Qu'est-ce qu'EDSO.

La souveraineté numérique est la capacité d'un État, d'une organisation ou d'un acteur à disposer d'actifs, de processus et d'infrastructures numériques de telle sorte que des décisions stratégiques puissent être prises, modifiées ou annulées à tout moment, sans ingérence extérieure.

Cette définition est volontairement opérationnelle. Elle se passe de termes idéologiques et nomme le critère mesurable : la contrôlabilité dans le temps. À partir de cette définition, EDSO dérive quatre domaines d'évaluation auditables de manière indépendante.

Un fournisseur établi dans l'Union européenne n'est pas automatiquement souverain. La souveraineté est une propriété structurelle de l'ensemble du stack — du logiciel utilisé, de la maîtrise des clés, de la chaîne d'approvisionnement et des rapports de contrôle juridiques. Un en-tête européen n'y change rien.

Un fournisseur installé à Francfort, exploitant sa plateforme entièrement sur un stack propriétaire américain, dont les clés sont gérées par la maison-mère et dont le code source est maintenu dans un dépôt extra-européen, n'est pas un fournisseur souverain. C'est un revendeur. Les leviers juridiques, opérationnels et techniques se situent en dehors de lui et de l'UE.

« Made in EU » est un label d'origine. La souveraineté est une propriété de la contrôlabilité. Les deux notions ne se recouvrent pas. EDSO n'évalue que la seconde question.

La conséquence opérationnelle est claire : une décision de marché reposant uniquement sur le siège du fournisseur n'est pas testée en souveraineté. C'est une décision d'origine. EDSO en livre l'évaluation structurelle manquante.

Marchés publics. Les pouvoirs adjudicateurs et opérateurs d'infrastructures critiques ont besoin de critères d'attribution juridiquement robustes. La notion d'« offre économiquement la plus avantageuse » (MEAT) permet d'ancrer la souveraineté comme critère qualitatif d'attribution — mais seulement si ce critère est objectivement vérifiable. EDSO fournit précisément cette vérifiabilité.

Gestion des risques. La souveraineté ne devient une variable pilotable d'un portefeuille SI que si elle est mesurable en tant qu'indicateur. Un portefeuille avec des niveaux documentés par domaine et globaux permet comparaison, consolidation et ré-architecture ciblée.

Stratégie. La capacité de changement est un pouvoir de négociation de long terme. Qui ne peut pas changer de fournisseur ne peut pas négocier avec lui. La souveraineté crée structurellement la position de négociation sans laquelle aucune décision SI stratégique n'est durable.

La réglementation européenne existante traite la sécurité (NIS2, BSI C5), la résilience opérationnelle (DORA) et les risques algorithmiques (AI Act). Ces dispositifs sont pertinents dans leur périmètre sectoriel et fonctionnel — ils ne mesurent pas pour autant la contrôlabilité structurelle. Qui garde la main, en cas de crise, sur les clés, la localisation des données ou les chemins de bascule n'est pas une question que ces standards traitent.

EDSO comble précisément cette lacune. EDSO ne concurrence ni NIS2, ni DORA, ni l'AI Act : il apporte la dimension manquante de souveraineté. Seule la combinaison d'évaluations de sécurité, de résilience et de souveraineté produit une affirmation juridiquement et réglementairement robuste sur un service numérique.