La souveraineté numérique en Europe ne se décidera pas dans les communiqués de presse, mais dans les choix de marchés publics et dans les détails juridiques.
BeLibre a appliqué le Cadre de souveraineté du cloud de la Commission européenne à la pile cloud de Microsoft et a produit une analyse complète basée sur les niveaux SEAL couvrant les huit objectifs de souveraineté. Le focus sur Microsoft est délibéré : à plusieurs reprises, des personnes chez Microsoft ont été interrogées, mais n’ont pas répondu à la question de savoir comment leurs services se situent par rapport à ce cadre, alors qu’on estime que 90–95 % des services publics belges dépendent aujourd’hui de l’infrastructure Microsoft.
Dans sa communication publique, Microsoft met à juste titre en avant des initiatives comme l’EU Data Boundary, la Sovereign Public Cloud, les clouds partenaires nationaux (Delos/Bleu) et de nombreuses certifications de sécurité comme preuve qu’il « va au‑delà de la conformité » en matière de souveraineté numérique. Ce sont des évolutions réelles, que notre analyse prend pleinement en compte. Dans le même temps, le cadre de la Commission pose une autre question que la plupart des supports marketing : sous quels systèmes juridiques, structures de gouvernance et chaînes d’approvisionnement le cloud fonctionne‑t‑il réellement, et quels plafonds cela impose‑t‑il à la souveraineté – même après toutes les mesures de mitigation ? Une évaluation SEAL rend ces plafonds visibles, sans présupposer que davantage de fonctionnalités ou de certifications se traduisent automatiquement par davantage de souveraineté.
Le dossier distingue donc clairement ce que Microsoft peut offrir de manière crédible (par exemple des contrôles de sécurité robustes, des outils de conformité avancés, une résidence des données limitée à l’UE pour de nombreuses charges de travail) et ce qu’il ne peut pas changer structurellement (par exemple l’exposition aux lois extraterritoriales américaines comme le CLOUD Act et le FISA, la provenance non européenne du matériel et des logiciels, des plateformes cœur propriétaires). Une analyse similaire pourrait être réalisée pour AWS ou Google – les plafonds structurels liés à la juridiction américaine ne sont pas propres à Microsoft – mais ce premier dossier traite du fournisseur dominant dans notre secteur public, sur lequel les administrations belges s’appuient aujourd’hui de manière écrasante.
Pour les décideurs publics, DSI et architectes qui doivent justifier leurs choix devant le parlement, les tribunaux et les citoyens, ce document se veut une référence pratique : il prend au sérieux les engagements publics de Microsoft, mais les mesure aux critères de souveraineté de la Commission européenne plutôt qu’aux récits marketing.
Résumé
| MS Standard Public Cloud | MS EU Data Boundary | MS Sovereign Public Cloud | MS National Partner Cloud |
|---|---|---|---|
 |
 |
 |
 |
Les différents pictogrammes renvoient aux domaines de souveraineté (SOV), tandis que les anneaux représentent les niveaux de souveraineté, de SEAL‑0 (anneau intérieur) à SEAL‑4 (anneau extérieur). Les explications détaillées se trouvent dans le document complet.
Référence
Les corrections sont les bienvenues et peuvent être envoyées à l’auteur mentionné dans le document.
Pour les décideurs publics, DSI et architectes qui doivent justifier leurs choix devant le parlement, les tribunaux et les citoyens, ce document se veut une référence pratique.