Les 4 niveaux de souveraineté cloud : guide pratique pour CEOs et CTOs européens

En juin 2025, le directeur juridique de Microsoft France a déclaré devant le Sénat, sous serment, qu'il ne pouvait pas garantir que les données européennes ne seraient pas transmises aux autorités américaines. La déclaration n'a pas surpris les spécialistes de la vie privée. Mais c'était la première fois qu'un dirigeant d'hyperscaler le disait aussi clairement, dans un cadre officiel et sous peine de parjure.

La raison tient en un texte : le CLOUD Act. Votée en 2018, cette loi fédérale américaine permet aux forces de l'ordre d'exiger de toute entreprise US qu'elle produise des données, quel que soit le lieu de stockage physique. Un serveur à Francfort ne change rien si la société qui l'opère a son siège à Seattle.

Pour les CTOs et fondateurs européens, cela pose un problème concret. L'essentiel de votre stack tourne probablement sur une infrastructure détenue par des entreprises américaines. Et "vos données restent en UE" est la phrase de réassurance standard des commerciaux. Sauf que le lieu d'hébergement et la juridiction légale sont deux choses différentes.

La bonne nouvelle : il existe de vraies options à chaque niveau du spectre. Voici comment les distinguer.

Les quatre niveaux de souveraineté cloud

Tous les hébergements européens n'offrent pas la même protection. On distingue quatre niveaux, du moins au plus souverain, chacun avec des compromis clairs.

Niveau 1 : Hébergé en UE, détenu aux US

Ce que c'est. Une région cloud standard AWS, Azure ou Google située en Europe. Vos données sont à Francfort, Dublin ou Paris. L'entreprise qui opère l'infrastructure est américaine.

Exemples. AWS eu-central-1, Azure West Europe, Google Cloud europe-west1.

Exposition CLOUD Act : élevée. Le gouvernement américain peut adresser un mandat directement à la maison mère. Microsoft l'a confirmé sous serment. Aucune garantie contractuelle ne change la réalité juridique. Le chiffrement standard (BYOK) ne suffit pas non plus : si le fournisseur détient les clés ou peut accéder aux données en clair, il peut être contraint de les remettre.

Adapté pour. Les workloads non sensibles, les sites publics, les environnements de développement. Toute donnée dont la fuite ne vous empêcherait pas de dormir.

Niveau 2 : Partitions souveraines US

Ce que c'est. Un environnement cloud séparé, opéré par une filiale européenne d'un groupe américain, avec une infrastructure dédiée et du personnel basé en UE. Physiquement et logiquement isolé des régions globales du fournisseur.

Exemples. AWS European Sovereign Cloud (lancé en janvier 2026 à Brandebourg, Allemagne, avec un investissement de 7,8 milliards d'euros). Opéré par une GmbH allemande, dirigé par des citoyens UE, avec son propre centre de sécurité.

Exposition CLOUD Act : moyenne-élevée. La filiale européenne est une entité juridique distincte, mais elle reste détenue à 100 % par la maison mère américaine. La question de savoir si un mandat CLOUD Act peut remonter cette chaîne capitalistique n'a pas été tranchée par un tribunal. AWS argue que son système de chiffrement Nitro rend les données inaccessibles même à ses propres employés. C'est une protection technique solide, mais la question juridique reste ouverte.

Adapté pour. Les workloads réglementés qui nécessitent la profondeur de services d'AWS ou Azure, avec des contrôles de souveraineté renforcés par rapport à une région standard. Les clients du secteur public qui exigent des opérations basées en UE.

Niveau 3 : Co-entreprises européennes, technologie US

Ce que c'est. Une entreprise européenne opère l'infrastructure cloud de manière indépendante, en utilisant la technologie d'un hyperscaler US sous licence. L'entreprise américaine ne détient pas de participation de contrôle et n'a pas d'accès aux opérations.

Trois projets à connaître :

Bleu est une co-entreprise entre Orange et Capgemini, en France. Elle opère les services Microsoft Azure et Microsoft 365 pour le marché français. Microsoft ne détient aucune participation dans Bleu et n'a pas accès aux opérations. Bleu est en cours de certification SecNumCloud 3.2 auprès de l'ANSSI, avec une qualification complète prévue en 2026.

S3NS est une co-entreprise entre Thales (actionnaire majoritaire) et Google Cloud (~20 %). Elle propose des services Google Cloud opérés exclusivement par du personnel français, sur une infrastructure dédiée. S3NS a obtenu la certification SecNumCloud 3.2 en décembre 2025, devenant la première offre basée sur une technologie d'hyperscaler à décrocher cette qualification.

Delos Cloud est un partenariat allemand entre SAP et Arvato Systems (Bertelsmann). Il opère Microsoft Azure et M365 pour le secteur public allemand, avec une conformité adaptée aux standards BSI.

Exposition CLOUD Act : réduite. Parce que l'entité opérante est européenne et que le fournisseur US n'a pas de participation de contrôle, un mandat CLOUD Act ne peut pas lui être adressé directement. C'est une amélioration juridique significative par rapport aux Niveaux 1 et 2.

Mais il y a un "mais". Ces co-entreprises dépendent du partenaire US pour les mises à jour logicielles, les correctifs de sécurité et la technologie sous-jacente. Si le gouvernement américain restreignait les exportations ou si le fournisseur décidait de couper les ponts, le service pourrait cesser de fonctionner en quelques jours ou semaines. C'est ce qui s'est produit dans les faits : quand la CPI a été bloquée hors de son compte Microsoft en mai 2025, après des sanctions américaines, l'incident a montré comment la dépendance opérationnelle à un fournisseur US crée un point de défaillance unique, et politique.

Adapté pour. Les workloads sensibles et réglementés qui ont besoin de logiciels enterprise US (Microsoft 365, Google Workspace, Azure AI) avec la meilleure protection juridique disponible face au CLOUD Act. Services financiers sous DORA, santé, administration publique.

Niveau 4 : Détenu et construit en Europe

Ce que c'est. Des entreprises européennes qui possèdent leur infrastructure, développent leur propre code, et ne répondent qu'au droit européen. Pas de maison mère US, pas de dépendance technologique américaine, pas d'exposition au CLOUD Act.

Exemples. L'écosystème de fournisseurs EU-natifs est en pleine croissance, chacun avec ses forces :

Pour l'IaaS et le cloud computing : OVHcloud (français, coté en bourse, 43 datacenters, stockage S3-compatible, qualifié SecNumCloud), IONOS (allemand, 6,3 millions de clients, bases de données managées), Scaleway (français, groupe Iliad, offre bases de données managées solide), Hetzner (allemand, détenu par son fondateur, excellent rapport qualité-prix) et 3DS Outscale (français, filiale de Dassault Systèmes, premier fournisseur à obtenir SecNumCloud 3.2).

Pour l'hébergement au sens large : Open Telekom Cloud (Deutsche Telekom, orienté entreprises), Aruba Cloud (italien, 5 campus en propre, 16 millions d'utilisateurs), UpCloud (finlandais, SLA 99,999 %) et Clever Cloud (PaaS français, facturation à la seconde).

Vous pouvez parcourir le répertoire complet des fournisseurs cloud européens sur notre site.

Exposition CLOUD Act : nulle. Ces entreprises sont immatriculées en UE, détenues par des entités européennes, et opèrent exclusivement sous le droit européen. Un mandat américain n'a aucun chemin juridique pour les atteindre.

Le compromis est réel. Les fournisseurs européens ne peuvent pas encore rivaliser avec la largeur de catalogue de services managés qu'offrent AWS, Azure ou Google. Si vous avez besoin de 200+ services managés, de modèles IA propriétaires ou d'un CDN global avec 300 points de présence, un fournisseur de Niveau 4 ne couvrira pas tout. L'écart se réduit (OVHcloud vient de franchir le milliard d'euros de CA annuel et les fournisseurs européens croissent rapidement), mais la parité fonctionnelle n'est pas encore au rendez-vous pour tous les cas d'usage. Soyons honnêtes là-dessus.

Adapté pour. Tout workload impliquant des données personnelles de citoyens UE, des dossiers de santé, des documents juridiques, des données financières, des marchés publics, ou tout contexte où la conformité réglementaire (RGPD, NIS2, DORA) ou le risque de réputation rend l'exposition au CLOUD Act inacceptable.

Comment utiliser cette grille

Pas besoin de migrer toute votre stack vers le Niveau 4 demain. Ce n'est ni pratique, ni nécessaire.

Commencez par classer vos workloads par sensibilité. Placez vos données les plus sensibles (données personnelles clients, dossiers médicaux, données financières, documents juridiques) sur des infrastructures de Niveau 3 ou Niveau 4. Gardez vos workloads moins sensibles (sites publics, environnements de dev/staging, analytics) là où se trouve le meilleur outil, même si c'est du Niveau 1.

L'enseignement clé : la souveraineté est un spectre, pas un interrupteur. Ce qui compte, c'est de faire un choix conscient pour chaque workload, pas de se contenter d'un "on héberge en UE" sans comprendre ce que ça protège réellement.

Pour une vision plus large des alternatives SaaS européennes par catégorie, consultez notre guide de la stack SaaS européenne. Et pour comprendre le contexte réglementaire derrière ces choix, notre article sur la souveraineté numérique va plus en profondeur.

L'écosystème cloud européen est plus petit que l'américain. Mais il est réel, il grandit, et c'est la seule option qui offre une certitude juridique complète. Chaque outil que vous évaluez est un choix. Faites-en un choix éclairé.