Le catalogue de critères C3A adresse la dimension souveraineté des services cloud — de la souveraineté des données et la juridiction UE à la stratégie d'exit et au contrôle des clés. Nous rendons votre usage cloud démontrablement souverain — chez les hyperscalers comme sur l'infrastructure européenne.
UECritères de souveraineté au-delà du US CLOUD Act et de FISA 702
KRITISExigences accrues pour l'usage cloud dans les secteurs régulés
Gaia-XCompatible avec les initiatives de souveraineté européennes
6
dimensions
UE
juridiction sans accès tiers-pays
BYOK
maîtrise des clés chez le client
0
lock-in grâce aux standards ouverts
Les 6 dimensions
La souveraineté est plus qu'un simple lieu de stockage des données.
Six dimensions décident si un usage cloud est vraiment souverain — ou si « sovereign » reste un terme marketing. Chaque dimension a ses propres critères d'audit, preuves et questions d'escalade.
01
Souveraineté des données
Qui contrôle les données — et où sont-elles ?
Localisation dans l'UE, chiffrement de bout en bout at-rest et in-transit, maîtrise des clés chez le client (BYOK / HYOK), flux de données traçables et preuves de suppression. Le contrôle ne se termine pas chez le fournisseur, mais à la gestion des clés.
Localisation EU / DACH (contractuelle, pas seulement technique)
BYOK / HYOK · gestion externe des clés
Chiffrement de bout en bout, y compris pendant le traitement
Flux de données, listes de subprocessors, preuves de suppression
02
Souveraineté opérationnelle
Qui exploite — et qui a un accès administratif ?
Pilotage de l'exploitation par des équipes européennes, séparation claire des rôles d'administration, processus d'urgence et d'escalade documentés. La « sovereign cloud » ne commence pas à l'étiquette marketing mais au modèle d'accès privilégié.
Accès privilégié uniquement par personnel UE/EEE
Accès just-in-time, entièrement journalisé
Principe des quatre yeux opérationnel pour les actions admin
Processus d'urgence et de reprise sous contrôle UE
03
Souveraineté technologique
Standards ouverts, portabilité, pas de vendor lock-in.
Interfaces ouvertes, APIs documentées, formats de conteneur et de données qui rendent un changement de fournisseur réaliste. Souveraineté ne signifie pas « sortir du cloud » — mais : pouvoir migrer à tout moment, techniquement et commercialement.
Formats de données standardisés (Parquet, OpenAPI, OSCAL)
Builds reproductibles, Infrastructure-as-Code
Tests d'exit comme partie de la routine d'exploitation
04
Souveraineté juridique
Juridiction UE — pas d'accès extraterritorial.
Relation contractuelle avec une entité UE, juridiction UE exclusive, pas d'accès aux données via US CLOUD Act, FISA 702 ou réglementations tiers-pays comparables. Adresse les conséquences Schrems II et les exigences de supervision sectorielles.
Partenaire contractuel siégé et fiscalisé dans l'UE
Pas de groupe corporate avec reachback tiers-pays
Transfer Impact Assessment (TIA) conforme Schrems II
Exigences de supervision BaFin · BSI · BNetzA réalisables
05
Souveraineté économique
Stratégie d'exit, choix du fournisseur, contrôle des coûts.
La dépendance économique est la forme la plus invisible de lock-in. Des chemins d'exit clairs, des modèles de coûts sans risques FX, des options multi-cloud et un plan B documenté empêchent que la migration devienne impossible pour des raisons économiques.
Stratégie d'exit documentée incl. plan de coûts et de temps
Multi-cloud / multi-région comme principe de design
Modèle de coûts en EUR · pas de pièges egress cachés
Fournisseurs locaux / européens dans la sélection
06
Souveraineté stratégique
Droits d'audit, transparence, preuves de confiance.
Droits d'audit complets (sur demande par des tiers), chaînes de subprocessors transparentes, architecture de sécurité démontrable — soutenue par attestation C5, ISO 27001, ISO 27017/27018 et critères C3A complémentaires. La confiance est démontrable, pas affirmée.
Liste de subprocessors et de localisations transparente
Reporting Threat-Intelligence et Incident vers les clients
Approche
De la comparaison cible/réel à un modèle de souveraineté démontrable.
Six étapes — modulaire, basé sur la documentation et aligné sur la maturité de votre stratégie cloud.
01
État des lieux
Capturer les workloads cloud, catégories de données, situation contractuelle et preuves existantes (C5, 27001, TISAX).
02
Évaluation C3A
Comparaison cible/réel face aux 6 dimensions — par service, par catégorie de données, par obligation réglementaire.
03
Plan d'actions
Plan priorisé : durcissement technique, gestion des clés, modifications contractuelles, changement de fournisseur.
04
Mise en œuvre
Introduire BYOK/HYOK, déplacer ou mirrorer les workloads, durcir le modèle d'accès privilégié.
05
Structure de preuve
Construire le package d'audit : TIA, liste de subprocessors, plan d'exit, dashboard KPI, tests réguliers.
06
Monitoring
Évaluation continue, audits de surveillance, re-assessment lors de changements chez le fournisseur ou de la loi.
À qui c'est destiné
Qui a besoin de C3A maintenant.
La souveraineté n'est plus un nice-to-have. Ces secteurs ressentent la pression en premier — par la supervision, les chaînes d'approvisionnement ou les demandes clients.
Secteur public & KRITIS
Autorités fédérales, régionales et municipales ainsi qu'opérateurs KRITIS qui doivent acquérir des services cloud avec une souveraineté démontrable — au-delà de C5.
→ Démarrer l'évaluation C3A
Services financiers
Banques, assureurs et asset managers sous supervision BaFin (KAIT/VAIT/BAIT), DORA et régulation tiers TIC.
→ Devenir supervisor-ready
Santé et recherche
Cliniques, instituts de recherche et entreprises pharma avec données particulièrement sensibles et exigences UE croissantes (EHDS, RGPD).
→ Sécuriser la souveraineté des données
PME industrielles DACH
Production, engineering, automotive — protection de la PI, des données de conception et du savoir de production contre l'accès tiers-pays.
→ Structurer la protection de la PI
FAQ
Questions fréquentes sur BSI C3A.
Qu'est-ce que BSI C3A — et en quoi diffère-t-il du C5 ?
C3A (Cloud Computing Compliance Criteria Catalogue — Autonomie) adresse la dimension souveraineté des services cloud et complète ainsi le C5 axé sur la sécurité de l'information. Tandis que C5 audite « comment sécurisé » un cloud est exploité, C3A ajoute « comment souverain » : souveraineté des données, juridiction, modèle d'exploitation, capacité d'exit. Les deux catalogues sont complémentaires — nous recommandons un programme d'audit intégré.
Laquelle des 6 dimensions est en pratique la plus difficile à respecter ?
D'expérience la souveraineté juridique et stratégique — toutes deux se brisent à l'examen sur les structures de groupe, les clauses contractuelles types et l'absence de droits d'audit. La souveraineté technologique et opérationnelle est en revanche bien gérable avec les bons choix de tooling et d'architecture.
Devons-nous quitter les hyperscalers US pour être souverains ?
Pas nécessairement. Plusieurs hyperscalers proposent des constellations sovereign-cloud européennes avec opérateur UE, BYOK/HYOK et exclusion contractuellement durcie des tiers-pays. Décisif est l'architecture démontrable, pas le logo. C3A fournit la grille d'évaluation qui permet de distinguer la souveraineté marketing de la souveraineté réelle.
Combien de temps prend une évaluation C3A ?
Une évaluation initiale pour 5–15 services cloud centraux prend typiquement 4–8 semaines, selon la documentation existante. Suivent ensuite la phase de mesures et la construction de la structure de preuve, qui prend 6–12 mois selon la maturité.
Comment C3A se rapporte-t-il à Gaia-X et EU CoC ?
C3A est compatible : les Gaia-X Self-Descriptions couvrent une grande partie de la souveraineté technique et opérationnelle, l'EU Cloud Code of Conduct adresse la couche RGPD. C3A regroupe ces briques dans un modèle 6-dimensions auditable et les étend à la souveraineté stratégique (droits d'audit, maîtrise des clés, tests d'exit).
Qui audite C3A — et comment la preuve est-elle apportée ?
L'audit est effectué de manière analogue à C5 par des auditeurs financiers indépendants selon ISAE 3000 (revised) ou IDW PS 860 — sur la base de la description système du fournisseur cloud. Nous accompagnons les fournisseurs dans la mise en place et les exploitants dans la demande de preuve auprès de leurs prestataires cloud.
Protégez votre organisation dès maintenant !
Contactez-nous pour une consultation individuelle et une solution de sécurité adaptée à vos besoins.
