Accueil / Formations / Souveraineté numérique
SOUV-001

Souveraineté numérique
et cloud souverain européen

Comprendre les risques du CLOUD Act américain, auditer ses dépendances aux opérateurs extra-européens, et construire une roadmap de migration vers des alternatives souveraines. Une formation stratégique et pratique pour les DSI, DPO et directions.

14 heures DSI · DPO · Direction CLOUD Act RGPD · NIS2 Financement OPCO
Demander un devis
Code formation SOUV-001
Durée 14 heures
Public DSI, responsables IT, DPO, direction
Niveau Intermédiaire — notions SaaS de base
Référentiel RGPD · NIS2 · CLOUD Act
Financement OPCO · PDC
Formateur Alexandre BOIGUES
Délai d'accès 3 semaines minimum
Accessibilité PSH Personnes en situation de handicap
Demander un devis Toutes les formations Télécharger le programme (PDF)

Objectifs pédagogiques

Analyser les risques juridiques liés au CLOUD Act américain et à la loi de cybersécurité chinoise pour les organisations françaises
Réaliser un audit de ses dépendances aux opérateurs extra-européens (SaaS, cloud, messagerie, stockage)
Identifier et évaluer les alternatives souveraines européennes adaptées à son secteur et à son organisation
Construire une roadmap de migration priorisée vers le cloud souverain européen
Mettre à jour sa documentation de conformité RGPD et NIS2 dans le contexte d'une transition numérique souveraine

Contexte et enjeux

La dépendance numérique aux opérateurs américains — AWS, Azure, Google Cloud, Microsoft 365, Salesforce, Slack, GitHub, Zoom — n'est plus seulement un sujet technique. C'est un enjeu juridique, réglementaire et géopolitique majeur pour toute organisation française en 2026. Le CLOUD Act américain (2018) permet à la justice US d'exiger la communication de données stockées par toute entreprise soumise au droit américain, même quand les serveurs sont physiquement hébergés en Europe — sans que vous en soyez informé.

L'arrêt Schrems II de la CJUE (juillet 2020) a invalidé le mécanisme Privacy Shield qui encadrait les transferts de données personnelles vers les USA. Son successeur, le Data Privacy Framework (2023), est actuellement contesté devant les juridictions européennes. Les organisations qui s'appuient sur ce cadre pour justifier leurs transferts de données sont potentiellement en infraction RGPD — et exposées à des sanctions CNIL dès une nouvelle invalidation. À cela s'ajoutent les tensions géopolitiques USA-Europe, les politiques commerciales imprévisibles et le risque de renchérissement ou de coupure de services extra-européens.

En réponse, la France et l'Union européenne ont développé des cadres de cloud souverain : la qualification SecNumCloud (ANSSI) garantit que l'hébergeur est immunisé contre les législations extra-européennes ; l'initiative Gaia-X vise à créer un écosystème cloud européen de confiance ; la circulaire Cloud au Centre impose aux administrations françaises d'héberger leurs données sensibles sur des clouds souverains. Des alternatives européennes matures existent désormais pour chaque brique applicative : OVHcloud et Scaleway pour le cloud, Nextcloud pour la bureautique, Mistral AI pour les LLM, ProtonMail pour la messagerie.

La formation SOUV-001 donne aux responsables IT, DSI, DPO et directions les outils concrets pour agir : comprendre le cadre juridique, cartographier ses dépendances, benchmarker les alternatives, et construire un plan de migration réaliste. Elle s'appuie sur des cas concrets issus de secteurs diversifiés — collectivités, santé, industrie, cabinets professionnels — et des ateliers pratiques d'audit et de planification. En 14 heures, les participants ressortent avec un diagnostic partiel de leur exposition et une première version de leur roadmap souveraine.

Les organisations les plus exposées sont celles qui traitent des données sensibles ou stratégiques : collectivités et administrations publiques (données citoyens), établissements de santé (données médicales), cabinets juridiques (secret professionnel), industriels et acteurs de la défense (secrets industriels), cabinets de recrutement (données RH), et entreprises financières (données bancaires). Pour ces structures, la migration vers des alternatives souveraines n'est pas une option idéologique — c'est une nécessité de conformité et de gestion des risques.

La formation est compatible avec les obligations NIS2 (mesures de sécurité pour les entités essentielles et importantes) et RGPD (article 32 — mesures organisationnelles, article 46 — garanties appropriées pour les transferts hors UE). Elle constitue une preuve de diligence documentable : feuilles de présence, programme certifié NDA 11 92 27843 92, attestations individuelles de formation.

Programme détaillé — 14 heures

Cadre juridique de la souveraineté numérique (3h)

  • CLOUD Act américain (2018) : mécanisme, portée et cas concrets d'application
  • Arrêt Schrems II (2020) et invalidation du Privacy Shield
  • Data Privacy Framework (2023) : état des contentieux et risques juridiques
  • Loi de cybersécurité chinoise (CSL) : similitudes avec le CLOUD Act
  • RGPD — articles 44 à 49 : transferts hors UE, clauses contractuelles types (CCT), garanties appropriées
  • SecNumCloud (ANSSI), Gaia-X et Cloud au Centre : les réponses institutionnelles européennes

Cartographier ses dépendances numériques (3h)

  • Méthodologie d'audit : SaaS, IaaS, PaaS, messagerie, stockage, collaboration, IA
  • Comment déterminer la juridiction applicable à chaque fournisseur
  • Évaluer les risques selon la criticité des données traitées
  • Identifier les traitements prioritaires à sécuriser
  • Atelier pratique : audit partiel de son parc applicatif

Les alternatives souveraines européennes (4h)

  • Cloud & infrastructure : OVHcloud, Scaleway (EU — datacenters FR/NL/PL), 3DS Outscale (SecNumCloud), Infomaniak
  • Bureautique & collaboration : Nextcloud + OnlyOffice, Infomaniak kSuite — alternatives à Google Workspace et Microsoft 365
  • Messagerie : ProtonMail Business, Infomaniak kMail, Tutanota, Tchap (administrations)
  • IA & LLM souverains : Mistral AI (modèles open-source, on-premise), LightOn — alternatives à OpenAI, Azure AI
  • Visioconférence : Jitsi Meet (auto-hébergé), Infomaniak kMeet
  • Critères de sélection : localisation des données, réversibilité, coût total, maturité, certification

Construire sa roadmap de migration (2h)

  • Prioriser selon la criticité des données et la complexité de migration
  • Structurer une roadmap sur 6, 12 et 24 mois
  • Estimer les coûts et les ressources nécessaires
  • Identifier et mitiger les risques de migration (continuité de service, formation, export des données)
  • Atelier : construire la première version de sa roadmap

Gouvernance et conformité post-migration (2h)

  • Mettre à jour son registre des traitements après migration vers des solutions souveraines
  • Clauses DPA et contractuelles avec les nouveaux fournisseurs souverains
  • Obligations NIS2 et RGPD dans le nouveau contexte d'hébergement
  • Former et accompagner ses équipes dans la durée
  • Maintenir et faire évoluer sa posture souveraine

Financement et prise en charge

PDC Plan de Développement des Compétences — Financement des frais pédagogiques via l'OPCO de l'entreprise. Démarche accompagnée par Telemach Learning.
OPCO OPCOs ciblés — OPCO 2i, Atlas, OPCO Santé, Opcommerce, Constructys, Afdas, AKTO.
OPCO 2i Atlas OPCO Santé Opcommerce Constructys Afdas AKTO

Formations complémentaires

CYBE-002 RGPD opérationnel 7h CYBE-001 Hygiène numérique 7h REGU-001 Conformité IA Act & RGPD 7h DEVOPS-001 Docker Conteneurisation 14h
Code formation SOUV-001
Durée 14 heures
Public DSI, responsables IT, DPO, direction
Niveau Intermédiaire — notions SaaS de base
Référentiel RGPD · NIS2 · CLOUD Act
Financement OPCO · PDC
Délai d'accès 3 semaines minimum
Accessibilité PSH Personnes en situation de handicap
Demander un devis Prestation audit souveraineté Toutes les formations Télécharger le programme (PDF)