Digital sovereignty is increasingly being turned into measurable checklists, with vendors now offering competing assessment tools built around the same broad idea: data control, technological independence and strategic autonomy.

In September 2025, Bechtle said it was developing a methodology structured around those three dimensions, to be used in its consulting business and backed by proprietary software, with rollout planned for Q1 2026. Last week, the German IT distributor said its “sovereignty index” is now in pilot phase in Germany, Austria and Switzerland, but it still would not disclose the underlying content.

SUSE, by contrast, has published its approach. At the end of January, it released a self-assessment tool aligned with the Cloud Sovereignty Framework, a European Commission-initiated reference document intended to guide public procurement of cloud services across the EU. The framework defines eight objectives and the issues behind them. For each objective, users assign a five-step assurance level; the tool also produces an overall “sovereignty score” weighted by objective.

SUSE’s version turns the framework into 32 questions covering strategic sovereignty, legal sovereignty, data/AI sovereignty, operational sovereignty, supply-chain sovereignty, technological sovereignty, security/compliance sovereignty and environmental sustainability. Among the criteria: whether ultimate decision-making authority sits in the EU; whether the provider could continue operating if a non-European entity ordered a service suspension; whether local personnel in the EU are subject to EU jurisdiction; whether foreign extraterritorial laws could force data disclosure; whether encryption keys can be independently verified as exclusively controlled by the customer; whether storage, processing and AI pipelines are developed, trained and run by EU entities on EU-based infrastructure; whether workloads can be migrated without lock-in; whether source code and documentation are accessible; whether a complete SBOM can be obtained; whether firmware and embedded code are subject to EU jurisdiction; whether the software core is open source with audit, modification and redistribution rights; whether APIs and standards are non-proprietary and publicly governed; whether SOC and incident-response teams operate under EU jurisdiction; and whether providers publish environmental targets such as PUE, carbon and water metrics.

The framework’s five assurance levels are contextualized per question. For the first criterion, on where decisions are made, level 0 means all operational decisions are taken by staff outside the EU; level 1 means day-to-day operations are handled in the EU but escalations and strategic decisions still require approval from outside the EU; level 2 gives operational authority to an EU subsidiary but leaves the parent company a veto over major decisions; level 3 provides an autonomous EU entity for most operations, with non-EU entities limited to advisory or minority-board roles; and level 4 places all decision-making — C-level, board and operational — in the hands of EU-based personnel with governance established locally.

Red Hat has also launched a self-assessment tool, published in mid-February and based on work by one of its engineers. It is less flexible than SUSE’s version — users cannot skip questions and return later — and it is organized differently, into seven domains with three yes/no/I-don’t-know questions each. It generates both a global score and a maturity level per domain, on four levels depending on the number of “yes” answers. Its categories cover data sovereignty, technical sovereignty, operational sovereignty, “sovereignty assurance,” open source, executive oversight and managed services. The questions focus on local data-residency requirements, exclusive control of encryption keys, avoiding sensitive data crossing geographic boundaries, reducing lock-in, preferring open-source standards over proprietary APIs, migrating critical apps to other clouds, maintaining critical systems during cloud outages, internal expertise, independent verification of system integrity, control over security logs and audit trails, formal open-source policies, executive sponsorship, dedicated budgets, and the ability to constrain deployments to specific regions and test workload portability.

Behind that, Red Hat’s engineer has also built a version tailored specifically to the EU. It clearly draws on the Cloud Sovereignty Framework’s eight objectives, but with different emphases from SUSE’s. The EU-specific version adds criteria such as providers being established and headquartered in the EU, being mainly funded by EU-based investors or institutions, explicit EU jurisdiction in contracts, named EU venues for dispute resolution, contractual bans on using data and AI models for training or profiling without consent, migration documentation and testing, EU-based admin and support teams, critical software components sourced mainly from European or open-source suppliers, supplier diversification, SOCs located exclusively in the EU, the right to conduct unannounced security audits, and storage of logs, audit trails and compliance evidence under EU jurisdiction. On the environmental side, it adds renewable energy sourced in the EU, assessment of cloud environmental impact and carbon-reduction strategy, and alignment with EU environmental rules and sustainability frameworks.

The proliferation of these tools shows that digital sovereignty is moving from political slogan to operational scorecard — but also that there is still no single agreed way to measure it.

Maîtrise des données, indépendance technologique, autonomie stratégique : trois dimensions pour évaluer la souveraineté numérique.

En septembre 2025, Bechtle avait annoncé développer une méthodologie ainsi structurée. Il entendait la mettre en œuvre dans le cadre de son activité de conseil, à l’appui d’un « logiciel propriétaire ». Il était question d’un déploiement au premier trimestre 2026.

La semaine dernière, le distributeur informatique a donné des nouvelles de cet « index de souveraineté » : le voilà en pilote dans trois pays (Allemagne, Autriche, Suisse). Pour ce qui est du contenu, il n’en dit mot.

SUSE, au contraire, a joué l’ouverture. Il a publié, fin janvier, un outil d’autoévaluation aligné sur le Cloud Sovereignty Framework. Ce document, édité à l’initiative de la Commission européenne, doit servir de référence pour la commande publique de services cloud au niveau de l’UE. Il formule 8 objectifs et liste les enjeux qui les sous-tendent. Pour chaque objectif, on détermine un niveau d’assurance, sur 5 échelons. En complément, on calcule un « score de souveraineté », avec une pondération par objectif.

L’examen de souveraineté, version SUSE

SUSE reprend la structure du Cloud Sovereignty Framework et en tire 32 questions. Nous en reprenons ici les grandes lignes, en conservant tant que possible la formulation qui en est faite.

Objectif

Points évalués

Souveraineté stratégique

– Autorité décisionnaire ultime localisée dans l’UE

– Protections en cas de passage d’un fournisseur sous contrôle non européen

– Transparence des fournisseurs sur les investissements dans l’UE et la feuille de route associée

– Capacité à poursuivre l’exploitation si une entité étrangère exige la suspension d’un service

Souveraineté juridique

– Support opérationnel par du personnel localisé dans l’UE et dont le contrat est soumis à une juridiction de l’UE

– Exposition des fournisseurs à des lois étrangères à portée extraterritoriale pouvant entraîner la divulgation de données

– Existence de canaux juridiques ou techniques permettant à des autorités hors UE d’accéder à des données

– Contrats désignant explicitement un tribunal de l’UE comme juridiction exclusive

Souveraineté data/IA

– Capacité à vérifier indépendamment qu’on contrôle seul les clés de chiffrement

– Stockages et traitements localisés dans l’UE

– Visibilité sur les accès aux données et aux métadonnées

– Modèles IA et pipelines data développés, entraînés et exploités par des entités de l’UE, sur de l’infrastructure localisée dans l’UE

Souveraineté opérationnelle

– Capacité à migrer ses workloads vers des solutions européennes alternatives sans lock-in

– Accès au code source et à la documentation

– Capacité à gérer et à patcher la stack sans implication de fournisseurs hors UE

– Garanties contractuelles de support sous juridiction UE et basé sur place

Souveraineté de la supply chain

– Capacité à obtenir un SBOM complet de l’environnement cloud

– Degré de dépendance à des technos propriétaires non européennes sur les « chemins critiques »

– Capacité à vérifier à quelle(s) juridiction(s) sont soumis firmware et code embarqué

– Activités de développement, packaging et distribution de logiciels placées sous juridiction UE

– Droit contractuel d’effectuer des audits indépendants de la supply chain, dont sous-traitants ultérieurs

Souveraineté technologique

– Cœur logiciel open source avec droits d’audit, modification et redistribution

– Utilisation d’API non propriétaires et de standards à gouvernance publique (SUSE cite CNCF et OCI)

– Visibilité sur l’architecture, les flux de données et les dépendances

– Contribution active des fournisseurs à la gouvernance de communautés open source

Souveraineté en sécurité/conformité

– SOC et équipes de réponse aux incidents opérant sous juridiction UE

– Détention de certifications de sécurité par les fournisseurs

– Capacités, pour des entités de l’UE, à effectuer des audits de sécurité indépendants

– Capacité à appliquer des correctifs de sécurité indépendamment des calendriers de fournisseurs hors UE

Soutenabilité environnementale

– Publication de cibles environnementales (PUE, carbone, eau) par les fournisseurs

– Pratiques d’économie circulaire

– Optimisation énergétique de la pile logicielle

L’utilisateur est censé estimer son niveau d’assurance en suivant les 5 échelons du Cloud Sovereignty Framework. Ceux-ci sont évidemment contextualisés pour chaque question. Cela donne par exemple, pour la toute première (localisation des prises de décisions) :

Niveau 0

Toutes les décisions opérationnelles (réponse aux incidents, changements d’architecture, gestion des données, provisionnement d’infra) sont prises par du personnel localisé hors de l’UE.

Niveau 1

Les opérations du quotidien sont gérées par du personnel basé dans l’UE. Mais les escalades et les décisions stratégiques nécessitent l’accord de personnes localisées hors de l’UE.

Niveau 2

L’autorité opérationnelle appartient à une filiale basée dans l’UE et des protections contractuelles sont en place. Mais la maison mère garde un droit de veto sur les décisions majeures.

Niveau 3

Il existe une entité basée dans l’UE et autonome pour prendre des décisions sur la plupart des opérations. Des entités hors UE s’impliquent, mais sont limitées à un rôle de conseil ou à une représentation minoritaire au conseil d’administration.

Niveau 4

Toute l’autorité décisionnelle (C-level, board, opérationnel) est dans les mains de personnel basé dans l’UE, avec une gouvernance établie sur place.

Chez Red Hat, une structure plus éloignée du Cloud Sovereignty Framework…

Red Hat a également son service d’autoévaluation, qu’il a mis en ligne mi-février, sur la base des travaux d’un de ses ingénieurs.

Moins « flexible » que celui de SUSE (on ne peut pas sauter des questions pour y revenir ensuite), cet outil est aussi structuré différemment. En l’occurrence, en 7 domaines. Avec, pour chacun, 3 questions, auxquelles on doit répondre « oui », « non » ou « je ne sais pas ». Il en résulte, en plus du score global, un niveau de maturité pour chaque domaine, sur 4 échelons dépendant du nombre de « oui ». En voici les grandes lignes :

Objectifs

Points évalués

Souveraineté des données

– Respect des exigences locales et sectorielles en matière de résidence des données

– Contrôle exclusif des clés de chiffrement

– Capacité à empêcher que les données sensibles traversent des limites géographiques spécifiques

Souveraineté technique

– Capacité à atténuer les risques de lock-in

– Priorisation des standards open source par rapport aux API propriétaires

– Capacité à migrer les applications critiques vers d’autres clouds

Souveraineté opérationnelle

– Capacité à poursuivre l’exploitation des systèmes critiques en cas d’indisponibilité de services cloud externes

– Expertise interne pour gérer l’infrastructure souveraine

– Intégration de l’aspect géopolitiques dans les stratégies de récupération après sinistre

« Assurance » de souveraineté

– Capacité à vérifier indépendamment la sécurité, l’intégrité et la fiabilité des systèmes, données et infras

– Contrôle du lieu de stockage des journaux de sécurité et des pistes d’audit

– Connaissance des standards de souveraineté applicables au niveau national

Open source

– Politique formelle favorisant les logiciels open source

– Capacité à maintenir des logiciels indépendamment d’un fournisseur tiers

– Contribution active à des projets open source importants pour l’activité de l’entreprise

Supervision exécutive

– Sponsoring exécutif ou comité de pilotage pour les initiatives de souveraineté numérique

– Intégration explicite de la souveraineté numérique dans la stratégie corporate ou IT

– Budget dédié aux initiatives de souveraineté

Services managés

– Capacité à restreindre les déploiements cloud à des régions ou datacenters spécifiques

– Contrôle et suivi des accès administratifs des cloud providers

– Test ou validation de la capacité à migrer des workloads vers d’autres clouds

… mais un outil « spécial UE » en toile de fond

L’ingénieur à l’origine de l’outil de Red Hat en a aussi développé un « spécial UE ». Il s’inspire assez nettement du Cloud Sovereignty Framework, en reprenant ses 8 objectifs… mais en les déclinant différemment de ce qu’a fait SUSE. En voici le récapitulatif. Les éléments spécifiques sont en grands caractères. Les ajouts significatifs, en gras.

Objectif

Points évalués

Souveraineté stratégique

– Fournisseurs établis dans l’UE et siège social localisé sur place

– Protections en cas de passage d’un fournisseur sous contrôle non européen

– Fournisseurs financés principalement par des investisseurs ou des institutions basés dans l’UE

Souveraineté juridique

– Contrat placé explicitement sous juridiction UE

– Fournisseurs non soumis à des lois étrangères à portée extraterritoriale pouvant entraîner la divulgation de données

– Désignation explicite de lieux dans l’UE pour la résolution des litiges

Souveraineté data/IA

– Contrôle exclusif sur les clés de chiffrement

– Stockages et traitements dans l’UE

– Garanties contractuelles interdisant l’utilisation sans consentement des données et des modèles d’IA à des fins d’entraînement ou de profilage

Souveraineté opérationnelle

– Documentation et test de stratégies de migration

– Capacité à opérer et restaurer des systèmes critiques sans dépendre de tierces parties hors UE

– Équipes administratives et de support technique localisées dans l’UE

Souveraineté de la supply chain

– Visibilité sur la supply chain des composants critiques

– Composants logiciels critiques essentiellement sourcés de fournisseurs européens ou open source

– Stratégie de diversification des fournisseurs

Souveraineté technologique

– Usage de standards ouverts et de technologies interopérables

– Capacité à migrer les workloads critiques sans modification significative

– Exploitation de technologies open source et contribution à des projets soutenus par l’UE

Souveraineté en sécurité/conformité

– SOC localisé(s) exclusivement dans l’UE

– Droit contractuel d’effectuer des audits et des évaluations de sécurité inopinés du fournisseur

– Stockage des journaux de sécurité, des pistes d’audit et des preuves de conformité sous juridiction UE

Soutenabilité environnementale

– Fournisseurs utilisant des énergies issues de sources renouvelables basées dans l’UE

– Évaluation de l’impact environnemental des services cloud et stratégie de réduction carbone

– Alignement sur les réglementations environnementales et les cadres de développement durable de l’UE

Illustration générée par IA

The post Souveraineté numérique : les outils d’évaluation pleuvent appeared first on Silicon.fr.