Au regard du droit applicable aux données, la souveraineté est binaire : une infrastructure est soit exposée à une juridiction étrangère, soit elle ne l'est pas. Malgré cela, des événements et une littérature abondante son sollicités pour revisiter cette notion, généralement via un embrouillamini explicatif qui présente la souveraineté comme un concept à géométrie variable. Les organisations qui pensent avoir résolu la question du cloud souverain en choisissant un hébergement localisé en Europe prennent une décision éclairée par les mauvaises variables.
La tribune publiée le 10 mars 2026 par Jeff Orr, director of Research chez ISG Software Research, illustre involontairement ce glissement. L'ISG Buyers Guide for Sovereign Cloud Platforms évalue seize fournisseurs selon des critères incluant les certifications de conformité, l'isolation de l'infrastructure, la mise à l’échelle, la gouvernance et la compatibilité multicloud. La liste comprend AWS, Google Cloud, Microsoft et Oracle aux côtés d'OVHcloud, Scaleway, Bleu, Delos Cloud et Schwarz Digits. Traiter ces acteurs dans le même référentiel d'évaluation, comme si la différence de nature juridique entre eux était une variable parmi d'autres, est précisément le biais que les DSI doivent identifier avant de s'appuyer sur ce type d'analyse.
AWS, Google Cloud, Microsoft et Oracle sont des sociétés américaines soumises au Cloud Act de 2018. Ce texte autorise les autorités fédérales américaines à contraindre ces entreprises à fournir l'accès aux données qu'elles stockent ou traitent, y compris sur des serveurs physiquement localisés en Europe. L'hébergement à Francfort, à Dublin ou à Paris ne modifie pas cette obligation de coopération qui pèse sur la maison mère américaine. ISG Research reconnaît d'ailleurs implicitement cette limite en notant que les organisations doivent valider la propriété des clés de chiffrement et la traçabilité des accès auprès de leurs fournisseurs, ce qui n'est possible que si le fournisseur n'est pas légalement contraint de transmettre ces accès à une autorité tierce.
SecNumCloud comme seul référentiel européen
La qualification SecNumCloud de l'ANSSI est, à ce jour, le seul référentiel européen qui tire les conséquences de cette réalité juridique. Son exigence la plus importante de ce point de vue est l'immunité aux législations extraterritoriales : un prestataire qualifié SecNumCloud ne peut être soumis à des injonctions de communication de données émises par des autorités de pays tiers. Cette exigence exclut de facto les filiales européennes des hyperscalers américains, quel que soit leur niveau d'investissement dans des centres de données locaux ou leurs engagements contractuels de résidence des données.
ISG Research formule une assertion de marché utile malgré les limites de son cadre d'analyse : d'ici 2028, 60 % des fournisseurs de cloud souverain auront obtenu des certifications nationales pour déployer des infrastructures isolées et gouvernées. Ce chiffre traduit une pression réglementaire réelle, mais il ne dit rien sur la valeur de ces certifications au regard de l'exposition extraterritoriale. Une certification nationale peut attester d'une posture de sécurité solide, d'une résidence des données vérifiable et d'une conformité au RGPD, sans pour autant garantir l'immunité vis-à-vis du Cloud Act si le fournisseur certifié est une entité américaine ou une filiale soumise à une maison mère américaine.
La confusion entre localisation et souveraineté comme levier commercial
Cette confusion sémantique n'est pas accidentelle et se double le plus souvent d’une redéfinition de la souveraineté au bénéfice des fournisseurs. Depuis que les hyperscalers américains ont identifié la souveraineté numérique comme un critère d'achat pour les organisations publiques et les secteurs réglementés européens, ils ont investi massivement dans des architectures et des discours visant à s'approprier le terme. Les offres de cloud de confiance, Microsoft avec Bleu en France, Google avec T-Systems en Allemagne, reposent sur un modèle dans lequel un opérateur européen licencié gère les opérations locales, avec des garanties contractuelles d'isolation vis-à-vis de la maison mère américaine. Ces architectures réduisent le risque et répondent à une partie des exigences du RGPD. Elles ne neutralisent pas l'exposition potentielle au Cloud Act, dont la portée s'exerce sur la maison mère indépendamment des arrangements contractuels avec l'opérateur local.
Pour les organisations soumises aux obligations les plus strictes, opérateurs d'importance vitale, entités essentielles au sens de NIS2, acteurs financiers sous DORA, administrations traitant des données de défense ou de sécurité nationale, ce point est déterminant. La question n'est pas de savoir quelle offre de cloud américain localisé en Europe propose le meilleur calibrage de souveraineté. Elle est de savoir si la nature des données traitées justifie une infrastructure dont l'opérateur est structurellement soustrait à toute injonction extraterritoriale.
Cartographier les régimes juridiques applicables à ses données
ISG Research formule une recommandation méthodologique utile. Les DSI doivent cartographier les régimes juridiques applicables à leurs données avant de choisir un modèle d'hébergement, identifier les domaines de données réglementées et analyser les flux de bout en bout. Cette démarche est le préalable indispensable, à condition d'y ajouter une question que le guide ISG ne pose pas explicitement : l'opérateur retenu est-il exposé à des législations extraterritoriales susceptibles de primer sur les engagements contractuels de résidence et d'isolation des données ?
La donnée ISG Data and AI Market Lens 2025 est révélatrice à cet égard : 33 % des répondants placent la conformité réglementaire des données parmi leurs cinq premières initiatives financées. Ce niveau de priorité budgétaire mérite une rigueur analytique proportionnelle. La souveraineté numérique au sens opérationnel du terme est un engagement continu, mais cet engagement commence par poser correctement la question de départ, sans laisser le marché y répondre à sa place. La question susurrée aux DSI à travers ces publications (quelle combinaison d'offres se rapproche le plus de la conformité souveraine ?) présuppose que la souveraineté est un ensemble d’attribut sur lequel on se décide par calibrage des caractéristiques. Cela est vrai pour les entreprises qui adoptent une approche combinatoire (souverain pour les données sensibles, et le reste pour les données et les applications non confidentielles), mais absolument faux pour les charges et les données relevant de la souveraineté.
