Annexe technique
La méthode, publiée
Un score n’a de valeur que si sa méthode est publique et contestable. Voici exactement ce que l’audit observe, comment chaque point est retiré, et ce que l’outil ne sait pas voir. Le barème vit dans le code, cette page le documente.
01Le principe : observer, pas déclarer
L’audit n’interroge pas le site sur ses intentions, il le regarde fonctionner. La page est ouverte dans un navigateur Chromium réel, comme le ferait un visiteur, et chaque requête réseau émise est capturée : scripts, polices, images, traceurs, iframes. En parallèle, l’outil relève l’infrastructure observable du domaine : adresse IP confrontée aux registres publics (RDAP), DNS inverse, chaîne CNAME, en-têtes HTTP signant un intermédiaire (cf-ray, x-amz-cf-id...), serveurs de noms, enregistrements MX, émetteur du certificat TLS, registrar et registre de l’extension.
Chaque constat est rattaché à une règle nommée, avec sa preuve : l’URL requêtée, l’adresse IP, l’en-tête observé. Un rapport ne contient aucune affirmation sans son élément de preuve.
02Le barème : 100 points, des retraits justifiés
Chaque site part de 100. Chaque dépendance détectée retire des points selon sa gravité : l’ampleur de ce que le tiers peut voir ou contrôler, et son exposition à un droit extra-européen. Le score final est borné entre 0 et 100.
| Dépendance détectée | Points |
|---|---|
| Hébergement chez un GAFAMSite servi par AWS, Azure ou Google Cloud : toutes les visites transitent par cette infrastructure. | -25 |
| Hébergement ou CDN américain non GAFAMCloudflare, Vercel, Netlify, Fastly... : l’intermédiaire termine la connexion et voit tout le trafic. | -20 |
| Service critique de collecteGoogle Analytics, régies publicitaires, pixels Meta ou TikTok, Google Tag Manager. | -12 à -15 |
| Emails gérés hors d’EuropeEnregistrements MX pointant vers Google Workspace ou Microsoft 365 : la correspondance entière. | -10 |
| Ressource tierce majeureGoogle Fonts servi par Google, reCAPTCHA, Google Maps, CDN de scripts américains, cookies traceurs posés avant consentement, adresse IP allouée hors d’Europe. | -8 à -10 |
| DNS confiés à un acteur non européenRoute53, Cloudflare DNS... : ce prestataire contrôle vers où pointe le domaine. | -5 |
| Signaux secondairesRegistrar non européen, certificat TLS d’une autorité extra-européenne, extension de domaine gérée par un registre non européen. | -3 à -5 |
La base compte actuellement 51 règles de détection de ressources non souveraines, chacune assortie d’une explication en français courant et, quand elle existe, d’une alternative européenne parmi les 47 référencées dans l’annuaire.
03Les verdicts
| Score | Verdict |
|---|---|
| 90 à 100 | Souverain |
| 75 à 89 | Plutôt souverain |
| 50 à 74 | Souveraineté mixte |
| 25 à 49 | Fortement dépendant |
| 0 à 24 | GAFAM owned |
04Les signaux positifs
L’outil reconnaît aussi 18 services européens (Matomo, Plausible, Bunny, Crisp, Brevo, hébergeurs souverains...) et les infrastructures européennes constatées. Ces signaux sont listés dans le rapport mais ne rajoutent aucun point : le score mesure la dépendance, pas les bonnes intentions. Un site sans aucune dépendance non européenne garde ses 100 points, c’est sa récompense.
05Les sous-domaines : la façade ne suffit pas
La vitrine et l’application vivent souvent sur des infrastructures différentes : une page d’accueil exemplaire chez un hébergeur européen, et l’espace client derrière Cloudflare ou AWS. L’audit énumère donc les sous-domaines du domaine analysé via les journaux publics de Certificate Transparency, complétés d’un sondage de noms courants (app, api, moncompte, boutique...), résout ceux qui répondent et identifie l’hébergement de chacun. Chaque sous-domaine du rapport peut être analysé à son tour.
06Les limites, assumées
- L’audit voit ce qu’un navigateur voit. Les dépendances internes (bases de données, sous-traitants, sauvegardes, outils métiers) sont invisibles depuis l’extérieur. Un score de 100 signifie « aucune dépendance observable depuis le navigateur », pas « entreprise souveraine de bout en bout ».
- La page d’accueil sert de témoin. Les pages profondes peuvent charger d’autres services (paiement, support, vidéos). Les sous-domaines sont analysés en surface : hébergement, pas contenu.
- Un proxy de premier niveau peut masquer un tiers. Un service américain servi depuis le domaine du site (reverse proxy, first-party collect) peut échapper aux règles. L’inverse est plus rare : les faux positifs sont traités en priorité.
- Le rapport est daté. Un site évolue ; le score reflète l’instant de l’analyse. Relancez l’audit après chaque changement d’infrastructure.
- Ce n’est pas un avis juridique. Le score documente des dépendances techniques et leur exposition à des droits extra-européens. Il ne remplace ni une analyse de conformité RGPD ni un audit contractuel.
07Le badge de score
Chaque rapport partagé expose un badge SVG, à jour des couleurs du verdict, que vous pouvez afficher sur votre site, votre README ou vos pages commerciales. Le badge pointe vers le rapport public : le score n’est jamais auto-déclaré, il est vérifiable en un clic.
<a href="https://<cet-outil>/r/<id-du-rapport>">
<img src="https://<cet-outil>/api/badge/<id-du-rapport>"
alt="Score de souveraineté numérique" height="28" />
</a>Le bouton « Copier le badge » d’un rapport génère ce code avec les bonnes adresses. Analysez votre site, obtenez votre lien de partage, affichez votre score.
La méthode vous convainc ? Vérifiez-la.
Analysez n’importe quel site : chaque point retiré est justifié, preuve à l’appui.