Souveraineté des données : cloud européen vs GAFAM en 2026

Qu'est-ce que la souveraineté des données, vraiment ?

La souveraineté des données est un concept souvent mal défini, utilisé à tort et à travers par des acteurs marketing. Une définition rigoureuse distingue quatre dimensions indépendantes, dont l'absence d'une seule suffit à compromettre la souveraineté réelle.

La souveraineté de localisation

Vos données sont physiquement stockées et traitées sur le territoire national (France) ou européen. C'est la dimension la plus communément avancée — et la moins suffisante. Une donnée stockée en France chez AWS est physiquement en France, mais accessible aux autorités américaines via le Cloud Act. La localisation est nécessaire mais insuffisante.

La souveraineté juridictionnelle

C'est la dimension centrale : le prestataire qui héberge vos données est soumis à quelle loi ? Une entreprise américaine hébergeant vos données en France reste soumise au droit américain — Cloud Act, International Emergency Economic Powers Act (IEEPA), National Security Letters. La juridiction du prestataire détermine votre exposition réelle, indépendamment de la localisation physique.

La souveraineté opérationnelle

Qui peut accéder à vos données dans le cadre des opérations normales ? Les personnels du prestataire — leurs accréditations, nationaux de quel pays, soumis à quelles obligations ? Pour les données les plus sensibles (défense, santé, finance), l'accès doit être limité à des personnels habilités par les autorités françaises.

La souveraineté capitalistique

Qui détient le capital du prestataire ? Une filiale européenne d'une entreprise américaine peut être actionnée via sa maison mère. Une entreprise européenne avec participation majoritaire américaine peut être soumise à des injonctions. La chaîne capitalistique doit être européenne pour garantir la souveraineté complète.

Le Cloud Act : pourquoi c'est le problème central

Le Clarifying Lawful Overseas Use of Data Act (2018) est la loi qui cristallise la tension entre cloud américain et souveraineté européenne. Elle oblige tout prestataire de services numériques américain à remettre des données aux autorités américaines sur injonction, quel que soit le pays de stockage physique. Refuser exposerait l'entreprise à des sanctions pénales fédérales.

Ce que cela signifie concrètement : si vous stockez vos données dans un datacenter AWS à Francfort, un procureur américain peut obtenir l'accès à ces données via une ordonnance Cloud Act, sans passer par les mécanismes d'entraide judiciaire européens, sans que vous en soyez informé. Vos données stratégiques — propriété intellectuelle, stratégie commerciale, données financières non publiées — peuvent être lues par des enquêteurs américains.

Le conflit avec le RGPD est direct et non résolu : le RGPD interdit le transfert de données personnelles vers des pays tiers sans garanties adéquates. Transmettre des données à la justice américaine via le Cloud Act constitue potentiellement une violation du RGPD pour le prestataire concerné. Mais le prestataire américain n'a légalement pas le choix entre obéir à la loi américaine ou respecter le RGPD. C'est un conflit de lois que ni les entreprises ni les prestataires ne peuvent résoudre — seuls des accords bilatéraux entre États pourraient le faire, et ils n'existent pas encore avec l'UE.

Les 5 critères de souveraineté à évaluer pour chaque prestataire

Face à la complexité de l'écosystème, voici les cinq critères à évaluer systématiquement pour tout prestataire cloud revendiquant la souveraineté.

Critère 1 : Nationalité juridique du prestataire

L'entité contractante (celle qui signe votre contrat) est-elle une société de droit français ou européen, sans maison mère soumise au droit américain ? C'est le critère le plus discriminant. OVHcloud SAS (France) : oui. AWS SARL (Luxembourg, filiale d'Amazon.com Inc. USA) : non. Microsoft Azure (Microsoft Ireland Operations Limited, filiale de Microsoft Corporation USA) : non.

Critère 2 : Certification SecNumCloud ou équivalent

La certification SecNumCloud de l'ANSSI est la référence française. Elle exige notamment que le prestataire soit juridiquement et capitalistiquement indépendant de toute influence extra-européenne. ISO 27001 et SOC 2 ne suffisent pas — elles certifient la sécurité opérationnelle, pas la souveraineté juridictionnelle.

Critère 3 : Chaîne capitalistique

Qui détient les actions du prestataire, et à quels droits de vote et de contrôle ? Un prestataire européen avec des investisseurs américains (fonds de capital-risque, fonds souverains) peut être soumis à des pressions extra-européennes via ses actionnaires. La transparence de l'actionnariat est un signal de fiabilité.

Critère 4 : Localisation des données et des équipes d'exploitation

Où sont physiquement vos données ? Où travaillent les ingénieurs qui y ont accès ? Un datacenter en France exploité par des équipes basées hors d'Europe peut exposer vos données à d'autres juridictions. Le SecNumCloud exige que les personnels avec accès aux données soient des ressortissants européens.

Critère 5 : Garanties contractuelles exécutoires

Les engagements de confidentialité et de souveraineté sont-ils dans le contrat principal (Order Form + DPA), opposables devant les tribunaux français/européens ? Un « engagement de souveraineté » dans un livre blanc marketing ne vaut rien. Une clause contractuelle avec pénalités définies et recours devant juridiction française est ce qui compte.

Les acteurs cloud européens : état des lieux 2026

OVHcloud : le leader européen

OVHcloud est le plus grand fournisseur cloud européen en capacité : 43 datacenters dans le monde, 1,6 million de serveurs, présence dans 140 pays. Coté en bourse à Paris (Euronext), actionnariat majoritairement familial (famille Klaba). Soumis au droit français, pas au Cloud Act.

Offre cloud : IaaS (instances dédiées et VPS), Object Storage (S3-compatible), Managed Kubernetes, bases de données managées, bare metal. Depuis 2023, OVHcloud a développé son offre IA : AI Notebooks, AI Training (fine-tuning), AI Deploy (serving de modèles), avec accès aux GPU NVIDIA A100 et H100 en location.

Points forts : prix agressifs (20-40 % moins cher qu'AWS sur le compute), transparence sur l'actionnariat, datacenter en France (Roubaix, Strasbourg, Gravelines), certification ISO 27001. Points faibles : maturité des services managés inférieure à AWS/Azure, support parfois critiqué, offre IA encore en maturation par rapport aux hyperscalers.

Statut souveraineté : excellente souveraineté juridictionnelle. Qualifié SecNumCloud pour certaines offres (qualification en cours d'extension). Recommandé pour : charges de travail IaaS standard, stockage objet, Kubernetes, IA non critique.

Scaleway : l'alternative technique française

Scaleway est la filiale cloud du groupe Iliad (Xavier Niel). Datacenter à Paris et Amsterdam, services modernes et bien documentés. Positionnement technique : API-first, DevOps-friendly, services managés de qualité (Kubernetes Kapsule, bases de données managées, Functions serverless).

En 2025-2026, Scaleway a accéléré son offre GPU : accès à des clusters H100, partenariat avec des labs d'IA européens, offre de fine-tuning managé. Ses prix GPU sont parmi les plus compétitifs en Europe pour les instances courte durée.

Points forts : DX (Developer Experience) excellente, API bien documentée, prix compétitifs, groupe 100 % français. Points faibles : plus petite surface de services que OVHcloud ou les hyperscalers, moins de régions géographiques. Recommandé pour : équipes techniques, startups, workloads GPU IA, compute serverless.

3DS Outscale (Dassault Systèmes) : le cloud sécurisé

3DS Outscale est la filiale cloud de Dassault Systèmes, l'un des rares acteurs cloud à avoir obtenu la qualification SecNumCloud complète dès 2019. Positionnement : cloud de confiance pour les données sensibles, secteur public, défense, santé. Les datacenters sont en France (région Paris), les équipes entièrement en France.

L'offre est plus limitée en surface (pas de services managés aussi étendus qu'AWS), mais la posture de sécurité est la plus robuste du marché français. Pour les entreprises soumises à des exigences réglementaires strictes (OIV, OSE, données de santé, défense), 3DS Outscale est souvent la seule option viable. Recommandé pour : secteur public, OIV/OSE, données de santé (HDS), défense, données très sensibles.

Clever Cloud : le PaaS européen

Clever Cloud est un PaaS (Platform-as-a-Service) français, idéal pour les développeurs qui veulent déployer des applications sans gérer l'infrastructure. Localisation des datacenters : France (Paris) et Europe. Entité française, pas de dépendance américaine. Offre : déploiement d'applications web, bases de données managées, add-ons.

Pour les projets IA, Clever Cloud permet de déployer des APIs LLM (via Docker ou buildpacks) avec des garanties de souveraineté. Moins adapté aux charges GPU intensives. Recommandé pour : déploiement d'applications web et APIs, startups tech, équipes sans ops dédiées.

Autres acteurs européens notables

Hetzner (Allemagne) : excellent rapport qualité/prix, très populaire pour les charges de travail developer, pas encore qualifié SecNumCloud mais soumis au droit allemand. Infomaniak (Suisse) : cloud éthique, transparence exemplaire, mais hors UE (droit suisse). IONOS (Allemagne, ex-1&1) : grand acteur européen avec des offres compétitives. T-Systems (Allemagne) : offre cloud souverain pour les grandes entreprises et le secteur public allemand.

Acteur	Pays	SecNumCloud	GPU/IA	Services managés	Prix relatif
OVHcloud	France	Partiel (en extension)	Oui (A100, H100)	Bon	Bas
Scaleway	France	Non (en cours)	Oui (H100)	Bon	Bas-moyen
3DS Outscale	France	Oui (qualifié)	Limité	Moyen	Élevé
Clever Cloud	France	Non	Non	PaaS uniquement	Moyen
Hetzner	Allemagne	Non	Non	Limité	Très bas
IONOS	Allemagne	Non	Limité	Moyen	Bas

Les offres GAFAM « souveraines » : vraiment ?

Face à la pression réglementaire et commerciale européenne, les trois hyperscalers américains ont développé des offres se présentant comme « souveraines ». Il faut les analyser avec rigueur.

Microsoft Azure « Souverain » (projet Bleu)

Le projet Bleu (renommé Microsoft Cloud for Sovereignty) propose une infrastructure Azure opérée par des entités françaises (Capgemini, Orange Business) avec des personnels habilités. Microsoft fournit la technologie, les opérateurs français assurent l'exploitation. Les données ne quittent pas le territoire français.

Ce modèle réduit significativement le risque d'accès opérationnel par des personnels Microsoft. Il réduit le risque de surveillance de routine. Mais il ne résout pas fondamentalement le Cloud Act : Microsoft Corporation (USA) reste propriétaire du code, des licences et, en dernière instance, peut être contrainte par la justice américaine de fournir accès aux données ou au code source. Les ingénieurs américains de Microsoft ont théoriquement accès à l'architecture et pourraient être contraints de coopérer.

Verdict : substantiellement plus sûr que l'Azure standard pour les données sensibles, mais pas équivalent à un cloud purement européen. Adapté pour les données de sensibilité moyenne, sous réserve d'une analyse juridique précise.

Google Cloud Sovereign

Google propose une offre similaire via des partenaires (T-Systems en Allemagne, Thales en France pour certains services). Le modèle : Google fournit la technologie, le partenaire local opère. Même analyse que pour Microsoft : réduction des risques opérationnels, mais persistance du risque juridictionnel lié à Google LLC (USA).

À noter : Google a connu plusieurs incidents de sécurité majeurs impliquant ses personnels américains ayant accès à des données client européennes. La confiance institutionnelle dans Google pour des données sensibles reste inférieure à celle accordée à Microsoft ou AWS par les DSI européens.

AWS Sovereign Landing Zone

AWS propose un cadre architectural (AWS Sovereign Landing Zone) qui aide les clients à configurer leur environnement AWS pour minimiser les transferts de données hors de l'UE et contrôler les accès. C'est une amélioration technique, pas une garantie de souveraineté. AWS reste une entité américaine soumise au Cloud Act.

AWS a également noué des partenariats avec des acteurs européens (Eviden/Atos pour le secteur public français, T-Systems en Allemagne) pour des offres opérées localement.

SecNumCloud : la certification de référence française

Le référentiel SecNumCloud de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) est la qualification de référence pour les prestataires cloud en France. Il va bien au-delà de la sécurité technique pour couvrir explicitement les exigences de souveraineté juridique.

Ce que SecNumCloud exige sur la souveraineté

La version 3.2 du référentiel SecNumCloud (en vigueur en 2026) impose notamment :

• Immunité au Cloud Act : le prestataire ne doit pas être soumis à des législations extra-européennes permettant l'accès aux données sans autorisation préalable de l'ANSSI
• Actionnariat protégé : pas de participation d'entités non européennes au capital ou au contrôle du prestataire permettant d'exercer une influence
• Personnels habilités : les personnels ayant accès aux données qualifiées doivent répondre aux exigences de l'ANSSI
• Localisation des données : les données qualifiées restent sur le territoire de l'Union européenne
• Audit régulier : audit annuel par un organisme d'audit accrédité par l'ANSSI

SecNumCloud est exigé pour les prestataires des Opérateurs d'Importance Vitale (OIV) et des Opérateurs de Services Essentiels (OSE) pour leurs systèmes d'information sensibles. Il est recommandé (sans être obligatoire) pour toutes les organisations traitant des données sensibles.

Prestataires qualifiés SecNumCloud en 2026

La liste des prestataires qualifiés SecNumCloud est publiée par l'ANSSI. En 2026, les acteurs qualifiés pour les offres IaaS/PaaS incluent : 3DS Outscale, OVHcloud (pour certaines offres), Oodrive (stockage et collaboration), Ubika (sécurité). Plusieurs qualifications sont en cours (Scaleway, Thales). La liste évolue régulièrement — vérifier sur le site de l'ANSSI.

SecNumCloud vs ISO 27001 vs SOC 2

ISO 27001 et SOC 2 certifient la qualité de la gestion de la sécurité de l'information — elles sont nécessaires mais insuffisantes pour garantir la souveraineté. Elles n'imposent aucune exigence sur la nationalité du prestataire, son actionnariat ou son immunité au Cloud Act. AWS, Azure et GCP sont certifiés ISO 27001 et SOC 2, ce qui ne les protège pas du Cloud Act.

Cloud souverain et IA : cas d'usage spécifiques

L'IA générative crée des besoins spécifiques en matière de cloud souverain. Voici comment les articuler.

Fine-tuning de modèles sur données sensibles

Le fine-tuning d'un LLM sur vos données métier nécessite d'envoyer ces données à une infrastructure d'entraînement. Si ces données sont sensibles (propriété intellectuelle, données client, documents juridiques), le cloud doit être souverain. OVHcloud AI Training et Scaleway permettent de fine-tuner des modèles sur leur infrastructure avec des GPU dédiés, sans exposition des données à l'étranger.

Déploiement d'API LLM pour applications métier

Déployer un LLM (Llama, Mistral) comme API pour vos applications internes sur cloud souverain : OVHcloud AI Deploy, Scaleway GPU Instances avec vLLM, ou 3DS Outscale pour les exigences SecNumCloud. Cette approche combine la flexibilité du cloud (scaling, pas d'investissement matériel) avec la souveraineté des données.

RAG sur bases documentaires sensibles

Un pipeline RAG (Retrieval-Augmented Generation) sur des documents confidentiels nécessite que la base vectorielle (les embeddings de vos documents) soit hébergée sur infrastructure souveraine. Des solutions comme Weaviate, Qdrant ou PGVector peuvent être déployées sur OVHcloud ou Scaleway. Les embeddings de documents sensibles ne doivent jamais transiter par les APIs d'embedding d'OpenAI ou Google.

Cas d'usage IA	Exigence souveraineté	Solution recommandée
Fine-tuning données sensibles	Haute	OVHcloud AI Training / Scaleway GPU
API LLM interne (données confidentielles)	Haute	On-premise ou OVHcloud/Scaleway GPU
RAG sur documents clients	Haute	Cloud souverain + vectorDB on-premise
Génération de contenu marketing	Faible à modérée	Cloud souverain ou GAFAM avec précautions
Analyse de code source propriétaire	Haute	On-premise uniquement
Données de santé (HDS)	Très haute	3DS Outscale ou on-premise HDS certifié

Migrer vers un cloud souverain : approche pratique

La migration vers un cloud souverain est souvent perçue comme complexe et coûteuse. En 2026, c'est beaucoup plus accessible qu'on ne le croit, grâce à la standardisation des APIs (S3, Kubernetes, OpenAPI) et à la maturité des outils de migration.

Évaluation préalable : quoi migrer en priorité

Toutes vos charges de travail n'ont pas le même besoin de souveraineté. Commencez par une cartographie de la sensibilité des données : données très sensibles (propriété intellectuelle, données client nominatives, données financières stratégiques, données RH), données modérément sensibles, données publiques ou non confidentielles. La migration souveraine en priorité sur les données très sensibles maximise le ratio bénéfice/effort.

La standardisation qui facilite la migration

L'API S3 d'Amazon est devenue un standard de facto pour le stockage objet : OVHcloud Object Storage, Scaleway Object Storage et 3DS Outscale Object Storage sont tous compatibles S3. Migrer votre stockage objet d'AWS S3 vers OVHcloud Object Storage est souvent aussi simple que de changer l'endpoint dans votre configuration. Kubernetes est standardisé via CNCF : vos workloads Kubernetes sur AWS EKS migrent vers OVHcloud Managed Kubernetes ou Scaleway Kapsule avec des modifications minimales.

Les coûts de migration

Les coûts de migration se décomposent en : coûts de données sortantes (AWS facture le data egress à 0,05-0,09 €/Go — pour 10 To de données, comptez 500-900 € de frais de sortie AWS), coûts de refactoring applicatif (si vos applications utilisent des services AWS-propriétaires sans équivalent européen — les évaluer cas par cas), et coûts opérationnels de transition (faire tourner les deux environnements en parallèle pendant la bascule).

Un avantage souvent oublié : les coûts récurrents sont généralement inférieurs sur les clouds européens. OVHcloud et Scaleway sont systématiquement 20-40 % moins chers qu'AWS sur le compute pur. Cette différence compense souvent les coûts de migration en 6-12 mois.

FAQ — Cloud souverain européen

Un datacenter AWS ou Azure en France protège-t-il mes données du Cloud Act ?

Non. La localisation physique d'un datacenter ne détermine pas la juridiction applicable. Ce qui compte, c'est la nationalité de l'entité qui exploite ce datacenter. AWS SARL (Luxembourg) est une filiale d'Amazon.com Inc. (USA). La justice américaine peut contraindre Amazon.com à fournir accès aux données de son infrastructure française via le Cloud Act. La CJUE (arrêt Schrems II) et l'ANSSI ont toutes deux confirmé ce point.

OVHcloud est-il vraiment souverain si ses serveurs utilisent des puces Intel ou AMD américaines ?

La souveraineté juridique ne requiert pas une souveraineté technologique complète — ce serait une définition impossible à atteindre pour tout acteur européen. Ce qui compte est que l'entité opérant l'infrastructure soit soumise au droit européen et non au Cloud Act. Les puces Intel ou NVIDIA dans les serveurs d'OVHcloud ne donnent pas aux autorités américaines un droit d'accès à vos données. La souveraineté technologique est un objectif stratégique à long terme (RISC-V, puces europénnes) distinct de la souveraineté juridique dont vous avez besoin maintenant.

Quelle est la différence entre SecNumCloud et HDS ?

SecNumCloud (ANSSI) couvre la sécurité et la souveraineté de l'infrastructure cloud en général. HDS (Hébergeur de Données de Santé) est une certification spécifique aux données de santé, obligatoire en France pour tout hébergeur traitant des données de santé à caractère personnel. Un hébergement peut être HDS sans être SecNumCloud, et inversement. Pour les données de santé, HDS est obligatoire ; SecNumCloud est un plus très apprécié pour les établissements de santé publics soumis à des exigences NIS2.

Les coûts d'un cloud souverain européen sont-ils vraiment comparables à AWS/Azure ?

Pour le compute pur (CPU et GPU), OVHcloud et Scaleway sont généralement 20-40 % moins chers qu'AWS et Azure pour des configurations équivalentes. L'écart se réduit ou s'inverse sur les services managés très spécialisés (machine learning pipelines, analytics avancés) où AWS a investi massivement. Sur le stockage objet, les prix sont équivalents voire inférieurs chez les acteurs européens. La différence de coût totale (TCO) sur 3 ans en faveur d'un cloud européen est souvent de 15-25 %.

Comment vérifier qu'un prestataire est vraiment qualifié SecNumCloud ?

La liste officielle des prestataires qualifiés SecNumCloud est publiée et maintenue par l'ANSSI sur son site (ssi.gouv.fr). Elle précise le périmètre exact de qualification (quels services, pour quelle durée). Méfiez-vous des prestataires qui affirment être « en cours de qualification » depuis plusieurs années, ou qui confondent ISO 27001 et SecNumCloud dans leur communication commerciale.

Quelle est la meilleure stratégie pour réduire sa dépendance aux GAFAM sans tout migrer d'un coup ?

La stratégie progressiste la plus efficace : commencer par les nouvelles charges de travail (greenfield). Tout nouveau projet est déployé sur cloud européen — c'est le moyen le plus simple et le moins risqué. Parallèlement, migrer en priorité les données les plus sensibles (propriété intellectuelle, données client). Enfin, consolider progressivement les charges de travail existantes lors des renouvellements de contrats ou des montées de version. Cette approche permet d'atteindre une indépendance significative en 2-3 ans sans disruption opérationnelle.