Mon article sur SecNumCloud vient de paraître à la Revue Défense Nationale (n° 889, avril 2026).
La thèse, à contre-courant, est simple : SecNumCloud est un bon référentiel.
Mais il a été surinvesti, érigé en doctrine.
Une forteresse normative résistante à l’extraterritorialité.
Cette position rend la France prédictible, tout en la fixant. Comme une ligne Maginot, que l’adversaire va naturellement chercher à contourner, plutôt qu’à assaillir frontalement.
Et justement, le droit est un outil redoutable pour contourner… le droit.
Dans les années 1970, la CIA a su entrer légalement au capital de Crypto AG, société suisse commercialisant les outils de chiffrement utilisés par le bloc de l’Est, pour espionner ses communications.
En 2025, un tribunal canadien a balayé le montage juridique d’un acteur français, censé permettre de cloisonner les données européennes, au motif d’une simple « présence virtuelle » au Canada. La qualification SNC n’y aurait rien changé.
Le vrai problème n’est pas le référentiel.
C’est ce que la loi en fait.
En rendant SNC obligatoire pour les données sensibles de l’Etat, elle concentre ces données chez une poignée de prestataires, rend le dispositif prévisible, et transforme une mesure de gestion du risque en point de fixation stratégique.
Il est temps d’admettre que les Etats tiers ne rendront pas les armes aux pieds de SecNumCloud.
Que la norme ne protège pas.
Elle cartographie. Et elle désigne une cible.
