Cloud washing : derrière les labels souverains, comment ne pas se faire piéger
Date Published

# Cloud washing : derrière les labels souverains, comment ne pas se faire piéger
En 2026, la souveraineté numérique est devenue un argument commercial. Presque chaque offre cloud vendue en Europe arbore désormais un label, une certification ou une rhétorique de rupture avec la dépendance américaine. Le problème : la majorité de ces offres repose encore, à un niveau ou un autre, sur une infrastructure, une licence ou un code source contrôlé par un acteur américain. Ce phénomène, désormais documenté par plusieurs autorités de régulation européennes, porte un nom précis — le cloud washing — et il coûte cher aux organisations qui s'y laissent prendre.
Ce que le cloud washing recouvre concrètement
Le mécanisme est reproductible. Un hébergeur européen loue des capacités à un hyperscaler américain, y dépose une couche de services maison, et commercialise le tout comme une solution souveraine. Ou bien : un éditeur logiciel construit sa plateforme SaaS sur des API propriétaires d'un acteur américain, ce qui signifie que toute migration future implique une réécriture partielle du SI. Dans les deux cas, la dépendance est structurelle, même si elle n'est pas visible à la signature du contrat.
Plusieurs signaux permettent à un DSI ou un RSSI d'évaluer la réalité d'une offre avant engagement. Le premier est la localisation du code source et de sa gouvernance : un projet sous licence Apache ou EUPL, hébergé sur une forge européenne, offre des garanties différentes d'un code source fermé dont le détenteur est soumis au droit américain ou au Cloud Act. Le deuxième est la chaîne de sous-traitance effective : une offre peut être opérée depuis le territoire européen tout en reposant sur des outils d'orchestration ou de monitoring dont les éditeurs sont américains — ce qui suffit à exposer les données à des réquisitions extraterritoriales. Le troisième, souvent négligé, est la réversibilité : une offre souveraine crédible doit pouvoir documenter un plan de sortie sans dépendance technique à des API propriétaires.
Deux acteurs méritent d'être observés sous cet angle en 2026. Scaleway, filiale d'Iliad, a fait le choix d'une infrastructure en propre et d'une offre de services construite majoritairement sur des briques open source, ce qui lui confère une traçabilité technique vérifiable. Ionos, acteur allemand du groupe United Internet, présente un profil comparable sur le marché germanophone, avec des engagements contractuels explicites sur la juridiction applicable. Ni l'un ni l'autre ne couvre l'ensemble du spectre fonctionnel des hyperscalers américains — et c'est précisément ce qu'il faut accepter de poser sur la table lors d'un arbitrage.
Ce que cela implique pour les décideurs européens
Le marché européen du cloud est aujourd'hui dans une phase de structuration qui déterminera les marges de manœuvre des prochaines années. Les offres crédibles existent, mais elles imposent une rigueur d'évaluation que le cycle habituel de mise en concurrence ne prévoit pas toujours. Qualifier la souveraineté d'une offre suppose d'aller au-delà du cahier des charges standard : interroger la gouvernance du code, auditer la chaîne de sous-traitance, exiger une clause de réversibilité contractuellement encadrée.
L'enjeu n'est pas idéologique. Il est opérationnel : une organisation dont le SI critique repose sur une dépendance non documentée à un acteur soumis au droit américain s'expose à un risque de continuité et de conformité que les certifications de surface ne couvrent pas. En 2026, la vraie due diligence souveraine commence là où le label s'arrête.
Cet article vous a été utile ?
Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.
Pas de spam. Désinscription en un clic. Données hébergées en Europe.