Selon une étude Ifop réalisée en octobre dernier pour Acteurs Publics et Nuage Public, 74% des DSI déclarent que la souveraineté est un critère essentiel de choix dans les projets clouds, ils mettent surtout en avant leurs préoccupations en matière de sécurité, de conformité et de localisation des données, mais l’étude ne précise pas les critères réels liés à la souveraineté. Car aujourd’hui, tous les acteurs se disent directement ou indirectement souverains même le géant américain AWS qui a lancé cet été son offre estampillée European Soveraign Cloud. Cette dernière sera certes opérée en Allemagne, mais elle n’échappera de toute façon pas aux lois extraterritoriales américaines (Cloud Act et Fisa). D’ailleurs, un long avis juridique commandé par le ministère allemand de l'Intérieur, rendu public, indique comment les lois américaines permettent aux agences US d'accéder aux données hébergées en Europe sur les infrastructures d’acteurs américains. Et même les données chiffrées peuvent être menacées si le fournisseur est contraint de transmettre les clés de déchiffrement selon cet avis. Oracle a aussi présenté son offre présentée comme souveraine pour la France avec un hub de datacenters en Allemagne et en Espagne. 

Et que dire des deux acteurs français :  Bleu (détenu par Orange et Capgemini) et S3ns (alliance entre Thales et Google Cloud) qui distribuent respectivement les services dAzure et GCP et qui se sentent protégés par les lois européennes. Sur leur site, les deux acteurs ne parlent pas à proprement parler de souveraineté, mais s’identifient d’abord comme des clouds de confiance sécurisés et indépendants. Si S3ns vient d’obtenir sa qualification SecNumCloud (3.2) par l’Anssi pour son cloud Premi3ns, Bleu pourra bientôt faire valoir la sienne début 2026 (certification actuellement au niveau du jalon 1). En juin dernier, Vincent Strubel, directeur général de l’Anssi répondant à une audition au Sénat, avait indiqué : « la technologie Microsoft tournant dans un cloud Bleu – on pourrait dire la même chose de S3ns avec la technologie Google – ne sera pas soumise à la captation, au titre du Cloud Act ou du FISA ». A l’opposé, de nombreux détracteurs assurent bien sûr le contraire. Une chose est sûre, ces deux clouds séduisent, S3ns compte déjà des clients prestigieux comme Matmut, Club Med ou encore EDF. De son côté, Bleu s’est même récemment illustré dans l’actualité, en effet, après EDF, c’est au tour de l’avionneur français Dassault Aviation de choisir son cloud public pour accéder aux outils de Microsoft (Azure et Office 365). Et pour se rassurer, le fabricant du Rafale envisage d’obtenir l’homologation, diffusion restreinte, pour certaines fonctionnalités clés déployées dans le cloud de Bleu. Cette étape supplémentaire devrait théoriquement permettre de garantir un niveau de sécurité encore plus élevé, adapté aux exigences spécifiques de l’industrie de la Défense. Cet accord intervient quelques semaines après celui de SAP avec Bleu lors du dernier sommet franco-allemand sur la souveraineté numérique qui s’est tenu en novembre dernier à Berlin. A ce titre, l’USF (club des utilisateurs SAP francophones) s’est plutôt réjouit d’un tel accord mais aimerait aussi que Bleu ne soit pas la seule option possible pour l'hébergement de SAP. 

Vers une indépendance technologique 

De l’autre côté de l’échiquier, de Numspot à Outscale en passant par Cheops Technology iCod, Clever Cloud, Free Pro, Scaleway et Cloud Temple, on défend la « vraie » souveraineté en mettent en avant le plus souvent des socles créés avec des briques ouvertes, auditables et réversibles par conception, et opérés sur des infrastructures réellement françaises et/ou européennes. Des services qui ne seront en aucun cas soumis au Cloud Act et à la loi FISA. « Chez Scaleway, la souveraineté est associée à une immunité totale par rapport aux lois extraterritoriales et extra-européennes, nous ne disposons pas de filiales à l’étranger », revendique Damien Lucas, directeur général de Scaleway. Sur ce point, nous observons aussi la contradiction de la souveraineté, OVH Cloud a récemment été sommé par une juridiction de l'Ontario d’ouvrir ses données stockées sur des serveurs en France, au Royaume-Uni et en Australie, cette question de l’extraterritorialité des lois n’est pas uniquement l’apanage des réglementations américaines (Cloud Act, Fisa,…), d’autres pays s’en servent. 

Pour le dirigeant de Scaleway, la souveraineté est également associée à une indépendance technologique. « Cela passe par l’usage de nombreuses briques en open source mais aussi par des développements internes, notre métier est de développer du logiciel. Bien sûr, nous nous appuyons sur nos propres infrastructures dans des datacenters français (dont quatre détenus par OpCore, joint-venture entre Iliad et InfraVia) ». Enfin, Damien Lucas positionne l’aspect RSE faisant partie intégrante de la souveraineté en mettant en avant une énergie fournie par EDF et des systèmes refroidissement économes (comme l’usage de la technologie adiabatique). Complémentaire aux services de Scaleway, Free Pro, l’autre filiale d’Iliad se positionne plus sur le cloud privé et hybride souverain en mettant aussi en avant sa future qualification SecNumcloud, sûrement en 2026. Pour Laurent Cheyssial, directeur technique et innovation de Free Pro, ce processus, certes exigeant, est un gage de confiance et de pérennité dans le temps. « Les labels comme HDS, Iso 27001 et SecNumCloud sont devenus nécessaires pour adresser les ministères et certains organismes de l’Etat, ils nous apportent cette notion de confiance. La qualification SecNumcloud demande du temps et de l’argent mais en retour, elle nous fait progresser vers les autres réglementations comme Nis2 par exemple. » Si le cloud est bien le sujet qui suscite le plus de débat et de paradoxe, pour Olivier Beaudet, directeur général de Claranet, le vrai sujet doit se jouer sur l’autonomie et l’indépendance des choix technologiques avant tout pour garder le contrôle des données et que le service ne soit pas stoppé par un pays tiers.  

A l’indépendance technologique, Sébastien Lescop, DG de Cloud Temple ajoute la pérennité et la sécurité, d’être un tiers de confiance pour ses clients. « Cloud Temple est un éditeur de logiciels avec une stratégie open source marquée, nous ne dépendons pas d’un fournisseur sur la partie matérielle. De plus, depuis notre création en 2017, nous fournissons une plateforme ultra sécurisée à l’échelle et répondons ainsi aux entreprises qui veulent protéger leurs données sensibles, notre objectif est donc de perdurer dans le temps avec nos acquis, tout en restant compétitif face à nos concurrents américains. » A noter que Cloud Temple a récemment été certifié au plus haut niveau de Gaia-X, le level 3, ce qui identifie aussi le fournisseur aux plus hauts standards européens de sécurité, de transparence, d’interopérabilité et d’indépendance technologique.