Stratégie cloud souveraine allemande : les leçons que les ETI européennes ne peuvent pas ignorer

# Stratégie cloud souveraine allemande : les leçons que les ETI européennes ne peuvent pas ignorer

L'Allemagne vient de franchir une étape structurante dans sa politique cloud. Pas à travers une loi-cadre spectaculaire ni un plan de communication gouvernemental, mais par une convergence de décisions — appels d'offres publics, certifications renforcées, orientations budgétaires — qui dessinent clairement une direction. Une direction que les DSI et CTO d'ETI françaises et européennes ont tout intérêt à décrypter, même si leur quotidien semble loin des arbitrages de la Chancellerie fédérale.

Ce qui s'est passé, concrètement

Depuis début 2025, le gouvernement allemand a accéléré la mise en œuvre de ce que les acteurs du secteur appellent la *Souveräne Cloud*, une approche articulée autour de trois piliers : la localisation des données sur sol européen, le contrôle des accès par des entités soumises au droit européen, et la réversibilité contractuelle garantie. Ce n'est pas une rupture idéologique, c'est une posture pragmatique qui répond à des pressions concrètes : l'extraterritorialité du droit américain — incarnée notamment par le Cloud Act — et la prise de conscience, accélérée par plusieurs incidents de sécurité impliquant des prestataires tiers, que la dépendance technologique a un coût réel.

Le BSI, l'agence fédérale allemande de cybersécurité, a durci ses référentiels de certification pour les prestataires cloud qui souhaitent opérer dans les administrations et les secteurs critiques. En parallèle, des consortiums industriels — notamment dans l'automobile et la chimie, secteurs historiquement stratégiques pour l'économie allemande — ont commencé à imposer à leurs fournisseurs des exigences de localisation des données qui débordent largement du cadre réglementaire minimal.

Autrement dit : ce qui était hier une exigence du secteur public devient demain une condition d'entrée dans les chaînes de valeur du secteur privé.

Pourquoi cela concerne les ETI françaises et européennes

On pourrait être tenté de considérer cette évolution comme une affaire intérieure allemande. Ce serait une erreur de lecture.

L'Allemagne est le premier partenaire commercial de la France. Une ETI française qui fournit un équipementier bavarois ou un chimiste rhénan va, tôt ou tard, se voir interrogée sur ses pratiques de gestion des données. Pas de façon agressive ou brutale, mais sous la forme d'un questionnaire de qualification fournisseur, d'une clause contractuelle dans un appel d'offres, ou d'un audit de conformité lors du renouvellement d'un contrat cadre. C'est ainsi que les standards industriels se diffusent en Europe : par capillarité, pas par décret.

Par ailleurs, la démarche allemande s'inscrit dans un mouvement plus large. Le règlement européen sur la cybersécurité des infrastructures critiques, NIS2, impose depuis fin 2024 des obligations renforcées à un périmètre d'entreprises considérablement élargi par rapport à NIS1. Nombre d'ETI qui se croyaient hors scope ont découvert qu'elles y étaient soumises, soit directement, soit comme sous-traitantes d'entités essentielles. La stratégie allemande vient renforcer cette dynamique : elle n'est pas un accident national, elle préfigure ce que la pression réglementaire et marchande va rendre inévitable à l'échelle du marché unique.

Il y a aussi une dimension moins visible mais tout aussi réelle : la question de la compétitivité future. Les entreprises qui auront structuré leur infrastructure cloud autour de principes de souveraineté — localisation, réversibilité, transparence — seront mieux positionnées pour répondre aux appels d'offres publics européens, qui se durcissent progressivement, et pour entrer dans les supply chains des grands groupes qui adoptent eux-mêmes ces standards. Ce n'est pas de l'idéologie, c'est de l'anticipation stratégique.

Ce que ça change, vraiment, pour un DSI d'ETI

Soyons honnêtes : la souveraineté cloud, pour un DSI d'une ETI de 500 personnes qui gère un ERP, une messagerie, quelques outils collaboratifs et peut-être une première brique IA, ça ressemble parfois à un débat d'experts déconnecté des priorités du quotidien. Budget contraint, équipes réduites, dette technique à résorber. La souveraineté, c'est pour les grands.

Cette perception est compréhensible. Elle est aussi progressivement fausse.

Premièrement, les risques de dépendance technologique ne sont plus théoriques. Plusieurs ETI européennes ont vécu, ces dernières années, des situations inconfortables lors de renégociations contractuelles avec des hyperscalers américains. La migration vers un concurrent est techniquement possible mais opérationnellement complexe et coûteuse quand elle n'a pas été anticipée. La réversibilité n'est pas un luxe : c'est un levier de négociation.

Deuxièmement, la pression réglementaire monte. RGPD, NIS2, et demain probablement le Data Act dans ses effets pratiques sur les contrats cloud : le cadre juridique évolue dans un sens qui rend plus risquée la posture du « on verra bien ». Un DSI qui ne peut pas répondre clairement à la question « où sont vos données et qui peut y accéder » est exposé, pas serein.

Troisièmement — et c'est peut-être le point le plus sous-estimé — les grands donneurs d'ordre industriels et publics commencent à répercuter leurs propres exigences sur leurs fournisseurs. Une ETI sous-traitante d'un groupe soumis à NIS2 ou à des exigences sectorielles spécifiques (défense, santé, énergie) doit être capable de démontrer un niveau minimal de maturité sur ces sujets. Ce n'est plus optionnel.

Des pistes de réflexion, pas des recettes

Face à cette évolution, quelles postures adopter ? Quelques pistes, sans prétendre à l'universalité — chaque ETI a sa propre géographie de risques.

Commencer par cartographier avant de décider. Avant de se poser la question du « cloud souverain ou pas », il faut savoir ce qu'on a. Quelles données sont dans quel cloud, sous quelles conditions contractuelles, avec quelles clauses d'accès tiers ? Beaucoup d'ETI réalisent à cette occasion qu'elles ont des angles morts significatifs, non par négligence, mais parce que la croissance organique de l'infrastructure cloud s'est faite par strates successives, sans vision d'ensemble. Cette cartographie est un préalable indispensable à toute décision rationnelle.

Différencier les données par niveau de criticité. La souveraineté cloud n'est pas une posture binaire. Il n'est ni réaliste ni nécessaire de rapatrier l'ensemble de son infrastructure sur des acteurs européens certifiés. En revanche, identifier les données réellement sensibles — propriété intellectuelle, données client, plans industriels, données RH — et leur appliquer un traitement différencié, c'est une approche pragmatique et défendable. Des acteurs comme Outscale (filiale de Dassault Systèmes) ou T-Systems, côté allemand, proposent des offres positionnées sur ce segment de criticité élevée, avec des certifications qui commencent à être reconnues dans les appels d'offres industriels et publics européens.

Revoir les contrats cloud existants avec un regard juridique. Ce point est souvent négligé par les équipes IT qui s'arrêtent aux aspects techniques. Les contrats cloud comportent des clauses sur l'accès des autorités étrangères aux données, sur la portabilité, sur le droit applicable en cas de litige. Un examen de ces clauses à l'aune du droit européen actuel peut révéler des écarts significatifs avec ce que l'entreprise croit avoir négocié. C'est un travail qui mérite l'implication du département juridique, pas seulement de la DSI.

Ne pas confondre certification et souveraineté réelle. La France a développé le référentiel SecNumCloud, géré par l'ANSSI, qui constitue l'un des standards les plus exigeants d'Europe sur ce sujet. Mais il faut être lucide : une certification, aussi rigoureuse soit-elle, ne garantit pas à elle seule une souveraineté opérationnelle. La question de la dépendance technologique aux briques logicielles sous-jacentes — souvent américaines même chez des acteurs européens — reste entière. Ce n'est pas une raison de ne pas chercher des fournisseurs certifiés, c'est une raison de ne pas s'arrêter à la certification comme seul critère.

Intégrer la dimension souveraineté dans les appels d'offres futurs. Pour les ETI qui renouvellent leurs contrats cloud ou font évoluer leur infrastructure, c'est le bon moment pour intégrer des critères explicites : localisation des données, droit applicable, portabilité, accès des autorités étrangères. Pas pour éliminer systématiquement les acteurs non-européens, mais pour avoir une vision claire des compromis que l'on accepte et de ceux que l'on refuse.

Ce que ce mouvement révèle, au fond

La stratégie cloud souveraine allemande n'est pas une décision politique isolée. Elle est le symptôme d'une prise de conscience plus large : l'infrastructure numérique est devenue aussi stratégique que l'infrastructure physique. On ne délègue pas la gestion de ses routes à une entreprise soumise à un droit étranger. La question est de savoir jusqu'où ce raisonnement s'applique aux données d'entreprise.

La réponse n'est pas simple, et elle varie selon les secteurs, la taille des entreprises, leur exposition internationale et leur profil de risque. Mais ce qui est sûr, c'est que le statu quo devient progressivement moins tenable — non pas pour des raisons idéologiques, mais pour des raisons contractuelles, réglementaires et commerciales très concrètes.

La vraie question pour les DSI et CTO d'ETI n'est peut-être pas « faut-il adopter une stratégie cloud souveraine ? » mais « est-ce que je comprends précisément les risques liés à ma situation actuelle ? ». C'est souvent là que la conversation s'arrête, faute d'avoir posé la question de départ.

L'Allemagne vient de poser la sienne, à son échelle. Il serait dommage de ne pas en tirer les enseignements qui nous concernent.