Le référentiel C3A s'applique-t-il en France ?

Non, pas directement. Le C3A est un référentiel allemand, publié par le BSI (équivalent de notre ANSSI). Il n'a pas de valeur juridique en France. Mais il s'inscrit dans le Cloud Sovereignty Framework de la Commission européenne et devient une référence opérationnelle que les décideurs publics et privés français peuvent utiliser comme grille d'évaluation — y compris en Outre-mer.

Une PME guadeloupéenne est-elle vraiment concernée par ces critères ?

Oui, mais à son échelle. Aucune TPE guadeloupéenne n'a besoin de 90 jours d'autonomie cloud déconnectée. En revanche, la même logique s'applique : où sont mes données si mon prestataire devient injoignable, comment j'encaisse si Internet tombe, qui restaure mon site si l'hébergeur disparaît. Le C3A donne le vocabulaire, à chacun de l'adapter à sa taille.

Faut-il quitter le cloud américain pour être résilient ?

Non, et c'est un piège fréquent. La résilience n'est pas l'autarcie. Elle consiste à comprendre ses dépendances, à les choisir lucidement et à préparer des alternatives. Une entreprise peut très bien rester sur Google Workspace ou Microsoft 365 si elle a documenté ce qu'elle fait quand le service tombe — et si elle a une copie locale de ses données critiques.

Par où commencer concrètement quand on est une organisation guadeloupéenne ?

Par un état des lieux. Avant de changer d'outil ou de signer un nouveau contrat, cartographier ce dont on dépend vraiment : outils, fournisseurs, données, accès, paiements, procédures. C'est précisément l'objet de l'audit de résilience numérique que je propose. La plupart des fragilités identifiées peuvent ensuite être corrigées sans budget important.

Analyses10 mai 2026

C3A : ce que la souveraineté allemande dit à la Guadeloupe

Partager via

Lien copié dans le presse-papier

Le BSI allemand a publié C3A — 90 jours d’autonomie cloud déconnectée. Pourquoi ce référentiel devrait inspirer les décideurs guadeloupéens.

Sur cette page

C3A : ce que la souveraineté allemande dit à la Guadeloupe

Fin avril 2026, le BSI allemand a publié un document technique sobrement intitulé Criteria enabling Cloud Computing Autonomy — C3A pour les intimes. Pas de communiqué tonitruant, juste un PDF en téléchargement libre. Mais quand on lit ce qu’il contient, c’est une grammaire de la souveraineté numérique que personne n’avait encore osé écrire noir sur blanc en Europe : 90 jours d’autonomie cloud déconnectée, sauvegarde du code source toutes les 24 heures, ingénieurs locaux capables de compiler et livrer des correctifs d’urgence sans dépendre de personne. Ici, en Guadeloupe, on devrait lire ce document deux fois.

Ce que dit vraiment le C3A

Le BSI, c’est l’équivalent allemand de notre ANSSI — l’agence fédérale chargée de la cybersécurité d’un pays de 84 millions d’habitants. Pas une officine militante, pas un think tank. Quand elle publie, on lit.

Astuce
Le C3A pose une question simple : votre service cloud continue-t-il à fonctionner si la connexion avec son éditeur extra-européen est coupée ? Si la réponse est non, ce n’est pas un cloud souverain, quel que soit le label affiché.

Quelques critères donnent la mesure de l’ambition :

90 jours de fonctionnement déconnecté (critère SOV-4-10) — un service revendiquant la souveraineté doit pouvoir tenir trois mois sans aucune connexion à des instances extra-européennes.
Sauvegarde du code source toutes les 24 heures, cinq versions minimum, format portable exploitable par les autorités.
Ingénieurs locaux capables de compiler et livrer un correctif d’urgence sans dépendance tierce. Pas de support ailleurs, pas d’attente.
Mode déconnecté documenté et testé, pas seulement théorique.
Clause d’état de défense permettant à l’État de reprendre physiquement la main sur l’infrastructure si nécessaire.

Ce qui change avec le C3A, ce n’est pas le vocabulaire — on parle de souveraineté numérique depuis dix ans en Europe. C’est le passage du discours à la grille d’évaluation, et le fait que ces critères entrent dans les appels d’offres publics allemands. La souveraineté cesse d’être un slogan politique pour devenir une clause contractuelle.

« Pourquoi ça nous concerne ici, on n’est pas Berlin »

C’est l’objection que j’entends le plus souvent quand j’aborde la résilience numérique avec des décideurs guadeloupéens. Et c’est précisément l’inverse qui est vrai : on est plus exposé que Berlin, pas moins.

Notre dépendance numérique est une dépendance en cascade : Guadeloupe → France → Europe → GAFAM → États-Unis. Chaque maillon est un point de rupture potentiel. Emails, paiements, clouds, outils marketing, sites web et parfois même sauvegardes dépendent d’écosystèmes techniques pensés, hébergés et opérés à des milliers de kilomètres.

Et contrairement à un acheteur public allemand, j’observe ici une seconde couche de risques que les prestataires continentaux ne mesurent pas vraiment : cyclones, séismes, submersion marine, coupures d’électricité prolongées, fragilité logistique insulaire. Une panne numérique chez nous n’arrive jamais seule. Elle s’ajoute à une coupure réseau, à une route bloquée, à une équipe qui ne peut plus se déplacer. C’est cette superposition des risques qui rend la question structurellement différente d’une PME continentale. Berlin doit anticiper la rupture politique. Ici, il faut aussi anticiper le cyclone qui passe pendant la panne.

Le piège du « i bon kon-sa »

Et pourtant, dans la plupart des projets numériques d’envergure que je vois passer ici — administrations, collectivités, grands donneurs d’ordres privés — la résilience est traitée comme un si on a le temps, pas comme un critère structurant. On parle performance, design, fonctionnalités, expérience utilisateur. Rarement continuité d’activité.

C’est le piège du i bon kon-sa — ça marche, t’inquiète. Tant que tout fonctionne, le sujet semble lointain. Le terminal CB encaisse, Gmail répond, le cloud est accessible. Jusqu’au jour où ça ne fonctionne plus. Et ce jour-là, la vraie question devient : avons-nous une alternative ?

Remarque
Deux histoires que je vois se répéter en Guadeloupe. D’un côté, des organisations qui croient avoir des sauvegardes — un disque dur local jamais vérifié, un cloud dont personne ne connaît plus le mot de passe, une procédure de restauration que personne n’a testée. Le jour où arrive l’incident — un ransomware, un cambriolage, une inondation comme celles qu’a connues Petit-Pérou aux Abymes — la découverte est brutale : tout, ou presque tout, est perdu. Au lieu de quelques heures à reconstruire, ce sont des semaines de chiffre d’affaires qui s’évaporent.
De l’autre côté, des structures qui ont pris le sujet au sérieux en amont. Sauvegardes testées, procédures écrites, accès documentés, prestataire identifié. Quand l’incident arrive — et il arrive — elles redémarrent dans la journée ou le lendemain. La différence ne s’est pas jouée pendant la crise. Elle s’est jouée six mois avant.

Une sauvegarde qu’on n’a jamais vérifié pouvoir restaurer n’est pas une sauvegarde — c’est une illusion.

Quatre questions à poser dans le prochain appel d’offres

Astuce
La meilleure façon d’introduire la résilience dans une organisation guadeloupéenne, ce n’est pas une note de service — c’est une clause dans le prochain cahier des charges.

Aucune TPE guadeloupéenne n’a besoin de 90 jours d’autonomie cloud déconnectée — la maille n’est pas la même que celle du BSI. Mais la logique est transposable. Voici quatre questions que tout décideur devrait pouvoir poser à un prestataire avant de signer :

Existe-t-il un mode dégradé documenté et testé ? Pas sur le papier — réellement éprouvé. Si la réponse est « on n’a jamais testé », c’est l’équivalent de ne pas en avoir.
Les sauvegardes sont-elles réellement récupérables, hors-ligne, par mes équipes ? La question n’est pas « faites-vous des sauvegardes » — elle est « combien de temps me faut-il pour redémarrer si tout est perdu ».
Le prestataire est-il joignable un samedi de cyclone ? Ou son support se trouve-t-il à Paris, à Bangalore ou à Manille, avec un délai de 48 heures et un fuseau horaire qui ne coopère pas ?
La cartographie des dépendances est-elle à jour ? Sait-on de qui on dépend pour chaque maillon — hébergement, DNS, mail, paiement, sauvegarde — et que se passe-t-il si l’un d’eux disparaît ?

Ce ne sont pas des questions de DSI. Ce sont des questions de continuité d’activité. Une commune, une association, un cabinet médical, une coopérative : tout le monde devrait pouvoir y répondre. Pour aller plus loin, j’ai détaillé l’analyse complète dans cet article de fond.

Et nous, prestataires locaux ?

Cette exigence de résilience, elle ne s’adresse pas qu’aux décideurs. Elle s’adresse aussi à nous, agences et prestataires guadeloupéens. J’ai trop vu — chez d’autres et parfois chez moi — des projets web livrés sans qu’on ait vraiment posé la question de ce qui se passe quand l’infrastructure derrière ne répond plus.

Être un prestataire local compétent en 2026, ce n’est plus seulement savoir faire un beau site et le mettre en ligne. C’est aussi savoir documenter une procédure de restauration, tester des sauvegardes, prévoir un mode dégradé, choisir un hébergement qu’on peut récupérer si l’hébergeur disparaît. La valeur d’un prestataire ne se mesure pas seulement quand tout va bien — elle se mesure surtout quand ça va mal.

La résilience ne se construit pas le jour du cyclone

Le C3A allemand n’est pas un modèle à copier-coller. C’est une boussole. Il dit qu’on peut, qu’on doit, mettre la continuité numérique au même niveau que la sécurité incendie, l’évacuation cyclonique ou la conformité comptable : un sujet sérieux, traité sérieusement, dès la conception des projets.

Pour une organisation guadeloupéenne, ça commence par un état des lieux. Pas un audit de cybersécurité corporate plaqué sur une réalité qu’il ne connaît pas — un travail de terrain qui part de notre territoire, nos risques, nos dépendances réelles. C’est ce que j’appelle un audit de résilience numérique : cartographie des dépendances, score par domaine, scénarios 24h / 48h / 72h, plan d’action priorisé.

Ce n’est pas de la souveraineté à l’allemande. C’est du bon sens caribéen.

Sources

Article précédent IShowSpeed en Guadeloupe : 3 leçons pour les pros locaux

Sommaire

Sur cette page: