mercredi 8 juillet 2026 · Sem. 28 DE · EN · FR · ES Sombre
Reboot Germany

Comment le BSI rend la souveraineté du cloud mesurable

La souveraineté des nuages devient mesurable : le BSI la décompose en six dimensions vérifiables avec C3A.

Par Tobias Massow 27 avril 2026 7 min de lecture
Comment le BSI rend la souveraineté du cloud mesurable

Le 27 avril 2026, le BSI a publié avec le C3A un catalogue de critères qui rend la souveraineté cloud mesurable pour la première fois. L’outil décompose la souveraineté en six dimensions vérifiables, de l’accès juridique à la chaîne d’approvisionnement. Pour les achats informatiques, c’est le premier catalogue qui traduit la souveraineté en exigences d’approvisionnement concrètes. Et il est déjà disponible, tandis que l’UE travaille encore sur le Cloud and AI Development Act.

Les points clés en bref

  • La souveraineté devient mesurable : Le C3A du BSI évalue les services cloud selon six dimensions de souveraineté. L’intuition est remplacée par une grille vérifiable.
  • Le C3A s’appuie sur le C5 : Tandis que le C5 certifie la sécurité technique, le C3A évalue l’autonomie. Un fournisseur doit satisfaire aux critères C5 avant que le C3A s’applique.
  • Volontaire et immédiatement utilisable : Le C3A est un outil d’approvisionnement volontaire sans effet réglementaire, que les services informatiques peuvent utiliser dès maintenant. Le Cloud and AI Development Act de l’UE, en tant que cadre juridique, est quant à lui encore en cours de procédure législative.

Associé :Souveraineté cloud : C5, résidence des données, maîtrise des clés  /  Les attestations C5 poussent les PME à inverser leur stratégie cloud

Ce qui distingue le C3A du C5 et du CADA

Trois acronymes gravitent en ce moment autour du même sujet, mais désignent des choses différentes. Quiconque achète du cloud devrait les distinguer clairement.

Qu’est-ce que le C3A ? Le C3A (Criteria enabling Cloud Computing Autonomy) est un catalogue de critères du BSI qui rend les propriétés de souveraineté d’un service cloud transparentes et comparables. Les fournisseurs démontrent leur conformité par audit, les utilisateurs évaluent leurs scénarios d’utilisation selon les critères et définissent un niveau de souveraineté cible pour leurs charges de travail.

La répartition des rôles est claire. Le C5 répond à la question de savoir si un service cloud est exploité de manière techniquement sécurisée. Le C3A s’appuie sur cette base et évalue s’il peut être utilisé de manière autonome dans le contexte de risque concerné. Le Cloud and AI Development Act de l’UE, quant à lui, est le cadre juridique qui entend faire de la souveraineté une obligation d’approvisionnement, mais se trouve encore en cours de procédure législative. Le C3A fournit l’outil de mesure qui pourra opérationnaliser cette obligation ultérieurement, et qui est déjà disponible aujourd’hui.

Les six dimensions de la souveraineté cloud

Le C3A s’appuie sur l’European Cloud Sovereignty Framework et traduit ses facteurs en critères vérifiables. Il en résulte six dimensions qui, ensemble, forment un profil de souveraineté. Le BSI exclut délibérément deux domaines du cadre européen : la souveraineté en matière de sécurité et de conformité est déjà couverte par le C5, et la durabilité écologique n’entre pas dans le mandat du BSI.

Dimension Ce qu’elle vise
Souveraineté stratégique Indépendance de la stratégie cloud propre vis-à-vis de fournisseurs individuels et de leurs feuilles de route.
Souveraineté des données Contrôle sur le lieu de stockage, l’accès et le chiffrement de ses propres données.
Souveraineté juridique Protection contre l’accès d’États étrangers par la juridiction et le droit contractuel.
Souveraineté opérationnelle Capacité à maintenir l’exploitation même sans recourir au fournisseur.
Souveraineté de la chaîne d’approvisionnement Transparence et contrôle sur les sous-traitants techniques du service.
Souveraineté technologique Disponibilité de standards ouverts et possibilité de remplacer des composants.

Source : BSI C3A, structuré selon l’EU Cloud Sovereignty Framework ; classification cloudmagazin

L’intérêt de cette répartition réside dans le fait qu’elle décompose une question générale en six questions concrètes. Plus personne n’a à répondre si un cloud est souverain dans l’absolu. Il devient en revanche possible de définir un niveau cible par dimension et de le vérifier.

Ce que le C3A change pour les achats cloud

Pour les services informatiques, la base de discussion s’en trouve modifiée. Jusqu’ici, la souveraineté était un terme qui figurait dans chaque appel d’offres sans jamais être mesurable. Avec le C3A, il est possible de définir un niveau de souveraineté cible par charge de travail et de le confronter au profil d’un fournisseur.

Trois étapes s’imposent indépendamment du statut juridique. Premièrement, classer les charges de travail : toutes les applications n’ont pas besoin du niveau de souveraineté le plus élevé, un environnement de test interne diffère d’une procédure spécialisée impliquant des données personnelles. Deuxièmement, demander le profil du fournisseur : les prestataires qui prennent le C3A au sérieux peuvent justifier leur positionnement pour chaque dimension. Troisièmement, évaluer l’écart : là où le niveau cible et le niveau réel divergent, il en résulte soit un besoin de négociation, soit un plan de sortie.

Le caractère volontaire du C3A le fragilise moins qu’il n’y paraît. Précisément parce qu’aucune obligation ne le sous-tend, il peut être intégré immédiatement dans le prochain appel d’offres sans arrière-plan politique. Et lorsque le cadre juridique européen entrera en vigueur, l’outil aura déjà fait ses preuves en pratique.

Foire aux questions

Quelle est la différence entre C3A et C5 ?

Le C5 certifie qu’un service cloud est exploité de manière techniquement sécurisée. Le C3A va plus loin et évalue s’il peut être utilisé de façon autonome, c’est-à-dire souveraine, dans un contexte de risque donné. Le C3A suppose que le prestataire satisfait aux critères C5.

Quelles sont les six dimensions évaluées par le C3A ?

La souveraineté stratégique, des données, juridique, opérationnelle, de la chaîne d’approvisionnement et technologique. Le BSI a délibérément écarté les volets sécurité et durabilité du cadre européen, car le C5 couvre déjà la sécurité et la durabilité sort de son périmètre.

L’application du C3A est-elle obligatoire ?

Non. Le C3A est un outil d’évaluation volontaire sans effet réglementaire direct. Il peut toutefois servir de référence si le Cloud and AI Development Act de l’UE fait de la souveraineté une exigence obligatoire en matière d’achat public.

Comment les acheteurs informatiques utilisent-ils concrètement le C3A ?

Les utilisateurs définissent un niveau cible de souveraineté par charge de travail et le comparent au profil d’un prestataire. Les fournisseurs justifient leur positionnement par dimension via un audit. Là où cible et réalité divergent, un besoin de négociation ou de sortie du contrat émerge.

À partir de quand le C3A est-il disponible ?

Le BSI a publié le C3A le 27 avril 2026, d’abord sous forme de document en anglais. Une version allemande était annoncée pour le deuxième trimestre 2026.

À découvrir sur le réseau MBF Media

Source image de titre : Pexels / Sergei Starostin (px:6466141)

Aussi disponible en

EspañolEnglishDeutsch
MBF Media Newsletter

Le briefing mensuel pour les décideurs

Une fois par mois, la newsletter MBF Media réunit l'essentiel de cloudmagazin, MyBusinessFuture, Digital Chiefs et SecurityToday, sélectionné par la rédaction.

25 000 décideurs IT et métiers lisent cette newsletter. Rejoignez-les.

S'abonner gratuitement
MBF Media Newsletter, aktuelle Ausgabe auf dem iPhone
Ein Magazin der Evernine Media GmbH