La souveraineté du cloud est devenue un enjeu stratégique majeur pour les États et les entreprises. La dépendance aux grands fournisseurs de cloud soulève des questions de sécurité, de compétitivité et de contrôle juridique. Pour y répondre, la France et l’Europe développent des stratégies de « cloud de confiance » et des cadres comme SecNumCloud afin de renforcer leur souveraineté numérique.

Un paysage dominé par les hyperscalers et bousculé par le Cloud Act

Le marché européen du cloud est largement dominé par les hyperscalers américains comme AWS, Microsoft Azure et Google Cloud, grâce à leur puissance technologique et financière. Toutefois, ces fournisseurs restent
soumis à des lois américaines extraterritoriales comme le Cloud Act et la FISA, qui peuvent permettre l’accès à des données hébergées en Europe. La véritable question n’est donc plus uniquement « où sont physiquement les
données ? », mais « sous quelle juridiction se trouvent réellement les opérateurs qui contrôlent l’infrastructure
et les logiciels ? ».

Cloud public, cloud de confiance, cloud souverain : clarifier les notions

Le « cloud public » désigne d’abord un modèle industriel : infrastructure mutualisée, accès à la demande via internet, services standardisés opérés par un tiers. Il n’est ni souverain ni non souverain par nature : tout dépend
de la gouvernance, de la juridiction applicable et des garanties de sécurité.

Le « cloud de confiance », concept promu par l’État français, cherche à concilier la puissance technologique des grands acteurs du cloud avec des exigences renforcées de sécurité et de souveraineté. Il prend souvent la forme
de co-entreprises entre un industriel français/ européen et un hyperscaler, offrant des services de niveau mondial mais opérés, administrés et juridiquement encadrés depuis la France, avec un alignement sur des référentiels
comme SecNumCloud.

Le « cloud souverain » a une acception forte et une acception marketing. Dans sa version exigeante, il combine :
• une souveraineté juridique : contrôle européen du fournisseur, absence de soumission à des lois extraterritoriales incompatibles avec le droit de l’UE ;
• une souveraineté technologique : maîtrise de la chaîne technique, capacité à faire évoluer la plateforme sans dépendance critique à des technologies extérieures.

Dans sa version affaiblie, le « cloud souverain » est parfois réduit à une simple localisation des données en France ou en Europe, sans maîtrise réelle de l’infrastructure ni réduction de la dépendance aux technologies non européennes. D’où l’importance des travaux de normalisation (CISPE, futur schéma EUCS) pour donner un contenu concret à ces notions et limiter le « souveraineté washing ».

SecNumCloud 3.2 : pivot du « cloud de confiance » français

Le référentiel SecNumCloud, élaboré par l’ANSSI, est la brique centrale de la stratégie française. Il définit un niveau
d’exigence élevé en matière de sécurité, mais aussi de gouvernance et de maîtrise juridique. La version 3.2 détaille notamment des exigences sur :

• Juridique : siège et capital majoritairement européens, non-soumission à des lois extraterritoriales
contradictoires avec le droit de l’UE.
• Données : hébergement intégral en UE, chiffrement systématique au repos et en transit, maîtrise des
clés.
• Exploitation : autonomie opérationnelle du prestataire qualifié, absence d’accès d’administration pour
des tiers extracommunautaires, contrôle des sous-traitants.
• Ressources humaines : habilitations, séparation des rôles, contrôle strict des accès à privilèges.
• Incidents et continuité : capacités de détection et réponse, SOC qualifié, procédures formalisées et testées, résilience et plans de continuité, indépendance vis-à-vis de tiers pour les fonctions critiques.

L’objectif n’est pas seulement la « bonne pratique » cybersécurité : il s’agit de garantir qu’aucune puissance étrangère ne puisse imposer un accès aux données, une coupure ou une altération de service sans que le droit
européen puisse s’y opposer. SecNumCloud est ainsi devenu le socle du « cloud de confiance » pour les administrations, OIV/OSE et secteurs régulés.

En 2026, plusieurs offres sont qualifiées SecNumCloud : Outscale (filiale de Dassault Systèmes), OVHcloud
(plusieurs offres IaaS/PaaS), Cloud Temple, Worldline, Cegedim, Orange Business (Cloud Avenue), ITS Integra, qui propose une offre de cloud de confiance destinée aux organismes sensibles et aux secteurs régulés, ou encore
S3NS (Thales/Google Cloud), illustrant un modèle hybride : technologie américaine, mais exploitation et contrôle opérés depuis la France. D’autres acteurs (Bleu, Scaleway, NumSpot, Free Pro, SFR Business) sont en cours de
qualification, constituant progressivement un véritable parc de « cloudeurs de confiance » couvrant de nombreux usages. (Source : ANSSI – Prestataires qualifiés SecNumCloud, liste consultée en avril 2026.)

Comparer les postures : opérationnel, juridique, innovation

L’analyse distingue trois dimensions pour comparer cloud public, cloud de confiance, cloud souverain et cloud
souverain qualifié SecNumCloud :

• Opérationnel et technique : Les clouds de confiance cherchent à rester proches du cloud public standard (élasticité, haute disponibilité, services managés), mais avec plus de sécurité, d’audit et de contrôle des accès. Cela se traduit souvent par une exploitation plus complexe et un déploiement plus lent des nouvelles fonctionnalités. Les clouds souverains européens indépendants n’ont pas toujours l’étendue fonctionnelle des hyperscalers, notamment sur l’IA avancée et la data, mais offrent plus de personnalisation et un meilleur alignement avec les contraintes des secteurs régaliens et régulés. Les offres SecNumCloud vont plus loin dans la formalisation des processus, ce qui renforce la robustesse mais impose une grande discipline de changement.• Juridique et confidentialité : Un cloud public opéré par un fournisseur soumis au Cloud Act porte un risque structurel, même avec stockage en Europe : demandes d’accès ou coupures unilatérales restent possibles. Les clouds de confiance atténuent ce risque en mettant l’exploitation sous contrôle européen, mais l’efficacité réelle dépend de la capacité à opposer la juridiction européenne à une injonction étrangère. Les clouds souverains contrôlés par des acteurs européens réduisent nettement ce risque, et les offres qualifiées SecNumCloud offrent aujourd’hui, en France, le niveau de garantie le plus élevé, en combinant exigences capitalistiques, organisationnelles et techniques.

• Innovation : Les hyperscalers restent en tête sur l’IA générative, les services managés avancés et l’automatisation. Les clouds de confiance adossée à leurs technologies (S3NS aujourd’hui, Bleu demain) bénéficient de cette dynamique, mais doivent adapter et auditer les nouveautés avant de les intégrer dans un cadre qualifié. Les clouds souverains indépendants ne peuvent suivre la cadence sur tous les fronts, mais offrent des capacités de co-construction avec les grands clients et un alignement plus fin avec les priorités nationales et européennes. Les stratégies matures s’orientent vers un multi-cloud piloté, combinant plusieurs modèles selon les enjeux.

Souveraineté technologique et souveraineté juridique : deux dimensions indissociables

La souveraineté du cloud ne se réduit ni à l’open source ni à la localisation des données. Elle comporte deux dimensions complémentaires :

• Souveraineté technologique : capacité à concevoir, auditer, opérer et faire évoluer les briques critiques (infrastructures, plateformes, logiciels) sans dépendance unilatérale vis-à-vis d’acteurs étrangers. Or, une Interne
grande partie de l’écosystème open source repose sur des infrastructures et organisations non européennes (plateformes de code, registres de paquets, fondations) et a montré sa vulnérabilité via des attaques sur la chaîne d’approvisionnement. Une véritable souveraineté open source supposerait
des investissements européens dédiés (infrastructures, audits, contributions).
• Souveraineté juridique : maîtrise des lois et juridictions applicables aux données et services, capacité à résister à des demandes d’accès ou de coupure provenant de pays tiers. C’est l’objectif des politiques de cloud de confiance, de SecNumCloud, du futur schéma EUCS et des labels sectoriels comme celui du CISPE.
L’enjeu n’est pas d’opposer ces deux dimensions, mais de les combiner. Un cloud de confiance basé sur une technologie d’hyperscaler améliore la situation juridique par rapport à un cloud public standard, mais ne
supprime pas toutes les dépendances technologiques. À l’inverse, un cloud souverain européen peut être solide
juridiquement, tout en restant vulnérable si certains composants critiques ne sont pas maîtrisés ou suffisamment financés.

Orientations stratégiques

La stratégie française s’inscrit dans cette logique de compromis et d’organisation des dépendances, plus que dans une quête d’autarcie : soutien aux acteurs européens, développement d’offres de cloud de confiance, montée en puissance de SecNumCloud 3.2, participation aux travaux européens sur EUCS.Pour les charges réellement sensibles à l’horizon 2026, les clouds souverains qualifiés SecNumCloud constituent le choix par défaut, complétés par des offres hybrides de confiance pour les besoins d’innovation avancée ou
d’intégration forte avec l’écosystème des hyperscalers.

La stratégie la plus robuste repose sur un multi-cloud segmenté et gouverné : données et fonctions critiques sur des clouds souverains qualifiés ; usages moins sensibles sur des clouds de confiance ou publics, avec des clauses fortes de réversibilité, d’interopérabilité et de
transparence.

À retenir

• Héberger des données en France ne garantit pas leur souveraineté si le fournisseur reste soumis à des
lois américaines comme le Cloud Act.
• La souveraineté juridique (contrôle des lois applicables) et la souveraineté technologique (maîtrise des
technologies et infrastructures) sont deux notions différentes mais complémentaires.
• Le référentiel SecNumCloud 3.2 renforce fortement la sécurité, la gouvernance et la maîtrise juridique
des services cloud en France.
• Les clouds de confiance hybrides (comme S3NS ou Bleu) réduisent les risques juridiques grâce à un
contrôle européen, mais restent dépendants des technologies américaines.
• Pour les données et services les plus sensibles, les fournisseurs qualifiés SecNumCloud sont aujourd’hui
les solutions les plus sûres.
• Une souveraineté numérique durable nécessite des logiciels maîtrisés et auditables, des opérateurs
européens et une réduction progressive des dépendances matérielles étrangères.
• La stratégie la plus robuste repose sur un modèle multi-cloud combinant clouds souverains pour les
données critiques, clouds publics ou de confiance pour les usages moins sensibles, avec des garanties
fortes de réversibilité, d’interopérabilité et de transparence

Par Ibtissem – Expert Pôle d’Excellence Cirrus