// Hébergement & Cloud

Cloud souverain français : les alternatives crédibles

Le « cloud souverain » est devenu un argument commercial autant qu’un enjeu réel. Derrière l’expression se cache une question concrète pour tout développeur ou responsable technique : qui peut, légalement, accéder à mes données, et sous quel droit ? Ce guide clarifie les enjeux — RGPD, Cloud Act, SecNumCloud — présente les acteurs français et européens crédibles, et surtout aide à décider quand la souveraineté doit peser dans votre choix.

Transparence : cette page pourra contenir des liens affiliés une fois les programmes validés. Cela n’influence pas notre analyse, et n’entraîne aucun surcoût pour vous.

De quoi parle-t-on exactement ?

La souveraineté numérique recouvre plusieurs niveaux qu’il faut distinguer :

  • La localisation des données : où sont physiquement stockées et traitées les données (par ex. dans un datacenter en France).
  • La souveraineté juridique : à quel droit est soumis l’opérateur. Une entreprise américaine reste soumise au droit américain, même si ses serveurs sont en Europe.
  • La souveraineté opérationnelle : qui administre l’infrastructure, avec quels personnels et quelles chaînes techniques.

Un cloud « souverain » digne de ce nom vise idéalement les trois niveaux, pas seulement la localisation géographique.

Les enjeux : RGPD, Cloud Act, SecNumCloud

Le RGPD

Le Règlement général sur la protection des données encadre le traitement des données personnelles des résidents de l’UE. Il impose notamment un cadre strict pour les transferts hors de l’Union. Héberger en Europe ne suffit pas toujours : la question du droit applicable à l’hébergeur reste centrale.

Le Cloud Act

Le Clarifying Lawful Overseas Use of Data Act est une loi américaine qui permet aux autorités des États-Unis de demander à une entreprise américaine de fournir des données qu’elle détient, y compris lorsqu’elles sont stockées hors du territoire américain. Concrètement, un fournisseur soumis au droit américain peut, dans certaines conditions, être contraint de communiquer des données hébergées dans un datacenter européen. C’est le point de friction majeur avec le cadre européen de protection des données.

SecNumCloud

SecNumCloud est un visa de sécurité délivré par l’ANSSI (l’agence française de cybersécurité). Il qualifie des offres cloud selon des exigences élevées de sécurité et d’indépendance vis-à-vis des droits extra-européens. C’est aujourd’hui l’une des références les plus exigeantes en France pour identifier une offre réellement souveraine, notamment pour les données sensibles ou les acteurs publics.

Panorama des acteurs crédibles

Le paysage français et européen s’est structuré. Sans dresser de classement chiffré, voici les grandes familles d’acteurs à connaître :

ActeurType d’offrePoint d’intérêt
OVHcloudIaaS/PaaS, bare metal, VPSActeur européen majeur, datacenters en France, offres orientées souveraineté
ScalewayCloud, instances, serverless, stockageGroupe français, écosystème cloud complet
OutscaleIaaSFiliale française, offre qualifiée SecNumCloud
Clever CloudPaaSPlateforme française de déploiement applicatif
InfomaniakCloud, hébergementActeur suisse, forte orientation confidentialité et énergie
Numspot, S3ns…Offres qualifiées / en coursInitiatives explicitement positionnées SecNumCloud

À côté, on trouve des offres dites « cloud de confiance » opérées en France mais reposant sur des technologies sous licence d’acteurs américains : elles apportent une localisation et parfois une isolation opérationnelle, mais la lecture juridique reste à examiner au cas par cas.

Quand la souveraineté compte vraiment (et quand elle compte moins)

La souveraineté n’est pas un absolu : c’est un critère à pondérer selon vos données et votre contexte.

Elle est décisive quand :

  • Vous traitez des données personnelles sensibles (santé, données d’enfants, informations judiciaires).
  • Vous relevez du secteur public, d’un OIV/OSE, ou d’obligations réglementaires spécifiques.
  • Vous manipulez des secrets industriels ou de la propriété intellectuelle stratégique.
  • Votre marché ou vos clients l’exigent contractuellement.

Elle pèse moins quand :

  • Vous hébergez un site vitrine, un blog, une documentation publique.
  • Les données traitées sont non sensibles ou déjà publiques.
  • Le projet est un prototype ou un usage interne à faible enjeu.

Dans ce second cas, un hébergeur européen classique suffit souvent, et le choix se fait davantage sur la performance, le prix et la localisation d’un VPS.

Comment évaluer une offre concrètement

Avant de signer, posez ces questions :

  1. Où sont les données ? Datacenter, pays, redondance.
  2. À quel droit l’opérateur est-il soumis ? Siège, actionnariat, sous-traitants.
  3. Quelles qualifications ? SecNumCloud, ISO 27001, HDS pour la santé.
  4. Quelle réversibilité ? Pouvez-vous récupérer vos données et migrer sans verrou technique ?
  5. Quel chiffrement ? Qui détient les clés — vous ou l’hébergeur ?

La réversibilité est un point souvent négligé : un cloud souverain qui vous enferme dans ses formats propriétaires crée une autre forme de dépendance.

Souveraineté et écoconception

Choisir un acteur européen, c’est aussi, souvent, se rapprocher de datacenters au mix énergétique plus favorable et de démarches d’efficacité énergétique. Deux exigences qui se rejoignent : garder la maîtrise de ses données et réduire l’empreinte de son infrastructure — un sujet que nous approfondissons dans notre dossier Green IT.

Conclusion

Le cloud souverain n’est ni un slogan ni une solution unique : c’est un ensemble de garanties à évaluer au regard de la sensibilité de vos données. Pour un projet sensible ou réglementé, une offre qualifiée SecNumCloud et opérée sous droit européen change la donne. Pour un usage courant, un hébergeur européen sérieux répond déjà à l’essentiel. Dans tous les cas, l’important est de choisir en connaissance de cause, pas par défaut.


À lire ensuite