Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Certifications1 février 202510 min de lecture

SecNumCloud, HDS, ISO 27001 : quelles certifications pour une IA vraiment souveraine ?

Face à la multiplication des labels et certifications de souveraineté numérique, les entreprises ont du mal à s'y retrouver. SecNumCloud, HDS, ISO 27001, SOC 2, C5, EUCS : chaque certification répond à des exigences différentes. Dans le contexte de l'adoption de l'IA en entreprise, choisir la bonne certification — ou la bonne combinaison — est stratégique pour votre conformité, vos marchés publics, et la confiance de vos clients.

Ce qu'il faut retenir

  • SecNumCloud est la certification française la plus exigeante — elle garantit l'immunité au Cloud Act et à toute loi extraterritoriale
  • HDS est obligatoire pour tout hébergement de données de santé — aucun LLM américain n'est certifié HDS
  • ISO 27001 est le standard international de référence pour la sécurité — recommandé pour tous
  • Ces certifications s'appliquent à l'hébergeur/opérateur, pas au modèle IA lui-même

Comprendre le paysage des certifications

Les certifications numériques se divisent en deux grandes familles : celles qui concernent la sécurité de l'information (ISO 27001, SOC 2) et celles qui concernent la souveraineté et l'indépendance vis-à-vis de lois étrangères (SecNumCloud). L'HDS est à part : c'est une certification sectorielle obligatoire pour les données de santé.

SecNumCloud : la qualification ANSSI

Ce que c'est

SecNumCloud est le référentiel de qualification des prestataires de services cloud de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). C'est actuellement la seule certification française qui intègre explicitement une clause d'immunité aux lois extraterritoriales étrangères, notamment le Cloud Act américain.

L'exigence clé : l'immunité aux lois étrangères

La version 3.2 du référentiel SecNumCloud inclut une exigence majeure : le prestataire et toutes ses entités de contrôle doivent être de droit français ou européen, sans capitaux ou influence étrangère significative. Concrètement, cela exclut les offres cloud américaines (AWS, Azure, GCP) et leurs "clouds souverains" co-construits avec des partenaires français.

C'est pourquoi Microsoft Azure avec Capgemini (projet Bleu) n'obtient pas la qualification SecNumCloud complète : Microsoft, entité américaine, reste dans la chaîne de contrôle technologique.

Prestataires qualifiés SecNumCloud

  • OVHcloud : qualification pour plusieurs offres de cloud public et privé
  • Outscale (3DS OUTSCALE) : filiale de Dassault Systèmes, première qualification SecNumCloud cloud public
  • Oodrive : spécialisé collaboration et stockage sécurisé
  • Numspot : nouveau cloud souverain par Banque des Territoires et partenaires

Quand SecNumCloud est-il obligatoire (ou fortement recommandé) ?

  • Marchés publics avec données sensibles ou régaliens
  • OIV (Opérateurs d'Importance Vitale) et OSE (Opérateurs de Services Essentiels) sous NIS 2
  • Systèmes d'information de l'État classifiés Diffusion Restreinte
  • Entreprises souhaitant une garantie contractuelle d'immunité au Cloud Act
4Prestataires qualifiés SecNumCloud en 2024
2-3 ansDurée processus de qualification SecNumCloud
100%Immunité Cloud Act garantie
2026Norme EUCS (équivalent européen) prévue

HDS : Hébergement de Données de Santé

Ce que c'est

La certification HDS est obligatoire pour tout prestataire hébergeant des données de santé à caractère personnel. Elle est définie par l'article L.1111-8 du Code de la Santé Publique et le référentiel de certification publié par le ministère de la Santé. La certification est délivrée par des organismes accrédités (BSI, BV Certification, etc.) après audit.

Pourquoi aucun LLM américain n'est utilisable avec des données patients

ChatGPT, Copilot, Gemini : aucun n'est certifié HDS. Cela signifie que leur utilisation avec des données de santé identifiantes est illégale en France, indépendamment des garanties contractuelles proposées. Voir notre article dédié sur l'IA en santé et la certification HDS.

HDS pour l'IA : ce que ça implique

Pour déployer une IA générative dans un établissement de santé ou une entreprise manipulant des données patients (assurances maladie, mutuelles, e-santé) :

  • L'infrastructure d'hébergement du modèle doit être HDS
  • Le prestataire déployant l'IA doit avoir un contrat avec un hébergeur HDS
  • Les traitements doivent être documentés dans le registre des traitements RGPD

ISO 27001 : le standard international de sécurité

Ce que c'est

L'ISO 27001 est la norme internationale pour les Systèmes de Management de la Sécurité de l'Information (SMSI). Contrairement à SecNumCloud ou HDS qui sont des certifications cloud sectorielles, l'ISO 27001 s'applique à n'importe quelle organisation gérant de l'information. Elle couvre la gouvernance, la politique de sécurité, la gestion des risques, et les contrôles opérationnels.

ISO 27001 et IA : les points clés

La version 2022 d'ISO 27001 a intégré des contrôles spécifiques pertinents pour l'IA :

  • A.8.10 : Suppression des informations (pertinent pour la gestion des données d'entraînement)
  • A.5.23 : Sécurité de l'information dans les services cloud (applicable aux LLM cloud)
  • A.8.25 : Développement sécurisé (pour les applications basées sur l'IA)

ISO 27001 vs SecNumCloud

ISO 27001 est nécessaire mais pas suffisant pour la souveraineté. Un prestataire peut être ISO 27001 certifié et rester soumis au Cloud Act (cas de tous les GAFAM). ISO 27001 + SecNumCloud = combinaison optimale pour les données sensibles.

SOC 2 et C5 : les autres certifications pertinentes

SOC 2 (System and Organization Controls)

Certification américaine délivrée par l'AICPA, SOC 2 atteste de la conformité aux critères de sécurité, disponibilité, intégrité du traitement, confidentialité et protection de la vie privée. Très répandue aux États-Unis, elle ne répond pas aux exigences de souveraineté européenne mais peut être exigée par des clients américains ou dans des contextes internationaux.

C5 (Cloud Computing Compliance Controls Catalogue)

L'équivalent allemand de SecNumCloud, développé par le BSI (Bundesamt für Sicherheit in der Informationstechnik). Reconnu en France dans certains contextes, il inclut lui aussi des exigences de transparence sur les chaînes de sous-traitance et les juridictions applicables.

Quelle certification choisir pour votre IA ?

BesoinCertification recommandée
Données de santéHDS obligatoire + ISO 27001
Marchés publics ÉtatSecNumCloud recommandé (bientôt obligatoire)
OIV/OSE sous NIS 2SecNumCloud + ISO 27001
PME avec données sensiblesISO 27001 minimum
Secteur financierISO 27001 + SOC 2 + DORA compliance
Professions réglementéesSecNumCloud ou HDS selon secteur

Le piège des "clouds souverains" non qualifiés

Microsoft Azure Sovereign, Google Trusted Cloud, AWS GovCloud : ces offres se présentent comme "souveraines" mais ne sont pas qualifiées SecNumCloud. Elles réduisent certains risques mais ne garantissent pas l'immunité aux lois extraterritoriales. Vérifiez toujours la présence de la qualification ANSSI, pas seulement des labels marketing.

Infrastructure IA certifiée et souveraine

Intelligence Privée déploie votre IA sur infrastructure qualifiée SecNumCloud ou certifiée HDS selon vos besoins sectoriels. Certification documentée, conformité garantie.

Choisir la bonne certification →

Articles liés

Souveraineté

Souveraineté numérique France

L'IA au cœur de la bataille pour l'indépendance numérique.
Santé

IA en santé : certification HDS

Obligations légales pour héberger des données de santé.
Conformité

Cloud Act et données entreprise

Pourquoi SecNumCloud protège du Cloud Act.