Lorsque vous lancez un scan COCORRIDOR, vous obtenez un Score de Souveraineté Numérique compris entre 0 et 100. Mais comment ce chiffre est-il calculé ? Quels critères entrent en jeu ? Et surtout, comment l'améliorer ?
Ce guide détaille la méthodologie V8 utilisée par COCORRIDOR pour évaluer la souveraineté numérique de votre site web. Le score n'est pas un simple compteur de services : c'est une formule à deux couches qui combine détection technique, pondération par criticité et plafonnement par exposition géographique.
Pourquoi un score de souveraineté ?
Selon le baromètre du CIGREF (2025), 92 % des entreprises françaises dépendent d'au moins un service cloud américain. Ces services sont soumis au Cloud Act et à la section 702 du FISA, qui permettent aux autorités américaines d'accéder aux données stockées, y compris sur des serveurs européens.
Le Score de Souveraineté Numérique quantifie cette exposition. Il permet de répondre à une question simple : dans quelle mesure votre infrastructure web dépend-elle de juridictions extra-européennes ?
Les 14 vecteurs de détection
Avant de calculer le score, COCORRIDOR identifie les services présents sur votre site. Cette détection repose sur 14 vecteurs d'analyse combinés :
| Vecteur | Ce qu'il analyse | Exemple de détection |
|---|---|---|
| DNS | Enregistrements A, CNAME, MX, TXT, DMARC | OVHcloud via CNAME, Brevo via MX |
| Headers HTTP | En-têtes de réponse serveur | Cloudflare via cf-ray, Vercel via x-vercel-id |
| Scripts | Fichiers JavaScript chargés | Google Analytics via gtag.js |
| Cookies | Cookies déposés par domaine | Meta Pixel via _fbp |
| TLS | Certificats SSL et autorités de certification | Let's Encrypt, Sectigo, DigiCert |
| GTM | Conteneurs Google Tag Manager | HubSpot, Hotjar configurés dans GTM |
| HTML / méta | Balises meta, link, générateurs | WordPress via meta generator |
| Preconnect | Domaines en dns-prefetch et preconnect | Polices Google, CDN tiers |
| Globals JS | Variables globales JavaScript | Intercom via window.Intercom |
| createElement | Chargement dynamique de scripts | Loaders invisibles au HTML statique |
| robots.txt | Règles d'indexation | Sitemaps hébergés, User-Agent spécifiques |
| CSS | Imports de polices et ressources | Google Fonts via @import |
| Sous-pages | Pages stratégiques (contact, blog, checkout) | HubSpot sur /contact uniquement |
| Patterns DB | Base de plus de 400 signatures connues | Correspondance multi-vecteur combinée |
Chaque détection reçoit un niveau de confiance : high, medium, low ou unverified. Seules les détections medium et high participent au calcul du score. Les détections à faible confiance sont affichées mais ne pénalisent pas votre résultat.
Couche 1 : détection et pondération
La première couche part d'un score de base de 100 et applique une pénalité pour chaque service détecté. La pénalité dépend de trois facteurs multipliés entre eux :
- Pays d'origine : un service américain pénalise plus qu'un service suisse. Les services français, européens et open-source n'entraînent aucune pénalité.
- Type de service : un hébergeur ou une base de données pèse plus qu'un CDN ou une police de caractères. Les multiplicateurs vont de 0.3 (fonts) à 1.8 (IA, database).
- Criticité : un service qui traite des données personnelles (analytics, paiement) est plus critique qu'un outil purement technique.
La formule de la couche 1 est :
Score L1 = 100 + Σ (COUNTRY_SCORE × TYPE_MULTIPLIER × CRITICALITY)
Exemple : un site utilisant Google Analytics (US, analytics, criticité haute) et Scaleway (FR, hosting) obtiendra un Score L1 d'environ 90. Ajoutez Cloudflare (US, CDN) et le score descend vers 82.
Couche 2 : plafonds d'exposition géographique
La deuxième couche impose des plafonds maximaux selon l'exposition géographique de votre infrastructure :
| Situation | Plafond de score | Explication |
|---|---|---|
| Hébergement en Chine ou Russie | 10/100 | Aucune protection des données reconnue par l'UE |
| Hébergement aux États-Unis | 35/100 | Soumis au Cloud Act, accès physique aux serveurs |
| 3 services US ou plus (sans hébergement US) | 25/100 | Exposition systémique même avec hébergement EU |
| 2 services US | 35/100 | Exposition significative |
| 1 service US | 45/100 | Exposition limitée mais réelle |
| Aucune dépendance US | 100/100 | Pas de plafonnement |
Le score final est le minimum des deux couches : Score = min(Layer 1, Layer 2). Ce mécanisme garantit qu'un hébergement américain ne peut pas être compensé par l'utilisation de services européens dans d'autres catégories.
Les grades A à G
Le score numérique est traduit en un grade pour faciliter la lecture :
| Grade | Score | Signification |
|---|---|---|
| A | 85 à 100 | Infrastructure souveraine exemplaire |
| B | 70 à 84 | Bon niveau, quelques ajustements possibles |
| C | 55 à 69 | Moyen, migrations prioritaires identifiées |
| D | 40 à 54 | Exposition significative au Cloud Act |
| E | 25 à 39 | Majorité de services extra-européens |
| F | 10 à 24 | Dépendance critique, aucune maîtrise |
| G | 0 à 9 | Infrastructure entièrement dépendante |
Ce qui impacte le plus votre score
Selon l'analyse de 5 000 scans réalisés par COCORRIDOR entre janvier et mars 2026, voici les services qui pèsent le plus lourd :
- Hébergement US (AWS, Vercel, Netlify) : plafonnement à 35/100 par la couche 2. Migrer vers Scaleway, OVHcloud ou Infomaniak peut faire gagner +30 à +50 points.
- Google Analytics / GA4 : présent sur 68 % des sites, pénalise fortement (analytics, criticité haute). Alternative : Matomo, Plausible, Pirsch.
- Cloudflare : utilisé par 41 % des sites. Tout le trafic transite par des serveurs US. Alternative : Bunny.net (slovène), Gcore.
- Meta Pixel / Facebook : tracking publicitaire, transfert de données comportementales vers les US.
- Outils IA US (OpenAI, Google Gemini) : multiplicateur type 1.8 (maximum). Alternative souveraine : Mistral AI.
Score de souveraineté et Focus Juridique
Le score affiché combine deux dimensions :
- Score technique (70 %) : la formule V8 décrite ci-dessus
- Score juridique (30 %) : l'évaluation de vos documents légaux (mentions légales, politique de confidentialité, politique cookies, conformité AI Act)
Le Focus Juridique analyse 6 dimensions pondérées : complétude (25 %), cohérence (25 %), transparence RGPD (20 %), CMP cookies (15 %), droit de contact (10 %) et déclarations IA (5 %). Un site techniquement souverain mais sans mentions légales conformes verra son score global diminué.
Pour générer des documents légaux conformes et améliorer votre score juridique, utilisez le Legal Builder COCORRIDOR.
Foire aux questions
Mon score peut-il dépasser 100 ?
Non. Le score est plafonné à 100. Un site entièrement hébergé en France, sans aucune dépendance extra-européenne et avec des documents légaux complets, obtiendra un score de 100/100 (grade A).
Pourquoi mon score est-il plafonné à 35 alors que j'utilise peu de services US ?
Si votre hébergement est aux États-Unis, la couche 2 impose un plafond à 35/100. L'hébergement est le vecteur le plus critique car toutes les données de votre site transitent par ces serveurs. La migration de l'hébergement vers un fournisseur européen est la première action à envisager.
Les logiciels open-source américains pénalisent-ils le score ?
Les logiciels open-source auto-hébergés (WordPress, GitLab, Matomo) ne pénalisent pas le score, car les données restent sur votre infrastructure. En revanche, un service SaaS américain, même basé sur de l'open-source (par exemple GitHub, la version cloud de GitLab), est soumis au droit américain et pénalise le score.
Comment améliorer mon score rapidement ?
Les quick wins les plus efficaces : (1) remplacer Google Analytics par Matomo ou Plausible (+8 à +15 points, 1 heure de travail), (2) remplacer Google Fonts par des polices hébergées localement (+2 à +5 points, 15 minutes), (3) retirer les trackers publicitaires inutilisés (Meta Pixel, TikTok Pixel). Lancez un scan gratuit pour identifier vos priorités.