Voir les titres Ne plus voir les titres
La localisation et la gouvernance des données informatiques sont devenues, pour les entreprises européennes, un sujet d’arbitrage exécutif autant que technique. Le cloud souverain désigne une infrastructure opérée par des acteurs juridiquement européens, hébergée sur le territoire de l’Union et protégée des injonctions extra-territoriales américaines, à commencer par le CLOUD Act de 2018. Longtemps cantonné aux colloques d’experts, le terme s’invite désormais dans les directions générales et dans les feuilles de route des éditeurs SaaS visant des clients réglementés.
Le 20 avril 2026, la Commission européenne a notifié l’attribution d’un marché-cadre de 180 millions d’euros sur six ans à quatre consortiums européens, chargés de fournir des services cloud souverains aux institutions de l’Union. L’opération ne renversera pas, à elle seule, le rapport de force avec les hyperscalers américains. Elle déplace cependant les lignes politiques et réglementaires sur lesquelles s’appuient désormais les directions informatiques. Que change concrètement ce signal pour les entreprises françaises et européennes ?
Un marché européen verrouillé par les hyperscalers américains
Trois acteurs américains concentrent l’essentiel du marché mondial de l’infrastructure cloud. Au premier trimestre 2025, AWS captait 32 %, Microsoft Azure 23 % et Google Cloud 10 %, soit un cumul de 65 %. La part monte à plus de 70 % en Europe, selon les données de Synergy Research. La domination s’auto-entretient : profondeur du catalogue, effet de réseau et avance dans les puces dédiées à l’IA.
Intelligence artificiellePME et IA générative : passer du bricolage individuel à une stratégie d’entrepriseLe décalage d’investissement aggrave la fracture. Chacun des trois géants prévoit d’engager entre 75 et 100 milliards d’euros en 2025 dans ses datacenters et ses capacités d’IA, selon les analystes du secteur. Les fournisseurs européens, d’OVHcloud à Scaleway, IONOS ou T-Systems, ne mobilisent qu’une fraction de ces montants, contraints par des marchés fragmentés.
Le risque juridique ajoute une dimension stratégique au déséquilibre. Signé en 2018, le CLOUD Act autorise Washington à exiger de tout fournisseur américain la transmission de données stockées y compris hors du territoire américain. Pour une entreprise européenne traitant des données de santé, de défense ou de propriété industrielle, le sujet a quitté le terrain théorique. Il pèse aujourd’hui sur le scoring fournisseur et la cartographie des risques.
Quatre lauréats pour porter un signal politique
Le marché-cadre traduit en commande publique l’effort de structuration du tissu européen. Quatre consortiums vont fournir jusqu’en 2032 des services cloud souverains aux institutions de l’Union, avec des engagements sur la localisation des données, la résidence du contrôle capitalistique et la cybersécurité. La répartition révèle les forces des principaux acteurs européens du secteur.
- Post Telecom, opérateur luxembourgeois, associé à OVHcloud et Clever Cloud, sur un profil infrastructure et services managés généralistes ;
- STACKIT, branche cloud du groupe allemand Schwarz, qui apporte une assise capitalistique solide issue de la grande distribution ;
- Scaleway, filiale du groupe Iliad, qui joue la carte de l’autonomie technologique avec ses propres datacenters et une offre intégrée pour l’IA ;
- Proximus, opérateur belge, en consortium avec S3NS, Clarence et Mistral AI, sur un profil hybride combinant cloud souverain et inférence d’IA générative.
L’attribution récompense des acteurs déjà solides commercialement. OVHcloud a franchi en 2025 le seuil symbolique du milliard d’euros de chiffre d’affaires, à 1 084,6 millions d’euros en hausse de 9,3 %, avec près de 1 200 clients au-dessus de 100 000 euros de revenus récurrents. Scaleway et STACKIT progressent à un rythme proche sur leurs écosystèmes nationaux.
Un faisceau réglementaire qui se referme
Le marché-cadre s’inscrit dans un environnement normatif qui s’est densifié depuis 2024. Le schéma EUCS piloté par l’ENISA pour la certification cybersécurité des services cloud prévoit trois niveaux d’assurance, qualifiés de basic, substantial et high, avec des certificats valables trois ans. La Commission a proposé en janvier 2026 un Cybersecurity Act révisé, tandis que l’AI Act voit ses obligations majeures entrer en vigueur selon un calendrier ajusté par l’accord Digital Omnibus.
L’impact opérationnel se mesure à plusieurs niveaux. Une entreprise qui externalise des charges critiques chez un fournisseur non certifié EUCS s’expose à un risque contractuel croissant, particulièrement sur les marchés publics et dans les secteurs réglementés où NIS2 a déjà rebattu les arbitrages cybersécurité. Retenir un fournisseur certifié au niveau high réduit l’exposition juridique mais peut renchérir les coûts d’infrastructure de 15 à 30 %, selon les cabinets indépendants spécialisés.
Des profils d’offre différenciés selon les usages
Les arbitrages que les directions informatiques doivent formaliser sortent du registre purement technique. Le tableau ci-dessous synthétise les critères qui structurent un choix cloud souverain ou hyperscaler, à partir des grilles utilisées dans les appels d’offres publics et les comités risques des grands groupes.
| Critère | Cloud souverain européen | Cloud hyperscaler américain |
|---|---|---|
| Exposition au CLOUD Act | Aucune, entité juridiquement européenne | Réelle, y compris pour données hébergées en Europe |
| Catalogue de services managés | Plus étroit, en montée en puissance | Très large, fortement intégré IA |
| Coût d’infrastructure indicatif | Comparable à +30 % selon la certification | Référence du marché, fort effet d’échelle |
| Capacité GPU pour l’IA | Croissante, concentrée sur quelques sites | Massive et disponible à l’échelle mondiale |
| Compatibilité EUCS niveau high | Possible nativement | Sous conditions de partenariat européen |
La grille rappelle qu’aucune des deux familles n’écrase l’autre par défaut. Pour des charges d’entraînement de grands modèles ou un déploiement multi-zones, l’avantage reste aux hyperscalers américains. Pour des charges critiques ou des données réglementées, le cloud souverain reprend la main. La plupart des grands groupes optent pour une architecture hybride, où chaque charge est routée selon son profil de risque.
Le frein réel des compétences et de la maturité interne
Au-delà de l’infrastructure, la transition se heurte à un mur opérationnel : la maturité numérique inégale des entreprises européennes. Selon Eurostat, 20 % des entreprises de l’Union d’au moins dix salariés utilisaient au moins une technologie d’IA en 2025, contre 13,5 % un an plus tôt. La progression masque une fracture entre grands groupes structurés et PME peinant à recruter sur les compétences cloud, data et cybersécurité. La pénurie de profils techniques reste le premier facteur de retard dans la mise en œuvre des migrations souveraines.
CybersécuritéNIS2 : pourquoi la cybersécurité s’invite dans les arbitrages des dirigeantsLes fondations data précèdent l’adoption sérieuse du cloud souverain. Bpifrance Le Lab évaluait en mars 2026 à 82 % la part des PME françaises qui investissent dans le digital, avec un budget moyen de 75 000 euros, dont 42 % sur des démarches IA encore largement expérimentales. Ces montants restent modestes au regard de ce qu’exige une refonte d’architecture orientée souveraineté.
L’Europe a besoin de services cloud sécurisés, fiables et souverains pour son administration publique et ses entreprises, afin de garantir notre autonomie stratégique dans la prochaine décennie.
Henna Virkkunen, vice-présidente exécutive de la Commission européenne en charge de la souveraineté technologique, communiqué officiel d’attribution du marché-cadre cloud, 17 avril 2026.
La déclaration traduit la posture politique du moment sans effacer la difficulté d’exécution côté entreprise. La gouvernance interne, la cartographie des données, la définition des zones critiques exigent des travaux préparatoires souvent sous-estimés. Les dossiers les mieux conduits associent un sponsor exécutif au plus haut niveau et une équipe transverse.
Une bascule qui se mesurera sur cinq à dix ans
Le marché-cadre d’avril 2026 ne constitue qu’une étape dans un mouvement plus profond. Les hyperscalers américains conserveront pour quelques années une avance considérable. La conjonction du droit, des budgets publics européens, de la certification cybersécurité et de la maturité IA crée pour la première fois une trajectoire crédible vers un équilibre moins défavorable au tissu cloud européen, à condition que les lauréats investissent en proportion et que la demande privée suive.
Les entreprises ont devant elles un horizon plus opérationnel qu’idéologique. Les choix relatifs à l’hébergement des données sensibles, aux fournisseurs retenus en multi-année et aux critères de réversibilité contractuelle vont se poser à l’occasion des renouvellements des trois prochaines années. Le sujet devient un arbitrage de gouvernance des données et de gestion du risque que les comités exécutifs ne peuvent plus déléguer entièrement.
