Cloud souverain : quelle est la règlementation européenne et qui sont les acteurs ?

Le cloud en Europe est encadré par un ensemble de réglementations européennes solides (RGPD, NIS2, DORA, etc.), qui constituent le socle sur lequel peuvent se construire des offres de cloud dites “souveraines”. En revanche, il n’existe pas encore de règlement européen unique qui définirait formellement et de manière harmonisée ce qu’est un “cloud souverain”.

Un cloud souverain, au sens le plus strict, vise à garantir à ses clients que les données sont :

• Hébergées en Europe,
• Exploitées sous contrôle d’acteurs européens,
• Et soumises principalement au droit européen, en limitant le risque de lois extraterritoriales.

Le cadre réglementaire européen et français

Actuellement, les principales réglementations applicables au niveau européen sont :

Le Règlement général sur la protection des données (RGPD) :

Il constitue le socle légal de la protection des données personnelles en Europe. Il impose des obligations strictes sur la collecte, le traitement, le transfert et la sécurisation des données.

La Directive NIS2 (Network and Information Security 2) :

Elle renforce les exigences de cybersécurité pour un large ensemble d’“entités essentielles et importantes” : énergie, transports, santé, infrastructures numériques, eau, finances, administrations publiques, ainsi que certains fournisseurs de services numériques, dont des prestataires cloud. Elle impose des mesures techniques et organisationnelles renforcées et des obligations de notification d’incidents.

Le DORA (Digital Operational Resilience Act) :

Ce règlement encadre la résilience opérationnelle numérique du secteur financier européen (banques, assurances, prestataires de services financiers). Il inclut explicitement les prestataires de services TIC critiques, dont les fournisseurs de cloud, et impose un cadre strict de gestion des risques, de continuité d’activité et de supervision.

En France : la certification SecNumCloud de l’ANSSI :

La certification SecNumCloud s’adresse aux prestataires de services cloud et s’appuie sur la structure de la norme ISO/IEC 27001, tout en intégrant des exigences techniques, opérationnelles et juridiques renforcées (gouvernance, contrôle capitalistique, exigences de localisation, etc.). Elle constitue aujourd’hui la référence la plus élevée pour les administrations et les secteurs sensibles dans le cadre de la doctrine française du “cloud de confiance”.

Localisation des données et juridiction : un simple serveur en Europe ne suffit pas

Un serveur situé en Europe ne garantit pas, à lui seul, la souveraineté des données. La juridiction du fournisseur et, le cas échéant, de sa maison-mère, est déterminante.

Lorsqu’une entreprise est américaine, elle est notamment soumise au US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018). Ce texte permet aux autorités américaines de demander à des fournisseurs de services (cloud, hébergeurs, etc.) soumis au droit américain de fournir des données, y compris lorsque celles-ci sont stockées en dehors des États-Unis. Il en résulte un effet extraterritorial.

Concrètement, les hyperscalers américains (AWS, Azure, Google Cloud) doivent :

• Respecter le US CLOUD Act,
• Qui peut entrer en tension avec le RGPD et les exigences de souveraineté des données en Europe,
• Et placer les prestataires dans des situations de conflit de lois ou d’injonctions contradictoires.

Un cloud “réellement” souverain doit donc combiner :

• Une localisation des données en Europe,
• Un contrôle juridique et capitalistique européen,
• Et, idéalement, une certification de haut niveau (comme SecNumCloud pour le marché français).

Les initiatives des hyperscalers américains : souveraineté technique, risque juridique résiduel

Les hyperscalers américains ont lancé des offres dédiées pour répondre aux attentes européennes en matière de souveraineté, mais restent adossés à des maisons-mères soumises au droit américain.

Amazon Web Services – AWS European Sovereign Cloud :

Offre avec infrastructure localisée et isolée en Europe, opérations confiées à une entité européenne, contrôles techniques renforcés. Toutefois, AWS demeure une entreprise américaine, potentiellement soumise au US CLOUD Act. La souveraineté est donc principalement technique et opérationnelle, tandis que le risque juridique extraterritorial n’est pas totalement éliminé.

Microsoft Azure – “Cloud for Sovereignty” :

Garantit la localisation des données, des contrôles avancés d’accès, de chiffrement et de conformité, pour répondre aux exigences locales (administrations, secteurs régulés). Néanmoins, Microsoft reste une société américaine, et l’offre demeure exposée, au moins théoriquement, aux lois américaines, dont le CLOUD Act.

Google Cloud – “Domestic / Partner Sovereignty Model” :

Propose des contrôles de souveraineté (localisation, chiffrement, clés gérées par le client, partenariats locaux) via des montages avec des acteurs européens. Mais juridiquement, Google Cloud reste sous la juridiction américaine, ce qui maintient un risque résiduel lié au CLOUD Act.

Ces offres apportent des garanties techniques et organisationnelles importantes (localisation, segmentation, contrôle d’accès, chiffrement), mais la juridiction ultime demeure celle de la maison-mère américaine. La souveraineté juridique reste donc limitée dès lors que des lois extraterritoriales, comme le US CLOUD Act, peuvent s’appliquer, même si des mécanismes de contestation existent.

“Cloud de confiance” européen et partenariats avec hyperscalers

En Europe, et particulièrement en France, se développent des architectures de cloud de confiance, alignées avec la doctrine de l’État et la certification SecNumCloud, souvent via des coentreprises entre acteurs européens et hyperscalers.

Bleu (Orange et Capgemini, avec technologie Microsoft) :

Bleu est conçu pour répondre aux critères français et européens de cloud de confiance, avec l’objectif d’obtenir la certification SecNumCloud.

La société est de droit français, contrôlée par Orange et Capgemini.

Elle s’appuie sur la stack technologique Microsoft, mais l’exploitation, la gouvernance et le support sont assurés par des acteurs français.

L’objectif est de neutraliser autant que possible le risque de lois extraterritoriales, tout en bénéficiant de l’écosystème Microsoft. Cependant, certains juristes estiment qu’une dépendance technologique à une entreprise américaine peut, en cas de litige ou d’enjeux de propriété intellectuelle, réintroduire un risque résiduel.

S3NS (Thales et Google Cloud) : 

S3NS est une coentreprise française entre Thales et Google Cloud.

L’infrastructure est opérée en France par une entité de droit français.

L’offre s’appuie sur les technologies de Google, mais avec une séparation opérationnelle et des contrôles spécifiques.

Certaines offres visent la certification SecNumCloud. Comme pour Bleu, ce modèle cherche à concilier technologies avancées d’un hyperscaler et exigences de souveraineté françaises. Là encore, la dépendance technologique à un acteur américain est parfois pointée comme un facteur de risque juridico-technique.

Ces modèles atteignent une souveraineté élevée sur le plan juridique et opérationnel par rapport à une simple offre cloud “régionale” d’un hyperscaler. Ils sont particulièrement adaptés aux administrations et secteurs sensibles, dès lors qu’ils sont effectivement certifiés et que la gouvernance reste sous contrôle européen. Toutefois, certains experts considèrent que la dépendance à des technologies non européennes peut, dans des cas extrêmes, soulever des questions en cas de conflit ou de litige international.

Fournisseurs européens indépendants : vers une souveraineté juridique renforcée

Les fournisseurs de cloud européens, indépendants de groupes américains, offrent aujourd’hui le niveau de maîtrise juridique des données le plus fort, car ils ne sont pas directement soumis à des lois extraterritoriales comme le US CLOUD Act.

 Parmi eux :

OVHcloud, Scaleway :

Acteurs européens (français) du cloud, dont les données et la gestion sont sous droit européen. Ils ne relèvent pas directement de la juridiction américaine, ce qui réduit fortement le risque d’accès unilatéral par une autorité non européenne. Certains de leurs services sont en cours de certification ou déjà certifiés SecNumCloud pour adresser les besoins des secteurs sensibles.

Outscale (Dassault Systèmes) :

Fournisseur de cloud français, fortement positionné sur les secteurs publics et industriels sensibles. Outscale est certifié SecNumCloud pour certaines offres, ce qui en fait un acteur clé du cloud de confiance en France.

Exoscale :

Fournisseur cloud européen, juridiquement établi en Europe, avec des données sous juridiction européenne et sans lien capitalistique direct avec une maison-mère américaine. Là encore, le risque de lois extraterritoriales non européennes est limité.

Ces acteurs :

• Ne sont pas directement soumis au CLOUD Act,
• Restent bien sûr soumis aux lois européennes et nationales (y compris aux demandes légales de leurs propres États, ou à des accords d’entraide judiciaire internationale),
• Mais offrent un niveau de souveraineté juridique nettement supérieur à celui des hyperscalers américains.

Ils conviennent particulièrement :

• aux administrations,
• aux opérateurs d’importance vitale ou d’importance essentielle,
• aux entreprises manipulant des données ou workloads sensibles.

En contrepartie, leur catalogue de services est souvent moins large que celui d’AWS, Azure ou Google Cloud, notamment sur : 

• l’IA avancée managée,
• certains services analytiques très poussés,
• et des offres serverless ou PaaS très spécialisées.

Un équilibre entre conformité, souveraineté et richesse de services

Les acteurs européens de cloud alignés sur les exigences de souveraineté (RGPD, NIS2, DORA pour les secteurs concernés, SecNumCloud pour la France, etc.) offrent aujourd’hui :

• une conformité élevée aux exigences européennes,
• une maîtrise juridique renforcée pour les données sensibles,
• et une couverture suffisante pour la majorité des usages cloud courants (IaaS, PaaS de base, hébergement applicatif, stockage, etc.).

En revanche, ils n’offrent pas encore, pour la plupart, la même profondeur de catalogue que les hyperscalers américains sur :

• l’IA avancée,
• les services managés très spécialisés,
• les écosystèmes de partenaires et de marketplace.

Le choix pour une organisation européenne – administration, secteur régulé ou entreprise – consiste donc à arbitrer entre :

• niveau de souveraineté juridique et conformité aux doctrines nationales/européennes,
• richesse fonctionnelle et maturité de l’écosystème,
• et coût et verrouillage technologique (vendor lock-in).

Catherine Peyre-Paecht - Consultante IT - Pôle Performance Achats