Le communiqué de presse est arrivé le vendredi 17 avril 2026, trois jours avant l’ouverture de la Hannover Messe. Rolf Schumann et Christian Müller, co-PDG de Schwarz Digits, ont présenté l’European Sovereign Stack Standard — ES³ — avec l’ambition explicite de devenir la mesure européenne de la souveraineté numérique. Le format : un modèle de maturité en quatre niveaux — Basic, Initial, Advanced, Future-Proof. Le mécanisme : un catalogue de plus de 100 critères. Le marqueur de crédibilité : une vérification indépendante par BDO AG, dont le président du directoire Parwäz Rafiqpoor a signé l’attestation.

Schumann a résumé la proposition : « We are transforming the need for digital sovereignty into a measurable standard for industry companies, SMEs and regulated sectors. » La déclaration de vérification de BDO a suivi : « The audit of the sovereignty maturity model by BDO confirms: The ES³ maturity model provides an independent, practical basis for strengthening digital sovereignty in Europe. »

C’est le premier score-sheet européen de souveraineté à arriver avec une infrastructure d’audit. C’est aussi un score-sheet rédigé par une entreprise qui concurrence le marché qu’elle note désormais.

Ce qu’ES³ propose

Les quatre niveaux de maturité sont conçus comme progressifs. Basic couvre les revendications minimales de résidence des données. Initial établit l’indépendance opérationnelle vis-à-vis du contrôle hors UE. Advanced exige une séparation architecturale complète des dépendances hors UE. Future-Proof revendique une continuité vérifiable dans des conditions géopolitiques hostiles.

Le catalogue, selon le résumé public, couvre la juridiction, la propriété, le contrôle opérationnel, la chaîne d’approvisionnement et la garde des clés. La vérification de BDO porte sur la méthodologie plutôt que sur les évaluations de produits individuels — une distinction qui compte. Une méthodologie vérifiée n’est pas un score de produit vérifié ; ES³ certifie comment scorer, pas qui a bien scoré.

Les acheteurs publics peuvent rédiger des conditions d’appel d’offres référençant un niveau ES³ spécifique et rejeter les offres en dessous. Cela change déjà les structures d’incitation. Avant ES³, la souveraineté dans la commande publique européenne était soit une revendication binaire, soit un score à l’instinct. Un chiffre existe désormais.

L’argument en sa faveur

Trois choses qu’ES³ fait que rien ne fait actuellement.

Il met un chiffre sur la souveraineté. Avant ES³, la souveraineté dans le langage des appels d’offres était un mot marketing sans contenu défini. Un modèle de maturité avec audit signifie qu’un acheteur public peut rejeter une offre qui ne satisfait pas un niveau déclaré. Le cadre européen comparable le plus proche — le labellisation Gaia-X — a été critiqué pour son flou et sa lenteur d’exécution. ES³ est plus rapide et plus concret.

Il établit une couche de vérification que les concurrents devront traiter. Une fois qu’une norme mesurable existe, les alternatives doivent soit en égaler les critères, soit expliquer publiquement pourquoi elles en ont choisi d’autres. C’est ainsi que des cadres réglementaires deviennent opérationnels.

Il arrive à un moment où la commande publique européenne cherchait activement des critères. Le Vergabebeschleunigungsgesetz allemand, adopté six jours plus tard, a fait de la souveraineté un critère d’attribution recevable. ES³ fournit les critères que la loi rend admissibles. Le timing n’est pas accidentel.

Le conflit au cœur du dispositif

Schwarz Digits est la branche IT et numérique du Groupe Schwarz — maison mère de Lidl et Kaufland — et exploite StackIT, un acteur majeur du cloud européen qui concurrence directement AWS, Azure et Google Cloud sur les appels d’offres européens. Bernd Wagner, CSO de Schwarz Digits qui a présenté le détail technique sur le stand de la Hannover Messe, opère une architecture de sécurité conçue contre des critères que la maison mère a aussi désormais rédigés. Schwarz Digits n’est pas un organisme de normalisation neutre. C’est un acteur du marché qui rédige les règles de son propre marché.

Ce n’est pas, en soi, disqualifiant. Les normes ISO, IEEE et IETF émergent couramment de fournisseurs ayant la peau dans le jeu. Mais c’est structurellement identique à Microsoft rédigeant la norme contre laquelle Microsoft Sovereign Cloud est évalué, ou AWS publiant les critères pour la certification European Sovereign Cloud. Le même scepticisme devrait s’appliquer ici qui s’appliquerait évidemment à ces cas.

Deux défenses sont régulièrement avancées et chacune est insuffisante.

La première défense : il fallait bien que quelqu’un le fasse, et le marché n’attendrait pas un organisme neutre. C’est vraiment vrai. Le travail européen de normalisation formelle avance à l’échelle de temps du CEN-CENELEC et de l’ETSI — des années à des décennies. Une norme menée par un fournisseur, utilisable maintenant, est plausiblement plus utile qu’une norme neutre lente en 2032. Mais « plausiblement plus utile » n’est pas « neutre ». L’adoption de la norme doit être discutée en conséquence.

La seconde défense : la vérification de BDO atténue le conflit d’intérêts. Partiellement. La formulation de l’attestation de Rafiqpoor est précise — elle confirme la méthodologie, pas les évaluations de produits individuels. Une méthodologie rédigée par un fournisseur qui passe l’audit reste une méthodologie rédigée par un fournisseur. Le conflit d’intérêts réside dans la sélection des critères, pas dans la correction procédurale de l’audit.

La question cui-bono se simplifie. Schwarz Digits et StackIT bénéficient si ES³ devient le score-sheet par défaut de la souveraineté, parce que leur offre est conçue contre des critères qu’ils ont rédigés. BDO bénéficie d’être l’autorité de vérification de ce qui pourrait devenir une norme européenne largement citée. L’écosystème germanophone du cloud souverain bénéficie largement si des critères à saveur allemande deviennent la valeur européenne par défaut de facto. Les fournisseurs français de cloud souverain — Outscale, OVHcloud, Atos, Linagora — n’ont pas co-façonné les critères ; ils perdent marginalement si ES³ est largement adopté.

Ce que les critères ne traitent pas — et où ils ne sont pas visibles

Les 100+ critères couvrent juridiction, opérations, chaîne d’approvisionnement et garde des clés selon le résumé public. Trois couches architecturales sont notamment absentes de toute la couverture que nous avons vue.

Les canaux de mise à jour des composants open source sous-jacents — la plupart transitent encore par un hébergement sous contrôle américain, principalement GitHub. La confiance racine cryptographique — quelles autorités de certification se trouvent dans la chaîne de vérification. Les garanties de continuité sous sanctions — que se passe-t-il si BDO, cabinet de services professionnels d’envergure mondiale avec une exposition commerciale aux États-Unis, était lui-même sanctionné pour avoir vérifié la souveraineté européenne.

Le niveau Future-Proof prétend traiter la continuité géopolitique. Les critères pour ce niveau n’ont pas été publiquement énumérés. Le communiqué de Schwarz Digits ne renvoie pas au catalogue. La couverture de la presse spécialisée décrit le modèle mais ne reproduit pas le texte des critères. Tant que le catalogue complet n’est pas publié, le plus haut niveau d’ES³ est une aspiration assortie d’une étiquette plutôt qu’une propriété vérifiée.

Ce problème de visibilité n’est pas accidentel. Le contrôle public est le mécanisme qui sépare une norme de souveraineté d’un instrument marketing. Une norme qui vit derrière des résumés et des études de cas est plus difficile à scruter qu’une norme qui publie son texte intégral. ES³ s’est positionné sur un marché sans s’être encore soumis au type d’examen que cette position commande.

Ce que cet article n’est pas

Ce n’est pas l’affirmation qu’ES³ est mauvais. La commande publique européenne a un besoin urgent de critères, et une norme menée par un fournisseur avec infrastructure d’audit est significativement meilleure que l’état actuel.

Ce n’est pas l’affirmation que Schumann ou Müller ont agi de mauvaise foi. Le conflit d’intérêts est structurel, pas motivationnel.

Ce n’est pas l’affirmation que la norme échouera. ES³ peut devenir la référence européenne dominante ; il peut aussi être supplanté par le système réglementaire à quatre niveaux du CADA. Les deux issues sont possibles.

Ce qu’il faut demander avant de l’adopter

La question pour les acheteurs publics envisageant ES³ comme critère de marché est courte et mérite d’être dite tout haut : adopteriez-vous un modèle de maturité de souveraineté rédigé par Microsoft et vérifié par KPMG, aux mêmes conditions ?

Si la réponse est non, le standard correspondant pour ES³ exige le même examen critique. Le conflit d’intérêts ne disparaît pas parce que le fournisseur rédacteur est européen plutôt qu’américain. Il est réduit — l’exposition juridictionnelle change entre fournisseurs — mais le problème de sélection des critères est identique.

Le prochain signal à surveiller est le catalogue de critères lui-même. À la date de rédaction, le texte intégral n’est pas public. La nouvelle clause de droit des marchés publics du Bundestag a besoin de critères concrets pour s’ancrer. Si ES³ devient cet ancrage avant que le catalogue ne soit publié, la commande publique allemande aura externalisé sa définition de la souveraineté à une filiale de Lidl. Ce n’est pas nécessairement faux. C’est structurellement identique à l’externalisation des définitions de souveraineté à Microsoft, juste avec l’accent d’une autre juridiction.

Sources

Aperçu thématique : Souveraineté numérique en Europe Articles connexes : Souveraineté-washing expliqué, Souveraineté dans le §58 VgV