Retour

Cloud souverain : définition, enjeux et limites en France

Publié le : 4 mai 2026
Banniere_article_cloud_souverain

Qu’est-ce que le cloud souverain ?

Le cloud souverain désigne une infrastructure cloud placée sous contrôle juridique, technique et opérationnel d’un État ou d’acteurs soumis exclusivement à son droit national. Dans sa définition la plus stricte, il implique que les données hébergées, les algorithmes qui les traitent et les équipes qui les exploitent échappent à toute juridiction étrangère, et en particulier aux lois extraterritoriales américaines.

Cette définition du cloud souverain ne peut pas être réduite à une question d’hébergement (« mes données sont-elles stockées sur le territoire français ? »). Le concept recouvre en réalité trois dimensions indissociables :

  • la localisation des données (où sont hébergés les serveurs),
  • le cadre juridique (quelle loi s’applique au prestataire),
  • la maîtrise technologique (outils, logiciels, infrastructures).

Un datacenter en France exploité par une entreprise soumise au droit américain ne peut donc pas être considéré comme totalement souverain.

Pourquoi le cloud souverain est devenu stratégique

L’extraterritorialité du droit américain : le CLOUD Act en toile de fond

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act), adopté en 2018 par le Congrès américain, permet aux autorités américaines d’accéder à des données détenues par des entreprises américaines, même si elles sont stockées en Europe. Cela concerne les principaux hyperscalers. Amazon Web Services (AWS), Microsoft Azure et Google Cloud sont tous des entités de droit américain. Même avec des serveurs en France, les données des entreprises françaises peuvent être juridiquement accessibles aux États-Unis.

Ce risque, longtemps minimisé, a renforcé l’intérêt pour un cloud français ou un cloud européen souverain, notamment dans les secteurs sensibles (santé, défense, administration).

 

Une dépendance technologique forte

Au-delà du risque juridique, l’Europe dépend fortement des hyperscalers sur plusieurs points :

  • technologies propriétaires difficiles à quitter (vendor lock-in)
  • écosystèmes fermés (API, services cloud)
  • dépendance aux feuilles de route américaines (notamment IA)

Cette dépendance est aujourd’hui considérée comme une vulnérabilité stratégique.

 

Les exigences réglementaires viennent renforcer cette prise de conscience. Le RGPD impose des garanties strictes sur le transfert de données personnelles hors de l’Union européenne, la directive NIS2 étend les obligations de cybersécurité à des secteurs critiques élargis, et la réglementation DORA impose aux établissements financiers des niveaux de résilience opérationnelle que tous les prestataires cloud ne sont pas en mesure de garantir.

Cloud souverain vs cloud de confiance : quelle différence ?

Cloud-souverain-vs-cloud-de-confiance : différences

Le cloud de confiance, introduit en 2021 par l’ANSSI, permet d’utiliser des technologies d’hyperscalers (Microsoft, Google…) dans un cadre juridique français sécurisé. Il repose sur une entité de droit français et la certification SecNumCloud, garantissant sécurité, protection des données et encadrement juridique.

Ce modèle est né face à l’impossibilité de créer rapidement un cloud 100 % européen.
Contrairement au cloud souverain, il n’assure pas une indépendance technologique totale.

Il offre un compromis entre performance et souveraineté en réduisant les risques juridiques.
Mais les technologies, mises à jour et algorithmes restent en partie sous contrôle américain.

Pour les organisations du secteur de la santé, une certification HDS (Hébergeur de Données de Santé) est également obligatoire. Cette certification garantit que l’infrastructure cloud peut accueillir des données de santé identifiables et personnelles, en respect des normes de conformité spécifiques au secteur médical. La certification HDS est complémentaire à SecNumCloud et représente un prérequis pour tous les prestataires cloud accueillant des structures de santé (hôpitaux, cliniques, laboratoires).

Les limites du cloud souverain aujourd’hui

Une souveraineté souvent partielle

L’intelligence artificielle montre les limites du cloud souverain : les modèles les plus performants sont majoritairement américains.
Même via des API “souveraines”, les entreprises restent dépendantes des technologies et algorithmes étrangers.
La souveraineté des données est possible, mais celle de l’IA reste aujourd’hui hors de portée.

L’illusion du contrôle

Le Cloud souverain peut devenir une fiction rassurante si l’organisation qui y recourt ne dispose pas des compétences internes pour auditer, exploiter et faire évoluer l’infrastructure concernée. La question n’est pas seulement « où sont mes données ? » mais « qui, dans mon organisation, est capable de reprendre la main si nécessaire ? »

Les leviers concrets pour reprendre le contrôle

Cloud-souverain-vs-cloud-de-confiance---leviers

La souveraineté cloud repose sur quatre dimensions complémentaires : juridique, technique, opérationnelle et économique.
Sur le plan juridique, elle implique de choisir des prestataires conformes (ex : SecNumCloud) et de maîtriser les risques liés aux lois extraterritoriales.

La souveraineté technique passe par des architectures réversibles et l’usage de standards ouverts comme Kubernetes ou Terraform pour éviter le vendor lock-in.
La dimension opérationnelle consiste à garder le contrôle des chaînes de développement et de déploiement (CI/CD) pour limiter la dépendance aux prestataires. Elle suppose aussi de maîtriser ses outils et infrastructures en interne, au-delà de la simple localisation des données.

Enfin, la souveraineté économique repose sur le FinOps, afin de piloter et optimiser les coûts cloud et éviter toute dépendance financière.

Les acteurs du cloud souverain en France

OVHcloud

Acteur historique français, avec ses propres datacenters et une présence internationale. Il propose des offres certifiées SecNumCloud adaptées aux administrations et entreprises.

Scaleway

Filiale du groupe Iliad, orientée développeurs et innovation. Forte présence sur les infrastructures GPU et le cloud open source.

NumSpot

Coentreprise fondée en 2023 par Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Telecom, elle est la seule plateforme cloud souverain conçue dès l’origine pour répondre aux exigences des opérateurs d’importance vitale (OIV), des opérateurs de services essentiels (OSE), des administrations publiques et des secteurs les plus sensibles (défense, santé critique). Son architecture vise la qualification SecNumCloud et repose sur une gouvernance 100 % française, sans dépendance capitalistique étrangère. Ce positionnement en fait le choix de référence pour les organisations qui ne peuvent se permettre aucun compromis sur la souveraineté de leurs données.

Docaposte, l’un de ses actionnaires fondateurs et acteur majeur de la confiance numérique en France, porte au travers de Docaposte Institute les formations qui permettent aux équipes IT de maîtriser concrètement ces environnements souverains, de l’architecture cloud à la sécurité des infrastructures critiques.

Les compétences, un enjeu de la souveraineté numérique

Il existe une asymétrie profonde entre la vitesse à laquelle les organisations migrent vers le cloud et la vitesse à laquelle elles développent les compétences nécessaires pour en reprendre le contrôle. Cette asymétrie est précisément ce qui transforme une migration cloud en dépendance durable.

La souveraineté numérique, dans sa dimension la plus opérationnelle, est d’abord une question de capacité interne. Une organisation qui dispose d’architectes cloud formés aux standards ouverts, d’ingénieurs DevOps maîtrisant les pipelines de déploiement et d’experts sécurité capables d’auditer une infrastructure est structurellement moins dépendante de ses prestataires qu’une organisation qui externalise l’intégralité de cette expertise.

C’est pourquoi les parcours de formation en cloud computing (AWS, Azure, GCP, mais aussi OpenStack et Kubernetes), en DevOps et en infrastructure as code constituent des investissements stratégiques au même titre que les choix d’hébergement. Former ses équipes à Terraform, à la conteneurisation ou aux pratiques FinOps, c’est concrètement augmenter la capacité de l’organisation à :

  • changer de fournisseur sans rupture opérationnelle,
  • auditer ses coûts et identifier les dépendances cachées,
  • répondre à un incident sans dépendre d’un tiers.

Les certifications cloud, qu’elles soient orientées architecture, sécurité ou opérations, s’inscrivent dans cette logique de montée en compétence souveraine.

FAQ

Qu’est-ce que le cloud souverain en France ?

Un cloud opérant sous droit français ou européen, limitant l’exposition aux lois étrangères comme le CLOUD Act.

 

Quelle est la différence entre cloud souverain et cloud de confiance ?

Le cloud souverain vise l’indépendance totale. Le cloud de confiance autorise certaines technologies étrangères sous encadrement ANSSI et certification SecNumCloud.

 

Qu’est-ce que SecNumCloud ?

SecNumCloud est le référentiel de qualification de l’ANSSI pour les prestataires de services cloud en France. Il couvre la sécurité technique, la localisation des données et l’absence de dépendance à une législation extra-européenne. C’est la certification de référence pour les administrations les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE).

 

Qu’est-ce que la certification HDS et pourquoi est-ce crucial pour la santé ?

La certification HDS (Hébergeur de Données de Santé) est obligatoire pour tous les prestataires cloud accueillant des données de santé. Elle garantit que l’infrastructure respecte des normes très strictes en matière de sécurité, de confidentialité et de disponibilité des données sensibles du secteur médical. Contrairement à SecNumCloud qui couvre la souveraineté globale, HDS cible spécifiquement les exigences du secteur santé. Les deux certifications sont complémentaires : un prestataire HDS et SecNumCloud offre aux organisations sanitaires la garantie maximale de souveraineté et de conformité.

 

Le cloud souverain protège-t-il contre le CLOUD Act ?

Oui, uniquement si le prestataire est totalement indépendant juridiquement des États-Unis.

 

Quelles compétences développer pour une stratégie cloud souveraine ?

Une stratégie cloud souveraine efficace repose sur des compétences en architecture cloud multi-fournisseur (Kubernetes, Terraform), en DevOps et CI/CD, en FinOps pour la maîtrise des coûts, et en cybersécurité (référentiels ANSSI, NIS2). Ces formations permettent de réduire concrètement la dépendance aux prestataires externes.

En résumé, vous devez retenir que…

Le cloud souverain n’est pas un produit que l’on achète, mais une posture que l’on construit. Sa définition, longtemps cantonnée à la localisation géographique des données, s’est progressivement enrichie pour englober des dimensions juridiques (exposition au CLOUD Act, qualification SecNumCloud), techniques (réversibilité, standards ouverts), opérationnelles (maîtrise des pipelines CI/CD) et humaines (compétences internes).

La France dispose aujourd’hui d’acteurs crédibles, OVHcloud, Scaleway, NumSpot, et d’un cadre réglementaire structurant porté par l’ANSSI. Mais la souveraineté numérique réelle reste un horizon à construire, qui exige d’investir simultanément dans les infrastructures, dans l’architecture et dans les compétences des équipes.