Lorsqu’une solution cloud est présentée comme “souveraine”, il est utile de s’interroger sur son véritable propriétaire. La souveraineté repose avant tout sur des critères concrets de maîtrise et de transparence, au-delà des dénominations ou engagements affichés.

Alors que la souveraineté numérique jouit d’une faveur croissante — induite par les préoccupations en lien avec la confidentialité des données, la conformité réglementaire et les risques géopolitiques — une nouvelle forme d’ambiguïté s’installe dans le discours sur la souveraineté. Initialement, le « cloud washing » désignait la pratique consistant à présenter des logiciels propriétaires ou non-cloud comme « basés sur le cloud » pour tirer parti d’un effet d’annonce. Aujourd’hui, l’expression a évolué de manière plus insidieuse.

À présent, certains services cloud sont requalifiés en services « souverains » ou « multicloud », même si leur infrastructure, leur routage de données et leurs couches d’administration demeurent étroitement liés aux mêmes écosystèmes d’hyperscalers. Ce flou sémantique peut nuire aux objectifs essentiels de souveraineté des données, de transparence et de contrôle.

Cela ne signifie pas qu’une infrastructure souveraine est nécessaire dans tous les cas d’usage: chaque entreprise dispose de contraintes spécifiques et peut parfaitement tirer parti d’un cloud public international pour certaines charges. Mais si la souveraineté est un critère prioritaire pour un cas donné, alors il devient essentiel de s’assurer que les promesses associées sont bien tenues.

Le cloud souverain : davantage qu’un simple slogan

Une véritable souveraineté numérique signifie que :  
  • les données demeurent sur le territoire national ;
  • les opérateurs locaux gardent le contrôle ;
  • les puissances étrangères ne sont pas en droit d’accéder aux infrastructures (cf. le Cloud Act aux États-Unis).
Pour autant, il convient de rester vigilant : certaines offres, bien que présentées sous des marques nationales ou des partenariats européens, peuvent en réalité être liées aux grands acteurs extra européens.

Repérer le « cloud washing » dans des solutions souveraines

Les approches peuvent varier, et toutes les offres dites « souveraines » ne répondent pas nécessairement aux mêmes exigences. Avant d’adopter une solution cloud positionnée comme telle, il convient de s’assurer que les fondamentaux de transparence, de maîtrise et d’indépendance sont bien respectés. Quelques questions simples peuvent guider cette évaluation:
  • Où les données résident-elles physiquement ?
  • Le prestataire garantit-il être en mesure de se soustraire à la compétence des autorités étrangères ?
  • Existe-t-il une véritable indépendance opérationnelle vis-à-vis des plans de contrôle ou des API hébergés en dehors de l’Union Européenne ?
Si les réponses sont imprécises, ou l’architecture opaque, la promesse de souveraineté doit être analysée avec prudence. Avant d’adopter une solution cloud dite « souveraine », il est essentiel d’en comprendre précisément l’architecture et les responsabilités associées:  
  • Visibilité sur les coûts : La tarification des hyperscalers est complexe, en particulier dans le cadre de charges de travail IA à fort pourcentage de données où les frais de transfert et les services surprovisionnés font exploser les budgets.
  • Contrôle : Le rapatriement donne aux équipes les moyens de veiller au respect de la gouvernance au niveau matériel, notamment en permettant de contrôler l’absence de colocation et de chaînes de services confidentielles.
  • Résilience : Le choix d’une infrastructure nationale n’est pas uniquement une question de conformité ; il garantit aussi une continuité au regard des bouleversements géopolitiques ou de l’évolution des alliances commerciales.
Il ne s’agit pas de rejeter le cloud public ni l’innovation portée par les hyperscalers, mais d’y recourir avec discernement. Une approche mature consiste à préserver l’élasticité là où elle est utile, tout en identifiant les cas où la maîtrise, la confiance et l’autonomie ne sont pas négociables, notamment pour les données confidentielles ou stratégiques.

La réglementation comme catalyseur : la loi européenne sur l’intelligence artificielle

Les pressions en faveur d’une véritable souveraineté s’accélèrent, alors que la loi sur l’intelligence artificielle de l’UE commence à remodeler le paysage numérique. Entrée en vigueur en août 2025, cette loi instaure des obligations strictes en matière de transparence, de traçabilité et de documentation, en particulier pour les systèmes d’IA à haut risque et les modèles. Ces obligations de conformité vont au-delà de la logique applicative, et s’étendent à l’infrastructure :
  • Où les modèles sont-ils entraînés et hébergés ?
  • Qui contrôle les données sous-jacentes et les mécanismes de suivi ?
  • Le fournisseur est-il en mesure de prouver sa totale indépendance juridique et opérationnelle ?
Si votre prestataire cloud est assujetti à des lois étrangères de surveillance, ou si des services clés transitent via des territoires opaques, votre conformité risque d’être compromise, en dépit d’un marquage UE-compatible.

Le nouveau Code de bonnes pratiques applicables à l’IA à usage général, établi par l’UE et adopté à la mi-2025, livre de premières indications, mais de nombre d’entreprises prennent les devants et mettent en place des environnements réellement autonomes et conformes, sans attendre.

Reprendre le contrôle

Le « cloud washing » ne se limite pas à un glissement sémantique : il brouille les responsabilités. Or, dans un contexte marqué par une gouvernance de l’IA en plein essor et une politique industrielle renouvelée, cette ambiguïté a tôt fait de devenir un risque existentiel.

Se réapproprier la souveraineté numérique, ce n’est pas opposer cloud souverain et cloud public, mais savoir où poser les limites, selon les données, les usages et les niveaux de confiance requis. Cela signifie scruter l’infrastructure, refuser les fausses équivalences, et construire un environnement résilient, qu’il repose sur un cloud public, privé ou hybride. Inutile, pour ce faire, de déserter le cloud. Il convient, en revanche, de connaître parfaitement la solution adoptée, et de savoir qui en est le véritable propriétaire.

Par Julian Hennig, Architecte Solutions, Mirantis

ARTICLES SIMILAIRESPLUS DE L'AUTEUR