Après l’incident à la Cour pénale internationale, qui a remplacé Microsoft par un logiciel open source européen après qu’un de ses procureurs ait été privé d’outils professionnels en raison de sanctions américaines, la fin de l’année dernière et ce début 2026 sont riches en actualités liées au cloud souverain.
Le sujet s’impose désormais à tous pour Thomas Dallemagne, associé Data & IA chez Klee Group : si demain un gouvernement étranger, un fournisseur ou une crise géopolitique perturbait l’accès d’une personne, ou d’une entreprise à ses propres systèmes, serait-elle en mesure de réagir ?
Sur le sujet, les choix d’infrastructure ont un impact direct sur la capacité d’une organisation à garder la maîtrise de ses données et de ses applications. Loin d’être une question abstraite ou un choix binaire, la souveraineté s’apparente aujourd’hui plus que jamais à un curseur à positionner.
Un spectre technologique large
D’un côté du spectre, les hyperscalers américains : puissance de calcul inégalée, catalogues de services gigantesques… Mais ces acteurs traînent avec eux un arsenal juridique extraterritorial que beaucoup d’entreprises sous-estiment encore. Entre Le Cloud Act, le FISA ou l’Executive Order 12333, les textes américains couvrent l’intégralité du cycle de vie de la donnée : données stockées, plateformes, données en transit. La juridiction suit la propriété, pas la localisation, et un datacenter AWS à Paris reste donc juridiquement un datacenter américain. Faire appel aux services de ces opérateurs, c’est renoncer à sa souveraineté.
Un cran au-dessus, on trouve les offres hybrides dites « de confiance », et notamment S3NS, une joint-venture entre Thales et Google. En décembre 2025, son offre PREMI3NS a obtenu la qualification SecNumCloud 3.2 de l’ANSSI[1], une première pour une offre hybride combinant technologie américaine et opération française. L’ANSSI a ainsi tranché un long débat : la souveraineté ne dépend pas exclusivement de l’origine de la technologie, mais surtout du contrôle opérationnel et des garanties juridiques apportées.
D’autres initiatives de ce type ont ensuite apparu plus récemment : AWS, qui a lancé début 2026 son European Sovereign Cloud ou Bleu, joint-venture entre Orange, Capgemini et Microsoft, qui a passé les premiers jalons du processus de qualification SecNumCloud. La question de savoir si ce modèle peut tenir face aux lois extraterritoriales a désormais une première réponse concrète : l’État français a validé l’approche avec S3NS. Il reste à voir si cette logique tiendra dans la durée, et si Bleu obtiendra la même reconnaissance.
Enfin, à l’autre bout du spectre, OVHcloud, Cloud Temple ou encore Outscale opèrent sous la qualification SecNumCloud dans sa forme stricte : chaîne de contrôle entièrement européenne, sans composante technologique soumise à une juridiction étrangère. Si ce niveau de garantie présente un certain surcoût et un catalogue inférieur aux plateformes américaines, pour certaines organisations c’est la seule option valide (si l’on fait abstraction des clouds privés, bien sûr).
Entre ces pôles, les architectures hybrides permettent de distribuer les charges de travail selon leur sensibilité : un hyperscaler US pour les traitements IA lourds, un cloud souverain pour les données critiques par exemple. C’est souvent la stratégie la plus cohérente, à condition qu’elle soit pilotée consciemment.
Un curseur stratégique
Face à ce choix technologique, la question devient aussi simple que sa réponse stratégique : quelle doctrine choisir en matière de souveraineté numérique ? Pour trouver la réponse, et bien positionner ce curseur, l’analyse du risque encouru s’avère particulièrement utile, au-delà du seul surcoût financier. D’abord, le risque de non-conformité, qui peut être en partie adressé par le choix du cloud souverain. Dans le cadre du RGPD par exemple, un cloud certifié SecNumCloud peut réduire la surface d’exposition, alléger les audits et renforcer les garanties contractuelles, avec, en plus, un coût opérationnel moindre.
De même, si l’on considère la continuité des activités, le risque de désactivation unilatérale par une autorité étrangère est toujours un angle mort. Or, dans la continuité de l’épisode de la CPI il serait utile de l’intégrer dans les plans de continuité d’activité. Le bon calcul n’est donc pas limité au coût de la facture de consommation mais doit intégrer le coût total et le niveau de risque qu’une organisation est prête à supporter.
Ainsi, la souveraineté numérique n’est point une posture idéologique mais un sujet stratégique, à traiter de façon factuelle sous l’angle du risque encouru. En pratique, seule une partie des charges de travail européennes nécessite une approche réellement souveraine. La majorité de celles-ci peut rester sur des architectures non/peu souveraines, à condition que ce soit un choix conscient. Mais cela suppose une démarche concrète : cartographier ses actifs numériques, évaluer les risques juridiques, réglementaires et de continuité pour chacun et construire une architecture différenciée. La bonne réponse n’est donc presque jamais le “tout souverain” ou le “tout hyperscaler”.
Ce qui est certain, en revanche : chaque année passée sans décision est une année de dépendance supplémentaire, avec les risques associés et un éventuel coût de sortie qui augmente. Il y a l’urgence de se poser la question de la souveraineté… avant d’y être contraint.
[1] Les réponses européennes à la souveraineté numérique sont entre autres : le SecNumCloud (ANSSI – France) ; l’EUCS (EU Cybersecurity Certification Scheme for Cloud), certification européenne en cours d’élaboration ; et le projet Gaia-X, avec l’ambition de proposer un écosystème cloud européen interopérable. À date, seule SecNumCloud propose une réponse opérationnelle crédible, mais elle reste franco-française
Sources : PwC EMEA Cloud Business Survey 2025 ; Accenture European Sovereign AI Report, nov. 2025 ; ANSSI / SecNumCloud ; S3NS / Business Wire, déc. 2025 ; Usine Digitale, avr. & nov. 2025 ; Associated Press, mai 2025 ; Direction générale des Entreprises / France 2030.
