Accueil / Souveraineté numérique / Opinions et Analyses / SecNumCloud et Cloud and AI Development Act : quelles différences, quelle articulation ?
Opinions et Analyses

SecNumCloud et Cloud and AI Development Act : quelles différences, quelle articulation ?

TI
Tixeo
15 juillet 2026 · 7 min de lecture
SecNumCloud et Cloud and AI Development Act : quelles différences, quelle articulation ?

Un fournisseur qualifié SecNumCloud n’est pas automatiquement conforme au Cloud and AI Development Act (CADA). L’un est une qualification volontaire française, pilotée par l’ANSSI (Agence Nationale de la sécurité des Systèmes d’information). L’autre, un règlement européen encore en cours d’adoption, qui construit ses propres critères de souveraineté. Les deux poursuivent pourtant la même logique : protéger des données sensibles contre les lois étrangères à portée extraterritoriale.

Cette proximité explique pourquoi les fournisseurs déjà qualifiés SecNumCloud partent avec une longueur d’avance, et pourquoi cette avance ne se limite pas à une question de calendrier.

SecNumCloud : la référence française du cloud de confiance

Ce que la qualification garantit, et pour qui

L’ANSSI crée SecNumCloud en 2016, avec deux paliers, « essentiel » et « avancé ». L’entrée en vigueur du RGPD change la donne dès 2018 : les deux niveaux fusionnent en une qualification unique, plus exigeante que chacun des deux paliers d’origine. La version actuelle, la 3.2 depuis 2022, audite plus de 360 critères répartis sur des thèmes aussi divers que la sécurité technique, la gouvernance, la sous-traitance ou la continuité d’activité.

SecNumCloud qualifie un service cloud (IaaS, PaaS ou SaaS), pas une organisation dans son ensemble. Depuis la 3.2, un éditeur SaaS peut même hériter des garanties d’une infrastructure déjà qualifiée sur laquelle il s’appuie, plutôt que de repasser tout l’audit depuis zéro.

Immunité aux lois extraterritoriales, le cœur du dispositif

Depuis 2021, et un renforcement en 2022, SecNumCloud impose des critères capitalistiques précis : le capital détenu par des entités hors Union européenne est plafonné à 24 % à titre individuel et 39 % cumulés, et aucune entité hors UE ne peut détenir de droit de veto sur les décisions du prestataire. Un fournisseur peut corriger une faille technique en quelques semaines mais ne peut pas changer son actionnariat du jour au lendemain.

Ses critères sont détaillés dans cet article sur la qualification SecNumCloud.

Dix ans après la création de SecNumCloud, Bruxelles reprend une bonne partie de cette logique.

Le CADA s’en inspire ouvertement

Convergences : niveaux, localisation, indépendance

« Le fond de la proposition ne cache pas son inspiration française », résume Julie Latawiec, directrice des affaires publiques de Cloud Temple, à propos du CADA. « On y retrouve la logique de la loi SREN, l’architecture du SecNumCloud, la doctrine sur la souveraineté numérique que la France porte depuis plusieurs années. » (CIO Online, 09/06/2026)

Le cadre réglementaire du Cloud and AI Development Act reprend en effet une architecture par niveaux, comme SecNumCloud avant lui. Dès son niveau 2, il exige que le personnel du prestataire et de ses sous-traitants soit situé dans l’Union, que les données, jusqu’aux journaux et métadonnées, n’en sortent pas, et qu’elles n’alimentent aucun modèle d’IA non européen.

Divergences : un règlement contre une démarche volontaire

Le CADA reste un critère d’achat public, pas une obligation générale : il s’applique aux fournisseurs qui répondent à des marchés publics européens, quand SecNumCloud reste une démarche volontaire de l’hébergeur. Il s’inscrit dans un paysage réglementaire déjà chargé dont il faut comprendre l’articulation avec les autres réglementations qui encadrent le cloud.

Une différence plus structurelle sépare les deux dispositifs : le CADA n’impose, même à ses niveaux 3 et 4, qu’un critère de valeur ajoutée créée dans l’Union, quand SecNumCloud plafonne strictement le capital détenu hors UE. Sur ce point précis, la France est allée plus loin que ce que Bruxelles propose aujourd’hui.

Reste la question pratique : à quel niveau CADA correspond une qualification SecNumCloud ?

Quel niveau CADA pour un qualifié SecNumCloud ?

L’alignement probable, faute d’équivalence formelle

SecNumCloud n’a plus qu’un seul niveau depuis 2018 : impossible donc de la répartir entre plusieurs niveaux CADA comme le ferait une grille de correspondance.

Sur les critères de souveraineté juridique, en revanche, l’alignement avec le niveau 3 du CADA est net :

  • localisation du siège et des opérations dans l’Union,
  • immunité vis-à-vis des lois extraterritoriales,
  • indépendance décisionnelle.

Sur l’actionnariat, SecNumCloud va même au-delà de ce que le CADA exige à n’importe quel niveau, y compris le niveau 4.

Le niveau 4 ajoute toutefois une exigence que SecNumCloud ne formule pas explicitement : des personnels titulaires d’une habilitation de sécurité nationale pour les données classifiées.

Lire Les 4 niveaux d’assurance souveraineté du Cloud and AI Development Act pour comprendre ce qui distingue chaque palier.

Ces convergences restent des indices, pas une équivalence établie : rien ne garantit qu’un qualifié SecNumCloud obtienne automatiquement un niveau CADA donné.

Pourquoi rien n’est acquis : l’audit EUCS manquant

Les niveaux 2 à 4 du CADA supposent un audit indépendant, sur un modèle proche du schéma européen EUCS. Or l’EUCS lui-même n’est toujours pas finalisé : son dernier projet remonte à mars 2024, et aucune date d’adoption n’est confirmée. Sans ce schéma d’audit, aucune certification CADA n’existe aujourd’hui, pour personne.

SecNumCloud 3.2 a d’ailleurs anticipé ce chantier : son niveau d’exigence est déjà pensé pour correspondre au futur niveau « High » de l’EUCS, le plus élevé. Réglementation et certification restent deux choses différentes.

Ce qui change pour les organisations françaises

Marchés publics : de la France à l’Europe

Le critère de souveraineté que SecNumCloud réservait aux marchés publics français s’étend désormais aux appels d’offres du secteur public dans les 27 États membres. Une organisation qui exigeait déjà une qualification SecNumCloud pour ses achats cloud n’a rien à découvrir sur le fond, seulement un périmètre géographique à élargir.

L’avance des acteurs déjà qualifiés

Dix ans de pratique française deviennent un actif européen. Les exigences des niveaux 3 et 4 du CADA recoupent largement ce que SecNumCloud impose déjà à ses qualifiés : localisation, immunité juridique, traçabilité des sous-traitants.

« La charge de la preuve a changé de camp. Hier, c’était au fournisseur européen de justifier sa légitimité. Demain, ce sera au fournisseur non européen de prouver qu’il échappe aux lois extraterritoriales. » résume Sébastien Lescop, directeur général de Cloud Temple (CIO Online, 09/06/2026).

Une confusion fréquente persiste néanmoins entre deux dispositifs ANSSI : la qualification d’un hébergeur et la certification d’un produit.

CSPN, SecNumCloud : quelle preuve pour quel objet ?

Une qualification de service, une certification de produit

SecNumCloud qualifie un service cloud : son infrastructure, son exploitation, sa gouvernance. La CSPN certifie autre chose : un produit logiciel, évalué indépendamment de l’endroit où il est hébergé. Ce sont deux preuves complémentaires, pas deux degrés d’un même dispositif : l’une répond à la question de qui héberge, l’autre à celle de ce qui est installé.

Évaluer un outil collaboratif dans le cadre du CADA

Une organisation qui choisit un outil collaboratif combine forcément deux dimensions : l’infrastructure qui l’héberge et le logiciel qui tourne dessus. Un hébergement qualifié SecNumCloud, aussi rigoureux soit-il, ne dit rien de la sécurité du produit installé par-dessus, pas plus qu’un futur niveau CADA élevé.

Tixeo illustre cette complémentarité : certifié CSPN par l’ANSSI sur le produit, il peut être hébergé sur une infrastructure qualifiée SecNumCloud, sans que l’une des deux preuves ne dispense de l’autre.

La France a écrit la grammaire, l’Europe en fait la langue commune

Le Cloud and AI Development Act ne remplace pas SecNumCloud : il en généralise la logique à l’échelle de l’Union, sans en reprendre toutes les exigences telles quelles. Les organisations qui exigeaient déjà une qualification SecNumCloud et des outils certifiés CSPN n’ont rien à réviser dans leur doctrine. Elles ont, en revanche, un nouveau périmètre à couvrir : des marchés publics qui ne se limitent plus aux frontières françaises.

Foire aux questions sur le CADA et SecNumCloud

SecNumCloud correspond à quel niveau CADA ?

Il n’existe pas de correspondance officielle : SecNumCloud est une qualification à un seul niveau depuis 2018, quand le CADA en distingue quatre. Sur les critères de souveraineté juridique, l’alignement est net avec le niveau 3, et va même au-delà sur l’actionnariat. Sans schéma d’audit européen (EUCS) finalisé, aucune certification CADA formelle n’existe cependant à ce jour.

Le CADA rend-il SecNumCloud obsolète ?

Non. Le CADA s’applique aux marchés publics européens, SecNumCloud reste la référence pour les marchés publics français et les opérateurs sensibles. Les deux coexisteront, SecNumCloud pouvant même servir de socle pour viser les niveaux élevés du CADA une fois son schéma d’audit opérationnel.

CSPN ou SecNumCloud pour un outil collaboratif ?

Les deux répondent à des questions différentes. SecNumCloud qualifie l’infrastructure qui héberge l’outil, la CSPN certifie l’outil lui-même. Pour un logiciel collaboratif, la CSPN est la preuve directement pertinente. SecNumCloud, elle, s’évalue au niveau de l’hébergeur choisi pour le faire tourner.

Aller plus loin

Découvrez la visioconférence certifiée par l'ANSSI

Rejoignez les organisations qui protègent leurs échanges les plus sensibles.