Quand les données voyagent, les frontières résistent
Il y a quelque chose d'un peu surréaliste à confier ses secrets d'entreprise à un serveur dont on ignore fondamentalement où il se trouve la nuit. San Jose ? Dublin ? Quelque part entre les deux, dans un espace juridique flou qui donne des sueurs froides aux juristes ? La souveraineté numérique n'est plus une préoccupation de technocrates bruxellois en mal de régulation : elle est devenue une question stratégique que les directions générales ne peuvent plus esquiver.
L'affaire n'est pas nouvelle, mais elle s'est considérablement accélérée. Entre le Cloud Act américain de 2018 (qui autorise les autorités américaines à accéder aux données hébergées par des entreprises américaines, même situées en Europe) et les révélations post-Snowden qui continuent de résonner, les entreprises européennes ont progressivement réalisé qu'« héberger en Europe » et « héberger souverainement » sont deux propositions très différentes.
Ce que « souveraineté du cloud » veut vraiment dire
La question juridictionnelle
On confond souvent localisation physique des données et protection juridique. Une donnée stockée à Francfort dans les datacenters d'un acteur américain reste potentiellement accessible aux autorités américaines via le Cloud Act. La localisation géographique n'est qu'une première couche, nécessaire mais largement insuffisante.
La souveraineté du cloud repose sur trois éléments : la localisation des données sur le territoire national ou européen, le droit applicable en cas de conflit, et le contrôle opérationnel. Ce troisième point mérite qu'on s'y attarde. Qui administre l'infrastructure ? Qui détient les clés de chiffrement ? Qui peut être contraint de coopérer avec quel État ? C'est là que se joue la distinction entre un cloud « européen de façade » et une offre souveraine sérieuse. Quand Microsoft propose Azure avec des garanties de résidence des données en France, le code reste américain, la maison mère reste américaine, et la question juridictionnelle demeure entière.
RGPD, DORA, NIS2 : un corpus réglementaire qui structure le marché
Le législateur européen a construit depuis 2018 un corpus qui pousse les organisations vers plus de rigueur. Le RGPD a posé les bases. La directive NIS2, entrée en application en octobre 2024, étend les obligations de cybersécurité à des secteurs jusqu'alors épargnés. DORA, applicable au secteur financier depuis janvier 2025, impose une résilience opérationnelle dont les exigences sur le cloud sont particulièrement précises.
Ces réglementations ne prescrivent pas explicitement l'usage d'un cloud souverain, mais elles créent un environnement où choisir un prestataire extra-européen devient un risque documenté, qu'il faut assumer, justifier et gérer. Ce qui revient souvent à le rendre moins attractif.
Le paysage des offres : de Bleu à Outscale, qui fait quoi
Les acteurs nationaux qui ont pris de l'avance
La France dispose d'un tissu d'acteurs qui mérite davantage d'attention qu'il n'en reçoit généralement. OVHcloud s'est imposé comme le champion européen du cloud alternatif, avec une infrastructure qui couvre l'essentiel des besoins des PME et des ETI. Son positionnement, fondé sur la souveraineté, des prix compétitifs et l'ouverture aux standards ouverts, en fait souvent le premier réflexe des équipes IT souhaitant sortir de l'orbite américaine.
Outscale, filiale de Dassault Systèmes, occupe un segment plus spécialisé, avec des certifications sectorielles adaptées aux industries régulées. Scaleway, née dans le groupe Iliad, a construit une offre technique cohérente, appréciée dans l'écosystème startup et scale-up qui cherche de la performance sans compromis sur l'origine des données.
L'initiative Bleu : quand les géants américains s'adaptent
Bleu est un cas d'école fascinant. Cette coentreprise entre Orange, Capgemini, Microsoft et Google avait pour ambition de créer un cloud souverain français en s'appuyant sur les technologies des hyperscalers américains, administré et détenu par des entités françaises. Sur le papier, l'équation semblait élégante : la puissance technologique des géants américains, la juridiction française, un opérateur que les autorités pourraient tenir à portée de main.
La réalité s'est avérée plus complexe. Le projet a subi plusieurs retards et reformulations, soulevant des questions légitimes sur la capacité réelle à créer une étanchéité juridique entre une technologie américaine et une entité française. Peut-on vraiment rendre souverain du code dont on ne maîtrise pas les mises à jour, les dépendances profondes, les éventuelles portes dérobées ? Le débat n'est pas clos.
GAIA-X : le rêve européen entre ambitions et désillusions
Le projet GAIA-X, lancé en fanfare par Berlin et Paris en 2019, devait structurer un espace européen de données interopérable et souverain. Cinq ans plus tard, le bilan est contrasté. L'organisation a produit des standards, des frameworks, une gouvernance, mais la réalité commerciale a été moins enthousiasmante que les annonces initiales.
Ce qui reste de GAIA-X n'est pas rien pour autant : une vision partagée des critères de souveraineté, des labels qui commencent à structurer les appels d'offres publics et privés, et une prise de conscience collective que l'Europe doit penser son infrastructure numérique comme ses routes ou ses réseaux électriques, c'est-à-dire comme un bien stratégique, pas comme un service qu'on délègue au moins-disant.
Ce que les entreprises doivent arbitrer concrètement
La cartographie des données : premier geste indispensable
Avant de choisir un prestataire, encore faut-il savoir ce qu'on cherche à protéger. Toutes les données ne se valent pas. Les données de R&D, les contrats clients, les informations sur les salariés, les données financières sensibles : chaque catégorie a un niveau de sensibilité différent et une réglementation potentiellement spécifique.
La bonne pratique consiste à établir une cartographie précise de ses actifs data avant d'engager toute réflexion d'hébergement. C'est fastidieux, ça prend du temps, et c'est absolument nécessaire. On ne peut pas protéger ce qu'on ne sait pas qu'on détient.
Les secteurs sous obligation et les autres
Certains secteurs n'ont plus vraiment le choix. Les opérateurs d'importance vitale (OIV), les opérateurs de services essentiels (OSE), les acteurs de la santé avec l'hébergement HDS : pour eux, la souveraineté du cloud est une obligation réglementaire assortie de sanctions. L'ANSSI délivre les qualifications qui font foi dans ces environnements.
Pour les autres, c'est une décision stratégique qui mêle gestion du risque, conformité proactive et, parfois, argument commercial. De plus en plus de clients, notamment dans l'industrie et les services B2B, intègrent l'origine de l'hébergement dans leurs critères de sélection fournisseurs. Ce qui était hier une préoccupation de RSSI devient aujourd'hui un argument de vente.
L'équation économique : le premium souverain existe, il se réduit
Le cloud souverain a longtemps souffert d'un écart de prix significatif avec les grandes plateformes américaines. Cet écart existe toujours, mais il s'est réduit à mesure que les acteurs européens ont industrialisé leurs offres et que les volumes ont permis des économies d'échelle.
Il faut aussi intégrer dans le calcul les coûts cachés du cloud non souverain : conformité croissante, risques de pénalités RGPD, complexité des audits, et, scénario qu'on écarte trop vite, le coût d'une fuite de données attribuable à une faille juridictionnelle. Avec cette vision totale du risque, le premium souverain devient souvent plus défendable qu'il n'y paraît à première lecture.
Vers une maturité du marché souverain
Le marché du cloud souverain européen ressemble à ces quartiers en pleine gentrification : on y voit clairement le potentiel, on observe les premiers signes de transformation, mais l'écosystème n'a pas encore la fluidité d'un marché mature. Ce qui manque encore, c'est une interopérabilité réelle entre acteurs européens, des certifications harmonisées à l'échelle de l'Union, et une commande publique suffisamment cohérente pour jouer son rôle de locomotive. Des chantiers en cours, des progrès visibles ; un rythme qui frustrerait un entrepreneur mais qui, à l'aune des transformations institutionnelles, s'avère presque rapide.
Les entreprises qui engagent dès maintenant leur réflexion sur la souveraineté de leur infrastructure cloud seront mieux placées dans dix-huit mois, quand les réglementations se seront précisées et quand les clients auront définitivement intégré l'origine des données dans leurs critères d'achat. L'avance ne se prend pas en dernier.
