Collection sélectionnée

Fournisseurs qualifiés SecNumCloud

Les fournisseurs cloud et SaaS européens qui détiennent la qualification SecNumCloud de l'ANSSI ou sont conçus pour s'y aligner. La référence française du cloud souverain.

En bref

SecNumCloud est la qualification de cloud souverain de l'ANSSI pour la France, couvrant les contrôles de sécurité et une exigence de structure capitalistique conçue pour limiter la portée extraterritoriale non européenne. OVHcloud et Oodrive détiennent des qualifications formelles ; la liste est courte parce que les exigences sont élevées. Pour les appels d'offres publics français, SecNumCloud est de plus en plus inscrit comme exigence formelle.

Vérifié le mai 2026 DISCLOSURE Certains liens de ce site sont des liens d’affiliation. Nous pouvons percevoir une commission sans coût supplémentaire pour vous. Les signaux éditoriaux et les classements ne sont jamais influencés par les relations d’affiliation.

SecNumCloud est la qualification délivrée par l'ANSSI, l'agence nationale de cybersécurité française, pour les fournisseurs de services cloud. Elle a débuté comme un standard de sécurité technique et organisationnel, mais le référentiel 3.2 actuel ajoute des critères destinés à maintenir le service et ses données hors de portée du droit extraterritorial non européen. C'est pourquoi la doctrine cloud de l'État français la traite comme la référence du cloud souverain, et pas seulement comme un label de sécurité.

Cette page liste les fournisseurs de notre annuaire qui détiennent une qualification SecNumCloud ou exploitent une infrastructure conçue pour s'y aligner. Chacun est évalué selon les mêmes critères d'achat que toute autre fiche (région d'hébergement, propriété, exposition au CLOUD Act, sous-traitants et DPA) ; la qualification est donc un signal parmi d'autres, pas toute l'histoire.

Pourquoi c’est important

Pour une équipe achats française, SecNumCloud apparaît de plus en plus comme une exigence écrite dans les appels d'offres publics et un filtre de présélection dans les achats privés réglementés. Sa valeur tient à ce qu'il regroupe deux choses qu'un acheteur devrait sinon vérifier séparément : une posture de sécurité auditée, et un test de structure capitalistique conçu pour limiter l'exposition juridique extraterritoriale.

Ce n'est pas une réponse universelle. La qualification est accordée par service : un fournisseur peut être qualifié pour un produit et pas un autre. Elle ne règle pas non plus à elle seule chaque question CLOUD Act ; cela dépend toujours de l'entité opérante précise, de ses propriétaires et de ses sous-traitants. Nous enregistrons ces éléments séparément sur chaque fiche produit afin que vous puissiez confirmer la chaîne plutôt que de vous fier au seul label. Traitez SecNumCloud comme un solide filtre de départ, puis vérifiez les détails qui comptent pour votre analyse d'impact des transferts.

Affichage des 4 alternatives de cette catégorie mise à jour

		Cert.	Pricing	Signals	Ouvrir
Lucca French sovereign-cloud HR platform (Nantes / Paris, est. 2002); SecNumCloud + ISO 27001; 1M+ users incl. AXA, Deezer.	FR France	ISO/IEC 27001 SecNumCloud	Payant	DPA public Sous-traitants Open source	→
OVHcloud French sovereign cloud (OVH Groupe, Roubaix, 1999), ANSSI SecNumCloud 3.2-qualified Bare Metal Pod; 46 DCs, public on Euronext Paris.	ROUBAIX · FR France	ISO/IEC 27001 SecNumCloud +2 autres	Payant €5 /mois	DPA public Sous-traitants Open source	→
Scaleway French sovereign cloud (Iliad-owned, Xavier Niel), ANSSI SecNumCloud + HDS + ISO 27001; winner of €180M EU Cloud III tender.	PARIS · FR France	ISO/IEC 27001 SecNumCloud	Payant €2 /mois	DPA public Sous-traitants Open source	→
Tixeo Montpellier-based French secure video conferencing (founded 2003), ANSSI CSPN-certified, SecNumCloud-qualified, defense + government grade.	MONTPELLIER · FR France	SecNumCloud	Payant	DPA public Sous-traitants Open source	→

Comment choisir

Partez de votre contrainte déterminante. Si un appel d'offres nomme explicitement SecNumCloud, filtrez sur les services formellement qualifiés et confirmez que la qualification couvre le produit précis que vous achetez (pas seulement l'IaaS phare du fournisseur). Si vous avez besoin d'une assurance de souveraineté sans que la qualification soit obligatoire, un fournisseur aligné SecNumCloud avec une chaîne de propriété et de sous-traitants saine peut vous convenir aussi bien qu'un fournisseur formellement qualifié, à moindre coût. Si vos acheteurs sont hors de France, pesez SecNumCloud face au BSI C5 allemand et au schéma européen EUCS : ils se recoupent dans l'intention mais diffèrent dans le cadrage juridique et la reconnaissance. Le tableau comparatif ci-dessus vous permet de trier les fournisseurs listés par score de conformité, exposition au CLOUD Act et région d'hébergement.

FAQ

Questions fréquentes

Qu'est-ce que SecNumCloud ?

SecNumCloud est une qualification de sécurité délivrée par l'ANSSI, l'agence nationale de cybersécurité française, pour les fournisseurs de services cloud. Au-delà des contrôles techniques et organisationnels, le référentiel 3.2 actuel ajoute des critères destinés à protéger le service et ses données du droit extraterritorial non européen : c'est pourquoi il est considéré comme la référence française du cloud souverain plutôt qu'une simple certification technique.

Un fournisseur qualifié SecNumCloud est-il à l'abri du CLOUD Act américain ?

Les critères 3.2 de l'ANSSI visent à réduire l'exposition à la juridiction extraterritoriale, par exemple en exigeant que l'entité opérante et son pouvoir de décision se situent dans l'UE et hors contrôle non européen. Que cela produise une immunité juridique complète dans un cas donné dépend de la structure capitalistique et des contrats. Nous continuons donc à enregistrer la propriété et la chaîne de sous-traitants séparément, plutôt que de traiter la qualification comme une garantie absolue.

Qui a réellement besoin de SecNumCloud ?

Les organismes publics français et les opérateurs traitant des données sensibles ou réglementées sont le public premier : la qualification est inscrite dans la doctrine cloud de l'État et figure de plus en plus dans les appels d'offres publics. Les acheteurs privés des secteurs réglementés (finance, santé, chaîne d'approvisionnement défense) l'utilisent comme filtre de présélection même lorsqu'elle n'est pas strictement obligatoire.

Pourquoi certaines fiches sont-elles « alignées SecNumCloud » plutôt que qualifiées ?

La qualification formelle est accordée par service et prend du temps à obtenir. Certains fournisseurs exploitent une infrastructure construite selon le référentiel, ou ont une qualification en cours, sans le visa final. Lorsqu'un fournisseur n'est pas encore formellement qualifié, nous le disons explicitement et lions la source ; la distinction n'est jamais masquée.

Comment SecNumCloud se compare-t-il à BSI C5 et ISO 27001 ?

BSI C5 est la base de sécurité cloud de l'Allemagne, ISO 27001 est un standard international de sécurité de l'information largement détenu, et SecNumCloud est la qualification de cloud souverain française. Tous trois portent sur les contrôles de sécurité, mais SecNumCloud 3.2 ajoute un test de structure capitalistique (exigeant la propriété et le pouvoir décisionnel dans l'UE) que BSI C5 et ISO 27001 n'imposent pas. Pour les achats paneuropéens, EUCS est le cadre commun émergent ; ses niveaux d'assurance supérieurs devraient converger avec les exigences de SecNumCloud et BSI C5.

SecNumCloud est-il reconnu hors de France ?

Pas formellement comme exigence obligatoire, mais il est de plus en plus cité comme référence dans les discussions sur la souveraineté numérique en Europe et reconnu par les équipes achats d'autres États membres de l'UE comme un signal pertinent. La doctrine cloud de l'État français en fait une exigence écrite pour certaines classifications de données ; d'autres schémas nationaux (BSI C5, EUCS) remplissent des rôles comparables dans leurs marchés respectifs. Si votre appel d'offres couvre plusieurs juridictions de l'UE, vérifiez quels schémas nationaux sont cités aux côtés d'EUCS.

Méthodologie

Comment nous avons vérifié chaque fiche.

Pour chaque produit, nous lisons la DPA publique, le document des sous-traitants, la région d’hébergement, les certifications et les registres de propriété. Chacun est horodaté. Les signaux sont éditoriaux, revérifiés chaque trimestre. Nous n’acceptons jamais l’auto-déclaration.

Lire la méthodologie →