Consolidation souverainiste : ce que la montée en puissance de Pandora révèle des fractures de l'écosystème européen

# Consolidation souverainiste : ce que la montée en puissance de Pandora révèle des fractures de l'écosystème européen

En 2026, Pandora Group Solutions franchit le cap des 100 millions d'euros de chiffre d'affaires. La presse spécialisée applaudit. La souveraineté numérique française aurait donc un nouveau champion. Mais derrière le récit de la success story, quelques questions dérangent — et méritent d'être posées sans ménagement.

Le contexte qu'on ne questionne pas assez

La consolidation est un mouvement naturel dans tout écosystème industriel en maturation. Que des acteurs français du numérique atteignent une taille critique, c'est indéniablement une bonne nouvelle structurelle. Mais la taille ne fait pas la souveraineté. Et l'étiquette « souverainiste » appliquée à un acteur en croissance mérite d'être passée au crible technique avant d'être acceptée comme argument de vente.

La vraie question n'est pas « Pandora grossit, est-ce bien ? » — elle est : grossit-il de la bonne manière, avec la bonne architecture, selon les bons critères de gouvernance ? Et surtout : par rapport à quels modèles concurrents, européens ou non, peut-on réellement le mesurer ?

Pour y répondre, examinons trois approches qui coexistent aujourd'hui sur le marché européen de l'informatique souverainiste pour PME/ETI : le modèle de l'intégrateur consolidé à la française (dont Pandora est représentatif), le modèle de la coopérative ou du groupement d'acteurs distribués (plutôt d'inspiration nordique ou germanique), et le modèle hybride cloud souverain porté par des opérateurs à spectre large. Trois architectures de marché, trois philosophies techniques — et trois manières très différentes de répondre à la même promesse.

Tableau comparatif synthétique

| Critère | Intégrateur consolidé (modèle Pandora) | Groupement distribué (modèle nordique/germanique) | Opérateur cloud souverain à spectre large |

|---|---|---|---|

| Architecture technique | Stack propriétaire ou semi-propriétaire, intégration verticale forte | Stack ouverte, interopérabilité native entre membres | Infrastructure mutualisée, API standardisées, multi-tenant |

| Portabilité des données | Dépendance au socle de l'intégrateur, sortie complexe | Portabilité contractuelle et technique par design | Variable selon les certifications SecNumCloud |

| Gouvernance de la donnée | Centralisée chez l'acteur, risque de lock-in** | Gouvernance partagée, audit possible par les membres | Cadre réglementaire fort (RGPD, Cyber Resilience Act) mais contrôle opérationnel limité |

| Capacité d'audit tiers | Souvent limitée, dépend des clauses contractuelles | Natif, inhérent au modèle open source/fédéré | Certifications ANSSI comme signal, pas comme garantie absolue |

Critère 1 — Architecture : l'intégration verticale, vertu ou piège ?

Le modèle de l'intégrateur consolidé à la française — dont Pandora Group Solutions est aujourd'hui l'un des représentants les plus visibles — repose sur une logique d'intégration verticale : on capte le client, on l'équipe, on le fait monter en gamme, on lui vend de la récurrence. C'est un modèle économiquement robuste. C'est aussi, techniquement, un modèle qui fabrique de la dépendance.

La question que les DSI doivent se poser n'est pas « est-ce français ? » mais « si demain Pandora est racheté, si ses fondateurs cèdent à un fonds anglo-saxon, si la pression des LPs pousse à un exit vers un acteur américain — qu'est-ce que je peux emporter de mon SI ? ». L'histoire du numérique européen est jalonnée de champions nationaux absorbés au moment précis où ils devenaient attractifs.

À l'inverse, le modèle du groupement distribué — peu visible en France, mais structurant en Allemagne autour de l'écosystème GAIA-X ou dans les pays nordiques via des coopératives de services numériques — construit l'architecture technique sur l'interopérabilité par principe. Chaque brique peut être remplacée sans casser l'ensemble. C'est moins élégant commercialement. C'est techniquement plus résilient.

La vraie souveraineté architecturale, ce n'est pas l'origine du capital — c'est la capacité à partir.

Critère 2 — Intégration et portabilité : qui parle vraiment de la sortie ?

Aucun acteur souverainiste ne met en avant sa clause de réversibilité dans ses supports commerciaux. C'est vrai pour les acteurs américains — on le dénonce à juste titre. Mais c'est aussi vrai pour la plupart des intégrateurs français consolidés.

Le modèle Pandora, comme ses homologues de taille comparable, est construit sur une logique de croissance par acquisition. On rachète des ESN régionales, on unifie les outils, on standardise sur un socle commun. L'opération est rationnelle. Elle produit également, mécaniquement, un entonnoir technique : plus le client est profond dans l'écosystème, plus la migration coûte cher. Ce n'est pas de la malveillance — c'est de l'ingénierie commerciale ordinaire.

Le modèle opérateur cloud souverain à spectre large — pensons à ce que Scaleway, ou dans un registre différent T-Systems en Allemagne, tentent de construire — propose théoriquement une portabilité plus forte via des API standardisées et des certifications opposables. Mais « théoriquement » est le mot clé. La certification SecNumCloud atteste d'un niveau de sécurité et d'une localisation des données. Elle n'atteste pas que votre sortie sera indolore dans dix-huit mois si vous changez d'avis.

La portabilité reste le parent pauvre de la souveraineté numérique européenne. Que l'acteur soit un consolidateur tricolore ou un opérateur certifié, la question de la réversibilité opérationnelle mérite d'être inscrite dans les appels d'offres — pas laissée à la bonne volonté commerciale.

Critère 3 — Gouvernance : la souveraineté ne se délègue pas

C'est probablement le critère le plus négligé dans les comparatifs techniques, et le plus décisif politiquement.

Dans le modèle de l'intégrateur consolidé, la gouvernance de la donnée est centralisée. Le client signe un contrat, l'intégrateur héberge, opère, maintient. Le DPO du client peut théoriquement auditer — mais dans les faits, combien de PME/ETI ont les ressources pour exercer ce droit réellement ? La gouvernance est déléguée de facto, souvent sans que le client en mesure les implications.

Le modèle distribué germano-nordique impose une gouvernance partagée par design. Les membres du groupement ont un droit de regard technique sur les briques qu'ils utilisent. L'audit n'est pas une clause contractuelle — c'est une pratique inscrite dans l'architecture. C'est plus lent, plus complexe à vendre, parfois perçu comme moins « professionnel » par des acheteurs habitués aux offres packagées. Mais c'est la seule approche qui internalise réellement la souveraineté plutôt que de la sous-traiter.

Quant au modèle cloud souverain, il offre un cadre réglementaire fort — l'ANSSI, le RGPD, demain le Cyber Resilience Act — mais le contrôle opérationnel reste limité. On fait confiance à une certification, pas à une architecture transparente. Ce n'est pas la même chose.

Ce que la montée en puissance de Pandora dit vraiment du marché européen

La consolidation autour d'acteurs comme Pandora Group Solutions n'est pas un problème en soi. Elle est même nécessaire pour créer des interlocuteurs crédibles face aux grands comptes et pour rivaliser en capacité de R&D avec les offres dominantes américaines.

Mais elle révèle deux fractures que l'écosystème européen doit regarder en face.

Première fracture : l'Europe fabrique des champions nationaux, pas des champions européens. Pandora est français. Ses compétiteurs directs dans le modèle consolidé sont allemands, néerlandais, suédois — et ils ne se parlent pas, ou peu. GAIA-X était censé créer le cadre d'interopérabilité qui permettrait à ces acteurs de construire ensemble. En 2026, le chantier reste inachevé, et les consolidateurs nationaux continuent de construire des silos.

Deuxième fracture : la croissance financière est mesurable, la maturité souverainiste ne l'est pas. 100 millions d'euros de chiffre d'affaires, c'est un indicateur économique. Ce n'est pas un indicateur de souveraineté. Pour qu'il le devienne, il faudrait que nos écosystèmes médiatiques, nos acheteurs publics et nos DSI exigent des métriques concrètes : taux de réversibilité documenté, part des dépendances logicielles auditables, localisation réelle des sous-traitants. Des questions qui dérangent — et qui sont précisément celles qu'un écosystème souverainiste adulte doit s'imposer à lui-même.

*La consolidation est une étape. La souveraineté est une pratique quotidienne. Confondre les deux, c'est offrir aux acteurs dominants américains le cadeau d'un concurrent qui se croit arrivé.*