Sign in Subscribe
By Olivier B in Cloud

Cloud souverain ou cloud de confiance : et si on commençait par les mots ?

☁️ Cloud souverain ou cloud de confiance : saviez-vous que ces deux termes ne signifient pas la même chose — et que la confusion peut coûter cher ? On démêle le vrai du faux. 🔒

Cloud souverain ou cloud de confiance : et si on commençait par les mots ?
Série « Souveraineté numérique » — Introduction

Depuis quelques années, le mot « souverain » s'est glissé partout : souveraineté alimentaire, souveraineté sanitaire, souveraineté industrielle — et bien sûr, souveraineté numérique.

Dans les couloirs des directions informatiques comme dans les discours ministériels, on ne parle plus que de « cloud souverain ».
Le terme est devenu un totem rhétorique, brandi avec autant de conviction que de flou.
Il rassure, il mobilise, il justifie des budgets — mais que recouvre-t-il exactement ?

La réponse honnête est décevante : cela dépend de qui parle :

  • Pour un directeur des systèmes d'information, « cloud souverain » peut signifier que les données sont hébergées en France.
  • Pour un juriste, cela renvoie à l'absence de soumission à une loi extraterritoriale étrangère.
  • Pour un responsable de la sécurité des systèmes d'information, c'est une question de contrôle opérationnel sur les accès.
  • Pour un élu, c'est une question d'indépendance nationale vis-à-vis des géants technologiques américains.
  • Et pour un fournisseur cloud qui cherche à vendre, « souverain » est souvent synonyme de « hébergé dans un datacenter basé en Europe » — ce qui, on le verra, ne garantit à peu près rien.

Ce flou n'est pas anodin. Il entretient des malentendus coûteux, alimente des décisions mal fondées, et permet à des acteurs commerciaux de surfer sur une vague politique sans que leurs offres répondent réellement aux enjeux qu'elles prétendent adresser.

C'est pourquoi cette série d'articles commence par là : définir les mots utilisés.

Ce que « souverain » veut dire — et ce que cela implique

Ouvrons le Larousse.
La définition est sans ambiguïté :

Souverain (adj.) : Qui exerce le pouvoir suprême ; qui n'est limité par aucune puissance supérieure. Synonymes : indépendant, autonome, suprême.

Souveraineté (n.f.) : Pouvoir suprême reconnu à l'État, qui implique l'exclusivité de sa compétence sur le territoire national (souveraineté interne) et son indépendance absolue dans l'ordre international où il n'est limité que par ses propres engagements (souveraineté externe).

La notion est donc éminemment politique et juridique.
Elle renvoie à une entité — un État, une nation — qui exerce un pouvoir sans en référer à une autorité supérieure.
Elle implique l'exclusivité et l'indépendance absolue. Deux mots forts, qui ne souffrent pas de demi-mesures.

Transposée au numérique, la souveraineté devrait donc signifier : un contrôle total et sans restriction extérieure sur ses données, ses infrastructures et ses systèmes d'information. Ni ingérence possible d'un gouvernement étranger, ni dépendance à une technologie qu'on ne maîtrise pas, ni soumission à des conditions contractuelles imposées par un acteur dominant.
C'est une définition ambitieuse — et c'est précisément pour ça qu'elle est si rarement satisfaite en pratique.

Ce que « confiance » veut dire — une nuance décisive

Ouvrons maintenant le dictionnaire de l'Académie française :

Confiance (n.f.) : Espérance ferme que l'on place en quelqu'un, en quelque chose, certitude de la loyauté d'autrui. Sentiment de sécurité qu'éprouve celui qui compte sur lui-même ou sur autrui.

Le Robert complète ainsi :

Espérance ferme, assurance d'une personne qui se fie à quelqu'un ou à quelque chose. → foi, sécurité. Sentiment de sécurité d'une personne qui se fie à elle-même.

La différence avec « souverain » est fondamentale.
La confiance est une relation — entre deux parties, fondée sur des engagements, des preuves, des certifications vérifiables. Elle n'implique pas l'indépendance absolue.
Elle implique une démarche de vérification, un contrat de loyauté, une transparence sur les pratiques.
On peut faire confiance à quelqu'un tout en restant dans une relation de dépendance partielle — à condition que cette dépendance soit encadrée, contrôlée, auditée.

Cette distinction n'est pas un jeu sémantique.
Elle structure deux visions radicalement différentes de la gestion des données numériques.

La confusion entretenue — et ses conséquences concrètes

En France, la doctrine « Cloud au centre » de l'État, publiée en 2021 et mise à jour en mai 2023 par la DINUM (Direction interministérielle du numérique), a officiellement introduit la notion de cloud de confiance comme label pour les offres qualifiées SecNumCloud par l'ANSSI (Agence nationale de la sécurité des systèmes d'information).

La définition officielle de l'ANSSI est claire :

SecNumCloud permet aux utilisateurs finaux d'identifier des offres cloud qui visent en particulier à protéger les données et les traitements sensibles face à la menace cybercriminelle et à l'application de lois extraterritoriales.

Autrement dit, l'État français a fait un choix lexical précis : il parle de cloud de confiance, pas de cloud souverain, pour désigner les offres qui répondent à ses exigences les plus strictes.
Ce n'est pas un hasard.

Le terme « cloud de confiance » reconnaît implicitement qu'une souveraineté absolue et totale — dans le sens strict du Larousse — est difficilement atteignable dans le contexte actuel.
Il propose à la place un cadre de confiance vérifiable, fondé sur des critères techniques, opérationnels et juridiques précis.
Parmi ceux-ci : l'absence de soumission aux lois extraterritoriales étrangères (notamment le CLOUD Act américain et la Section 702 du FISA), la localisation des données sur le territoire européen, et le contrôle de l'actionnariat par des entités de droit européen.

Or, dans les faits, les deux termes sont souvent utilisés de manière interchangeable dans le discours public et commercial — ce qui crée une confusion préjudiciable.

Prenons un exemple concret, survenu fin 2025 : le gouvernement français a signé une lettre d'intention avec la startup Doctrine pour déployer une « solution d'IA juridique française, souveraine et sécurisée » à destination des juristes de l'État.

Le problème pointé aussitôt par plusieurs observateurs ?
La solution en question est hébergée chez AWS (Amazon Web Services), prestataire américain soumis au CLOUD Act.
Peut-on parler de souveraineté dans ces conditions ?
La question reste ouverte, mais elle illustre parfaitement la tension entre le discours et la réalité technique et juridique.

📦 Le CLOUD Act en deux mots

Adopté aux États-Unis en mars 2018, le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) autorise les autorités américaines — sur mandat judiciaire — à contraindre tout prestataire de services soumis au droit américain à fournir des données de ses clients, quel que soit le pays où ces données sont physiquement stockées.
En clair : si vos données sont hébergées chez un acteur américain, même dans un datacenter situé à Paris ou Francfort, elles restent potentiellement accessibles aux autorités américaines — sans que vous en soyez informé.

Un rapport juridique commandé en 2025 par le ministère de l'Intérieur allemand et rendu public en décembre 2025 a confirmé cette réalité : stocker ses données en Europe ne suffit plus à les protéger des autorités américaines dès lors que le prestataire est soumis au droit américain.

Un marché dominé à plus de 65 % par trois acteurs américains

Pour comprendre l'ampleur du défi, il faut regarder les chiffres en face.

L'état du marché cloud en France et en Europe

Ces chiffres disent une chose simple : malgré un discours sur la souveraineté numérique qui enfle depuis 2020, les comportements réels n'ont pas encore massivement changé.
Les entreprises et les administrations continuent de s'appuyer massivement sur des infrastructures américaines.
L'écart entre l'intention affichée et la réalité opérationnelle est colossal.

Et pourtant, les signaux d'accélération se multiplient.
En avril 2026, la Commission européenne a attribué un marché cloud de 180 millions d'euros et à sélectionner 4 consortiums européens distincts (SEAL-3 : Post Telecom associé à OVHcloud et CleverCloud ; STACKIT ; Scaleway; SEAL-2 : Proximus, associé à S3NS, à la startup française Clarence et à Mistral AI) — en lieu et place des hyperscalers américains qui avaient jusqu'alors géré 70 % des charges de travail des institutions de l'UE.
La raison invoquée par les avocats de la Commission est explicite : le CLOUD Act de 2018 et la Section 702 du FISA, renouvelée en avril 2024, créent un risque juridique inacceptable pour les données sensibles.

La « fusée à trois étages » de la souveraineté numérique

Pour sortir du flou, il est utile de décomposer la notion de souveraineté numérique en trois dimensions distinctes, qui ne se confondent pas et n'appellent pas les mêmes réponses :

1. La souveraineté des données
C'est le droit et le contrôle qu'une organisation exerce sur ses données, en vertu des lois du territoire où elles sont collectées, traitées et stockées.
C'est la dimension la plus connue, celle qui renvoie au RGPD, au CLOUD Act, au lieu d'hébergement physique et à la juridiction applicable.

2. La souveraineté opérationnelle
C'est la capacité d'une organisation à garder le contrôle complet sur le management, la maintenance et l'exploitation de son système d'information — sans être contrainte par un fournisseur, une localisation d'infrastructure ou un cadre juridique étranger.
Elle couvre la maîtrise des opérations quotidiennes, la capacité d'audit, et la liberté de migrer ou d'arrêter un système sans dépendance propriétaire.

3. La souveraineté technologique
C'est la capacité à maîtriser les outils et les plateformes sur lesquels on s'appuie, en réduisant la dépendance à un fournisseur unique ou à un ensemble de technologies étrangères.
Elle renvoie à la question de l'open source, de l'interopérabilité, des formats ouverts, et du maintien de compétences internes suffisantes pour piloter les prestataires.

Ces trois dimensions sont interdépendantes, mais elles ne sont pas équivalentes. Une organisation peut être souveraine sur ses données (elles sont localisées en Europe, hors de portée du CLOUD Act) sans l'être opérationnellement (elle dépend entièrement d'un prestataire unique pour exploiter ses systèmes).
Elle peut être souveraine technologiquement (elle utilise des logiciels open source qu'elle maîtrise) sans l'être juridiquement (ces logiciels sont hébergés sur une infrastructure soumise à une loi étrangère).

Cloud souverain vs cloud de confiance : deux réponses à deux questions différentes

Une fois cette cartographie posée, la distinction entre « cloud souverain » et « cloud de confiance » devient plus nette.

Le cloud souverain, dans sa définition la plus stricte, cherche à répondre simultanément aux trois dimensions décrites ci-dessus.
Il vise l'indépendance maximale : actionnariat européen, technologies open source ou maîtrisées, absence totale de soumission à des lois étrangères, contrôle opérationnel intégral.
C'est la vision portée par Scaleway, par exemple, qui mise sur une infrastructure entièrement construite sur des standards ouverts, implantée à Paris, Amsterdam et Varsovie, et affranchie par construction de tout lien avec le droit américain.

Le cloud de confiance, tel que défini par la doctrine française et le label SecNumCloud 3.2, propose une approche plus pragmatique.
Il accepte qu'une organisation puisse s'appuyer sur des technologies non-européennes — y compris celles d'un hyperscaler américain comme Google — à condition que ces technologies soient opérées par une entité de droit européen, sous contrôle européen majoritaire, et que des mécanismes techniques et juridiques robustes protègent les données contre toute ingérence extérieure.
C'est la vision portée par S3NS, filiale de Thales, qui exploite la technologie Google Cloud Platform tout en garantissant une immunité vis-à-vis des lois extraterritoriales américaines.

Ces deux modèles ne sont pas opposés.
Ils répondent à des besoins différents, pour des organisations aux profils de risque différents.
Et les deux sont supérieurs — sur les plans juridique et opérationnel — au simple fait d'héberger ses données chez un hyperscaler américain dans un datacenter situé en France.

📦 SecNumCloud 3.2 : l'étalon de référence

Introduit par l'ANSSI en mars 2022, SecNumCloud 3.2 est le référentiel d'exigences le plus exigeant d'Europe pour les prestataires cloud.
Il travaille sur deux dimensions complémentaires :

  • La sécurité : architecture cloisonnée, chiffrement, supervision, gestion des incidents et continuité d'activité.
  • La souveraineté juridique : l'article 19.6 établit que le prestataire doit être soumis au droit européen exclusivement, avec un contrôle majoritaire européen du capital et de la gouvernance.

En mars 2026, une dizaine d'acteurs avaient obtenu la qualification SecNumCloud 3.2 pour un service cloud, parmi lesquels OVHcloud, Scaleway, Cloud Temple, S3NS, Outscale (Dassault Systèmes), ou encore Clever Cloud.

SecNumCloud est positionné par l'ANSSI comme le modèle dont devrait s'inspirer l'EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), le futur standard européen équivalent.
Son adoption au niveau européen fait cependant l'objet de vifs débats entre États membres, certains estimant ses exigences trop contraignantes.

La vraie question : souverain pour qui, pour quoi, et à quel prix ?

Il serait tentant de conclure que le cloud souverain est « meilleur » que le cloud de confiance, et que le cloud de confiance est « meilleur » que le cloud public standard.
La réalité est plus nuancée.

La souveraineté totale a un coût.
Elle implique de renoncer à certains services managés avancés que les hyperscalers proposent à des prix et à des niveaux de maturité qu'aucun acteur européen ne peut encore égaler — notamment sur l'IA générative, les bases de données cloud-native de très grande échelle, ou les outils d'observabilité.
Une entreprise qui s'interdirait l'accès aux modèles de langage les plus performants au nom d'une vision maximaliste de la souveraineté risquerait une obsolescence rapide, au prix de sa souveraineté… économique.

À l'inverse, ignorer complètement la question sous prétexte que les hyperscalers sont « incontournables » expose à des risques réels et documentés : juridiques (le CLOUD Act peut s'appliquer à tout moment), opérationnels (dépendance propriétaire irréversible, augmentations tarifaires unilatérales comme dans le cas du rachat de VMware par Broadcom), et même éthiques (dépendance à des prestataires dont les valeurs et les pratiques peuvent diverger de celles de l'organisation).

La bonne question n'est donc pas « cloud souverain ou cloud de confiance ? » mais : quelle souveraineté, pour quelles données, avec quels compromis acceptables ?

C'est précisément le sujet de cette série d'articles. Chaque article suivant explorera une dimension spécifique de cet enjeu : le cadre juridique réel derrière le CLOUD Act et le FISA, la guerre économique et la protection des actifs stratégiques, le panorama des offres disponibles en France et en Europe, l'impact de l'IA générative sur les dépendances numériques, le cadre européen en construction, et enfin les stratégies concrètes que les organisations peuvent mettre en œuvre.

Aucune réponse unique n'existe. Mais des réponses éclairées, oui — à condition de commencer par appeler les choses par leur nom.

Références

  1. Larousse, Dictionnaire de la langue française, définitions « souverain » et « souveraineté », larousse.fr (avril 2026).
  2. Académie française, Dictionnaire de l'Académie française, 9e édition, définition « confiance », dictionnaire-academie.fr (avril 2026).
  3. Le Robert, Dictionnaire en ligne, définition « confiance », dictionnaire.lerobert.com (avril 2026).
  4. ANSSI, SecNumCloud — Référentiel d'exigences, version 3.2, mars 2022. cyber.gouv.fr.
  5. DINUM, Doctrine « Cloud au centre », mise à jour mai 2023. numerique.gouv.fr.
  6. SFEIR / PAC, « De la souveraineté forteresse à la résilience », livre blanc, 2026.
  7. IDC Europe, Worldwide Digital Sovereignty Survey, juillet 2025, sponsorisé par Google Cloud.
  8. Synergy Research Group / agentland.fr, « Les hyperscalers captent 65 % du marché », septembre 2025.
  9. Broadcom, « Trois prédictions pour le Cloud Souverain en 2026 », février 2026. news.broadcom.com.
  10. IT for Business, « IA juridique de l'État : une solution dite souveraine... mais hébergée chez AWS », Thierry Derouet, décembre 2025.
  11. Clubic / Alexandre Boero, « Un explosif rapport allemand affirme que stocker ses données en Europe ne suffit plus à les protéger des USA », décembre 2025.
  12. tech-insider.org, « Cloud Souverain UE 180 M€ : 4 Fournisseurs Européens Écartent AWS et Azure », avril 2026.
  13. Wikipedia FR, « CLOUD Act » ; « Foreign Intelligence Surveillance Act » ; « SecNumCloud ».
  14. LeMagIT, « Cloud de Confiance : un nouveau label pour une nouvelle doctrine cloud de l'État », mai 2021.
  15. Assemblée nationale, Rapport d'information n°1757 sur la guerre économique, Christophe Plassard, juillet 2025.
  16. Naitways, « Le marché du Cloud en France en 2025 : focus sur les points clés et évolution », octobre 2025
  17. Calipia : le blog, « Cloud Souverain : Forrester consacre les hyperscaleurs, l’Europe trébuche sur sa propre définition… », avril 2026
Previous

Adopter l'IA générative sur AWS : recommandations pratiques pour réussir votre transformation

You might also like...