RiffLab Media

Après Scaleway, vers qui se tourner ? Le cloud souverain européen à l'épreuve des faits

Date Published

# Après Scaleway, vers qui se tourner ? Le cloud souverain européen à l'épreuve des faits

La revalorisation tarifaire agressive de Scaleway en 2026 a produit un effet inattendu : elle a forcé des centaines de DSI européens à rouvrir un dossier qu'ils croyaient réglé. Celui du cloud souverain. Mais cette remise à plat est aussi l'occasion de poser les questions que le marketing de la souveraineté a trop longtemps évitées. Être hébergé sur un datacenter européen suffit-il ? Qu'est-ce qu'une architecture réellement souveraine, face à NIS2, DORA et au spectre permanent du Cloud Act américain ?

Cet article ne cherche pas à vous vendre une alternative. Il cherche à vous aider à poser les bons critères — avant que votre prochain contrat ne vous enferme pour trois ans supplémentaires.

Le piège du label : quand « souverain » ne veut pas dire grand-chose

Première question inconfortable : que signifie exactement « cloud souverain » en 2026 ? La réponse honnête est qu'il n'existe pas de définition juridiquement contraignante harmonisée à l'échelle européenne. EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) progresse, mais les niveaux d'assurance « Élevé » — les seuls réellement pertinents pour des données sensibles — restent peu déployés.

Concrètement, un acteur peut se revendiquer « souverain » tout en s'appuyant sur des briques logicielles américaines non auditées, des contrats de support faisant référence à des juridictions extraeuropéennes, ou des actionnariats opaques susceptibles de tomber sous le coup du FISA américain ou d'équivalents britanniques post-Brexit.

La question à poser systématiquement à tout fournisseur : « Quel est l'arbre capitalistique complet de votre entité juridique, et existe-t-il un lien de contrôle ou de dépendance économique avec une entité soumise au droit américain ? » Si la réponse est évasive, le reste de la démonstration technique ne compte pas.

Trois approches, trois réalités

Pour structurer l'analyse, concentrons-nous sur trois postures que l'on retrouve aujourd'hui sur le marché européen, incarnées par des acteurs aux modèles radicalement différents : Outscale (Dassault Systèmes), Exoscale (rachetée par A1 Group, opérateur autrichien), et l'infrastructure on-premise mutualisée via OpenStack privé, portée par des intégrateurs européens certifiés. Ces trois approches couvrent un spectre large — du cloud public souverain au modèle hybride maîtrisé — et posent des questions de conformité très différentes.

Critère 1 — Architecture et chaîne de dépendance technologique

| | Outscale | Exoscale | OpenStack privé mutualisé |

|---|---|---|---|

| Hyperviseur | Propriétaire (origine Dassault) | KVM, open source | KVM / libvirt, open source |

| Dépendance à des composants US | Limitée, mais non nulle | Présente sur couches réseau et stockage | Maîtrisable selon intégrateur |

| Portabilité des workloads | API compatibles AWS (risque de lock-in indirect) | Compatible S3/EC2 | Natif OpenStack, format ouvert |

| Auditabilité du stack | Partielle | Partielle | Totale si intégrateur compétent |

Le point noir commun à Outscale et Exoscale : la compatibilité API avec les standards AWS. C'est vendu comme un avantage de migration. C'est aussi un vecteur de dépendance cognitive — les équipes continuent de raisonner en termes d'abstractions américaines, ce qui complique toute vraie stratégie de dérisquage à long terme.

L'OpenStack mutualisé, à l'inverse, impose un effort initial de re-formation mais offre une auditabilité totale de la chaîne. Condition sine qua non : l'intégrateur doit être lui-même certifiable NIS2 et disposer d'une équipe dédiée à la sécurité opérationnelle. Ce n'est pas systématique.

Critère 2 — Gouvernance des données et résistance à l'extraterritorialité

C'est ici que le débat devient sérieux — et que les plaquettes marketing s'effacent.

Outscale est détenu à 100 % par Dassault Systèmes, groupe français coté sans actionnaire américain de contrôle identifié. C'est un point fort réel. Mais Dassault Systèmes opère dans des secteurs (défense, aéronautique) qui l'exposent à des réglementations d'exportation américaines (EAR, ITAR) susceptibles de créer des frictions indirectes. La question n'est pas théorique.

Exoscale, filiale d'A1 Group (télécoms autrichien), présente une gouvernance européenne solide. L'Autriche est membre de l'UE, soumise au RGPD, sans treaty intelligence-sharing avec les États-Unis comparable aux Five Eyes. C'est un facteur favorable souvent sous-estimé. En revanche, la taille relative d'Exoscale pose une question de résilience : en cas de rachat ou de rapprochement stratégique, la gouvernance actuelle peut changer rapidement.

L'OpenStack mutualisé déplace le risque de gouvernance vers l'intégrateur. C'est son avantage et sa faiblesse. Si le contrat est bien rédigé (clauses de réversibilité, audit tiers, séquestre de code), la maîtrise est maximale. Si l'intégrateur est lui-même racheté par un acteur non européen — scénario non hypothétique en 2026 — le château de cartes s'effondre.

La règle absolue pour tout RSSI : le pays d'hébergement ne suffit pas. La nationalité juridique de l'entité contractante, l'absence de filiale américaine dans la chaîne de traitement, et la présence de clauses d'immunité contractuelle face aux injonctions étrangères sont les trois piliers non négociables.

Critère 3 — Conformité NIS2, DORA et traçabilité des incidents

| | Outscale | Exoscale | OpenStack privé mutualisé |

|---|---|---|---|

| Certification SecNumCloud | Qualifiée (périmètre limité) | Non | Dépend de l'intégrateur |

| Capacité de notification d'incident (NIS2 72h) | Processus formalisé | En cours de structuration | Variable |

| Journalisation et SIEM intégrés | Oui, propriétaire | Partiellement | À construire |

| DORA (continuité opérationnelle secteur financier) | Parcours de conformité engagé | Documentation partielle | Flexible mais à prouver |

Outscale tire son épingle du jeu sur la conformité formelle — la qualification SecNumCloud, même partielle, reste le seuil de référence en France pour les OIV et les entités régulées. Mais cette qualification ne couvre pas nécessairement les services managés ou les couches supérieures (PaaS, bases de données). Lisez les annexes techniques, pas les résumés commerciaux.

Pour les établissements financiers soumis à DORA, la question de la concentration de risque fournisseur devient légalement documentable. Utiliser un seul cloud souverain sans plan de bascule testé est désormais une exposition réglementaire, pas seulement une posture de prudence.

Critère 4 — Réversibilité et coût réel de sortie

C'est le critère le plus honnête — et le moins mis en avant par les commerciaux.

Une architecture souveraine qui vous rend aussi dépendant qu'une offre GAFAM, mais avec moins de ressources pour en sortir, n'est pas une victoire souverainiste. C'est un transfert de dépendance.

Les questions à poser avant signature :

  • Format d'export des données : standard ouvert (CNCF, OVF, etc.) ou format propriétaire ?
  • Délai contractuel de réversibilité : 30 jours ? 90 jours ? Avec assistance technique incluse ou facturée ?
  • Portabilité des configurations réseau et sécurité : les security groups, les VPC, les policies IAM sont-ils exportables dans un format réutilisable ?
  • Clause de gel de données en cas de litige : votre fournisseur peut-il bloquer l'accès à vos données pendant une procédure commerciale ? C'est arrivé.

Ce que la hausse Scaleway révèle vraiment

Scaleway n'est pas le problème. Scaleway est le symptôme. Le symptôme d'un marché du cloud souverain européen qui n'a pas encore trouvé son modèle économique durable. Les acteurs qui ont attiré des clients avec des prix d'appel agressifs se retrouvent aujourd'hui à devoir arbitrer entre rentabilité et mission souverainiste. Ce n'est pas un jugement moral — c'est une réalité structurelle.

La vraie question pour un DSI ou un RSSI en 2026 n'est pas « quel cloud souverain est le moins cher ? » — cette question a une réponse à durée limitée, comme vient de le démontrer Scaleway. La vraie question est : « Quel fournisseur peut documenter, contractuellement et techniquement, sa capacité à rester souverain dans cinq ans — et à me permettre de partir s'il ne l'est plus ? »

Aucun acteur ne peut répondre à cette question avec une certitude absolue. Mais ceux qui refusent de la poser clairement méritent d'être écartés dès la phase d'appel d'offres.

*Cet article ne constitue pas une recommandation d'achat. Les éléments de conformité mentionnés (NIS2, DORA, SecNumCloud) sont soumis à évolution réglementaire. Toute décision d'architecture cloud sensible devrait faire l'objet d'un audit juridique et technique indépendant.*

Cet article vous a été utile ?

Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.

Pas de spam. Désinscription en un clic. Données hébergées en Europe.