E2SN (École des Souverainetés et Sécurités Numériques) est la maison-mère qui articule trois métiers en une seule structure : E2SN École (formations cybersécurité, IA, pédagogie numérique), E2SN Édition (suite logicielle E2SNauthor) et E2SN Conseil (accompagnement écoles, organismes de formation et institutions). Bureaux opérationnels à l'Innoverie, Lyon Gerland. Démarche Qualiopi engagée.

Quelles formations propose E2SN École ?

E2SN École propose 7 formations courtes d'une journée (cybersécurité, IA, numérique responsable), des cursus RNCP niveau licence (niveau 6) en ouverture prochaine, et des bootcamps thématiques sur demande. Toutes les formations sont hybrides (e-learning + présentiel). Démarche Qualiopi engagée, éligibilité aux financements sous réserve de certification.

Qu'est-ce que E2SNauthor ?

E2SNauthor est la suite logicielle développée par E2SN Édition pour les organismes de formation. Quatre sous-marques : Lyra orchestre (IA agentique), Studio compose (édition canvas), LCMS diffuse (diffusion + conformité), Pilot administre (gestion organisme). Pseudonymisation côté client avant tout appel IA. Hébergement en France. Conforme par construction (Qualiopi, RGPD, AI Act). Accessible dès la version Découverte gratuite, sans limite de durée.

Siège social E2SN SAS : 2 avenue Raymond de Veyssière, 69130 Écully. Bureaux opérationnels : Innoverie, 2 avenue Tony Garnier, 69007 Lyon (incubateur émanation de l'IRIIG). Membre de la French Tech Saint-Étienne Lyon et du CLUSIR. Partenariats signés avec Stormshield et Adnet.

E2SN est-il certifié Qualiopi ?

E2SN a une démarche Qualiopi engagée — audit conforme passé en mai 2026 (19/19 indicateurs). La certification définitive est en cours de délivrance. Les formations sont éligibles aux financements OPCO sous réserve de certification officielle.

SecNumCloud 3.2 : « hébergé en Europe » ne suffit pas

« Vos données sont hébergées en Europe. » C'est sans doute la phrase la plus rassurante — et la plus trompeuse — du marketing cloud destiné aux organismes de formation. En 2026, neuf prestataires ont obtenu la qualification SecNumCloud 3.2 de l'ANSSI. Douze candidatures sont en cours d'instruction. Et entre ces deux mondes, il y a une frontière juridique que peu d'OF ont mesurée : celle de l'immunité au CLOUD Act américain.

Ce que SecNumCloud 3.2 exige réellement

Le référentiel SecNumCloud 3.2, publié par l'ANSSI dans sa version actuelle, impose plus de 360 critères de conformité répartis en 14 thèmes : sécurité physique, sécurité logique, gestion des identités, gouvernance, conformité juridique, continuité d'activité. Mais ce n'est pas le volume qui en fait la singularité — c'est une exigence simple et radicale : l'immunité au droit extra-européen.

Concrètement, le référentiel exige que l'ensemble du service — exploitation, administration, support, maintenance — soit contrôlé par une entité de droit européen, détenue majoritairement par des capitaux européens, et administrée exclusivement depuis le territoire européen. Aucune entité du groupe ne peut être soumise à une obligation de transmission d'information à un État tiers. Ni en droit, ni en pratique.

Pourquoi « hébergé en Europe » ne suffit pas

L'arrêt Schrems II de la Cour de Justice de l'Union Européenne (16 juillet 2020, affaire C-311/18) a invalidé le Privacy Shield et posé une vérité juridique simple : les transferts de données personnelles vers les États-Unis sont incompatibles avec le RGPD tant que les lois américaines (CLOUD Act, FISA 702) permettent un accès gouvernemental sans contrôle juridictionnel européen.

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, Public Law 115-141, mars 2018) autorise les autorités américaines à exiger d'un opérateur de droit américain — où que ses serveurs soient physiquement situés — la transmission des données qu'il héberge. La FISA 702 (Foreign Intelligence Surveillance Act, Section 702) en élargit le périmètre pour le renseignement extérieur. Un datacenter Microsoft, Google, AWS ou Oracle situé à Paris, Francfort ou Dublin reste soumis à ces lois si l'entité opératrice est de droit américain ou contrôlée par un capital américain majoritaire.

L'illusion comptable du « cloud de confiance »

Plusieurs offres dites « cloud de confiance » sont apparues en France depuis 2023 — partenariats entre hyperscalers américains et opérateurs français (S3NS pour Google, Bleu pour Microsoft). Ces offres revendiquent la qualification SecNumCloud, et la version 3.2 du référentiel a précisément été pensée pour clarifier ces situations.

La déclaration conjointe ANSSI–BSI de mars 2026 (autorité allemande de cybersécurité) a posé une doctrine harmonisée franco-allemande : pour qu'une telle offre soit qualifiée, l'entité opératrice doit être de droit européen, contrôlée majoritairement par des capitaux européens, et démontrer que la maison-mère américaine n'a aucun accès opérationnel — y compris pour la maintenance, le support et l'administration technique. S3NS a obtenu cette qualification en mars 2026 ; d'autres candidatures sont en cours d'instruction.

Trois questions à poser à votre hébergeur LMS dès demain

Pour un OF qui héberge des données d'apprenants — notamment dans les secteurs régaliens, défense, santé ou collectivités — trois questions sont indispensables avant toute reconduction de contrat :

Sous quelle juridiction êtes-vous opérateur ? — Pas l'hébergeur. L'opérateur du service. Si la réponse implique une entité américaine, une filiale soumise au CLOUD Act, ou un actionnaire de contrôle américain, la souveraineté n'est pas réelle, quelle que soit la localisation des datacenters.
Êtes-vous qualifié SecNumCloud 3.2 ou en cours d'instruction officielle ? — La liste des prestataires qualifiés est publique sur cyber.gouv.fr. « En conformité avec SecNumCloud » n'est pas une qualification ; c'est une intention.
Pouvez-vous fournir une attestation écrite d'immunité aux lois extra-européennes ? — Cette attestation, opposable juridiquement, doit couvrir CLOUD Act, FISA 702, et toute autre obligation similaire d'un État tiers (Chine, Russie, Israël). Si elle n'existe pas, c'est que la garantie n'existe pas.

Le coût réel de la souveraineté

Le surcoût d'un hébergement SecNumCloud par rapport à un hyperscaler américain est aujourd'hui de l'ordre de 30 à 60 % selon les configurations — un écart qui se réduit rapidement avec la montée en charge des opérateurs qualifiés. Pour un OF de 50 à 200 apprenants actifs, le surcoût annuel se situe entre 800 € et 3 500 € — dérisoire au regard du coût d'un audit Qualiopi non renouvelé, d'un signalement CNIL, ou d'une procédure RGPD initiée par un apprenant.

La doctrine « Cloud au Centre » de 2023 a rendu SecNumCloud obligatoire pour l'hébergement des données sensibles des administrations publiques françaises. Aucune obligation équivalente ne pèse encore sur les organismes de formation privés — mais les marchés publics formation l'exigent déjà depuis 18 mois, et les appels d'offres OPCO, France Travail et CFA convergent rapidement vers la même exigence.

Ce qu'il faut comprendre

La souveraineté numérique n'est pas un luxe idéologique. C'est une condition pratique de l'accès aux marchés publics formation, de la conformité Qualiopi sur l'indicateur 27 (sous-traitance), du respect du RGPD pour les transferts internationaux, et de la résilience juridique face à un État tiers qui pourrait, légalement, demain, exiger l'accès aux données d'évaluation, de progression et de certification de vos apprenants.

Le choix n'est plus entre « cher mais conforme » et « pas cher mais risqué ». Il est entre opter pour la souveraineté maintenant — et bénéficier de l'arbitrage tarifaire en cours — ou découvrir dans 12 mois que vos apprenants, vos formateurs et vos auditeurs Qualiopi exigent ce que vous n'avez pas anticipé.

Ce qu'il faut retenir

Le LMS, l'outil auteur, le serveur de quiz, le moteur de certificats : tous traitent des données personnelles d'apprenants français dans un cadre Qualiopi et RGPD. SecNumCloud 3.2 n'est pas une option pour OF intéressés par la souveraineté. C'est l'application normale du droit européen quand on prend au sérieux la protection des apprenants.

Bibliographie & sources

Toutes les sources citées dans cette tribune sont publiques et vérifiables. Les références suivent l'ordre d'apparition dans le texte.

ANSSI. (2024). Référentiel d'exigences SecNumCloud — version 3.2. Agence nationale de la sécurité des systèmes d'information. Consulter
ANSSI & BSI. (Mars 2026). Déclaration conjointe franco-allemande sur les critères de souveraineté cloud. Consulter
Cour de Justice de l'Union Européenne. (16 juillet 2020). Arrêt Schrems II, affaire C-311/18. Consulter
CLOUD Act — Clarifying Lawful Overseas Use of Data Act, Public Law 115-141, mars 2018. Consulter
FISA 702 — Foreign Intelligence Surveillance Act, Section 702 (réauthorisée 2024). Consulter
Premier ministre. (2023). Doctrine « Cloud au Centre » — Circulaire n° 6404-SG du 5 juillet 2021, mise à jour 2023. Consulter
Règlement (UE) 2016/679 (RGPD), considérants 101 à 116 — Transferts internationaux de données. Consulter

Vous êtes DSI, RSSI, dirigeant d'organisme de formation ou responsable conformité ? Découvrez ESSNAuthor, plateforme auteur et LCMS hébergée 100 % en France sur infrastructure de droit européen — sans exposition au CLOUD Act, sans dépendance américaine, conforme RGPD et Qualiopi par construction.

Essayer ESSNAuthor gratuitement Nous contacter