Souveraineté cloud : le BSI publie son référentiel C3A, nouvelle boussole pour les DPO européens

Le BSI, l'agence fédérale de sécurité informatique allemande, vient de publier le C3A (Criteria enabling Cloud Computing Autonomy), sa déclinaison nationale du Cloud Sovereignty Framework européen. Un référentiel qui structure les exigences de souveraineté cloud autour de six objectifs — et qui s'impose comme une boussole pour les DPO qui évaluent leurs prestataires cloud.

Ce qui s'est passé

Le Cloud Sovereignty Framework de la Commission européenne pose un cadre en huit objectifs pour mesurer le degré de souveraineté d'une offre cloud. Le BSI a traduit ce cadre en un référentiel opérationnel propre — le C3A — en écartant deux objectifs déjà couverts : la sécurité (traitée par le C5, l'équivalent allemand du SecNumCloud) et l'environnement (hors périmètre de l'agence).

La particularité du C3A est l'introduction d'un double prisme géographique. Sur la juridiction, le siège social et le contrôle effectif, les critères proposent systématiquement le choix entre une référence UE ou Allemagne. Cette logique « à la carte » permet aux acheteurs publics allemands de calibrer leurs exigences — mais elle offre aussi une grille de lecture exportable à tout DPO européen qui évalue un fournisseur cloud.

Parmi les critères les plus structurants :

• Localisation des données : le C3A distingue les données client (localisation en UE ou en Allemagne, au choix) des données de compte et des données dérivées (UE uniquement).
• Extraterritorialité : chaque fournisseur cloud doit identifier au moins une fois par an les lois extraterritoriales susceptibles d'affecter ses services — disponibilité, confidentialité et intégrité des données incluses.
• Gestion externe des clés : pour les services IaaS et PaaS, la gestion des clés en dehors de l'environnement du prestataire est attendue ; pour le SaaS, elle doit être proposée si « techniquement faisable et approprié ».
• État de défense : en cas de déclaration d'état de défense, le gouvernement allemand doit pouvoir reprendre la main sur l'exploitation du cloud, avec les actifs physiques et le personnel nécessaires.
• Accès administratifs restreints à l'UE : tout accès depuis l'extérieur de l'UE fait l'objet de restrictions techniques obligatoires.
• Préavis de 90 jours : le prestataire doit informer ses clients au moins trois mois à l'avance en cas de changement d'actionnaire, de propriétaire ou de gouvernance susceptible d'affecter les contrôles C3A.

Pourquoi c'est important — contexte RGPD

La publication du C3A s'inscrit dans un contexte de dépendance croissante des États européens aux hyperscalers américains. Comme le montrait le rapport FOTI d'avril 2026, 23 États membres sur 28 s'appuient encore sur Microsoft, Google ou Oracle pour des fonctions critiques — malgré les labels de souveraineté.

Pour les DPO, la souveraineté cloud est directement articulée au RGPD via deux obligations fondamentales. L'article 28 impose un contrat de sous-traitance encadrant précisément ce que le prestataire fait des données personnelles. L'article 32 exige des mesures de sécurité proportionnées au risque — ce qui inclut le chiffrement, les restrictions d'accès géographiques et la résilience des systèmes.

Le C3A apporte une granularité utile : en rendant explicites les critères de contrôle effectif, de localisation et de gestion des clés, il fournit une grille d'évaluation concrète que les DPO peuvent directement utiliser lors de l'audit de leurs sous-traitants.

Le risque extraterritorial n'est pas nouveau. Depuis l'invalidation du Privacy Shield et la montée en puissance du Cloud Act américain, les transferts hors UE sont sous surveillance permanente. La formalisation d'une obligation d'identification annuelle des lois extraterritoriales — portée par les fournisseurs eux-mêmes — est une vraie avancée de méthode.

Ce que ça change pour les organisations

Pour les organisations françaises, le C3A n'est pas directement contraignant. Mais il constitue un référentiel de marché : les fournisseurs cloud qui visent les marchés publics allemands devront s'y conformer, et les critères qu'il pose sont transposables dans n'importe quel questionnaire fournisseur.

Concrètement, les DPO peuvent s'en saisir pour mettre à jour leurs processus :

• Questionnaire fournisseur : ajouter des questions sur la localisation réelle du stockage, la gestion des clés de chiffrement, et les mécanismes de notification en cas de changement de gouvernance.
• Transfer Impact Assessment : les critères du C3A sur la localisation et l'extraterritorialité constituent un outil de structuration de la TIA, notamment pour les prestataires américains soumis au Cloud Act. Le guide Leto sur AWS et le Cloud Act est un bon point de départ.
• Veille sur SecNumCloud : l'ANSSI travaille sur la prochaine version du SecNumCloud, dont l'alignement sur le Cloud Sovereignty Framework européen est attendu. Le C3A donne une indication de ce que la France pourrait adopter.

Ce que Leto pense de cette décision

Le C3A est une avancée sérieuse, pas parce qu'il invente de nouvelles obligations, mais parce qu'il structure des exigences que les acheteurs de cloud laissaient trop souvent vagues. La distinction entre données client, données de compte et données dérivées est particulièrement bienvenue : elle oblige à raisonner sur la granularité des flux, pas seulement sur le volume total.

Ce qui frappe, en revanche, c'est le pragmatisme assumé du BSI sur la clause d'état de défense : reconnaître contractuellement que l'État peut reprendre la main sur une infrastructure cloud en situation de crise, c'est admettre que la souveraineté ne peut pas reposer uniquement sur la certification. C'est une logique que la France gagnerait à intégrer plus explicitement dans ses propres référentiels.

Sources : Silicon.fr — En Allemagne, une certaine idée de la souveraineté du cloud · BSI — Cloud Computing (documentation officielle)