#4 L'offre "cloud souverain" en France et en Europe : qui fait quoi ?

En mars 2026, la Commission européenne a attribué un marché cloud de 180 millions d'euros sur six ans à quatre consortiums, pour héberger les charges de travail de la Commission, du Conseil, de la BCE et d'une cinquantaine d'agences européennes.

Les quatre lauréats : Post Telecom avec OVHcloud et Clever Cloud, StackIT, Scaleway, et Proximus avec S3NS et Mistral AI.
Aucun hyperscaler américain parmi les attributaires.
L'appel d'offres avait été explicitement construit, selon la Commission, pour contourner le risque juridique posé par le CLOUD Act et le FISA 702.

Ce signal est fort.
Mais il ne doit pas faire illusion sur l'état réel du marché.

AWS, Microsoft et Google captent encore environ 72 % d'un marché cloud européen estimé à 134 milliards d'euros en 2026.

Et la première Forrester Wave dédiée aux "Sovereign Cloud Platforms", publiée en avril 2026, a placé Microsoft en tête des Leaders, Google Cloud dans le même quadrant, et AWS parmi les Strong Performers...
OVHcloud et S3NS figurent parmi les "Contenders", tandis que Scaleway ou Cloud Temple brillent pas leur absence.

Deux lectures du même marché, deux réalités qui coexistent.
Pour un DSI, une directrice juridique ou un dirigeant de PME qui cherche à y voir clair, le panorama des offres disponibles est à la fois riche et déroutant.

Cet article va s'efforcer de le cartographier honnêtement — avec les forces, les limites et les angles morts de chaque modèle.

Une clarification préalable : trois modèles, pas un seul

Avant de dresser le panorama des acteurs, il est indispensable de clarifier les trois modèles qui coexistent sur le marché sous le même label de "cloud souverain".

Modèle 1 — Le cloud natif européen.

L'infrastructure, la technologie, le capital et la gouvernance sont entièrement européens.
Aucune dépendance à une technologie ou à une entité américaine.
C'est la définition la plus stricte de la "souveraineté".
OVHcloud, Scaleway, Cloud Temple, Clever Cloud en sont les représentants français.

Modèle 2 — Le cloud de confiance hybride.

La technologie de base est celle d'un hyperscaler américain (Google, Microsoft), mais elle est opérée par une entité de droit européen, sous contrôle capitalistique européen, avec une isolation technique et juridique des systèmes américains.
C'est le modèle de S3NS (Thales/Google) et de Bleu (Orange/Capgemini/Microsoft).
SecNumCloud 3.2 est l'étalon de référence qui qualifie ce type d'offres en France.

Modèle 3 — Le sovereign cloud des hyperscalers.

AWS, Microsoft et Google opèrent des offres qu'ils qualifient eux-mêmes de "souveraines" : AWS European Sovereign Cloud, Microsoft Cloud for Sovereignty, Google Cloud Data Boundary.
Ces offres apportent de réelles garanties opérationnelles (résidence des données, personnel européen, isolation technique), mais ne résolvent pas l'exposition juridique fondamentale au CLOUD Act et au FISA, tant que leur maison-mère reste une société de droit américain.

Ces trois modèles ne répondent donc pas aux mêmes questions et ne protègent pas contre les mêmes risques.
Choisir l'un ou l'autre sans avoir d'abord défini ses exigences de "souveraineté" revient à acheter une assurance sans avoir lu et compris les clauses et donc ne pas savoir ce qu'elle couvre exactement.

Les acteurs français natifs : OVHcloud, Scaleway, Cloud Temple, Clever Cloud

OVHcloud — un champion national de taille internationale

OVHcloud est aujourd'hui le premier acteur européen du cloud par chiffre d'affaires, et l'un des rares à avoir une présence véritablement internationale (43 datacenters dont 20 en Europe).
Fondé à Roubaix en 1999 par Octave Klaba, le groupe est coté en bourse depuis 2021.

Il est le premier acteur français à avoir obtenu la qualification SecNumCloud 3.2 pour des offres de cloud privé, dès 2021, sur ses sites de Roubaix, Strasbourg et Gravelines.

Il est également, avec Outscale (Dassault Systèmes), l'un des premiers à proposer des GPU certifiés SecNumCloud — un avantage compétitif direct pour les workloads d'"IA souveraine".

Ses serveurs sont conçus en interne et assemblés en France, ce qui lui confère une maîtrise de la chaîne matérielle que peu d'acteurs peuvent revendiquer.

Sa limite principale est connue et assumée par son propre dirigeant : environ 30 % du catalogue de services d'AWS en termes de volume, couvrant néanmoins 85 % des usages courants.
Les services managés avancés, bases de données cloud-native de très grande échelle, machine learning géré, analytics complexe, restent moins riches que chez les hyperscalers américains.

OVHcloud ne souhaite pas non plus engager des investissements massifs dans des GPU Nvidia, préférant se concentrer sur ses points forts et une offre tarifaire compétitive.

Sur l'affaire canadienne qui mérite d'être mentionnée (voir encadré ✏️), OVHcloud fait l'objet d'une procédure judiciaire au Canada qui a forcé la filiale canadienne à produire des métadonnées liées à des serveurs situés en France, au Royaume-Uni et en Australie.
Cette affaire illustre les limites de la souveraineté même pour un pur acteur européen, dès lors qu'il opère commercialement à l'international.

Scaleway — l'alternative open source et nativement affranchie

Scaleway, filiale du groupe Iliad fondé par Xavier Niel, incarne un positionnement différent d'OVHcloud : celui de l'indépendance technologique totale comme principe fondateur.

Là où OVHcloud s'appuie sur des standards comme VMware ou Nutanix pour ses couches de virtualisation, Scaleway a bâti sa propre pile logicielle à partir de l'hyperviseur open source KVM.

L'objectif affiché est de proposer une alternative nativement affranchie du Cloud Act, non pas par construction légale, mais par construction technique : une infrastructure entièrement basée sur des standards ouverts, implantée à Paris, Amsterdam et Varsovie, sans aucun lien capitalistique ou technologique avec le droit américain.

En avril 2026, Scaleway a été retenu en solo comme l'un des quatre lauréats du marché cloud de la Commission européenne, au niveau SEAL-3.
Son processus de certification SecNumCloud global a démarré en janvier 2025, avec pour objectif d'aboutir courant 2026 sur les services IaaS, y compris les GPU.

Sa limite principale est identique à celle d'OVHcloud : un catalogue de services moins étendu que les hyperscalers américains.
Et une moindre présence internationale, avec 8 datacenters (6 en France, 1 en Pologne, 1 aux Pays-Bas) contre 43 pour OVHcloud.

Scaleway a annoncé son retrait de Gaia-X, l'initiative franco-allemande de cloud souverain européen, estimant que le projet s'était trop éloigné de ses ambitions initiales.
Un signe que même dans les cercles de la souveraineté numérique, les positionnements peuvent diverger.

3DS Outscale — le "cloud souverain" adossé à Dassault Systèmes

3DS Outscale est la filiale cloud de Dassault Systèmes, l'un des rares éditeurs de logiciels européens figurant dans le top 10 mondial.

Fondée en 2010, elle propose une infrastructure IaaS/PaaS construite sur des technologies entièrement propriétaires, sans dépendance à une stack américaine (ni AWS, ni Google, ni Microsoft en sous-couche).

C'est l'un des premiers acteurs français à avoir obtenu la qualification SecNumCloud, aux côtés d'OVHcloud, sur des offres de cloud public et privé qualifiées.

Son positionnement est délibérément orienté vers les données très sensibles : secteur public, défense, industrie stratégique, Opérateur d'Importance Vitale (OIV) et Opérateurs de Services Essentiels (OSE).

Elle bénéficie à ce titre de la crédibilité industrielle et de la base clients de Dassault Systèmes, dont les donneurs d'ordre incluent les plus grands groupes de défense et d'aéronautique mondiaux — un écosystème naturellement exigeant en matière de protection des données.

Sa souveraineté technologique est parmi les plus complètes du panorama français : de la couche matérielle à l'orchestration, la stack est maîtrisée en interne, ce qui la distingue des acteurs hybrides comme S3NS ou Bleu, mais aussi de certains acteurs natifs qui s'appuient sur des couches open source d'origine tierce.

Sa limite principale : un positionnement très ciblé sur les usages les plus sensibles, avec un catalogue de services et une notoriété commerciale structurellement plus étroits que ceux d'OVHcloud ou Scaleway.

Cloud Temple — le spécialiste des données très sensibles

Cloud Temple se positionne sur un segment plus étroit mais à forte valeur ajoutée : les données très sensibles des organisations publiques et des OIV.

Acteur plus confidentiel qu'OVHcloud ou Scaleway, il est l'un des rares à disposer d'une qualification SecNumCloud 3.2 sur une offre de cloud public.

Son positionnement est délibérément orienté vers les exigences les plus strictes — défense, santé, secteur public sensible.

Clever Cloud — le cloud applicatif français

Clever Cloud, fondé à Nantes en 2010 par Quentin Adam, occupe un positionnement distinct : c'est essentiellement un acteur de Platform-as-a-Service (PaaS), orienté développeurs.

Son modèle repose sur l'automatisation du déploiement et de la gestion des applications.
Autofinancé et indépendant, il fait partie du consortium retenu par la Commission européenne aux côtés d'OVHcloud et de Post Telecom.

Sa qualification SecNumCloud est en cours.

✏️ L'affaire OVHcloud/Canada : quand un acteur européen se retrouve pris en étau

En avril 2024, la Gendarmerie royale du Canada (RCMP) a émis une ordonnance de production visant la filiale canadienne d'OVHcloud, réclamant des métadonnées liées à des serveurs situés en France, au Royaume-Uni et en Australie, dans le cadre d'une enquête de sécurité nationale.

OVH a contesté l'ordonnance sur quatre terrains :

• absence de juridiction sur la maison-mère française,
• absence de contrôle de la filiale canadienne sur les données,
• conflit avec la loi de blocage française,
• obligation pour la Couronne de passer par le traité d'entraide judiciaire (MLAT).

La juge Heather Perkins-McVey a rejeté l'ensemble de ces arguments dans sa décision du 25 septembre 2025, ordonnant à OVH Group SA et à sa filiale canadienne de se conformer dans les 30 jours (l'affaire est toujours en cours).

Trois enseignements de la décision méritent l'attention.

Premier enseignement : la présence virtuelle suffit à établir la juridiction.
La juge s'est appuyée sur la doctrine Brecknell* (2018 BCCA 5) : une entreprise qui opère des datacenters au Canada, commercialise ses services auprès de clients canadiens, partage une équipe dirigeante et des services juridiques entre ses filiales, et se présente comme "une entité globale unifiée" sur son site web, est soumise à la juridiction canadienne — quand bien même sa maison-mère est une société de droit français (§40-63).
La séparation juridique des entités ne constitue pas un bouclier.

Deuxième enseignement : c'est le contrôle qui compte, pas la localisation.
OVH a lui-même concédé qu'il pouvait obtenir les données depuis ses filiales en France, au Royaume-Uni et en Australie (§6).
Ce faisant, il a admis le critère déterminant : ce n'est pas là où les données sont stockées qui importe, c'est qui en a le contrôle effectif.
La juge a retenu que "la présence du destinataire et son contrôle sur les données, et non la localisation des données" constituaient le fondement de l'ordonnance (§59-60).

Troisième enseignement : la loi de blocage française n'a pas suffi.
OVH s'est appuyé sur des lettres officielles du SISSE affirmant que toute divulgation serait illégale au regard de la loi du 26 juillet 1968**.
La juge a estimé que cette loi, rarement appliquée en 40 ans (une seule condamnation connue), constituait en pratique un "empty vessel" : un risque purement théorique, non étayé par des preuves concrètes de poursuites (§110-115).

Elle a par ailleurs noté que la loi de blocage ne s'applique qu'aux données destinées à être utilisées dans une procédure judiciaire étrangère, ce qui n'était pas le cas ici : les données étaient demandées dans le cadre d'une enquête pénale, non d'une procédure judiciaire (§122).

L'enseignement que nous pourrions tirer de cette affaire est que la souveraineté d'un acteur européen ne dépend pas uniquement de son droit national, mais de sa présence commerciale internationale.

Une entreprise qui choisit de s'implanter dans de nombreux pays, de partager ses ressources entre filiales et de se présenter comme une entité mondiale unifiée accepte, ce faisant, d'être soumise aux juridictions de ces pays — y compris pour des données physiquement stockées en Europe.

La loi de blocage française existe, mais elle ne suffit pas à faire obstacle à une ordonnance étrangère si le risque de poursuites en France reste théorique.

*La doctrine Brecknell expliquée simplement

En 2018, la Cour d'appel de Colombie-Britannique (BCCA = British Columbia Court of Appeal) a rendu une décision dans l'affaire Attorney General vs Brecknell.

Le cas était simple en apparence : la police canadienne voulait obtenir des informations auprès de Craigslist, un site américain de petites annonces, dans le cadre d'une enquête criminelle.

Craigslist n'avait aucun bureau, aucun employé, aucun serveur au Canada.
Ses données étaient stockées aux États-Unis.
Elle a contesté la juridiction du tribunal canadien.
La Cour a tranché en faveur des autorités canadiennes.
Et c'est le raisonnement de cette décision qui est devenu la doctrine Brecknell.

Ce que la doctrine Brecknell établit concrètement
Trois règles en découlent, confirmées par les décisions ultérieures qui ont suivi le raisonnement de Brecknell (Love 2022, textPlus 2022, TD Bank 2025, Binance 2025, et maintenant OVH 2025) :

Règle 1 : la localisation des données est secondaire.
Un tribunal canadien peut contraindre une entreprise à produire des données stockées en France, en Allemagne, en Australie ou aux États-Unis, dès lors que cette entreprise est "présente" au Canada au sens virtuel du terme.

Règle 2 : la présence virtuelle suffit.
Il n'est pas nécessaire d'avoir un bureau ou des serveurs au Canada. Il suffit de cibler activement des utilisateurs canadiens, de générer des revenus au Canada, et d'avoir un contrôle effectif sur les données demandées.

Règle 3 : la séparation juridique des filiales n'est pas un bouclier absolu.
Une maison-mère étrangère qui contrôle effectivement les données de ses filiales, partage une équipe dirigeante commune, et se présente comme "une entité globale unifiée" ne peut pas se réfugier derrière la séparation juridique des entités pour résister à une ordonnance de production.

**Loi n°68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d'ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères.

Elle a été adoptée à l'origine dans un contexte très précis : protéger les entreprises françaises de l'industrie maritime contre les demandes de discovery américaines — les procédures de divulgation forcée de documents dans les litiges civils aux États-Unis, qui avaient une portée extraterritoriale agressive.

Elle a ensuite été considérablement élargie en 1980 (loi n°80-538 du 16 juillet 1980) pour couvrir un champ beaucoup plus vaste, et renforcée en 2022 (décret n°2022-207) pour désigner le SISSE comme point de contact officiel.

Le SISSE est le Service de l'Information Stratégique et de la Sécurité Économiques.
Il s'agit d'un service interministériel placé sous l'autorité du ministre chargé de l'Économie, créé pour protéger les intérêts économiques de la France face aux ingérences étrangères.

La juge Perkins-McVey a écarté cet argument pour trois raisons exposées dans la décision.

Première raison — les lettres reposaient sur une prémisse erronée.
Le §81 de la décision indique que les lettres du SISSE et du ministère de la Justice semblaient fondées sur une compréhension inexacte de la procédure canadienne, les autorités françaises évoquant des "procédures judiciaires en cours" alors qu'il n'y en avait pas encore.
Or l'Article 1 bis ne s'applique que si les données sont destinées à être utilisées dans une "procédure judiciaire ou administrative étrangère" — ce qui n'était pas le cas ici.
La Gendarmerie royale du Canada demandait des données dans le cadre d'une enquête préliminaire, pas d'une procédure judiciaire formelle.

Deuxième raison — le risque de poursuites en France était purement théorique.
Sur 40 ans d'existence de la loi de blocage, une seule condamnation connue a été prononcée — l'affaire Christopher X — dans des circonstances très particulières de fraude délibérée.
La juge, s'appuyant sur la jurisprudence britannique dans l'affaire Renault (2024), a conclu que le risque de poursuites pénales en France était "non réel, purement théorique et spéculatif" (§115).
Elle a repris la formule des tribunaux étrangers : la loi de blocage française est en pratique un "empty vessel" — un instrument juridique existant sur le papier mais dont l'application est si rare qu'il ne constitue pas un risque concret suffisant pour faire obstacle à une ordonnance étrangère.

Troisième raison — la loi de blocage ne prime pas sur la juridiction canadienne.
La juge s'est appuyée sur la jurisprudence ontarienne Wilson v. Servier Canada (§95) pour affirmer qu'une loi de blocage étrangère ne peut pas primer sur la juridiction légitime d'un tribunal canadien lorsqu'il existe un lien réel et substantiel avec le Canada.

Les acteurs hybrides : S3NS et Bleu, le pari du "meilleur des deux mondes"

S3NS — la technologie Google sous contrôle Thales

S3NS est une coentreprise de droit français, créée en juin 2022, dont Thales détient une majorité très largement dominante du capital.
La participation exacte de Google n'a jamais été rendue publique — la présidente de S3NS, Hélène Bringer, la décrit comme "une toute petite part", "bien inférieure aux seuils prévus par SecNumCloud", et sans droit de vote au conseil d'administration.

Le référentiel ANSSI SecNumCloud 3.2 plafonne en effet la participation de toute entité non-européenne à 24 % maximum pour les prestataires qualifiés.

S3NS constitue l'illustration la plus aboutie du modèle "cloud de confiance hybride" : l'organisation exploite la technologie Google Cloud Platform, mais dans une infrastructure physiquement isolée des systèmes mondiaux de Google, hébergée dans trois datacenters en région parisienne, opérée exclusivement par du personnel S3NS composé de citoyens français.

Deux offres à ne pas confondre.
S3NS propose en réalité deux niveaux d'offre distincts que les communications commerciales ne distinguent pas toujours clairement.

L'offre qu'on pourrait qualifier d'intermédiaire — baptisée "CRYPT3NS" — offre des garanties partielles (données stockées en France) mais sans qualification SecNumCloud. Elle peut même être commercialisée directement par Google Cloud. Elle ne bénéficie pas des mêmes protections juridiques que l'offre qualifiée.

L'offre qualifiée SecNumCloud — baptisée "PREMI3NS" — est la seule qui répond aux exigences complètes du référentiel ANSSI et qui garantit l'immunité vis-à-vis des lois extraterritoriales américaines.

Le mécanisme de contrôle des mises à jour.

La question des mises à jour logicielles est au cœur du modèle S3NS — c'est là que se joue concrètement la maîtrise opérationnelle.

Contrairement aux offres des hyperscalers purs où les mises à jour sont déployées automatiquement, S3NS applique un processus de "sas de sécurité" : chaque mise à jour fournie par Google Cloud Platform est d'abord réceptionnée dans une zone de quarantaine, testée dans un environnement sandbox par les équipes S3NS/Thales, puis validée avant déploiement.

Ce mécanisme répond directement au risque de kill switch documenté par le rapport FOTI (avril 2026) : les mises à jour GCP ne sont pas automatiques et restent sous contrôle de Thales.
S3NS affirme par ailleurs que son infrastructure est conçue pour "fonctionner de l'ordre de douze mois" de manière autonome en cas de rupture avec Google, et que ses équipes "travaillent pour aller au-delà".

En déembre 2025, S3NS a obtenu la qualification SecNumCloud 3.2 pour son offre PREMI3NS — une première pour une offre basée sur une technologie hyperscaler américaine.

En avril 2026, SAP a annoncé la disponibilité de sa Private Cloud Edition sur l'infrastructure S3NS, avec Thales comme premier client.

Ce que S3NS apporte concrètement

Accès aux services Google Cloud Platform — dont Vertex AI pour l'IA générative et BigQuery pour la data — dans un environnement où les données ne peuvent pas être atteintes par les autorités américaines, opéré exclusivement par des citoyens français, avec un processus de validation des mises à jour contrôlé par Thales. Pour les organisations déjà intégrées dans l'écosystème Google, c'est une voie de migration vers la conformité SecNumCloud sans rupture technologique.

Ce que S3NS ne résout pas entièrement

La dépendance technologique à Google subsiste. Le code source, la roadmap des fonctionnalités et les mises à jour logicielles restent la propriété intellectuelle de Google.
En cas de rupture définitive du partenariat Thales/Google, la continuité du service au-delà de la période d'autonomie déclarée ne serait pas garantie sans Google.

Bleu — la même logique, appliquée à Microsoft Azure

Bleu est la réponse française à S3NS, construite autour de Microsoft.
Entreprise française indépendante, détenue à 100 % par Orange et Capgemini, elle opère les services Microsoft 365 et Microsoft Azure dans une infrastructure hébergée en France, opérée par du personnel français, et totalement isolée des systèmes mondiaux de Microsoft.

Créée officiellement en 2023, elle a franchi le jalon J0 de la procédure SecNumCloud en avril 2025 et vise la qualification complète pour le premier semestre 2026.
Elle a lancé ses activités commerciales en janvier 2024 et compte déjà des clients.

En mars 2026, SAP a annoncé le lancement de SAP Sovereign Cloud en France sur la plateforme Bleu.
Un signal fort de la maturité opérationnelle de la plateforme, même en l'absence de qualification SecNumCloud finale.

La force de Bleu est d'offrir une migration vers la conformité pour les très nombreuses organisations françaises (administrations, hôpitaux, OIV, OSE) qui sont déjà profondément intégrées dans l'écosystème Microsoft 365 et Azure, et pour lesquelles une migration vers OVHcloud ou Scaleway représenterait un coût opérationnel et humain considérable.

La limite est la même que pour S3NS : la dépendance technologique à Microsoft subsiste.
Et la qualification SecNumCloud n'était pas encore obtenue au moment de la rédaction de cet article.

Les hyperscalers : des "sovereign clouds" bien réels mais juridiquement limités

AWS European Sovereign Cloud

Lancé le 15 janvier 2026 à Brandebourg en Allemagne, l'AWS European Sovereign Cloud est une partition entièrement séparée de l'infrastructure AWS mondiale, opérée par une entité juridique allemande (AWS European Sovereign Cloud GmbH), avec du personnel exclusivement européen.

Ce qu'il apporte de réel : isolation technique totale, entité juridique de droit allemand, conformité C5, ISO 27001, SOC 1/2/3, environ 90 services disponibles au lancement.

Ce qu'il ne résout pas : la maison-mère reste Amazon.com Inc., société de droit américain.
L'isolation opérationnelle ne rompt pas l'obligation statutaire de la maison-mère de se conformer à un mandat américain (CLOUD Act, FISA).
Selon une analyse de SoftwareSeni, le droit américain s'applique au niveau de la maison-mère, et l'indépendance opérationnelle de la filiale ne constitue pas une protection juridique absolue.

Dans la Forrester Wave Q2 2026, AWS figure parmi les Strong Performers — pas dans les Leaders — avec des questions sur la complexité croissante de son catalogue et l'harmonisation de ses différentes offres souveraines.

Microsoft Cloud for Sovereignty

Microsoft est classé premier des Leaders dans la Forrester Wave Sovereign Cloud Q2 2026. Sa stratégie repose sur une cohérence de contrôles entre le cloud public et le cloud privé, via Azure Arc et Azure Local, permettant aux organisations d'opérer leurs workloads de manière identique dans des environnements connectés ou déconnectés.
C'est une approche d'architecture plutôt que d'offre isolée.

En France, Microsoft ne peut pas directement obtenir la qualification SecNumCloud — c'est précisément l'objet de Bleu.

Google Cloud — souveraineté par design

Google Cloud est classé Leader dans la Forrester Wave Q2 2026, reconnu pour sa roadmap de "sovereignty-by-design" et son approche en trois niveaux : Google Cloud Data Boundary (cloud public avec contrôles de résidence), Google Cloud Dedicated (opérateur local pour souveraineté opérationnelle), Google Cloud Air-Gapped (défense et renseignement).
En France, sa présence "souveraine" est assurée via S3NS.

✏️ La Forrester Wave Q2 2026 : ce qu'elle dit et ce qu'elle ne dit pas

La première Forrester Wave dédiée aux "Sovereign Cloud Platforms", publiée en avril 2026, a évalué 15 fournisseurs selon trois catégories : Leaders, Strong Performers, Contenders.

Leaders : Google Cloud, Microsoft, AWS, Oracle, Tencent Cloud. Strong Performers : T-Systems, StackIT, SAP, NxtGen Cloud Technologies. Contenders : Aruba, S3NS, IBM, Vultr, OVHcloud, Huawei Cloud.

Le résultat a surpris, voire choqué, dans les milieux de la souveraineté numérique européenne.

Comment des acteurs soumis au CLOUD Act peuvent-ils dominer un classement sur la souveraineté ?

L'explication est dans la méthodologie.
Forrester évalue la souveraineté selon une définition fonctionnelle : résidence des données, contrôles de chiffrement, continuité opérationnelle, catalogue de services, capacité à déployer de l'"IA souveraine".

Les critères juridictionnels — notamment l'immunité vis-à-vis du CLOUD Act — ne figurent pas comme critère discriminant.
C'est là que réside la limite, et la critique, de ce classement.

Comme le formule Calipia avec précision : la Wave Forrester mesure la souveraineté fonctionnelle, pas la souveraineté juridique.
Un acteur peut avoir des contrôles techniques parfaits tout en restant exposé à une injonction gouvernementale américaine.
Ces deux dimensions ne sont pas substituables.

Pour un DSI français gérant des données sensibles soumises à SecNumCloud ou à la loi SREN, la Wave Forrester est un outil de référence utile — mais insuffisant.

Elle doit être complétée par une analyse des niveaux SEAL du Cloud Sovereignty Framework européen et de la qualification SecNumCloud de l'ANSSI.

Le cas pratique : la migration de la Plateforme des données de santé

La migration de la Plateforme des données de santé (PDS / Health Data Hub) vers Scaleway, annoncée en avril 2026, constitue le cas d'usage le plus documenté et le plus emblématique de migration effective vers un cloud souverain en France.

Après sept ans d'hébergement chez Microsoft Azure — un choix initial qui n'avait pas, selon l'ancienne ministre Agnès Buzyn, été confronté à l'existence d'alternatives européennes — la PDS a lancé une procédure de sélection via le marché UGAP "Nuage public", avec 350 exigences techniques.
Scaleway a été retenu.
La migration opérationnelle est attendue pour fin 2026, début 2027.

Ce cas illustre deux réalités concomitantes : d'un côté, la migration est possible, même pour des systèmes d'information critiques gérant des données de santé de l'ensemble des Français.
De l'autre, le processus a pris 2,5 ans et impliqué 350 exigences techniques.
Ce n'est pas une migration que l'on conduit en quelques mois, et le coût humain et organisationnel est réel.

Ce que le marché révèle : des convergences mais aussi des fractures

Quelques enseignements transversaux se dégagent de ce panorama.

Première convergence : tout le monde joue le jeu de la souveraineté.

Les hyperscalers américains eux-mêmes ont compris que le marché souverain est structurellement différent du marché standard, et ils y ont investi massivement.

AWS a déboursé 7,8 milliards d'euros pour son ESC.
Microsoft a annoncé 3,2 milliards d'euros pour son Cloud for Sovereignty en Europe.
Google a construit S3NS avec Thales.
Ce ne sont pas des offres de façade.

Première fracture : la définition de la souveraineté.

Les hyperscalers ont délibérément adopté une définition fonctionnelle et opérationnelle de la souveraineté — résidence des données, contrôles techniques, personnel local.
Les acteurs européens natifs et leurs défenseurs maintiennent une définition juridictionnelle — immunité vis-à-vis des lois extraterritoriales, contrôle capitalistique européen.

Ces deux définitions ne sont pas compatibles.
C'est précisément ce que le blog Calipia appelle la "capture sémantique" : les hyperscalers ont élargi la frontière du mot "souverain" pour y entrer.

Deuxième convergence : le marché public européen bascule.

Le marché de 180 millions d'euros de la Commission, attribué exclusivement à des acteurs européens, n'est pas symbolique.
Si seulement 15 % des dépenses cloud du secteur public européen basculent vers des acteurs SEAL-3, ce sont potentiellement 50 milliards d'euros qui pourraient migrer d'ici 2030 vers OVHcloud, Scaleway, StackIT ou T-Systems, selon les estimations de tech-insider.org.

Deuxième fracture : l'asymétrie des capacités.

Un OVHcloud ou un Scaleway ne disposent pas des milliers d'ingénieurs, des milliards d'investissements annuels en R&D et de la couverture mondiale qui font la force des hyperscalers.

Le catalogue de Scaleway couvre 85 % des usages courants — mais pas les 15 % restants, qui sont souvent les services les plus avancés, les plus récents, et les plus stratégiques en termes d'IA et d'analytics.

Comment choisir ? Une grille de lecture en trois axes

Face à ce panorama, aucune réponse unique n'existe. Mais trois axes permettent de structurer le choix.

Axe 1 : l'exigence de souveraineté juridique.

Si vos données sont soumises à SecNumCloud (par obligation réglementaire ou par exigence contractuelle), le choix est balisé : OVHcloud, Cloud Temple, Scaleway (en cours de qualification), S3NS, ou Bleu (en cours de qualification).

Les offres des hyperscalers américains — y compris leurs "sovereign clouds" — ne satisferont pas cette exigence par construction.

Axe 2 : la continuité technologique et l'écosystème existant.

Si votre organisation est profondément intégrée dans Microsoft 365 et Azure, Bleu est le chemin de migration le plus naturel vers la conformité, à moindre friction opérationnelle.

Si vous êtes dans l'écosystème Google Cloud, S3NS offre la même continuité.

Pour les nouveaux projets ou les migrations complètes, le choix s'élargit, OVHcloud et Scaleway offrant une "souveraineté" plus robuste sur le plan juridictionnel.

Axe 3 : le catalogue de services requis.

Pour des charges de travail standard (calcul, stockage, réseau, bases de données courantes, Kubernetes), les acteurs européens natifs couvrent l'essentiel.
Pour des besoins en IA avancés, des analyses à très grande échelle ou des services managés spécifiques, l'offre des hyperscalers reste plus riche — y compris dans leurs versions souveraines.

La bonne stratégie n'est pas de choisir un modèle unique, mais d'adopter une architecture hybride différenciée selon la criticité des données : cloud souverain pur pour les données les plus sensibles, cloud de confiance hybride pour les données sensibles mais moins critiques, cloud public standard pour les données non sensibles.

📌 En Conclusion

Le marché cloud souverain est en pleine restructuration.
La Commission européenne a envoyé un signal politique majeur en mars 2026 en attribuant son marché de 180 millions d'euros à des acteurs européens uniquement, selon le Cloud Sovereignty Framework et ses niveaux SEAL.

Trois modèles coexistent :

• le cloud natif européen (OVHcloud, Scaleway, Cloud Temple, Clever Cloud),
• le cloud de confiance hybride (S3NS, Bleu),
• les sovereign clouds des hyperscalers (AWS ESC, Microsoft Cloud for Sovereignty, Google Cloud Dedicated).

Ils ne protègent pas contre les mêmes risques.

La Forrester Wave Q2 2026 a classé les hyperscalers américains en tête des Leaders — mais selon une définition fonctionnelle de la souveraineté qui n'intègre pas l'immunité vis-à-vis du CLOUD Act et FISA.
Pour les organisations soumises à SecNumCloud ou à la loi SREN, cette classification est insuffisante comme outil de décision.

Enfin, l'affaire OVHcloud/Canada rappelle que la souveraineté d'un acteur européen n'est pas absolue dès lors qu'il opère commercialement à l'international : la doctrine de la "présence virtuelle" est potentiellement applicable par n'importe quel État.

Références

1. LeMagIT, Cloud souverain : Bruxelles sélectionne OVHcloud, Scaleway et S3NS, mars 2026
2. Clubic, Pour son cloud souverain européen, Bruxelles choisit quatre fournisseurs pour 180 millions d'euros, mars 2026
3. INCYBER News, Cloud souverain de l'UE : OVHcloud, Clever Cloud, Scaleway et S3NS sélectionnés, mars 2026
4. tech-insider.org, Cloud Souverain UE 180 M€ : OVHcloud, Scaleway écartent AWS, mars 2026
5. Calipia, Cloud souverain : Forrester consacre les hyperscaleurs, l'Europe trébuche sur sa propre définition, avril 2026
6. CloudNews, Forrester Places Sovereign Cloud at the Center of Cloud Strategy, avril 2026
7. Google Cloud Blog, A Leader in Forrester Wave Sovereign Cloud Platform 2026, avril 2026
8. Microsoft Azure Blog, Microsoft named a Leader in The Forrester Wave for Sovereign Cloud Platforms, avril 2026
9. SDxCentral, Tech giants lead the change as data sovereignty becomes key, avril 2026
10. Journal du Net, Comparatif des clouds souverains dans l'IA : OVHcloud se démarque, mai 2025
11. Journal du Net, Cloud souverain : un bras de fer serré entre OVHcloud et Scaleway, avril 2025
12. Le Monde Informatique, Des clouds souverains, mais avec une palette de services plus réduite, janvier 2026
13. SoftFluent, Le cloud souverain à la française : Clever Cloud, OVHcloud, Scaleway et 3DS Outscale, mars 2026
14. Usine Digitale, Cloud souverain : Bleu franchit la première étape vers la qualification SecNumCloud, avril 2025
15. LeMagIT, Cloud souverain : Bleu démarre officiellement, janvier 2024
16. LeMagIT, Cloud souverain : après Bleu, SAP arrive sur S3NS, avril 2026
17. SAP France, SAP lance SAP Sovereign Cloud en France en partenariat avec Bleu, mars 2026
18. Capgemini / Orange, Lancement des activités commerciales de Bleu, janvier 2024
19. Bleu (site officiel)
20. Thales / S3NS, qualification SecNumCloud, décembre 2025
21. Cloudvisor, Sovereignty as a Service: The AWS European Sovereign Cloud is Live, avril 2026
22. AWS Blog, Opening the AWS European Sovereign Cloud, janvier 2026
23. Health Data Hub, Communiqué de presse : migration vers Scaleway, avril 2026
24. Décideurs Juridiques, La souveraineté des données hébergées en France par OVHcloud mise à mal par une décision canadienne, février 2026
25. Ontario Court of Justice, between His Majesty The King and OVH, Post de Gabriel Minchola sur LinkedIn, 2026
26. Synergy Research Group, marché cloud européen, mars 2026 — via tech-insider.org
27. ANSSI, SecNumCloud 3.2
28. SoftFluent, Le cloud souverain à la française : Clever Cloud, OVHcloud, Scaleway et 3DS Outscale, mars 2026