Cloud souverain : la France joue sa partition, mais la partition est encore en cours d'écriture

# Cloud souverain : la France joue sa partition, mais la partition est encore en cours d'écriture

Pendant des années, le débat sur le cloud souverain a oscillé entre posture politique et réalité opérationnelle décevante. En 2026, la situation a évolué — mais pas de la façon dont tout le monde l'espérait. Les progrès sont réels, les obstacles aussi. Et pour un DSI qui doit prendre des décisions d'infrastructure aujourd'hui, la nuance s'impose.

Le contexte : pourquoi ce sujet revient avec autant de force

L'accélération n'est pas venue d'une soudaine prise de conscience technologique. Elle est venue de la pression réglementaire et géopolitique cumulée. Entre le Cloud Act américain — qui permet aux autorités américaines d'accéder aux données hébergées par des entreprises américaines, où qu'elles soient dans le monde — et les incertitudes politiques qui ont secoué les relations transatlantiques ces dernières années, les DSI européens ont eu une série de rappels désagréables sur ce que signifie dépendre d'une infrastructure dont on ne maîtrise pas les règles du jeu.

Le RGPD avait déjà posé les bases du problème. Les décisions successives de la CJUE sur les transferts de données vers les États-Unis — invalidant successivement le Safe Harbor puis le Privacy Shield — ont fini de convaincre certains juristes et RSSI que la question n'était pas théorique. Héberger des données sensibles chez un acteur soumis au droit américain, c'est accepter une zone grise juridique permanente.

En France, la réponse politique s'est incarnée dans la doctrine Cloud au Centre, portée par la DINUM depuis 2021, puis renforcée progressivement. L'idée est simple en théorie : les données sensibles de l'État et des administrations doivent migrer vers des solutions qualifiées SecNumCloud par l'ANSSI. En pratique, l'exécution est plus complexe.

SecNumCloud : le standard qui change la donne, mais pas du jour au lendemain

La qualification SecNumCloud de l'ANSSI est le point névralgique de toute la stratégie française. C'est un référentiel exigeant, peut-être le plus rigoureux d'Europe sur les aspects de protection contre les législations extraterritoriales. Il impose notamment qu'aucune entité hors de l'Union européenne ne puisse avoir de droits d'accès aux données ou aux systèmes, ce qui exclut de facto les filiales européennes des hyperscalers américains dans leur configuration actuelle.

OVHcloud a obtenu cette qualification sur certaines de ses offres. Outscale, la branche cloud de Dassault Systèmes, également. Ce sont aujourd'hui les deux acteurs qui incarnent le plus concrètement ce qu'on appelle le cloud souverain français au sens strict du terme.

Mais voilà le problème : le catalogue de services qualifiés SecNumCloud reste limité comparé à ce qu'offrent AWS, Azure ou Google Cloud. Le gap fonctionnel est réel. Un DSI qui a besoin d'un écosystème complet — bases de données managées, services d'intelligence artificielle, outils DevOps, capacités serverless — va trouver l'offre souveraine encore partielle. Ce n'est pas une critique de principe, c'est une réalité opérationnelle que tout le monde dans le secteur reconnaît.

La question pour les décideurs IT n'est donc pas binaire : « cloud souverain ou pas ? » Elle est stratégique : quelles données, quels workloads, pour quels impératifs métier ?

Ce qui a vraiment changé en 2025-2026

Plusieurs évolutions méritent d'être notées sans les surestimer.

Premièrement, la demande du secteur public s'est durcie. Les administrations et opérateurs d'importance vitale (OIV) ne peuvent plus traiter la qualification SecNumCloud comme une option : c'est une exigence pour les données les plus sensibles. Cela a mécaniquement créé un marché captif pour les acteurs qualifiés et les a forcés à investir dans leurs infrastructures.

Deuxièmement, le projet S3NS — la coentreprise entre Thales et Google Cloud pour proposer un cloud de confiance — a continué sa montée en charge. C'est un modèle hybride intéressant à observer : il permet d'accéder aux capacités techniques de Google dans un cadre juridique français, avec Thales comme tiers de confiance. Ce dispositif ne répond pas aux exigences SecNumCloud dans sa totalité — le débat technique sur ce point reste ouvert — mais il offre un niveau de protection supplémentaire pour des organisations qui ne peuvent pas se passer des services Google Cloud mais veulent réduire leur exposition juridique.

Troisièmement, et c'est peut-être le signal le plus intéressant, la demande privée commence à se structurer. Les ETI et PME des secteurs santé, finance et industrie de défense regardent de plus près les offres souveraines, non par militantisme, mais parce que leurs clients grands comptes et leurs partenaires leur imposent des exigences contractuelles croissantes sur la localisation et la protection des données.

Ce que ça change concrètement pour un DSI en 2026

Soyons directs. Si vous pilotez l'IT d'une PME ou ETI qui n'est pas dans un secteur réglementé sensible, et que vous n'avez pas de données personnelles massives à traiter, la pression immédiate est moindre. Vous pouvez encore faire des choix pragmatiques sans vous exposer à des risques juridiques immédiats.

Mais si vous êtes dans la santé, la défense, les infrastructures critiques, les services financiers, ou si vous traitez des volumes importants de données personnelles de citoyens européens — alors la question du cloud souverain n'est plus académique. Elle est opérationnelle, et elle a des implications sur vos choix d'architecture aujourd'hui.

Le risque concret est double. D'abord, un risque réglementaire : une mise en demeure de la CNIL, un audit qui pointe des transferts de données non conformes, peuvent coûter cher en termes d'amende et de réputation. Ensuite, un risque de dépendance : plus vous construisez sur des services propriétaires d'un hyperscaler, plus la migration future est coûteuse. Le lock-in technique et le lock-in juridique se renforcent mutuellement.

Il y a aussi une dimension que peu de DSI formalisent explicitement : le risque géopolitique. L'histoire récente a montré que des décisions politiques à Washington peuvent avoir des effets immédiats sur des entreprises européennes. Ce n'est pas de la paranoïa, c'est de la gestion des risques.

Comment aborder le sujet sans se perdre

Quelques lignes de réflexion qui valent mieux qu'un plan d'action générique.

Cartographiez avant de migrer. Avant de poser la question « doit-on aller vers le cloud souverain ? », posez-vous la question « quelles sont nos données réellement sensibles ? ». Toutes les données ne se valent pas. Un catalogue produit public n'a pas les mêmes impératifs qu'un dossier patient ou un contrat de R&D. La plupart des DSI que je croise n'ont pas cette cartographie à jour. C'est le préalable à tout.

Ne confondez pas souveraineté et localisation. Héberger vos données en France chez un acteur américain ne suffit pas à vous protéger du Cloud Act. La localisation géographique est une condition nécessaire mais pas suffisante. Ce qui compte, c'est la chaîne de contrôle juridique sur les données. C'est le fond du problème SecNumCloud, et il faut le comprendre pour expliquer les enjeux à votre direction générale.

Pensez en couches. L'approche tout-ou-rien est rarement viable. Une stratégie réaliste consiste à identifier les workloads qui exigent un niveau de souveraineté maximal, ceux qui tolèrent un cloud de confiance de type S3NS ou équivalent, et ceux pour lesquels un hyperscaler classique reste acceptable. Cette segmentation réduit les coûts de migration et concentre les efforts là où ils ont un impact réel.

Impliquez votre RSSI et votre DPO dès le début. Les décisions d'infrastructure cloud ont des implications juridiques que les équipes IT ne peuvent pas traiter seules. Le dialogue entre technique, juridique et sécurité est indispensable, et il vaut mieux l'organiser avant un incident qu'après.

La vraie question qui reste ouverte

Le cloud souverain français a progressé. Les acteurs qualifiés existent, les référentiels sont solides, la demande s'accélère. Mais on serait malhonnête de ne pas pointer les tensions structurelles qui demeurent.

La première est économique : construire et maintenir une infrastructure cloud compétitive coûte des investissements massifs et continus. Les hyperscalers américains ont une longueur d'avance en termes de R&D, d'économies d'échelle et de capacité à innover rapidement — notamment sur l'IA. Combler ce gap ne se décrète pas.

La deuxième est politique au sens large : l'Europe avance, mais pas à l'unisson. Les approches allemande, française, néerlandaise divergent sur ce que doit être la souveraineté numérique. Le GAIA-X, censé incarner une réponse européenne commune, a eu du mal à tenir ses promesses initiales. Sans harmonisation plus forte, les acteurs souverains nationaux risquent de rester trop petits pour peser vraiment.

La troisième est culturelle : beaucoup d'équipes IT ont construit leurs compétences et leurs réflexes sur AWS ou Azure. La migration vers des alternatives souveraines, même quand elles sont techniquement matures, implique un effort de formation et d'adaptation que les DSI sous-estiment souvent.

Alors, la France rattrape-t-elle son retard ? Partiellement, sur certains segments, pour certains cas d'usage. C'est déjà significatif. Mais prétendre que la partie est gagnée serait inexact. Le cloud souverain européen, en 2026, est moins un aboutissement qu'un chantier qui prend enfin corps — avec tout ce que ça implique de promesses et d'imperfections.

La vraie question pour les DSI n'est peut-être pas « faut-il y aller ? » mais « à quelle vitesse l'écosystème va-t-il maturer, et est-ce que mon organisation peut se permettre d'attendre pour en décider ? »