Un référentiel européen pour choisir son cloud souverain : enfin un cap pour les DSI perdus

# Un référentiel européen pour choisir son cloud souverain : enfin un cap pour les DSI perdus

Pourquoi ce référentiel arrive au bon moment

Choisir un prestataire cloud souverain relevait jusqu'ici du parcours du combattant. Labels contradictoires, certifications incomparables, discours marketing opaques : les DSI — les Directeurs des Systèmes d'Information — naviguaient à vue. Beaucoup finissaient par rester chez l'acteur américain dominant, non pas par conviction, mais par manque de boussole.

C'est précisément ce vide que le nouveau référentiel européen de souveraineté cloud vient combler.

Lancé en 2026 sous l'impulsion d'un consortium regroupant des agences nationales de cybersécurité et des fédérations industrielles européennes, ce référentiel n'est pas un énième label. C'est un cadre commun d'évaluation : un ensemble de critères objectifs, publics et comparables pour juger si un prestataire cloud mérite vraiment l'étiquette « souverain ».

Ce que « souveraineté cloud » veut dire concrètement

Un mot sur le vocabulaire, parce qu'il est souvent mal compris.

La souveraineté cloud, ce n'est pas simplement héberger des données en Europe. Ce serait trop simple. Une filiale européenne d'un groupe américain peut très bien avoir ses serveurs en Allemagne tout en étant soumise au Cloud Act — une loi américaine qui oblige les entreprises US à transmettre des données à la justice américaine, même si ces données sont stockées hors des États-Unis.

La vraie souveraineté implique trois dimensions :

• La souveraineté juridique : aucune loi extraterritoriale étrangère ne peut s'appliquer.
• La souveraineté opérationnelle : l'entreprise peut changer de prestataire sans être captive d'une technologie propriétaire.
• La souveraineté économique : la chaîne de valeur — du code aux infrastructures — reste majoritairement européenne.

C'est sur ces trois piliers que le référentiel s'appuie pour noter et classer les prestataires.

Ce que le référentiel change pour un DSI de PME

Concrètement, pour un DSI qui gère le SI d'une ETI industrielle de taille moyenne, ce document est une grille de lecture actionnable.

Avant, la question était : « Mon prestataire est-il vraiment souverain ou est-ce du greenwashing souverainiste ? » La réponse nécessitait des juristes, des audits coûteux, du temps.

Désormais, le référentiel impose aux prestataires qui veulent s'y conformer de documenter publiquement leur structure capitalistique, leurs dépendances technologiques et leur régime juridique applicable. Un DSI peut donc comparer deux offres sur une base commune, sans avoir à décortiquer lui-même les petites lignes des contrats.

C'est un gain de temps considérable. Et surtout, c'est un rééquilibrage du rapport de force entre acheteur et vendeur.

Qui en profite en Europe — et qui risque d'être mis en difficulté

Les acteurs européens qui jouent la transparence depuis plusieurs années ont ici une carte maîtresse à jouer. Des prestataires comme **Scaleway (groupe Iliad, France) ou IONOS** (Allemagne), qui ont structuré leurs offres autour de la conformité réglementaire européenne, sont en position favorable pour obtenir rapidement une reconnaissance dans ce cadre.

À l'inverse, les structures hybrides — filiales européennes de groupes américains qui se présentent comme « cloud de confiance » — vont devoir s'expliquer davantage. Le référentiel met en lumière ce que leur modèle économique rend structurellement difficile : se couper réellement du droit américain sans renoncer à leur maison mère.

Pour les RSSI — les Responsables de la Sécurité des Systèmes d'Information — c'est une opportunité de remonter des arguments concrets au comité de direction. Le référentiel leur donne enfin un langage partagé avec les directions achats et les DAF.

Les limites à ne pas ignorer

Soyons honnêtes : un référentiel n'est pas une loi. Sa force dépend de son adoption.

Si les grandes administrations et les donneurs d'ordre publics européens ne l'intègrent pas dans leurs appels d'offres, il restera un outil de connaisseurs. L'enjeu des prochains mois est précisément là : faire de ce référentiel un critère d'achat standard, pas une option pour acheteurs avertis.

La Commission européenne a un rôle décisif à jouer. Si elle intègre ce référentiel dans les critères de marchés publics liés au EUCS — l'European Union Cybersecurity Certification Scheme pour le cloud — l'effet de levier sera massif.

Ce qu'un DSI devrait faire dès maintenant

Pas de liste de produits ici. Juste une posture.

Le bon réflexe, c'est de sortir ce référentiel lors de votre prochain renouvellement contractuel et d'exiger de votre prestataire actuel qu'il se positionne explicitement par rapport à ses critères. Sa réponse — ou son absence de réponse — sera déjà très instructive.

L'Europe s'est longtemps donné des règles sans se donner les outils pour les faire respecter. Ce référentiel est un outil. Utilisez-le.