#6 bis Zoom : le C3A allemand et le paysage fragmenté des certifications cloud souverain en Europe

đŸ‡©đŸ‡Ș L'Allemagne vient de publier le C3A : 6 critĂšres vĂ©rifiables pour mesurer l'autonomie rĂ©elle d'un cloud — pas juste sa sĂ©curitĂ©. Clause la plus spectaculaire ? En cas d'Ă©tat de dĂ©fense, l'État peut reprendre la main sur l'infra cloud, code source inclus. SecNumCloud + C3A, mĂȘme combat. 🔐

#6 bis Zoom : le C3A allemand et le paysage fragmenté des certifications cloud souverain en Europe
SĂ©rie « SouverainetĂ© numĂ©rique » — Comprendre le C3A et ses voisins rĂ©glementaires

Le 27 avril 2026, le BSI — l'agence fĂ©dĂ©rale allemande de cybersĂ©curitĂ©, homologue de l'ANSSI — publiait un document de 30 pages au nom austĂšre mais Ă  l'ambition considĂ©rable : les C3A, Criteria enabling Cloud Computing Autonomy.

Pour la premiĂšre fois, un État membre de l'Union europĂ©enne traduisait en critĂšres techniques vĂ©rifiables ce que le Cloud Sovereignty Framework de la Commission (dĂ©crit dans l'article #6 de cette sĂ©rie) avait posĂ© en principes.

Et pour la premiĂšre fois aussi, un rĂ©fĂ©rentiel national osait inscrire une clause que peu d'observateurs attendaient : en cas d'Ă©tat de dĂ©fense dĂ©clarĂ© par un État membre de l'UE, le prestataire cloud doit permettre Ă  l'administration de reprendre le contrĂŽle opĂ©rationnel complet de l'infrastructure — personnel, code source et outils d'administration inclus.

Cet article propose un zoom approfondi sur le C3A : ce qu'il contient prĂ©cisĂ©ment, comment il se positionne par rapport au C5 (son prĂ©dĂ©cesseur sĂ©curitaire), et surtout comment il s'inscrit dans un paysage europĂ©en de certifications cloud dĂ©jĂ  passablement fragmentĂ© — SecNumCloud, C5, ENS, EUCS — dont le lecteur de cette sĂ©rie a dĂ©jĂ  croisĂ© les grandes lignes dans les articles prĂ©cĂ©dents.

Pourquoi le C5 ne suffisait plus

Pour comprendre l'apport du C3A, il faut d'abord comprendre la limite structurelle du C5 — le rĂ©fĂ©rentiel de sĂ©curitĂ© cloud allemand existant depuis 2016, dĂ©jĂ  prĂ©sentĂ© dans cette sĂ©rie.

Le C5 confirme que la porte d'entrée est verrouillée. Il ne dit rien sur qui détient le second jeu de clés, ni si le propriétaire de l'immeuble peut couper unilatéralement l'accÚs.

C'est une image efficace pour saisir la diffĂ©rence de nature entre les deux rĂ©fĂ©rentiels : le C5 rĂ©pond Ă  la question "ce service est-il sĂ©curisĂ© techniquement ?", tandis que le C3A rĂ©pond Ă  la question "ce service peut-il ĂȘtre utilisĂ© de maniĂšre autonome, indĂ©pendamment d'un acteur tiers, dans un contexte de risque donnĂ© ?"

Ce sont deux questions différentes, et c'est précisément leur confusion qui a alimenté, comme le précédent article l'a montré, le décalage entre la Forrester Wave (qui mesure une forme de souveraineté fonctionnelle proche du C5) et le Cloud Sovereignty Framework de la Commission (qui mesure une souveraineté juridictionnelle et stratégique).

Le C3A : six dimensions, pas huit

Le C3A reprend la structure du Cloud Sovereignty Framework européen (SOV-1 à SOV-8, détaillé dans l'article #6), mais en écarte volontairement deux objectifs.

SOV-7 (Sécurité et conformité)

Il n'est pas repris car dĂ©jĂ  couvert par les publications existantes du BSI — le C5:2026, l'IT-Grundschutz (le rĂ©fĂ©rentiel allemand de sĂ©curitĂ© des systĂšmes d'information) et le HA Benchmark compact.
Le C3A prĂ©suppose explicitement que le prestataire satisfait dĂ©jĂ  aux critĂšres du C5 — c'est une condition prĂ©alable, pas une option.

SOV-8 (Durabilité environnementale)

Il n'est pas repris car hors du périmÚtre de responsabilité du BSI, qui est une agence de cybersécurité et non une agence environnementale.

Restent donc six dimensions : souveraineté stratégique, juridique, des données et de l'IA, opérationnelle, de la chaßne d'approvisionnement, et technologique.

Sur chacune, le BSI introduit des critÚres vérifiables par audit, répartis en deux catégories :

  • les critĂšres (exigences de base)
  • les critĂšres additionnels (exigences renforcĂ©es, pour les usages les plus sensibles),

accompagnés d'informations complémentaires explicatives.

Le C3A en un coup d'Ɠil

Les dispositions les plus marquantes du C3A

Le double prisme UE/Allemagne

C'est l'innovation méthodologique la plus distinctive du C3A par rapport au Cloud Sovereignty Framework européen.
Sur plusieurs critĂšres clĂ©s — la juridiction applicable, la localisation du siĂšge social, le contrĂŽle effectif, ou encore la localisation du stockage des donnĂ©es client — le BSI propose systĂ©matiquement deux niveaux d'exigence au choix :

  • un niveau "UE" : le prestataire ou la donnĂ©e doit relever du droit ou du territoire de l'Union europĂ©enne
  • un niveau "Allemagne" : exigence resserrĂ©e au seul territoire et droit allemand.

Cette approche Ă  la carte permet Ă  un acheteur public ou privĂ© de calibrer prĂ©cisĂ©ment son niveau d'exigence selon la criticitĂ© rĂ©elle de son usage — une administration fĂ©dĂ©rale gĂ©rant des donnĂ©es de dĂ©fense pourra exiger le niveau "Allemagne", tandis qu'une collectivitĂ© locale pourra se satisfaire du niveau "UE".

Le critĂšre de contrĂŽle effectif est dĂ©fini avec prĂ©cision : la possibilitĂ© d'exercer une influence directe ou indirecte sur les dĂ©cisions stratĂ©giques, financiĂšres ou opĂ©rationnelles clĂ©s du prestataire — une dĂ©finition qui rejoint celle de SecNumCloud sur l'absence de contrĂŽle capitalistique non-europĂ©en.

La transparence sur la chaĂźne d'approvisionnement logicielle

Le C3A impose au fournisseur d'identifier, service par service, l'ensemble des composants logiciels utilisĂ©s et leurs pays d'origine, sous forme de liste disponible sur demande — Ă©ventuellement sous accord de confidentialitĂ©.

L'objectif est qu'un client puisse savoir si un service cloud repose sur des composants d'origine américaine, chinoise ou autre, et en évaluer le risque souverain en connaissance de cause.

Un critÚre additionnel va plus loin en exigeant une flexibilité architecturale permettant de substituer des composants critiques en cas de besoin.

Cette exigence rĂ©pond directement Ă  l'objectif SOV-5 (chaĂźne d'approvisionnement) du Cloud Sovereignty Framework — celui qui pĂšse le plus lourd dans le score de souverainetĂ© europĂ©en (20 %).

Le critĂšre de continuitĂ© en cas de coupure — la rĂ©ponse opĂ©rationnelle au risque de kill switch

Le critĂšre technique SOV-4-09-C exige qu'un service cloud conserve son intĂ©gritĂ© et sa disponibilitĂ© mĂȘme en cas d'interruption de la connexion avec des instances non-europĂ©ennes.

Les entreprises qui revendiquent ce niveau de souveraineté sont soumises à une obligation de contrÎle annuel, avec une preuve technique que l'instance locale reste capable de fonctionner de maniÚre autonome.

C'est la traduction technique la plus aboutie, Ă  ce jour dans un rĂ©fĂ©rentiel officiel d'un État membre, du risque de "kill switch" documentĂ© par le rapport FOTI et dĂ©jĂ  longuement discutĂ© dans l'article #2 de cette sĂ©rie.

LĂ  oĂč le rapport FOTI se contentait de documenter le risque, le C3A propose un test vĂ©rifiable pour s'en protĂ©ger.

La clause d'état de défense

C'est la disposition la plus commentĂ©e — et la plus inattendue — du C3A.

Si un État membre de l'UE dĂ©clare l'Ă©tat de dĂ©fense, le prestataire cloud doit permettre Ă  l'État de reprendre la main sur l'exploitation du cloud, avec les actifs physiques et le personnel nĂ©cessaires, dans la limite des possibilitĂ©s lĂ©gales.

ConcrÚtement, le fournisseur doit maintenir en permanence une documentation, un code source et des outils d'administration dans un format portable, utilisables de maniÚre autonome par une autorité étatique du jour au lendemain.

C'est, en substance, une clause de réquisition numérique en temps de guerre appliquée à des acteurs privés.
Sa portĂ©e est toutefois tempĂ©rĂ©e par une rĂ©serve significative : elle ne s'applique que dans les limites de ce que le droit national permet dĂ©jĂ  — le C3A ne crĂ©e pas de nouveau pouvoir rĂ©galien, il structure juridiquement et techniquement l'exercice d'un pouvoir que l'État possĂšde dĂ©jĂ  en thĂ©orie.

La granularité des données

Le C3A distingue trois catégories :

  • les donnĂ©es client : les donnĂ©es mĂ©tier proprement dites,
  • les donnĂ©es de compte : informations de facturation, de contact, gĂ©nĂ©rĂ©es Ă  l'achat du service et sous contrĂŽle du prestataire,
  • les donnĂ©es dĂ©rivĂ©es : rĂ©sultant de l'interaction avec les services cloud — logs, mĂ©tadonnĂ©es d'usage.

Pour les données client, deux niveaux de localisation du stockage et du traitement sont proposés, là encore au choix : UE ou Allemagne.

Cette granularitĂ© est prĂ©cieuse pour les responsables de la protection des donnĂ©es (DPO) : elle oblige Ă  raisonner sur la nature et la sensibilitĂ© de chaque flux de donnĂ©es, plutĂŽt que sur un volume total indiffĂ©renciĂ© — une amĂ©lioration notable par rapport Ă  des approches plus binaires.

✏ Le chiffrement Ă  clĂ© externalisĂ©e

Le C3A ajoute un critÚre de chiffrement des données client avec une clé disponible exclusivement en dehors de l'environnement du fournisseur de service cloud (CSP).
C'est une exigence directement comparable au mĂ©canisme Ă©voquĂ© dans l'article #2 Ă  propos des HSM externalisĂ©s — avec la mĂȘme contrepartie dĂ©jĂ  identifiĂ©e : si la gestion des clĂ©s est dĂ©lĂ©guĂ©e Ă  un tiers externe, le CSP ne maĂźtrise plus entiĂšrement ses propres engagements de continuitĂ© de service.

Une genÚse concertée avec l'industrie, pas un diktat administratif

Le C3A n'a pas été élaboré dans un bureau fermé.
Le BSI a collaborĂ© avec des fournisseurs de cloud nationaux et internationaux avec lesquels il entretient des accords de coopĂ©ration — incluant, d'aprĂšs les informations disponibles, des Ă©changes avec des acteurs comme Google Cloud, dont les retours d'expĂ©rience pratique ont directement nourri le rĂ©fĂ©rentiel.

Le rĂ©sultat de cette concertation s'observe dans le rĂ©alisme de certaines dispositions : l'aveu du BSI selon lequel l'option de localisation nationale du stockage "est plus rare pour le SaaS", mais "devrait ĂȘtre proposĂ©e si c'est techniquement faisable et appropriĂ©", illustre un pragmatisme qui tranche avec une approche purement dĂ©clarative de la souverainetĂ©.

Cette mĂ©thode de coproduction avec l'industrie distingue le C3A de certaines lectures plus dogmatiques du dĂ©bat sur la souverainetĂ© numĂ©rique — sans pour autant renoncer Ă  l'ambition normative, comme le montre la clause d'Ă©tat de dĂ©fense.

Le C3A dans le paysage européen des référentiels : une cartographie

Si vous avez lu les précédents articles de cette série, vous avez désormais croisé six référentiels ou cadres distincts.

Une cartographie comparative s'impose pour clarifier leurs rĂŽles respectifs.

RéférentielPays / PortéeNatureCouvre la souveraineté juridictionnelle ?Contraignant ?
SecNumCloud 3.2FranceRéférentiel national, ANSSIOui (article 19.6)Oui pour OIV/OSE et marchés sensibles
BSI C5:2026AllemagneRéférentiel sécurité techniqueNonOui pour la santé (Code social)
BSI C3AAllemagneRéférentiel souveraineté/autonomieOui (double prisme UE/Allemagne)Non, mais déclarable en exigence minimale
ENS (Esquema Nacional de Seguridad)EspagneRéférentiel sécurité techniqueNonOui pour l'administration publique
EUCSUnion europĂ©enneSchĂ©ma de certification harmonisĂ© (en nĂ©gociation)En dĂ©bat — nƓud du conflit dĂ©crit dans l'article #6À dĂ©terminer selon la version finale
Cloud Sovereignty FrameworkUnion européenne (Commission)Outil contractuel d'achat publicOui (8 objectifs SOV)Appliqué aux marchés de la Commission

Ce tableau rĂ©capitulatif rĂ©vĂšle une logique claire, dĂ©jĂ  esquissĂ©e dans l'article #6 mais que la publication du C3A permet dĂ©sormais d'illustrer concrĂštement : chaque État membre ayant une doctrine affirmĂ©e de souverainetĂ© numĂ©rique tend Ă  se doter de deux rĂ©fĂ©rentiels complĂ©mentaires :

  • un rĂ©fĂ©rentiel de sĂ©curitĂ© technique (C5 pour l'Allemagne, et pour la France un Ă©quivalent intĂ©grĂ© dans SecNumCloud)
  • un rĂ©fĂ©rentiel de souverainetĂ© proprement dit (le C3A pour l'Allemagne, l'article 19.6 de SecNumCloud pour la France).

SecNumCloud et C3A : convergence ou divergence ?

C'est certainement la question que vous vous posez naturellement, en tant que lecteurs français de cette série.

Trois éléments de réponse.

Sur le fond, une forte convergence.
Les deux rĂ©fĂ©rentiels poursuivent le mĂȘme objectif — garantir qu'un service cloud reste utilisable de maniĂšre autonome, sans dĂ©pendance critique Ă  un acteur extra-europĂ©en — et s'appuient tous deux, explicitement ou implicitement, sur la mĂȘme matrice de rĂ©fĂ©rence : le Cloud Sovereignty Framework de la Commission.

Le critÚre de contrÎle capitalistique du C3A rejoint trÚs directement l'article 19.6 de SecNumCloud sur l'absence de contrÎle non-européen.

Sur la méthode, une différence d'approche notable.
SecNumCloud reste structurĂ© comme un rĂ©fĂ©rentiel de qualification binaire — une offre est qualifiĂ©e SecNumCloud ou ne l'est pas, avec un rĂ©fĂ©rentiel unique et exigeant.

Le C3A introduit une logique plus modulaire et graduée : critÚres de base, critÚres additionnels, et surtout le double choix UE/Allemagne qui permet d'ajuster le niveau d'exigence à la criticité réelle de l'usage.

Cette modularité pourrait inspirer une évolution de SecNumCloud, dont l'ANSSI travaille déjà sur la prochaine version, avec un alignement attendu sur le Cloud Sovereignty Framework européen.

Sur la portée institutionnelle, une différence de statut.
SecNumCloud peut ĂȘtre rendu obligatoire par la rĂ©glementation française pour certains secteurs (santĂ© via l'hĂ©bergement de donnĂ©es de santĂ© ou la dĂ©fense par exemple).

Le C3A, comme le rappelle son propre vice-prĂ©sident, n'est pas contraignant en lui-mĂȘme, mais peut devenir la rĂ©fĂ©rence pour l'administration fĂ©dĂ©rale allemande via son intĂ©gration dans les obligations existantes de l'IT-Grundschutz et de la norme MST-NCD (norme minimale pour l'utilisation de services cloud externes) pour les agences fĂ©dĂ©rales.

L'enjeu pour les entreprises sous NIS2

Le C3A prend une dimension particuliĂšrement concrĂšte pour les entreprises soumises Ă  la directive europĂ©enne NIS2 — dĂ©jĂ  mentionnĂ©e dans cette sĂ©rie Ă  propos de la sĂ©curitĂ© de la chaĂźne d'approvisionnement.

L'article 21 de NIS2 impose aux entreprises concernées de garantir la sécurité de leur chaßne d'approvisionnement.
Toute organisation qui utilise des services cloud doit dĂ©sormais ĂȘtre en mesure de dĂ©monstrer comment elle Ă©value sa dĂ©pendance Ă  des juridictions non-europĂ©ennes et les risques associĂ©s — au premier rang desquels le CLOUD Act amĂ©ricain.

Pour ces organisations, le C3A — bien que non contraignant en tant que tel pour le secteur privĂ© — fournit une base mĂ©thodique pour identifier et Ă©valuer systĂ©matiquement les dĂ©pendances dans la chaĂźne d'approvisionnement numĂ©rique, et peut ĂȘtre utilisĂ© comme grille d'exigences dans les appels d'offres ou pour rĂ©pondre aux obligations de vigilance du dispositif de gestion des risques imposĂ© par NIS2.

Ce que cela signifie pour la suite du cadre réglementaire européen

La publication du C3A intervient Ă  un moment charniĂšre.

Comme vu précédemment, l'EUCS reste bloqué depuis 2020 sur la question précise de l'inclusion de critÚres de souveraineté juridictionnelle.
Le C3A allemand, en complément de SecNumCloud français, constitue désormais un second précédent national concret et documenté.

Si ces critĂšres venaient Ă  ĂȘtre incorporĂ©s dans les annexes de textes de sĂ©curitĂ© informatique comme NIS2 ou dans le futur Cybersecurity Act rĂ©visĂ© associĂ© au Cloud and AI Development Act (CAIDA) europĂ©en — dĂ©jĂ  Ă©voquĂ© dans l'article #3 Ă  propos de l'alliance ESTIA — il deviendrait difficile pour les hyperscalers amĂ©ricains de continuer Ă  les contourner par une approche uniquement fonctionnelle de la souverainetĂ©.

La question de savoir si les grands hyperscalers pourront satisfaire ces critÚres dépendra largement des exigences réelles formulées par leurs clients, et de la pression politique en faveur de solutions véritablement souveraines.

C'est une formulation prudente, mais qui rĂ©sume bien l'enjeu central de cette sĂ©rie d'articles : le cadre rĂ©glementaire se construit, les outils de mesure existent dĂ©sormais, mais leur portĂ©e effective dĂ©pendra in fine des choix d'achat — publics et privĂ©s — qui seront rĂ©ellement faits dans les mois et annĂ©es Ă  venir.

📌 En Conclusion

Le C3A allemand (du 27 avril 2026) est la traduction opĂ©rationnelle la plus aboutie Ă  ce jour du Cloud Sovereignty Framework europĂ©en, dans un État membre.

Il reprend 6 des 8 objectifs SOV de la Commission, en écartant la sécurité (déjà couverte par le C5) et la durabilité environnementale (hors périmÚtre du BSI).

Ses apports les plus innovants :

  • un double niveau d'exigence UE/Allemagne sur les critĂšres clĂ©s, un critĂšre technique vĂ©rifiable de continuitĂ© en cas de coupure avec des instances non-europĂ©ennes (rĂ©ponse directe au risque de kill switch),
  • une exigence de transparence sur la chaĂźne d'approvisionnement logicielle,
  • une clause inĂ©dite de rĂ©quisition numĂ©rique en cas d'Ă©tat de dĂ©fense.

Le paysage europĂ©en des rĂ©fĂ©rentiels cloud reste fragmentĂ© entre SecNumCloud (France), C5 et C3A (Allemagne), ENS (Espagne), en attendant une Ă©ventuelle harmonisation via l'EUCS — dont l'issue dĂ©pendra largement de la capacitĂ© des États membres Ă  dĂ©passer le clivage entre souverainetĂ© fonctionnelle et souverainetĂ© juridictionnelle.

Pour les entreprises soumises à NIS2, le C3A constitue, qu'il soit ou non rendu obligatoire, un outil méthodique immédiatement exploitable pour structurer l'évaluation des dépendances de leur chaßne d'approvisionnement numérique.

Références