Le cloud souverain : un idéal inatteignable pour les institutions européennes

Sommaire

Des estimations anticipent qu’à l’horizon 2025, jusqu’à 50 % des données mondiales pourraient être stockées dans le cloud¹. Le marché est dominé par les géants du numériques ou « hyperscalers ». Les fournisseurs nord-américain Amazon, Microsoft et Google contrôlent une grande partie de l’infrastructure cloud mondiale, avec près de 40% des centres de données². En Chine, Alibaba et Tencent ne sont pas en reste, avec environ 15% du marché, une part en croissance rapide.

Cette domination sino-Américaine entame durement la capacité de marché numérique européen à faire émerger des opérateurs de cloud en situation de rivaliser. Dans ce contexte, comment l’Europe peut dès lors garder le contrôle de ses données ? La réponse semblait toute trouvée avec le cloud souverain. Mais derrière ce concept attractif se cache une réalité plus complexe. L’expression, bien que largement reprise, souffre d’un manque de définition harmonisée.

Ce manque de clarté n’est pas sans conséquence. Il favorise les dérives marketing des fournisseurs. Ces derniers proposent des solutions dites souveraine mais ne respectant pas les différents principes de souveraineté. Cela entame la confiance des entreprise et juridictions.

Cloud souverain comme argument marketing : le « sovereign washing »

Pour contrer cette hégémonie, l’Europe semble avoir trouvé sa parade : le cloud souverain. Apparue au début des années 2000³, cette notion désigne la capacité d’un état à garder la maîtrise de ses données et des technologies qui les exploitent. Et ce, afin de garantir que les données soient protégées, quels que soit l’endroit où elles sont stockées ou traitées.  Un cloud est considéré souverain, lorsqu’il garantit un contrôle de la donnée à tous les niveaux :

• Maitrise technologique et capacité à exercer une réversibilité : c’est-à-dire la possibilité de migrer les données, changer d’opérateur, et éviter l’enfermement propriétaire (« vendor lock-in »).
• Localisation et contrôle juridique des données : la donnée doit être stockée et traitée dans une juridiction qui protège l’entité concernée.
• Opérations et administration du cloud : l’exploitation et le support sont effectués par des acteurs relevant du droit local⁴.

Cependant, derrière ce concept attractif se cache une réalité plus complexe. Le cloud souverain ne bénéficie pas encore de définition claire et harmonisée au niveau européen, ce qui entraîne une grande diversité d’interprétations⁵.

Cette absence de cadre précis ouvre la porte aux dérives marketing. De nombreuses offres revendiquent le label « souverain » et ne respectent que des critères superficiels. Certaines se contentent, par exemple, d’héberger les données en Europe, sans protéger contre les risques juridiques ou les dépendances technologiques. Cette tendance, qualifiée de « sovereign-washing », rend particulièrement complexe la comparaison objective des solutions pour les organisations.

Les initiatives existantes : encore insuffisantes

 Plusieurs initiatives européennes ont été mises en place pour protéger les données. Mais aucun dispositif ne s’est imposé comme une référence harmonisée du cloud souverain.

SecNumCloud : cantonné à la France

La certification SecNumCloud par l’ANSSI (France) est un référentiel qui impose des critères stricts depuis 2016. Cela inclut la résidence des données, le contrôle juridique local et des audits indépendants. Il s’agit du cadre le plus abouti pour certifier un cloud souverain. Cependant, son champ d’application demeure cantonné à l’Hexagone, sans équivalent dans les autres états membres.

GAIA-X : peu opérationnel face aux solutions commerciales des hyperscalers

Créé en 2020 par la France et l’Allemagne, GAIA-X promet une infrastructure interopérable et fédérée. Cependant, sa complexité technique et sa gouvernance lourde freinent son adoption. Elle la cantonne, certes, à un projet prometteur mais peu opérationnel face aux solutions commerciales des hyperscalers⁶.

Sovereign Cloud Stack (SCS) : confiné à l’Europe

Né en 2020 par l’Open Source Business Alliance en Allemagne, le Sovereign Cloud Stack (SCS) propose des standards open source pour un cloud souverain, exploité par certains fournisseurs en Allemagne et en Autriche en 2025. Malgré son potentiel pour réduire la dépendance aux hyperscalers, SCS souffre d’un manque de visibilité internationale et d’une adoption restreinte, le limitant à des niches régionales⁷.

European Cybersecurity Certification Scheme : inefficace face au Cloud Act

L’European Cybersecurity Certification Scheme (EUCS) lancé en 2020 par l’ENISA, devait s’affirmer comme le rempart européen. Ce schéma de certification promettait une harmonisation continentale. Mais sous la pression des clouds américain, les exigences initiales ont été diluées en 2023. Un recul que déplore d’ailleurs la CNIL, pointant l’inefficacité du dispositif face aux législations extraterritoriales comme le CLOUD Act1⁸.

Ces initiatives témoignent de l’écosystème européen dynamique. Mais aucun de ces cadres ne s’est imposé comme référence unique.

Cloud souverain : une solution coûteuse en bute à des freins géopolitiques et juridiques

Le cout de la souveraineté, les enjeux géopolitique et juridiques montrent l’importance et l’urgence de définir un modèle concret de cloud souverain.

Health Data Hub (France) : le coût de la souveraineté

Créé en 2019, le Health Data Hub est un projet porté sur la centralisation des données de santé des Français. Le gouvernement avait opté pour Microsoft Azure comme hébergeur. Ce choix avait été vivement critiqué, par les association et hébergeurs français, craignant une collecte des données de santé des Français par les autorités américaines⁹.

La CNIL a imposé au gouvernement de migrer vers une solution régie par le droit français. Un appel d’offre de 6,2 millions d’euros a été lancé pour proposer une « solution intercalaire ». Le but étant de faire une copie de la base principale du Système National des Données de Santé (SNDS). La mise en œuvre de cette solution est attendue pour 2026¹⁰.

Cet exemple met en évidence le rôle des acteurs publiques dans la protection juridique des données personnelles. Il souligne aussi le coût important qu’une transition vers une infrastructure souveraine peut engendrer.

La guerre en Ukraine : souveraineté numérique, enjeu de sécurité nationale

Lorsque la guerre a éclaté en 2022, les infrastructure physiques et numérique de l’Ukraine ont directement été menacées. Pour protéger ses données gouvernementales et institutionnelles, le pays a entrepris une migration massive vers le cloud.

Avec le soutien de la Commission européenne et de fournisseurs européens, des données critiques ont été transférées vers des centres de données situés dans l’Union européenne¹¹.

Cette opération démontre la dimension géostratégique de la souveraineté numérique. Disposer d’infrastructures cloud sûres et juridiquement protégées devient une condition de résilience nationale.

AWS European Sovereign Cloud (2025) : une réponse industrielle sous influence juridique

En 2025, AWS a annoncé un investissement de 7,8 milliards € pour créer son « European Sovereign Cloud » opéré depuis l’Allemagne. Ce dispositif garanti que la gestion, l’exploitation et l’assistance technique soient effectuées uniquement par des entités européennes¹².

Cependant, AWS reste une société américaine et reste soumise au Cloud Act. Cet exemple illustre le « sovereign-washing » : une revendication de souveraineté sans indépendance juridique complète.

La piste du modèle de couche IaaS, PaaS, SaaS : une architecture souveraine

Face à la confusion qui entoure la notion de cloud souverain, il devient urgent de proposer une grille de lecture simple et accessible à tous. S’inspirant de la structuration IaaS, PaaS, SaaS, un modèle en cinq couches rendrait tangible ce que recouvre réellement la souveraineté numérique.

Rappelons brièvement ce que recouvre ses structurations. L’IaaS (Infrastructure as a Service) confère aux entreprises la faculté de conserver la maîtrise de la gestion de l’infrastructure, comme les serveurs, le stockage et les réseaux. Le PaaS (Platform as a Service), en revanche, offre la possibilité de développer, déployer et gérer ses propres applications et données. Cette solution dispense l’utilisateur d’administrer les serveurs physiques, le stockage ou les systèmes d’exploitation sous-jacents. Enfin, le SaaS (Software as a Service) donne accès à des applications prêtes à l’emploi, accessibles à la demande. Dans ce cas, l’utilisateur n’a pas à se préoccuper de l’infrastructure ou de la plateforme qui les supporte.

IaaS souverain : des datacenters sous juridiction européenne

Tout commence par l’infrastructure physique : seuls des datacenters implantés en Europe, équipés de matériels sous juridiction locale et soumis à des contrôles réguliers (par l’ANSSI ou l’ENISA), peuvent garantir une première brique de confiance.

Sur cette base, l’IaaS souverain s’appuie sur des machines virtuelles, du stockage et des réseaux opérés exclusivement par des acteurs européens ou des coentreprises locales – à l’image d’OVHcloud SecNumCloud ou du futur AWS European Sovereign Cloud.

Paas souverain : une plateforme souveraine de services opérés dans l’UE

La couche suivante est le PaaS souverain. Elle englobe les bases de données managées, les middlewares et les services d’intelligence artificielle opérés dans l’UE. Elle s’illustre, par exemple, par les espaces de données Gaia-X ou le service Kubernetes de SCS.

SaaS souverain : solutions métiers critiques sous contrôle européen

Vient ensuite le SaaS souverain. Cette couche concerne les applications métiers critiques (santé, justice, finance) hébergées dans des environnements certifiés, à l’instar du futur EUDI Wallet. Application permettant aux citoyens européens de stocker et gérer leurs identités et attributs numériques, tels que l’état civil ou les diplômes.

Couche de confiance : une réalité mesurable et opposable

Enfin, une couche transversale de confiance s’impose. Celle-ci repose sur le chiffrement souverain, la gestion locale des clés, des audits indépendants et des clauses contractuelles excluant toute soumission aux lois extraterritoriales.

Cette dernière dimension est essentielle pour garantir que la souveraineté ne soit pas qu’un argument marketing, mais une réalité mesurable et opposable. Ce modèle en couches offre ainsi une vision structurée et opérationnelle, permettant aux entreprises, aux citoyens et aux États d’identifier clairement les niveaux de protection et de contrôle effectifs sur leurs données.

La souveraineté numérique : un défi technologique et réglementaire régi par le marché

Le cloud souverain est devenu un enjeu essentiel pour garder le contrôle des données européennes. Malgré de multiples tentatives, sa définition reste en gestation. Cette absence de définition claire entretient la confusion. Elle favorise en outre, le « sovereign-washing » et complique les choix des organisations qui cherchent réellement à protéger leurs données.

Si l’ambition européenne se montre inébranlable, la réalité montre que la souveraineté se construit par étapes et par compromis. L’Europe doit établir le juste équilibre entre la nécessité d’exploiter des technologies de pointe pour maintenir sa compétitivité.

Simultanément, elle doit répondre au besoin impérieux de garantir que les données critiques demeurent sous son contrôle juridictionnel exclusif.

Le succès du cloud souverain ne sera pas uniquement politique, il sera surtout technologique et réglementaire basée sur des besoins tangibles du marché.

Références

1. Mariusz Michalowski, « 55 Cloud Computing Statistics for 2025 », spacelift.io, mis à jour oct 82025.

↩︎

2. Kelly Teal, « Hyperscalers Hold Almost Half of Global Data Center Capacity », channelfutures.com, Jun 25, 2025.↩︎

3. Farid GUEHAM, « Vers la souveraineté numérique », fondapol.org, page 11, 48 pages, 2017. ↩︎

4. Eric Datei, « Cloud de confiance et souveraineté numérique : quelle stratégie adopter ? », groupeonepoint.com↩︎

5. Dario Maisto, « The European Sovereign Cloud Day Forecasts Stormy Weather for the Cloud Ecosystem ». forrester.com, June 2025.↩︎

6. Gaia-X. « Gaia-X Architecture Document », gaia-x.eu, 2024.↩︎

7. Sovereign Cloud Stack, « About » scs.community, 2024↩︎

8. « Cloud: the risks of a European certification allowing foreign authorities access to sensitive data », cnil.fr, 19 July 2024.↩︎

9. Laurent Delattre, « L’ex Health Data Hub devenu « PDS » prend enfin le cap vers un cloud SecNumCloud souverain », itforbusiness.fr, 7 Juillet 2025.↩︎

10. Alice Vitard « Le Health Data Hub met 6,2 millions d’euros sur la table pour reprendre la main sur les données de santé », usine-digitale.fr, 2 Juillet 2025.↩︎

11. « Supporting Ukraine through digital », ec.europa.eu.↩︎

12. Amazon Team, « Built, operated, controlled, and secured in Europe: AWS unveils new sovereign controls and governance structure for the AWS European Sovereign Cloud », aboutamazon.eu, 03 June 2025.↩︎