Le durcissement du contexte géopolitique, marqué par l’extension du conflit normatif et de l’extraterritorialité, interroge la sécurité des données de l’État, massivement hébergées dans l’informatique en nuage (cloud). Devant la réticence de l’administration française à utiliser ces technologies, à l’aube des années 2010, l’Agence nationale de sécurité des systèmes d’information (Anssi) réfléchit à un « label de confiance » ⁽¹⁾ rassurant. Après une première expérimentation engagée en 2014, elle publie un référentiel Secure Cloud en 2015, rebaptisé SecNumCloud (SNC) en 2016, puis révisé à plusieurs reprises. La dernière version (2022) opère un basculement. À mesure que l’administration se tourne vers des offres largement non européennes, la qualification change de fonction : d’un label de confiance, elle devient un instrument de maîtrise du risque d’ingérence étrangère.

Apparaît alors le concept de souveraineté numérique. Gouvernement et Parlement s’en emparent, chacun à leur niveau. Le 21 mai 2024, est ainsi promulguée la loi visant à Sécuriser et à réguler l’espace numérique (SREN) ⁽²⁾. Son article 31 impose, sans le dire ⁽³⁾, aux administrations, opérateurs de l’État et groupements d’intérêt public de ne recourir qu’à des prestataires qualifiés SNC, pour héberger leurs données d’une sensibilité particulière. L’enjeu est considérable. Cette catégorie englobe déjà les données couvertes par des secrets protégés par la loi, dont le secret de la défense nationale et des délibérations gouvernementales. Elle inclut ensuite celles nécessaires à l’accomplissement des missions essentielles de l’État, dont la sauvegarde de la sécurité nationale et le maintien de l’ordre public. Le référentiel SNC, à la croisée du droit, de la technique et du rapport de force entre États, devient ainsi un instrument stratégique. Un instrument surinvesti, érigé en doctrine. Il est en effet présenté dans le débat public comme une réponse immunisante aux menaces d’extraterritorialité. Lors des débats parlementaires, Jean-Noël Barrot, alors ministre délégué chargé du Numérique, rappelait ainsi que « le 12 septembre [2022], (…) Bruno Le Maire [avait] indiqué que l’obligation serait faite aux administrations (…) de loger leurs données sensibles dans des services d’informatique en nuage certifiés SecNumCloud, c’est-à- dire faisant partie de solutions immunisées contre l’extraterritorialité de législations extra-européennes » ⁽⁴⁾. Quelque temps plus tard, le député Aurélien Lopez-Liguori concluait que « le chapitre 19.6 du référentiel SecNumCloud [n’avait] jamais [été] cassé par une décision de justice européenne ou nationale » ⁽⁵⁾. Enfin, en décembre 2025, le directeur général de l’Anssi écrivait sur un réseau social que « l’immunité aux lois extraterritoriale (…) est garantie par cette qualification, on ne le répétera jamais assez » ⁽⁶⁾.

Ce faisant, le discours politique investit SNC d’un rôle qui dépasse largement sa vocation initiale : celui d’une forteresse numérique, apte à résister aux attaques législatives étrangères. À l’examen, cette confiance apparaît trop optimiste. Les mesures de sécurité, essentiellement contractuelles, sont d’une effectivité limitée. L’immunité extraterritoriale reste donc illusoire. Pire. En imposant pratiquement le recours à SNC, la France concentre ses données sensibles, rigidifie ses choix et accroît la prévisibilité de sa surface d’attaque. Ce décalage transforme les limites admises du dispositif – inhérentes au droit et à la technique – en risque stratégique induit.