Un observatoire n'est crédible que si sa méthode est vérifiable. Voici exactement ce que le scan observe, comment il note, et surtout ce qu'il ne prétend pas voir.
Le scan ne lit que ce que tout visiteur ou tout navigateur voit déjà : résolutions DNS, certificats publics, en-têtes des serveurs, ressources chargées par la page d'accueil. Aucune intrusion, aucun test d'accès, aucune authentification — c'est légal et cela doit le rester.
Qui traduit votre nom de domaine en adresse machine. Cet opérateur voit et peut rediriger tout votre trafic entrant.
La porte d'entrée (CDN, pare-feu) et le serveur qui héberge réellement votre site. Nous distinguons les deux, car ils relèvent parfois de juridictions différentes.
L'opérateur qui reçoit et stocke vos e-mails. Pour une PME, c'est souvent le signal de souveraineté le plus important : devis, contrats, échanges RH y transitent.
Les services en ligne que vous utilisez, révélés par vos sous-domaines et certificats publics, classés par pays de juridiction.
Les services chargés par votre page d'accueil (mesure d'audience, publicité) qui collectent des données sur vos visiteurs, et sous quelle juridiction.
L'émetteur de votre certificat de sécurité et les ressources tierces embarquées.
Le verdict repose sur le droit applicable à l'opérateur, pas sur l'emplacement physique du serveur. Un serveur situé en Europe mais opéré par une entreprise soumise à un droit extra-européen relève de ce droit. Nous affichons le drapeau de juridiction, et la localisation physique en complément quand elle diffère.
Nous surpondérons ce qui compte réellement pour une PME — la messagerie et l'hébergement — et nous accordons un crédit partiel plutôt qu'un tout-ou-rien.
| Brique observée | Poids | Principe de notation |
|---|---|---|
| Messagerie | 25 | Souverain UE = plein ; pénalité si un émetteur extra-UE apparaît |
| Hébergement (frontal + origine) | 25 | Crédit au prorata entre la porte d'entrée et le serveur d'origine |
| Cloud applicatif | 15 | Part des services souverains, au prorata |
| Annuaire DNS | 10 | Souverain = plein ; extra-UE = 0 |
| Traceurs tiers (vie privée) | 10 | Plein si aucun traceur extra-UE ; dégressif selon le nombre |
| Identité / connexion | 10 | Si observable ; sinon le poids est redistribué |
| Certificat & briques tierces | 5 | Souverain = plein ; extra-UE = 0 |
| Total | 100 |
De l'extérieur, certaines choses restent invisibles — et prétendre le contraire serait malhonnête. Ces points relèvent d'un audit sur site.
Et vos sauvegardes, leur fréquence, leur emplacement.
Qui peut accéder à vos systèmes côté prestataire, et à quelles conditions.
Bureautique réellement utilisée, ERP, clés de chiffrement.