BETA TEST VERSION Service en phase de test : les rapports sont indicatifs, perfectibles et ouverts aux corrections documentées.

Méthodologie

Principes, périmètre et limites de l’analyse de souveraineté numérique proposée par EuroVerif.

Périmètre de recherche

EuroVerif s’inscrit dans une démarche de recherche appliquée sur la souveraineté numérique européenne, portée par OGPN — Observatoire de la gouvernance et des politiques numériques. L’outil cherche à rendre visibles des dépendances techniques qui sont souvent peu lisibles pour les utilisateurs, les décideurs et parfois les éditeurs eux-mêmes.

L’analyse porte principalement sur la page d’accueil publique d’un site et sur les ressources techniques qu’elle expose. Des dépendances présentes dans des espaces privés, des tunnels applicatifs, des pages secondaires ou des rendus JavaScript complexes peuvent ne pas être détectées.

Les quatre catégories

Chaque élément détecté est classé dans une catégorie indicative. Cette classification sert à orienter la lecture, pas à qualifier juridiquement le site.

Dépendances extra-européennes

Services, infrastructures ou prestataires pouvant relever principalement d’une juridiction, d’un contrôle capitalistique ou d’un écosystème technique extra-européen. Cette catégorie n’implique pas automatiquement un transfert de données personnelles ni une non-conformité juridique.

Briques européennes

Services ou infrastructures opérés par des acteurs européens ou proches du cadre juridique européen, lorsque les informations disponibles permettent une classification raisonnable.

Logiciels libres ou neutres

Logiciels ou briques techniques dont la souveraineté dépend surtout du contexte de déploiement : hébergeur, infogérance, configuration, modules utilisés et services associés.

Non déterminé

Élément détecté mais insuffisamment documenté, ambigu, masqué par un intermédiaire technique ou absent de notre base de correspondance. Cette catégorie limite les faux positifs.

Comment lire l’indice indicatif

L’indice affiché dans un rapport n’est pas un “pourcentage de souveraineté” et ne doit pas être interprété comme une note officielle. Il s’agit d’un repère de lecture destiné à comparer les signaux visibles d’un même site dans le temps et à aider le webmaster à prioriser les vérifications.

Le calcul part d’un niveau intermédiaire, puis applique des pondérations simples : les dépendances favorables ou mieux maîtrisables améliorent l’indice, les dépendances extra-européennes ou difficiles à maîtriser le réduisent plus fortement, les éléments neutres l’influencent faiblement, et les éléments non déterminés réduisent légèrement la confiance dans le résultat. Une analyse partielle, une erreur technique ou un blocage robots.txt peut aussi limiter l’interprétation.

Dans la version bêta actuelle, l’indice part d’une base intermédiaire de 55 points. Les briques favorables ajoutent environ 8 points chacune, les éléments neutres environ 3 points, les dépendances à examiner retirent environ 12 points, les éléments non déterminés retirent environ 2 points, et une analyse techniquement partielle peut retirer environ 10 points. Le résultat est borné entre 0 et 100. En cas de blocage explicite par robots.txt, l’indice est affiché comme une analyse limitée plutôt que comme une évaluation du site.

Ce choix évite de présenter un site comme “conforme” ou “non conforme” sur la seule base d’une observation automatisée. Le score sert donc à exprimer une trajectoire — favorable, intermédiaire ou à examiner — et non un verdict juridique, contractuel ou cybersécurité. La pondération pourra évoluer pendant la bêta si les retours des webmasters ou les tests nationaux montrent qu’elle produit trop de faux signaux.

Ce que nous analysons

EuroVerif observe des familles de signaux publics : infrastructure apparente, DNS, messagerie, certificats, en-têtes HTTP, ressources front-end et services tiers visibles depuis la page analysée. La page ne détaille volontairement pas l’ensemble des règles de classification, afin de préserver la qualité du projet et de limiter les contournements ou copies opportunistes.

Les webmasters qui souhaitent comprendre une détection précise peuvent nous contacter ou demander une analyse commentée. Cette approche permet de rester transparent sur les résultats sans exposer inutilement toute la logique interne de classification.

Le robot d’analyse : EuroVerifBot

Les analyses automatisées sont réalisées par EuroVerifBot, le robot technique documenté d’EuroVerif. Son user-agent est EuroVerifBot/1.0 (+https://euroverif.eu/bot). Cette identification permet aux webmasters de reconnaître le passage du robot, de consulter sa finalité et de nous contacter en cas de question.

EuroVerifBot est utilisé dans le cadre des travaux de recherche et d’observation de OGPN — Observatoire de la gouvernance et des politiques numériques sur la souveraineté numérique européenne. Son rôle n’est pas de contrôler ou de sanctionner un site, mais d’aider à documenter les dépendances visibles et les marges d’amélioration.

Respect de robots.txt

Avant de récupérer la page d’accueil, le moteur vérifie robots.txt et interrompt l’analyse lorsqu’un refus explicite s’applique à EuroVerifBot ou à l’ensemble des robots.

Ce choix relève d’une règle volontaire de bonne conduite. Il ne transforme pas robots.txt en avis juridique, mais il facilite le dialogue avec les webmasters et réduit les analyses non souhaitées.

Fiabilité et limites

Une analyse automatisée peut être incomplète. Les causes les plus fréquentes sont les blocages par WAF, les redirections complexes, les scripts chargés après interaction utilisateur, les proxys, les CDN, les domaines mutualisés, les prestataires difficiles à identifier et les bases de classification encore incomplètes.

EuroVerif privilégie une classification prudente : lorsqu’un élément n’est pas suffisamment documenté, il doit rester en “non déterminé” plutôt que d’être présenté comme une certitude.

Données, conservation et agrégation

Les résultats peuvent être conservés temporairement afin d’éviter des analyses répétées. La durée de cache standard est de 7 jours, ce qui limite les requêtes répétées vers un même site. Les refus explicites via robots.txt peuvent également être conservés comme trace statistique, sans adresse IP visiteur, afin de mesurer la part des analyses techniquement bloquées. Les statistiques de recherche doivent être interprétées comme des tendances techniques, non comme un classement juridique ou une liste de conformité.

Interpréter un rapport comme une trajectoire

Un rapport EuroVerif doit être lu comme un outil d’aide à la décision. Il peut montrer qu’un site a déjà réduit certaines dépendances, qu’il utilise des briques européennes ou libres, ou qu’il conserve des services tiers dont l’impact mérite d’être discuté. L’objectif est d’encourager une progression réaliste vers plus de maîtrise technique, pas de produire un jugement définitif.

Les organisations qui souhaitent aller plus loin peuvent demander une analyse commentée, des recommandations d’alternatives ou une relecture contradictoire du rapport. Voir les services et accompagnements possibles.

Correction et contestation

Si vous êtes webmaster d’un site analysé et constatez une erreur, vous pouvez demander une correction ou fournir des informations de contexte. Les corrections utiles permettent d’améliorer la base de classification.

Contact : support@euroverif.eu

Avertissement. EuroVerif produit une analyse technique automatisée à partir de signaux publiquement observables. Il ne s’agit ni d’un audit juridique, ni d’une certification RGPD, ni d’un audit de cybersécurité. Chaque détection doit être comprise comme une observation technique contextualisable, pas comme un verdict.