est pas facultative : comment les gouvernements et les entreprises devraient envisager la question du contrôle

Les pouvoirs publics et les entreprises ont besoin d'évaluations rigoureuses de la souveraineté pour gérer les aspects juridiques, opérationnels, cryptographiques et liés au contrôle de la chaîne d'approvisionnement.

2 juillet 2026

·

Blog

·

Jay Goodman

La « souveraineté » est devenue l’un des mots les plus galvaudés dans le domaine des technologies d’entreprise. On l’invoque pour désigner la localisation des données, la propriété par une entité locale, le chiffrement au repos, la nationalité locale des dirigeants ou encore la conformité à telle ou telle réglementation. Ce terme prend souvent le sens que lui donne celui qui l’utilise. Une organisation l’utilise pour décrire la résidence des données, une autre pour désigner la propriété, tandis qu’un fournisseur peut s’en servir pour évoquer quelque chose de tout à fait différent. En conséquence, les discussions sur la souveraineté se transforment souvent en débats sur les définitions plutôt que sur le fond.

Cette flexibilité devient de plus en plus difficile à maintenir. En 2025 et 2026, dans de nombreuses juridictions, les gouvernements ont fait passer la souveraineté du discours marketing aux cadres d’approvisionnement, aux exigences réglementaires et aux programmes d’évaluation formels. Les gouvernements, les régulateurs sectoriels et les autorités chargées des marchés publics publient des cadres structurés, des régimes d’évaluation obligatoires et des seuils d’approvisionnement qui lient aussi bien les fournisseurs que les acheteurs. Si ces cadres diffèrent dans les détails, ils convergent vers les mêmes questions fondamentales : qui contrôle quoi ?

Pour les organisations qui traitent des données sensibles, gèrent des opérations critiques ou des charges de travail soumises à une réglementation, la souveraineté n'est plus une option. Le défi consiste désormais à identifier les cadres réglementaires applicables et à développer les capacités internes nécessaires pour s'adapter à mesure que de nouveaux cadres apparaissent.

Les frameworks qui sont désormais disponibles

Voici un aperçu des principaux cadres réglementaires déjà en vigueur ou sur le point d'être mis en œuvre.

Cadre européen pour la souveraineté du cloud (SEAL)

La Commission européenne a publié la version 1.2.1 en octobre 2025 et l’a mise en œuvre en avril 2026 pour attribuer 180 millions d’euros de contrats de cloud souverain. Ce cadre évalue les fournisseurs selon huit objectifs de souveraineté répartis sur cinq niveaux d’assurance de l’efficacité de la souveraineté (SEAL-0 à SEAL-4). Le niveau SEAL-2 fait office de seuil minimal pour les marchés publics, et un score pondéré détermine l’ordre de priorité d’attribution parmi les fournisseurs éligibles. La Commission a déclaré qu’elle appliquait les mêmes critères à l’ensemble des services numériques supplémentaires qu’elle fournit aux institutions de l’UE, et la future loi sur le développement du cloud et de l’IA devrait transposer les principes de ce cadre dans une législation européenne contraignante.

Cadre britannique d'évaluation de la cybersécurité et GovAssure

Le cadre d'évaluation de la cybersécurité (CAF) du Centre national de cybersécurité du Royaume-Uni permet une évaluation structurée et axée sur les résultats de la cyber-résilience des infrastructures nationales critiques et des systèmes gouvernementaux. Le Plan d’action gouvernemental en matière de cybersécurité, publié en janvier 2026, consacre le CAF comme mécanisme d’évaluation standard et utilise GovAssure pour l’appliquer aux systèmes gouvernementaux. À partir du cycle 2026-2027, des audits réalisés par des tiers remplacent l’auto-évaluation et les auditeurs exigent des preuves techniques documentées plutôt que de simples déclarations de principe. Le projet de loi britannique sur la cybersécurité et la résilience devrait étendre ces obligations aux opérateurs du secteur privé fournissant des services essentiels.

DORA (loi sur la résilience opérationnelle numérique)

Règlement européen direct en vigueur depuis janvier 2025, la DORA s’applique à environ 22 000 entités financières dans toute l’Union européenne, ainsi qu’à leurs prestataires tiers critiques dans le domaine des TIC. Elle impose la tenue de registres des prestataires tiers dans le domaine des TIC, des dispositions contractuelles relatives aux droits d’audit et à la résiliation, ainsi que la notification des incidents majeurs dans les quatre heures suivant leur classification. Pour les entités financières, DORA constitue le cadre opérationnel régissant les risques liés aux tiers prestataires de services TIC, les autorités européennes de surveillance exerçant une surveillance directe sur les prestataires critiques.

Directive NIS2

Remplaçant la directive NIS initiale, la directive NIS 2 étend son champ d’application, passant d’environ 20 000 à environ 160 000 organisations dans des secteurs essentiels et importants, notamment l’énergie, les transports, la santé, l’eau, les infrastructures numériques, l’industrie manufacturière et l’administration publique. Les États membres avaient jusqu’en octobre 2024 pour transposer la directive NIS2 dans leur législation nationale (certains n’ont pas encore achevé cette transposition), la mise en conformité totale étant exigée d’ici octobre 2026. La directive NIS2 impose des obligations en matière de gestion des risques de cybersécurité, des exigences de sécurité de la chaîne d’approvisionnement et des délais de signalement des incidents qui reprennent le concept de la directive DORA.

Cadre australien de certification en matière d'hébergement

Opérationnel depuis 2022 et faisant actuellement l'objet d'une réforme annoncée en novembre 2025, le HCF exige que toutes les données sensibles du gouvernement australien, les systèmes pangouvernementaux et les systèmes classifiés « PROTECTED » soient hébergés chez des fournisseurs certifiés HCF. La certification exige de démontrer que les structures de propriété et de contrôle sont conformes aux intérêts du Commonwealth, ainsi que la résilience de la chaîne d’approvisionnement et la mise en place de contrôles garantissant la souveraineté des données.

Initiatives nationales en matière de cloud souverain

Le « Cloud de Confiance » français, le « Souveräner Cloud » allemandet d’autres programmes nationaux similaires mis en place dans les États membres de l’Union européenne créent des exigences spécifiques à chaque juridiction qui s’appliquent parallèlement aux cadres réglementaires européens. Une catégorie structurellement distincte, mais souvent confondue avec les précédentes, est celle du modèle de « fiduciaire de technologie sous licence » : il s’agit d’accords tels que « Bleu » (Orange et Capgemini exploitant la technologie Microsoft en France) et « Delos » (SAP exploitant la technologie Microsoft en Allemagne), dans lesquels des entités européennes exploitent une technologie américaine sous licence dans le cadre de structures contractuelles de souveraineté. La question de savoir si de telles structures de « trustee » respectent les exigences minimales d’un cadre donné dépend de la capacité de la juridiction du concédant de licence sous-jacent à créer une exposition extraterritoriale qui se répercute à travers la relation de licence. Cette analyse fait l’objet de discussions animées au sein des autorités européennes chargées des marchés publics et reste l’une des questions en suspens les plus importantes de la politique actuelle en matière de souveraineté. Au-delà de l’Europe, des exigences similaires ont été publiées ou proposées au Japon, en Malaisie, en Corée du Sud (CSAP), en Afrique du Sud, au Nigeria, au Pakistan, en Bolivie, en Colombie, au Panama et dans d’autres pays. Le rapport américain de 2026 sur les estimations commerciales nationales relatives aux barrières au commerce extérieur (National Trade Estimate Report on Foreign Trade Barriers) fait référence à des exigences de souveraineté du cloud dans environ 50 % de pays supplémentaires par rapport au rapport de 2025. Que l’on considère ces exigences comme une politique publique judicieuse ou comme des barrières commerciales n’a pas d’importance aux fins des marchés publics : elles existent, elles s’appliquent et il faut s’y conformer.

Régimes d'assurance propres à chaque secteur

Les recommandations des autorités de régulation financière telles que la FCA, la PRA, l’OCC et les autorités équivalentes. Les exigences en matière de résilience du secteur de la santé au titre de la loi HIPAA et des régimes nationaux équivalents. Et les exigences en matière de résilience du secteur de l’énergie et des infrastructures critiques au titre de la loi CER et de ses équivalents. Chacune de ces réglementations impose ses propres obligations, liées à la souveraineté, en matière de localisation des données, de gestion des risques liés aux tiers et de résilience opérationnelle.

Cette liste n'est pas exhaustive et devrait s'allonger. Ce qui importe, c'est la tendance générale : des exigences en matière de souveraineté apparaissent dans toutes les juridictions, tous les secteurs et tous les régimes de passation de marchés. La souveraineté est désormais une discipline qui s'inscrit dans plusieurs cadres, et les organisations qui l'abordent comme un simple exercice de conformité au sein d'un cadre unique seront perpétuellement à la traîne.

Ce que les cadres ont en commun

Si l'on compare ces cadres les uns aux autres, une tendance commune se dégage. Que ce soit dans le cadre de SEAL, des CAF, de DORA, de NIS2, de HCF ou des programmes nationaux, les mêmes questions fondamentales se posent, bien qu'elles soient formulées avec des termes différents.

Qui dispose du pouvoir légal d'exiger la divulgation des informations ? Où les données sont-elles physiquement stockées et sous quelle juridiction relèvent-elles ? Qui gère les opérations et le client pourrait-il poursuivre ses activités si le fournisseur venait à faire défaut ? À quoi ressemble la chaîne d'approvisionnement et où se situent ses dépendances ? Quels éléments prouvent que le système fonctionne conformément à ce qui est annoncé ? Comment les incidents sont-ils signalés et à qui ? Le client peut-il résilier son contrat et à quelles conditions ?

Ces référentiels diffèrent en termes de pondération, de seuils d'approvisionnement et d'obligations de déclaration, mais ils visent en fin de compte à répondre aux mêmes questions fondamentales. Une organisation qui a mis en place une discipline interne autour de ces questions est en mesure de s'adapter à n'importe quel référentiel spécifique avec une confiance raisonnable. Une organisation qui a axé sa conformité sur un seul référentiel devra sans cesse se réorganiser à mesure que de nouveaux référentiels apparaîtront.

C'est pourquoi les organisations devraient se doter de capacités en matière de souveraineté plutôt que de s'adapter à une seule réglementation. Les cadres réglementaires évolueront. Les enjeux fondamentaux, eux, sont bien plus durables.

La souveraineté n'est pas une propriété d'un fournisseur

Une fois le contexte établi, une réflexion conceptuelle permet de clarifier la suite de la discussion : la souveraineté n’est pas une propriété d’un fournisseur.

Les fournisseurs ne disposent pas de souveraineté. Ce sont les clients qui détiennent la souveraineté, et la relation avec un fournisseur peut soit la préserver, soit l'éroder.

La distinction peut paraître subtile, mais elle change complètement la donne. Dès lors que l'on aborde la souveraineté du point de vue du client, le débat ne porte plus sur les affirmations du fournisseur, mais sur le contrôle effectif.

Lorsqu'un client signe un contrat avec un fournisseur, il cède une partie de son contrôle sur les données, l'infrastructure ou les opérations. L'évaluation de la souveraineté vise à déterminer l'étendue du contrôle cédé, la nature de ce contrôle et qui en exerce le contrôle en dernier ressort.

Prenons l'exemple d'un fournisseur dont le siège social est situé dans une juridiction dotée d'un pouvoir coercitif extraterritorial, et qui fournit un service SaaS à partir de centres de données locaux, avec un personnel d'assistance basé sur place et des clés de chiffrement conservées localement. Ce fournisseur a mis en place une façade opérationnelle partielle sans pour autant transférer la souveraineté au client. L'autorité reste entre les mains de la société mère, de la juridiction de celle-ci et de son régime coercitif. La souveraineté du client dépend de cette réalité, et non de la façade visible.

En fin de compte, la souveraineté se résume à une question de contrôle : qui la détient, où se situe-t-elle et quelle autorité la régit ? Les cadres conceptuels récents abordent le problème sous des angles différents, mais ils convergent de plus en plus vers ce même principe.

Les cinq dimensions que toute évaluation de la souveraineté doit prendre en compte

Si l'on fait abstraction des étiquettes, la plupart des évaluations de la souveraineté se résument à cinq questions. Les différents cadres conceptuels les abordent de manière légèrement différente, mais les questions fondamentales restent les mêmes.

Qui dispose du pouvoir légal d’obliger le fournisseur à divulguer, modifier ou transmettre des données et des opérations, et cette autorité relève-t-elle d’une juridiction étrangère à celle du client ? La notion d’« étranger » est toujours relative à l’organisation qui procède à l’évaluation, qu’il s’agisse d’un service des marchés publics, d’un régulateur ou d’un organe de gouvernance. La juridiction d’origine d’un fournisseur ne pose pas de problème en soi ; la question est de savoir si cette juridiction peut exercer son autorité d’une manière qui entre en conflit avec les exigences de souveraineté du client. Les marchés publics de l’UE vérifient si le fournisseur est soumis à des contraintes provenant de pays hors UE. Les marchés publics fédéraux américains vérifient s’il est soumis à des contraintes provenant de pays hors des États-Unis. Les gouvernements des pays alliés vérifient s’il est soumis à des contraintes émanant de juridictions extérieures à l’alliance. Chaque cadre définit son propre seuil juridique en ces termes. C’est également la raison pour laquelle la juridiction de la société mère importe davantage que celle de la filiale opérationnelle : la société mère conserve l’autorité légale de contraindre la filiale, quel que soit le lieu où celle-ci est constituée. Les régimes de contrainte extraterritoriale, c’est-à-dire les lois qui autorisent un État à contraindre ses entreprises à produire des données quel que soit l’endroit où celles-ci se trouvent physiquement, constituent la préoccupation centrale, et ce par rapport à l’autorité chargée de l’évaluation. Le témoignage sous serment déposé en 2025 devant le Sénat français par la filiale locale d’un grand hyperscaler, confirmant que la sécurité des données locales ne pouvait être garantie face à une contrainte émanant de la juridiction de la société mère, constitue l’exemple canonique issu des archives publiques pour l’évaluation de la souveraineté de l’UE en particulier. Ce même témoignage serait perçu différemment dans le contexte des marchés publics fédéraux américains, où le respect de la législation américaine est constitutif d’une souveraineté acceptable, et non d’une violation de celle-ci. Le principe est cohérent ; le résultat dépend de la juridiction qui procède à l’évaluation.

2. Autorité opérationnelle

Qui gère le système au quotidien et le client pourrait-il continuer à l’exploiter si le fournisseur venait à faire défaut ? Cette question est parfois formulée en termes d’« autonomie opérationnelle » ou de « coût de sortie », mais elle revient essentiellement à se demander si le client dispose d’un accès technique et contractuel aux éléments opérationnels essentiels du service : code source, pipelines de compilation, infrastructure de déploiement et procédures d’escalade pour l’assistance. Un service SaaS sans option sur site offre structurellement moins de souveraineté opérationnelle qu’un service que le client peut déployer et exploiter au sein de sa propre infrastructure, quelle que soit la robustesse des opérations du fournisseur. La transition prévue en 2025 par la Cour pénale internationale (CPI), qui consiste à abandonner un grand hyperscaler au profit d’alternatives open source, motivée par les sanctions américaines affectant le personnel de la CPI, est un exemple concret illustrant comment la souveraineté opérationnelle peut devenir une préoccupation immédiate.

3. Autorité en matière de cryptographie et d'intelligence artificielle

Qui détient les clés et par quels chemins passent les processus d’inférence de l’IA ? Les clés de chiffrement détenues par le fournisseur, même lorsque celui-ci s’est engagé contractuellement à ne pas les utiliser, sont structurellement différentes des clés détenues par le client. Un fournisseur détenant les clés peut être contraint légalement ou subir une faille technique que le client ne peut empêcher. La même logique s’applique aux fonctionnalités d’IA : si les données du client transitent par un modèle hébergé dans une infrastructure qu’il ne contrôle pas, le client perd le contrôle de ce flux de données, même si le fournisseur s’engage à ne pas les conserver ni à les utiliser pour l’entraînement du modèle. À mesure que les capacités d’IA s’intègrent à toutes les catégories de services numériques, cette dimension devient la source qui connaît la croissance la plus rapide en matière d’érosion involontaire de la souveraineté.

4. Autorité chargée de la chaîne d'approvisionnement

Où le logiciel est-il développé et par quelle chaîne d’approvisionnement parvient-il jusqu’au client ? C’est la question qui présente la chaîne causale la plus longue et souvent la plus opaque. Un logiciel est rarement développé de bout en bout au même endroit. Il est composé de dépendances, de bibliothèques, d’outils de développement et d’une infrastructure opérationnelle pouvant provenir du monde entier. La souveraineté, dans ce contexte, concerne la résilience de cette chaîne d’approvisionnement face aux perturbations, aux sanctions ou aux compromissions, et pas seulement la localisation du siège social du fournisseur en question. Le cadre de souveraineté du cloud de l’UE prend en comptetla chaîne d’approvisionnement à 20 %, soit la part la plus élevée parmi toutes les dimensions, ce qui reflète un choix politique selon lequel l’origine de la chaîne d’approvisionnement est la dimension de souveraineté la plus durable et la moins susceptible d’être modifiée a posteriori.

5. Sécurité et intégrité opérationnelle avérées

Quelles preuves existe-t-il que le système tient ses promesses ? La souveraineté, en tant que concept abstrait, n’a aucun sens si le système a été compromis à plusieurs reprises. Les certifications ont leur importance ici, mais en tant que preuve de maturité opérationnelle, et non comme des distinctions marketing. Les certifications pertinentes sont celles qui valident le système en situation de déploiement, telles que l’accréditation « NATO Restricted », les « Commercial Solutions for Classified » de la NSA, les certifications fédérales du BSI et les évaluations de la CAF aux profils appropriés, plutôt que celles qui valident les processus du fournisseur de manière abstraite.

Ces cinq dimensions ne constituent pas une liste exhaustive. La durabilité, l'ouverture technologique et la stabilité stratégique sont également des facteurs importants, et les cadres rigoureux les prennent en compte. Cependant, ces cinq dimensions sont au cœur du débat sur la souveraineté, et toute évaluation de fournisseur qui ne les aborde pas toutes aboutit à une réponse partielle.

Le problème du sol

L'une des erreurs les plus courantes dans l'évaluation de la souveraineté consiste à considérer chaque dimension comme un compromis. La moyenne pondérée des cinq dimensions donne un score, mais celui-ci est trompeur si l'une des dimensions est égale à zéro.

Un fournisseur doté d’une architecture cryptographique solide, d’opérations matures, d’une chaîne d’approvisionnement transparente et de nombreuses certifications de sécurité, mais soumis à des contraintes juridiques étrangères, présente une faille de souveraineté que les quatre autres dimensions ne peuvent combler. Cette faille ne se situe pas dans la partie visible de l’architecture, mais dans l’autorité juridique sous-jacente qui la surplombe. La cryptographie ne protège pas contre la remise de clés en vertu d’une décision judiciaire. La maturité opérationnelle ne protège pas contre un accès imposé. La transparence de la chaîne d’approvisionnement ne modifie pas la juridiction de la société mère.

C’est pourquoi les cadres sophistiqués traitent certaines dimensions (dont l’autorité juridique est l’exemple par excellence) comme des conditions minimales : des seuils minimaux qui doivent être respectés indépendamment, plutôt que d’être moyennés avec d’autres dimensions. L’évaluation en deux étapes du cadre de souveraineté cloud de l’UE, qui consiste en un seuil minimal pour chaque dimension suivi d’une note pondérée parmi les fournisseurs éligibles, est une illustration de cette approche. Les principes axés sur les résultats du CAF, évalués par rapport à des seuils spécifiques à chaque profil, en sont une autre. Ce schéma se répète car il reflète le fonctionnement de la souveraineté en situation de contrainte.

Pour les organisations qui définissent leurs propres critères d’évaluation, l’identification des conditions minimales est la décision initiale la plus importante. La question à se poser est la suivante : quelles sont les dimensions qui, en cas d’échec, rendraient la relation avec le fournisseur intenable, quelles que soient ses autres forces compensatoires ? Dans la plupart des marchés publics réglementés, l’autorité juridique en fait partie. L’autorité en matière de cryptographie en est souvent une autre, car aucune excellence opérationnelle ne peut compenser le fait que le fournisseur détienne vos clés si votre modèle de menace inclut la compromission ou la contrainte exercée sur le fournisseur. L’intégrité de la chaîne d’approvisionnement peut constituer un troisième critère pour les systèmes où les attaques visant la chaîne d’approvisionnement constituent une préoccupation majeure.

La discussion relative à l'attribution du marché, c'est-à-dire le classement pondéré des fournisseurs ayant satisfait aux critères minimaux, est secondaire. Elle a certes son importance, mais il s'agit d'une autre question. Elle porte sur le choix entre plusieurs options acceptables. Avant de comparer les fournisseurs, les organisations doivent d'abord déterminer lesquels constituent des candidats acceptables.

Pourquoi le fond opérationnel prime sur la structure de l'entreprise

Un schéma revient régulièrement dans les débats sur la souveraineté : le recours à une structure d’entreprise pour revendiquer la souveraineté sans modifier le fond de l’activité. Un fournisseur dont le siège social est situé dans une juridiction donnée crée une filiale dans une juridiction où la souveraineté est un enjeu sensible, la présente comme le point d’ancrage souverain local et revendique ainsi la souveraineté. À y regarder de plus près, il apparaît que cette filiale n’est en réalité qu’une couche contractuelle recouvrant une activité contrôlée par la société mère. L’ingénierie est assurée par la société mère. Le déploiement de l’infrastructure s’effectue dans la juridiction de la société mère. Les canaux de mise à jour passent par le contrôle de la société mère. La revendication de souveraineté n’a donc que peu de fondement concret.

La substance opérationnelle est le critère qui permet de distinguer les véritables activités souveraines d’une simple façade sous forme de structure d’entreprise. Mais il s’agit d’un critère qui s’applique dans le cadre juridique, et non en dehors de celui-ci. Une entité opérationnelle dotée d’une substance importante, implantée dans une juridiction sensible en matière de souveraineté, ne modifie en rien l’autorité juridique qui chapeaute l’ensemble de la structure. Si la société mère est constituée dans une juridiction dont le régime juridique autorise l’exercice d’une contrainte par une autorité étrangère à la juridiction du client, la société mère conserve cette exposition à la contrainte, quel que soit le degré de contrôle opérationnel exercé par la filiale. La substance opérationnelle peut faire évoluer les niveaux SOV-4, SOV-5, SOV-6 et SOV-7 vers la souveraineté. Elle ne peut toutefois pas faire passer le niveau SOV-2 (juridique) au-delà du seuil imposé par la position juridictionnelle de la société mère vis-à-vis du client. Les clients et les régulateurs qui évaluent les revendications de souveraineté doivent traiter le contrôle fonctionnel et la juridiction légale comme des questions distinctes, auxquelles il convient de répondre séparément, le seuil juridique devant être déterminé en premier lieu et par rapport à la juridiction du client lui-même.

Cette contrainte étant clairement énoncée, c’est le critère de la substance opérationnelle qui distingue les véritables opérations souveraines des simples façades d’entreprise parmi les fournisseurs dont la juridiction de la société mère leur permet, a priori, de satisfaire aux exigences légales minimales. Parmi ces fournisseurs, le modèle corollaire, dans lequel la structure d’entreprise suit le contrôle opérationnel, garantit une souveraineté durable. Une entité opérationnelle qui gère les déploiements adaptés au marché local, contribue à l’ingénierie du code spécifique à ce marché, exploite l’infrastructure de compilation dans la juridiction locale et contrôle les canaux de mise à jour pour les clients locaux assure la souveraineté en matière de contrôle opérationnel. La structure d’entreprise reflète la réalité opérationnelle plutôt que de s’aligner sur celle de la société mère.

Pour distinguer la substance opérationnelle réelle de la façade, il faut aller au-delà des apparences et appliquer le test au niveau de granularité approprié. Un fournisseur opérant à l’échelle mondiale correspond rarement de manière claire à l’un ou l’autre modèle pour l’ensemble de ses produits et segments de clientèle. Un même fournisseur peut disposer d’une filiale opérationnelle à forte substance pour une configuration de produit spécifique – généralement la variante de déploiement conçue pour des clients soucieux de souveraineté dans une juridiction particulière – tout en gérant d’autres gammes de produits via des opérations plus conventionnelles dirigées par la société mère. Le critère opposant « substance importante » à « substance faible » s’avère donc particulièrement utile au niveau de la configuration de déploiement spécifique faisant l’objet de l’achat, et non au niveau du fournisseur en tant que marque mondiale. Se demander « Ce fournisseur est-il souverain ? » donne des réponses moins utiles que de poser successivement deux questions plus précises : « La juridiction de la société mère est-elle de nature à permettre à cette configuration de respecter le seuil légal minimum ? » et, seulement ensuite, « La configuration de déploiement spécifique que nous achetons, avec l’entité opérationnelle spécifique qui la fournira, est-elle structurée pour un fonctionnement à forte substance dans notre juridiction ? »

Commencez par la compétence juridictionnelle. Évaluez ensuite les opérations.

  • Quelle est la juridiction de la société mère et cette juridiction expose-t-elle la société mère à des mesures coercitives de la part d'une autorité étrangère à la juridiction du client ?

  • Qui emploie les ingénieurs chargés d'écrire le code fourni dans cette configuration de déploiement spécifique ?

  • Où s'exécute le pipeline de compilation pour cette configuration et qui y a accès ?

  • D'où proviennent les canaux de mise à jour pour cette configuration et qui prend les décisions concernant les versions ?

  • Si la société mère venait à ne plus être disponible, l'entité opérationnelle locale pourrait-elle continuer à assurer le service pour les clients dans cette configuration ?

Lorsque la juridiction de la société mère est étrangère au client, le fondement juridique ne tient pas, quelle que soit la réponse apportée aux questions opérationnelles. La substance construite sur un fondement juridique non souverain n’atteint pas la souveraineté pour ce client — il ne s’agit que d’une façade plus crédible. Lorsque la juridiction de la société mère est acceptable au regard du cadre du client et que les réponses opérationnelles désignent l’entité opérationnelle locale comme la substance opérationnelle, la souveraineté est réelle pour cette configuration. Lorsque la juridiction de la société mère est acceptable mais que les réponses opérationnelles renvoient à la société mère, la revendication de souveraineté n’est qu’un argument marketing, quelle que soit la manière dont la structure contractuelle est présentée.

À lire également : La souveraineté se mesure : qu'est-ce que le SEAL et pourquoi est-ce important au-delà du cloud ?

Recevez les dernières informations sur les connaissances approfondies en matière de communications sécurisées.

La nouvelle norme

Regardez le webinaire : « L'importance des communications critiques »

Rejoignez-nous pour un webinaire de 45 minutes au cours duquel nos experts aborderont le cadre technique et opérationnel permettant de garantir des communications sécurisées certifiées pour les missions, notamment en matière de chiffrement, d’architecture, de contrôle souverain, de validation indépendante et d’orchestration des missions.

Regarder maintenant