Selon un rapport de la cour des comptes sur la souveraineté, sur les 3 milliards d’euros du budget numérique de l’Etat, seulement 6,1 millions €/an (55 M€ en neuf ans) vont vers les clouds souverains internes Pi et Nubo développés respectivement par le ministère de l’Intérieur et par le ministère des Finances. Pour rappel, Nubo s’appuie la version communautaire OpenStack, contrairement à Pi qui dépend en partie de Red Hat avec OpenShift. La cour des comptes reconnait que ces deux infrastructures restent peu utilisées, non seulement par les services des ministères qui les ont créés, mais aussi par les autres administrations. Elle met en exergue une gamme des services limitée (en termes de disponibilité, d’expérience utilisateur ou de capacité à recourir à l’IA) et une tarification inadaptée. D’ailleurs, pourquoi s’acharner à créer de toutes pièces deux offres souveraines basiques – IaaS principalement - alors qu’ils en existent déjà sur le marché chez des fournisseurs français bien connus. Comme le rappellent certains de nos interlocuteurs interviewés dans ce dossier, ce n’est pas le rôle de l’état de se substituer aux fournisseurs français. 

Plus globalement, ce rapport met en exergue la grande dépendance de l’Etat envers les solutions informatiques extra-européennes. Un seul exemple pour l’illustrer : la plateforme des données de santé (connue sous le nom de Health Data Hub) qui est toujours hébergée - depuis plus de cinq ans - par Microsoft en région parisienne et qui dispose de cette certification HDS. Dans le secteur privé, c’est le même constat, le marché du cloud en Europe est dominé à 70% par les trois hyperscalers AWS, Azure ou Google Cloud, par exemple, la majorité les start-ups de la French Tech sont hébergées chez ces trois grands acteurs. Selon la cour des comptes, la difficulté pour les fournisseurs européens est que les entreprises américaines profitent d’un effet d’échelle avec des coûts fixes élevés et des coûts variables faibles qui leur permettent de croître rapidement. Cette barrière à l’entrée complique la concurrence, d’autant plus que, selon le Synergy Research Group, les fournisseurs américains continuent d’investir plus de 4 Md€ chaque trimestre dans des programmes d’investissement européens. 

Et l’Europe, dans tout ça ?  

La souveraineté, c’est un serpent de mer rempli de paradoxes et contradictions au niveau de l’Etat français mais aussi au niveau de l’Europe qui sont critiqués pour en faire trop ou pas assez selon les uns ou les autres. Récemment une coalition transpartisane de 38 députés européens ont adressé cette lettre à la présidente Roberta Metsola qui recommande de remplacer des technologies et solutions propriétaires extra-européennes par des alternatives souveraines et/ou open source au sein du parlement européen, dans cet exemple, on parle aussi des claviers et des souris. Cela apparaît presque anecdotique au regard des pays de toute l’Union européenne, dans son ensemble qui se trouve dans une situation de dépendance critique face aux fournisseurs américains. Selon le Cigref, 80 % des dépenses européennes en logiciels et en services cloud professionnels, soit 265 milliards d’euros, bénéficient à des entreprises américaines. Et pourtant, le discours de l’Europe est très offensif sur la souveraineté et ses réglementations restent dissuasives ; preuve en est la dernière amende infligée en septembre dernier à Google de 2,95 milliards d’euros pour abus de position dominante dans le secteur de la publicité en ligne. Malgré tout, d’un autre côté, elle semble céder du terrain, par exemple, sur l’IA Act à cause de la pression américaine et de son chantage vis-à-vis des droits de douanes. Est-ce une bonne chose ? Oui, non, chacun a sa propre opinion. Une chose est sûre, l’Europe a multiplié les réglementations depuis le vote du RGPD en 2016 entre les DSA, DMA, Data Act, IA Act, Cyber Resilience Act, etc. A tel point que même les entreprises européennes sont pénalisées par toutes ces exigences et ne peuvent pas évoluées à un rythme aussi soutenu que leurs homologues américaines. Ajoutons à cela, les exigences franco-françaises comme la qualification SecNumCloud créée par l’Anssi qui est certes un argument différenciant en termes de sécurité pour répondre à certains appels d’offres français mais qui peut être perçue comme un frein à la souveraineté par certains. À l’heure actuelle, dans la liste des services ayant obtenu la qualification SecNumCloud (observatoire SecNumcloud décembre 2025), 16 ont le précieux sésame dont une seule offre PaaS, celle de CloudTemple sous OpenShift, la majorité restante sont des services IaaS et SaaS. Quant au surcoût d’exploitation d’une infrastructure SecNumCloud par rapport à un hébergement cloud traditionnel, elle est estimée à +30 % voire + 40%. Ceux qui se frottent à cette qualification le reconnaissent, c’est un processus exigeant qui dure deux à trois ans et qui coûte effectivement cher comme le reconnaît Georges Esteves, directeur technique de Cheops Technology, le fournisseur avait d’ailleurs entamé le processus pour son offre Hyper IaaS mais l’avait stoppé par la suite.  

Un score de souveraineté pour remplacer l’EUCS  ?  

Finalement, en octobre dernier, en parallèle à son appel d’offres de 180 millions d’euros pour des services cloud souverains, la Commission Européenne dévoilait un outil (Cloud Sovereignty Framework) pour mesurer le score de souveraineté des offres des fournisseurs à destination des autorités passant des marchés publics. Ce référentiel pourrait même succéder à l’EUCS, cette norme officiellement toujours en discussion laquelle devait renfermer le niveau supérieur (High +), équivalent aux exigences du SecNumCloud, bref un vrai micmac. A peine dévoilé que ce référentiel était déjà critiqué notamment par l’association Cispe qui regroupe les fournisseurs de cloud européens, elle est montée au créneau en jugeant cette méthode opaque et, en l’état, favoriserait plutôt les hyperscalers étrangers en obtenant de meilleures notes que les opérateurs européens. Pour l’association, cette démarche est même intentionnelle pour aider les organismes du secteur public à ne pas résilier leurs contrats existants avec AWS, Microsoft et Google Cloud. De même, certains objectifs sont jugés irréalisables comme le contrôle total de l'UE sur chaque composant matériel. Sur le score de souveraineté, le Cispe estime qu’en créant une moyenne de moyennes pondérées, l’UE s’éloigne un peu plus de la transparence. Laurent Cheyssial, directeur technique et innovation de Free Pro juge ce référentiel peu abouti et qu’il a été créé comme une sorte de compromis favorable aux Gafam. Un avis que partage aussi Georges Esteves qui souligne un manque de coefficient sur les pondérations. De son côté, Olivier Beaudet, directeur général de Claranet juge au contraire que ce framework détaillé en octobre dernier ne favorise clairement pas les clouds américains et qu’il s’affiche comme un substrat à la qualification SecNumCloud bien trop contraignante pour une majorité d’entreprises souhaitant aussi faire valoir leur souveraineté sans investir dans une certification coûteuse. De son côté, Sébastien Lescop, dg de Cloud Temple temporise : « Je trouve l’initiative européenne courageuse dans cet environnement où il faut trouver un consensus à 27 pays et faire face en parallèle à la pression des lobbys des GAFAM ». In fine, la future loi sur le développement du cloud et de l’IA (Cloud and AI Development Act - CAIDA) prévue pour le printemps prochain devrait peut-être mettre tout le monde d’accord en définissant ce qu’est la souveraineté en matière de cloud, en tout cas, elle promet de renforcer la capacité souveraine de l’Europe dans ce domaine en s’inspirant d’ailleurs sur le référentiel Cloud Sovereignty Framework. x