Datacenter souverain et bas carbone : le DSI ne devrait pas avoir à choisir

# Datacenter souverain et bas carbone : le DSI ne devrait pas avoir à choisir

*En 2026, la pression environnementale sur les infrastructures IT s'est considérablement durcie : reporting extra-financier obligatoire, critères ESG intégrés aux appels d'offres, directions générales qui demandent des comptes. Mais pour beaucoup de DSI d'ETI européennes, l'équation reste bloquée : réduire l'empreinte carbone du SI sans tomber dans les bras d'un hyperscaler américain dont les datacenters « verts » restent soumis au Cloud Act. Nous avons interrogé un DSI d'une ETI industrielle française, en poste depuis une dizaine d'années, qui a conduit en 2025 une migration complète de ses infrastructures vers un modèle hybride souverain.*

RiffLab Media : En 2026, quand votre direction générale vous parle de « cloud vert », de quoi parle-t-elle vraiment ?

Elle parle surtout de reporting. Depuis que les obligations de publication extra-financière se sont étendues aux ETI en cascade — via la chaîne de valeur des grands donneurs d'ordre — j'ai des demandes trimestrielles sur l'empreinte carbone de mon SI. Ce qui est nouveau, c'est que ces demandes arrivent avec des cases à cocher, pas avec une vision technique. Résultat : les offres des acteurs américains s'y sont parfaitement adaptées. Ils proposent des dashboards d'émissions clé en main, des certificats d'énergie renouvelable, des chiffres lisibles. C'est du marketing carbone très bien emballé. Mais quand je creuse, je réalise que ces chiffres consolident des datacenters situés hors d'Europe, que les certificats d'énergie renouvelable sont parfois achetés à distance géographique du datacenter réel, et que la question de la localisation des données — donc de leur exposition au droit américain — n'est jamais abordée dans ces rapports ESG.

La souveraineté et la durabilité sont-elles réellement en tension, ou est-ce un faux dilemme qu'on vous impose ?

C'est un faux dilemme, mais il est entretenu. L'argument qu'on m'a servi plusieurs fois — et que j'ai entendu dans des cercles de DSI — c'est que les hyperscalers américains auraient une avance technologique telle que leurs datacenters seraient intrinsèquement plus efficaces énergétiquement. Donc : si tu veux être vert, tu passes chez eux. C'est faux sur le fond. L'efficacité énergétique d'un datacenter dépend principalement de son PUE, de son mix énergétique local et de ses systèmes de refroidissement. Des opérateurs européens — je pense à des acteurs comme Scaleway ou à des structures comme les datacenters DC5 en Suède qui fonctionnent à l'hydroélectricité — affichent des indicateurs objectivement compétitifs. La vraie tension, elle est ailleurs : c'est le manque de visibilité sur l'offre européenne, et parfois le manque d'ambition commerciale de ces acteurs pour se positionner clairement sur ce segment.

Concrètement, comment avez-vous arbitré entre empreinte carbone et conformité réglementaire lors de votre migration de 2025 ?

J'ai posé trois filtres non négociables avant même d'ouvrir les offres. Premier filtre : le datacenter doit être physiquement localisé dans l'Union européenne, opéré par une entité de droit européen, sans maison mère américaine détenant un contrôle effectif. Ce filtre élimine d'emblée les offres Cloud Act-exposées. Ce n'est pas une posture idéologique — c'est une lecture directe de NIS2 et de DORA pour les données que je qualifie de critiques. Deuxième filtre : le PUE doit être auditable, pas seulement déclaratif. J'ai demandé des rapports de tiers indépendants, pas les brochures de l'opérateur. Troisième filtre : le mix énergétique du datacenter doit être documenté et certifiable dans le cadre du marché européen de l'énergie — pas des RECs achetés à l'autre bout du monde. Ce cadre m'a laissé moins d'options qu'un appel d'offres ouvert. Mais les options restantes étaient réelles et contractuellement solides.

Sur la conformité justement : NIS2, DORA, RGPD — comment ces textes ont-ils pesé dans votre analyse ?

Ils ont pesé de manière asymétrique selon les données. Pour les données de production industrielle et les données contractuelles clients, le RGPD et NIS2 m'imposent une maîtrise réelle de la chaîne de sous-traitance. « Maîtrise réelle » signifie que je dois être capable de démontrer à ma CNIL que j'ai vérifié les garanties de mon prestataire — pas seulement signé ses clauses standard. Or, un prestataire soumis au Cloud Act ne peut pas, structurellement, me garantir que des données ne seront pas communiquées à une autorité américaine sans que j'en sois informé. Ce n'est pas hypothétique : c'est inscrit dans le droit américain depuis le Foreign Intelligence Surveillance Act, renforcé post-2018. DORA, pour sa part, s'applique à nos interfaces avec le secteur financier — nous avons des clients banques et assurances. Le texte impose une cartographie précise des dépendances critiques aux prestataires tiers, avec des exigences de réversibilité. Un contrat avec un hyperscaler américain sur des services critiques crée une dépendance difficilement réversible à court terme. C'est un risque de conformité, pas seulement un risque opérationnel.

Vous avez évoqué l'auditabilité des indicateurs carbone. Est-ce que le cadre réglementaire européen vous aide sur ce point, ou êtes-vous encore dans le flou ?

Le cadre avance, mais il y a encore un écart entre le texte et la pratique. La directive CSRD et les normes ESRS commencent à structurer ce que les entreprises doivent publier sur leur empreinte numérique. Mais en 2026, la granularité attendue sur les émissions du SI — Scope 3 inclus — reste interprétable. Ce que je fais concrètement : j'exige dans mes contrats d'hébergement une clause de reporting énergétique trimestriel, avec des métriques définies à l'avance. Ce n'est pas encore standardisé dans tous les contrats européens, mais certains opérateurs l'acceptent. Chez un acteur américain, cette négociation est quasi impossible — les contrats sont standardisés, peu modulables, et la relation de force est défavorable à une ETI. C'est aussi ça, la souveraineté : avoir les moyens contractuels d'exiger ce que la réglementation m'impose de prouver.

Un mot sur la réversibilité : est-ce que « souverain et bas carbone » rime aussi avec « moins enfermant » ?

C'est une question que les DSI posent peu, et ils ont tort. Le lock-in technologique a un coût carbone. Migrer d'une infrastructure vers une autre génère des transferts massifs de données, des redéploiements applicatifs, des phases de double-run qui consomment des ressources. Si j'ai choisi un opérateur qui impose des formats propriétaires — y compris certains opérateurs européens — le coût de sortie est tel qu'il dissuade toute évolution. Mon approche depuis 2025 : je priorise les opérateurs qui s'engagent contractuellement sur des standards ouverts et qui documentent un plan de réversibilité testé. Ce critère m'a surpris lors des appels d'offres : c'est souvent les acteurs les plus solides techniquement qui l'acceptent le plus facilement, parce qu'ils ne comptent pas sur le lock-in pour fidéliser. La réversibilité n'est pas un luxe — c'est une condition de la souveraineté réelle, et indirectement, un levier d'optimisation carbone sur le long terme.

*Ce témoignage illustre une convergence qui s'impose progressivement dans les DSI d'ETI européennes : la conformité réglementaire, la maîtrise de l'empreinte carbone et la souveraineté sur les données ne sont pas trois chantiers distincts. Ils partagent le même prérequis — une capacité d'audit, de négociation et de réversibilité que les contrats standardisés des acteurs américains ne permettent structurellement pas.*