Les gouvernements donnent la priorité au contrôle technique plutôt qu’à la simple résidence des données afin de préserver la souveraineté des données.
Nous assistons à un changement fondamental dans la manière dont les gouvernements conçoivent la souveraineté des données. Il ne suffit plus de conserver les données dans des serveurs situés à l’intérieur des frontières nationales. Si les clés de ces données sont encore entre les mains de quelqu’un d’autre, en particulier d’un fournisseur de cloud basé sur Cloud, le contrôle n’est qu’une illusion. La souveraineté est synonyme de contrôle exclusif. Il s’agit notamment de savoir qui peut décrypter les données et dans quelles circonstances.
Les gouvernements font désormais pression en faveur d’un chiffrement de bout en bout où ce sont eux, et non les fournisseurs de cloud, qui détiennent les clés de chiffrement. Cela réduit la surface de pression juridique ou d’accès non autorisé à partir de juridictions étrangères. Sans accès aux clés, même le fournisseur de logiciels le plus coopératif ne peut pas remettre des données en clair, quelle que soit la personne qui le demande.
Il ne s’agit pas seulement d’un phénomène européen. Certes, la Suisse l’a officialisé par le biais de Privatim, son collectif de protection des données du gouvernement local. Mais la tendance est plus large. D’autres pays de l’UE s’alignent sur la même logique. Les infrastructures de données sécurisées deviennent stratégiques, au même titre que l’énergie ou la défense.
Ce que cela signifie pour les leaders technologiques et les décideurs politiques : si vous exécutez des charges de travail sensibles ou gérez des infrastructures publiques critiques, l’hébergement régional ne suffit pas. Vous avez besoin d’un contrôle complet, d’un stockage, d’un calcul, de couches de services et d’un chiffrement à la périphérie avec des clés stockées localement. Telle est la barre aujourd’hui.
Le chiffrement de bout en bout est considéré comme essentiel pour protéger les données sensibles du secteur public.
Soyons clairs : lorsque votre fournisseur de cloud peut décrypter vos données, celles-ci ne sont pas sécurisées. La plupart des services cloud proposent aujourd’hui un chiffrement « au repos » et « en transit ». Cela semble bien, n’est-ce pas ? Mais ils conservent toujours l’accès aux clés. Cela signifie qu’ils peuvent remettre ou craquer des données ouvertes si les autorités de régulation de leur pays d’origine le leur demandent.
Les gouvernements examinent désormais cette question à la loupe. Si vous traitez des données médicales, des dossiers juridiques, des documents classifiés ou tout ce qui touche à la sécurité nationale, vous ne pouvez pas externaliser le contrôle des données. L’agence qui possède les données doit posséder les clés. C’est le seul moyen de s’assurer que personne d’autre, aucun fournisseur de technologie, aucun tribunal étranger, ne peut y avoir accès.
Sanchit Vir Gogia, analyste en chef chez Greyhound Research, a bien résumé la situation : « Lorsqu’un fournisseur de cloud a une quelconque capacité à décrypter les données de ses clients, que ce soit par le biais d’une procédure légale ou de mécanismes internes, les données ne sont plus vraiment souveraines. » Il ne s’agit pas d’une hypothèse. C’est la réalité d’aujourd’hui.
Pour ceux d’entre vous qui gèrent des infrastructures nationales ou qui sont à la tête d’industries réglementées, le moment est venu de réévaluer vos architectures cloud. Vous devrez donner la priorité aux plateformes offrant un chiffrement côté client, où vous gérez les clés, et non le fournisseur. Dans les environnements à forte conformité, cette option n’est plus facultative. C’est le coût d’une activité sécurisée.
Un nombre croissant de régulateurs et de gouvernements européens perdent confiance dans les multinationales hyperscalaires.
Le fossé de la confiance se creuse, et vite. Les gouvernements européens ne se contentent plus de garanties contractuelles ou d’argumentaires de vente léchés de la part des fournisseurs de cloud à grande échelle. Le raisonnement est simple : si un fournisseur est soumis à des lois étrangères ou opère de manière opaque, le contrôle des données est compromis.
La déclaration de la Suisse par l’intermédiaire de Privatim était audacieuse, mais elle n’a fait que mettre par écrit ce que tout le monde disait déjà. Selon Prabhjyot Kaur, analyste principal chez Everest Group, l’action de la Suisse « accélère un pivot réglementaire plus large vers les contrôles de souveraineté technique ». Cette évolution est déjà visible en Allemagne, en France, au Danemark et même au niveau de la Commission européenne.
La question n’est plus seulement celle de l’emplacement. Il s’agit de la visibilité et du contrôle. Les régulateurs posent des questions plus difficiles : Qui peut accéder aux données ? Qui écrit le code qui fait fonctionner ces plateformes ? Comment les privilèges des employés sont-ils gérés ? Quelle est la surveillance exercée sur l’ensemble de la chaîne de sous-traitance du prestataire ?
Ces questions ne sont pas anodines. Si vous êtes responsable de la sécurité nationale, des systèmes d’application de la loi ou des infrastructures de santé publique, vous devez savoir où se situent vos risques. Et à l’heure actuelle, ils se situent au plus profond de la pile logicielle.
Pour les dirigeants du secteur technologique, le message est simple : la conformité réglementaire évolue. L’hébergement géographique et les certificats ne suffisent plus. Les gouvernements veulent la preuve que votre infrastructure cloud respecte les frontières juridictionnelles, non seulement en paroles, mais aussi en architecture.
Les cadres juridiques compromettent la souveraineté des données
Voici la dure vérité que les décideurs de niveau C doivent accepter : l’emplacement physique de vos données ne définit plus qui peut y accéder. Le U.S. CLOUD Act donne aux autorités américaines le droit légal de demander des données à des entreprises basées sur le territoire américain, même si ces données sont hébergées dans un pays étranger. Cela signifie que les gouvernements d’Europe, du Moyen-Orient ou d’Asie qui stockent des données auprès d’un fournisseur basé aux États-Unis peuvent toujours être exposés, quel que soit l’endroit où se trouvent les serveurs.
Ashish Banerjee, analyste principal chez Gartner, l’a exprimé en termes clairs : « Les données stockées dans une juridiction peuvent toujours être consultées par des gouvernements étrangers en vertu de lois extraterritoriales : « Les données stockées dans une juridiction peuvent toujours être consultées par des gouvernements étrangers en vertu de lois extraterritoriales. Ce n’est pas de la théorie. C’est déjà le cas. Et la plupart des fournisseurs de SaaS conservent le droit de mettre à jour unilatéralement leurs contrats, ce qui réduit souvent votre capacité à contrôler ou même à comprendre pleinement ces risques.
Cette toile de fond juridique est à l’origine de l’urgence du contrôle des données. Il pousse les régulateurs à passer d’assurances douces à des barrières techniques solides. La géographie et les contrats sur papier ne résistent pas à une citation à comparaître ou à une injonction gouvernementale. Le cryptage et la propriété exclusive des clés le permettent.
Pour les responsables technologiques et politiques, l’implication est directe : si vous travaillez avec un fournisseur de cloud basé sur les États-Unis et que vous gérez des données nationales critiques ou confidentielles, vous êtes sous la menace juridique d’un pays étranger, que vous l’acceptiez ou non. La seule solution est le chiffrement intégral sous votre contrôle. Sans cela, la souveraineté des données est compromise avant même que le premier octet ne soit écrit.
La mise en œuvre d’un chiffrement de bout en bout contrôlé par le client entraîne des compromis importants
La sécurité a un prix, à la fois en termes de fonctionnalité et d’efficacité. Lorsque les gouvernements prennent le contrôle total des clés de chiffrement et mettent en œuvre un véritable chiffrement de bout en bout, les fournisseurs de cloud perdent toute visibilité sur les données. C’est peut-être une bonne chose pour la souveraineté, mais cela a des conséquences réelles.
Une fois que les fournisseurs de cloud sont bloqués au niveau de la couche de données, les fonctionnalités qui reposent sur la visibilité des données s’effondrent. Il s’agit notamment des capacités de recherche, des outils de collaboration en temps réel et des systèmes de surveillance avancés. Les fonctions basées sur l’IA, comme la synthèse de documents, les assistants intelligents ou la détection automatisée des menaces, reposent sur l’accès au contenu. Si vous supprimez cet accès, de nombreuses fonctionnalités à valeur ajoutée disparaissent.
Prabhjyot Kaur, analyste principal chez Everest Group, a noté que les gouvernements qui appliquent des niveaux élevés de contrôle du chiffrement perdent « les capacités de recherche et d’indexation, les fonctions de collaboration limitées et les restrictions sur la détection automatisée des menaces et les outils de prévention de la perte de données ». En résumé, vous bénéficiez d’une meilleure défense des données, mais d’une intelligence applicative limitée.
Il y a également un coût pour l’infrastructure. Ashish Banerjee, analyste principal chez Gartner, a souligné que « cela pourrait nécessiter des ressources matérielles supplémentaires, une latence accrue dans les interactions avec les utilisateurs et une solution globale plus coûteuse ». Le chiffrement de bout en bout à grande échelle nécessite de la puissance de calcul pour le chiffrement et le déchiffrement, ce qui augmente les frais généraux et la latence. De plus, l’exploitation de votre propre système de gestion des clés n’est pas légère, elle nécessite du personnel spécialisé, une gouvernance permanente et une architecture conçue pour la conformité.
Si vous dirigez des systèmes numériques dans le secteur public, vous ne pouvez pas simplement cliquer sur un interrupteur et tout crypter. Vous devrez comprendre quels systèmes nécessitent vraiment une isolation totale, et lesquels peuvent encore bénéficier de l’agilité du cloud-native. Il s’agit d’une question de précision et de discipline en matière de ressources, et non d’une adoption généralisée.
Les gouvernements sont susceptibles d’adopter une approche différenciée en matière de cryptage
Toutes les charges de travail n’ont pas besoin d’un chiffrement de niveau militaire. Les gouvernements commencent à se rendre compte qu’une stratégie unique n’est pas pratique. Ils s’orientent plutôt vers des approches à plusieurs niveaux. Les systèmes très sensibles, la sécurité nationale, les enquêtes criminelles, la documentation classifiée, bénéficient d’un chiffrement intégral avec des clés détenues par l’État. Les opérations courantes telles que la paie, les services aux citoyens ou les communications publiques peuvent se poursuivre sur des installations cloud standard, avec un audit et un contrôle supplémentaires.
Cette approche présente deux avantages. Elle permet d’équilibrer la sécurité sans compromettre la fonctionnalité de l’ensemble du système. Et elle garantit que les données critiques restent isolées des risques externes.
Sanchit Vir Gogia, analyste en chef chez Greyhound Research, a expliqué que les gouvernements séparent « les contenus hautement confidentiels… dans des locataires spécialisés ou des environnements souverains », tandis que les charges de travail courantes sont maintenues avec « un chiffrement contrôlé et une auditabilité renforcée ». C’est un modèle efficace et pragmatique.
Pour les dirigeants qui gèrent les technologies de l’information à l’échelle nationale, cette structure offre une feuille de route. Vous préservez la sécurité là où elle est le plus nécessaire et vous optimisez l’expérience là où vous pouvez le faire en toute sécurité. Mais la ligne de démarcation doit être basée sur une véritable modélisation des risques, et non sur des suppositions. Tout ce qui a trait à la conformité, à la confidentialité et à la gouvernance nationale doit être examiné sous l’angle de la confiance zéro.
Le message est simple : déployez un cryptage strict là où l’impact d’une compromission est le plus élevé. Autorisez des environnements plus dynamiques ailleurs, avec des contrôles en place. Cela permet aux gouvernements de se moderniser sans renoncer au contrôle là où il compte.
Les fournisseurs de cloud sont soumis à une pression croissante pour s’adapter aux exigences accrues des gouvernements en matière de souveraineté technique
L’ancienne façon de travailler avec les gouvernements, en s’appuyant sur des centres de données régionaux, des conditions contractuelles à plusieurs niveaux et des contrôles d’accès basés sur la confiance, n’est plus suffisante. Les gouvernements veulent désormais avoir l’assurance technique totale qu’aucune partie non autorisée, y compris le fournisseur de cloud, ne peut accéder aux données protégées. Cela change la donne pour les hyperscalers.
Des fournisseurs comme Microsoft sont déjà en train d’agir. Ils introduisent des modèles de cryptage plus stricts qui donnent aux clients un contrôle direct sur les clés de cryptage, ainsi que des limites d’accès juridictionnelles qui empêchent l’exposition de données étrangères. Mais ces changements sont réactifs. Ils ne faisaient pas partie de l’architecture originale du cloud. C’est ce qui rend ce changement si important.
Prabhjyot Kaur, analyste principal chez Everest Group, a souligné que Microsoft a « commencé à déployer des modèles plus stricts autour du chiffrement contrôlé par le client et des restrictions d’accès juridictionnelles ». Il s’agit d’une réponse directe à la pression réglementaire mondiale, en particulier de la part des marchés à haut niveau de conformité comme l’Europe.
La conséquence pour les fournisseurs de cloud est claire : la souveraineté technique ne peut plus être un produit d’appel pour les entreprises ou une fonction optionnelle. Il s’agit d’une exigence de base. Si vous souhaitez remporter des contrats avec le secteur public, vous devez prendre en charge en natif le chiffrement complet côté client, la gestion des clés externes et les déploiements de services spécifiques aux juridictions.
Sanchit Vir Gogia, analyste en chef chez Greyhound Research, a déclaré que ce changement « invalide une grande partie des livres de jeu existants des gouvernements en matière de cloud. » Il a raison. Si vous êtes un décideur dans une entreprise de cloud, vous ne vous contentez pas de peaufiner la stratégie de conformité. Vous êtes en train de reconstruire les architectures de produits de base pour une livraison axée sur la souveraineté.
La dynamique du marché de l’informatique Cloud évolue vers une structure bifurquée
Le marché se divise. D’un côté, vous avez les plateformes cloud traditionnelles, optimisées pour l’évolutivité commerciale, la réduction des coûts et l’accès mondial. De l’autre, les solutions souveraines, conçues pour les gouvernements qui exigent un contrôle total des données, de l’infrastructure et de la conformité. La croissance de cette deuxième voie s’accélère.
Les agences gouvernementales sont très claires : si les fournisseurs ne peuvent pas offrir un chiffrement complet de bout en bout sous le contrôle du client, et ne peuvent pas garantir une isolation spécifique à la juridiction soutenue par une assurance juridique locale, ils sont hors course. Cela pousse les grandes entreprises et les sociétés régionales à créer des environnements cloud souverains spécialement conçus pour ce cas d’utilisation.
Ashish Banerjee, analyste principal chez Gartner, l’avait prédit avec précision. Selon lui, ce changement « pourrait créer une structure à deux niveaux : des services cloud mondiaux pour les clients commerciaux moins préoccupés par la souveraineté, et des clouds souverains haut de gamme pour les gouvernements exigeant un contrôle total. » C’est la direction que nous prenons. Ce n’est pas de la théorie, c’est de la stratégie.
Pour les responsables du secteur du cloud, il s’agit d’un moment propice à la concurrence. Les fournisseurs non américains et les entreprises locales spécialisées dans le cloud, en particulier en Europe, disposent désormais d’un avantage qu’ils n’avaient pas auparavant. Leur indépendance vis-à-vis de la juridiction américaine devient un argument de vente essentiel. S’ils peuvent associer cet avantage à une profondeur technologique et à une qualité de service, ils remporteront des marchés que les fournisseurs traditionnels ne peuvent pas atteindre.
Si vous gérez une stratégie de cloud ou de plateforme du côté des fournisseurs, il est temps de prendre une décision. Soit vous doublez sur des offres polyvalentes, soit vous investissez dans des capacités de cloud souverain avec une réelle séparation juridique et technique. Le secteur public n’a pas besoin de compromis. Il a besoin de certitude. Offrez-lui cette certitude et les parts de marché suivront.
Récapitulation
Le paysage évolue rapidement et le message des gouvernements est clair : la souveraineté ne dépend pas de l’endroit où vos données sont stockées, mais de la personne qui en contrôle l’accès. Le chiffrement de bout en bout avec des clés détenues par le client est donc au cœur d’une infrastructure prête pour l’avenir.
Pour les chefs d’entreprise, il ne s’agit pas d’une simple case à cocher. Il s’agit d’un signal stratégique. Les entreprises opérant dans des secteurs réglementés ou de haute confiance doivent repenser leur architecture cloud sous l’angle du contrôle, de la juridiction et de l’exposition juridique.
Pour les prestataires, le cahier des charges doit évoluer. Les régions et les contrats ne suffisent plus. Les garanties techniques, le cryptage côté client, les architectures tenant compte des juridictions et le contrôle local des clés sont désormais des enjeux de taille.
Les leaders qui agiront rapidement, soit en déployant des piles prêtes pour la souveraineté, soit en adaptant les feuilles de route des produits pour répondre à ces exigences, définiront la prochaine phase de confiance dans l’informatique Cloud. Ceux qui ne le font pas risquent d’être mis à l’écart lorsque les règles seront réécrites.
