Ce que les 180 millions d’euros de la Commission européenne changent vraiment pour votre stratégie cloud

Le 17 avril 2026, la Commission européenne a attribué un contrat de services cloud souverains sur six ans à quatre fournisseurs exclusivement européens, en s’appuyant sur un cadre structuré en huit objectifs : souveraineté stratégique, juridique, des données et de l’IA, opérationnelle, de la chaîne d’approvisionnement, technologique, sécurité-conformité et durabilité environnementale.

Ce marché change votre stratégie cloud parce qu’il pose, pour la première fois, une définition contractuelle et auditable de ce que « souverain » signifie en pratique et il révèle, en creux, à quel point la plupart des organisations françaises restent exposées. Pour les DSI des secteurs bancaire, santé et industrie, ignorer ce précédent serait une erreur stratégique.

Ce référentiel n’est pas réservé qu’aux institutions : la Commission encourage explicitement les organisations privées à le consulter et à l’utiliser pour évaluer leur propre souveraineté. Il est public et téléchargeable.

Comment la Commission a mesuré la souveraineté

Ce marché est le premier à appliquer le Cloud Sovereignty Framework de la Commission. Les fournisseurs candidats étaient notés sur une échelle SEAL (Sovereignty Effectiveness Assurance Level) allant de 0 à 4. Pour être éligibles, ils devaient atteindre au minimum le niveau SEAL-2. Trois des quatre consortiums ont atteint SEAL-3. Seul Proximus s’est arrêté au seuil minimum SEAL-2.

Ce cadre constitue désormais une référence concrète et opposable pour qualifier un service cloud de « souverain ». Il ne s’agit plus d’une posture marketing, mais d’une grille d’évaluation formalisée, auditée, et applicable à des contrats publics de grande envergure (source : Commission européenne).

Les quatre lauréats, et le signal qu’ils envoient

Les quatre lauréats sont (source : Usine Digitale) :

• Post Telecom(Luxembourg), associé à CleverCloud et OVHcloud
• StackIT(filiale cloud du groupe Schwarz, Allemagne)
• Scaleway(filiale d’Iliad, France)
• Proximus(Belgique), associé à S3NS (coentreprise Thales / Google Cloud), Clarence et Mistral

La présence de S3NS mérite une attention particulière. Cette offre a obtenu la qualification SecNumCloud en décembre 2025 pour son service PREMI3NS, une première pour une offre couvrant à la fois l’IaaS, le PaaS et le CaaS. Elle montre que la souveraineté n’exclut pas les technologies américaines, dès lors que le contrôle opérationnel et juridique reste européen.

Fait notable, aucun hyperscaler américain n’a été retenu en direct dans ce marché, ni AWS, ni Azure, ni Google Cloud. C’est une première à cette échelle pour un marché des institutions européennes. La Commission continue toutefois d’utiliser des services américains pour d’autres besoins, comme Oracle.(source : Tech Insider).

Le Cloud Act, un risque qui dépasse le secteur public

Le Cloud Act américain autorise les autorités américaines à accéder aux données détenues par des fournisseurs soumis au droit américain, quel que soit le pays d’hébergement. Or, une large majorité des dépenses cloud européennes profitent encore à des acteurs américains. Pour les organisations traitant des données personnelles, de santé ou financières, cette exposition représente un risque réel. En 2025, les notifications de violations de données ont atteint un niveau record, et les défauts de sécurité ont représenté près de 30 pour cent des sanctions de la CNIL.

Trois réglementations qui convergent en 2026

Trois textes s’appliquent simultanément cette année : l’AI Act (août 2026), NIS2 qui concerne désormais environ 15 000 entités françaises contre 500 sous NIS1 et le Data Act, entré en application en septembre 2025. Ce dernier interdit les frais de sortie pour changement de fournisseur cloud à partir de janvier 2027 (source : Newlink) une disposition qui lève l’un des principaux freins à la migration vers des acteurs souverains.

Un précédent réutilisable par le secteur privé

En structurant un appel d’offres public sur la base d’un cadre de souveraineté auditable, la Commission envoie un signal clair aux acheteurs privés. Il est possible d’évaluer et de contractualiser la souveraineté cloud avec rigueur, en s’appuyant sur une grille désormais publique. La Banque centrale européenne envisage d’ailleurs de transférer jusqu’à 600 millions d’euros de ses charges vers des fournisseurs européens d’ici 2028.

Le marché du cloud souverain européen est estimé à 12,4 milliards d’euros en 2026, en croissance de 34 % par rapport à 2025. Cette dynamique reflète une prise de conscience réelle mais aussi le retard accumulé par beaucoup d’organisations.

Évaluer sa propre exposition : Les trois piliers d’un cloud souverain

Au-delà du cadre européen, la France dispose de ses propres critères :

• Localisation: les données sont hébergées sur le territoire de l’Union européenne
• Contrôle: l’infrastructure est opérée par une entité dont le capital et la gouvernance sont européens, sans subordination à un droit extraterritorial
• Conformité: le prestataire est qualifié selon un référentiel reconnu (SecNumCloud ANSSI, ISO 27001, HDS selon le secteur)

Le référentiel SecNumCloud version 3.2 impose plus de 360 critères de conformité répartis en 14 thèmes. En mars 2026, neuf prestataires sont qualifiés en France, et douze candidatures supplémentaires sont en cours d’instruction par l’ANSSI.

Les angles morts les plus fréquents

La majorité des organisations ont une vision partielle de leur exposition. Les angles morts les plus fréquents chez les DSI que nous accompagnons :

• Des services SaaS américains utilisés pour des données sensibles sans analyse juridique formelle
• Des sauvegardes hébergées chez un fournisseur non qualifié, hors du périmètre de l’audit RGPD
• Des API exposant des données personnelles via des passerelles opérées par des entités hors UE
• Une documentation contractuelle (DPA, clauses de sous-traitance) incomplète ou obsolète

Quelle trajectoire adopter pour migrer vers un cloud souverain sans rupture opérationnelle ?

Le point de départ selon votre secteur

La réponse dépend de votre exposition réglementaire et de la criticité de vos données :

• Secteur bancaire : DORA impose des exigences de résilience et de contrôle des tiers. La cartographie des prestataires cloud critiques et l’évaluation de leur souveraineté juridique sont des prérequis à la conformité DORA
• Secteur santé : Les données de santé sont soumises à l’hébergement HDS. La qualification SecNumCloud n’est pas obligatoire pour tous les usages, mais elle constitue le standard de référence pour les données les plus sensibles
• Industrie : Les environnements OT/IT hybrides compliquent la migration. La priorité est souvent de cartographier les flux de données entre les systèmes industriels et les plateformes cloud avant d’engager une migration

Une roadmap réaliste en six étapes

Une migration vers un cloud souverain ne se décrète pas en quelques semaines. Les étapes structurantes sont :

1. Audit de l’existant : cartographie des données, des flux et des prestataires
2. Analyse de risque juridique : identification des expositions Cloud Act et des non-conformités RGPD
3. Qualification des besoins : définition des niveaux de souveraineté requis par type de données
4. Sélection des prestataires : évaluation sur la base du Cloud Sovereignty Framework ou de SecNumCloud
5. Migration progressive : priorisation par criticité, sans rupture des services métier
6. Gouvernance continue : mise à jour des DPA, audits réguliers, suivi des évolutions réglementaires

Blue Soft accompagne ses clients dans chacune de ces étapes de l’audit initial à la mise en production avec une approche pragmatique ancrée dans les contraintes réelles des DSI des secteurs bancaire, santé et industrie. La souveraineté se construit progressivement, en commençant par savoir précisément où sont ses données et qui peut y accéder. C’est là que nous aidons nos clients à voir clair.

Questions fréquentes

Le cloud souverain est-il obligatoire pour les entreprises privées françaises ?

Il n’existe pas d’obligation générale pour les entreprises privées. Cependant, certaines obligations sectorielles s’en approchent : les opérateurs de services essentiels (OSE) sous NIS2, les établissements de santé sous HDS, et les entités financières sous DORA sont soumis à des exigences strictes de contrôle des tiers et de résilience qui rendent de facto le cloud souverain incontournable pour les données critiques.

La qualification SecNumCloud est-elle indispensable pour choisir un fournisseur cloud souverain ?

SecNumCloud est le standard le plus exigeant en France, mais ce n’est pas le seul critère. Pour les données de santé, la certification HDS est obligatoire. Pour les usages moins sensibles, une qualification ISO 27001 associée à une localisation des données en UE et à une gouvernance européenne peut suffire. L’enjeu est de calibrer le niveau d’exigence en fonction de la criticité réelle des données concernées.

Combien coûte une migration vers un cloud souverain par rapport à un cloud public classique ?

Les offres de cloud souverain coûtent souvent plus cher à l’usage, en raison des certifications et des contraintes d’exploitation. Cet écart doit toutefois être relativisé : Cet écart à l’usage doit toutefois être mis en regard du coût d’un incident, d’une non-conformité ou d’une migration forcée. La bonne lecture n’est pas le prix au catalogue, mais le coût complet sur la durée du contrat, pour le niveau de risque acceptable selon vos données.

Que change le Data Act pour les contrats cloud en cours ?

Le Data Act, entré en application en septembre 2025, interdit les clauses abusives empêchant la portabilité des données et supprime les frais de sortie pour changement de fournisseur cloud à partir de janvier 2027. Pour les DSI, c’est une opportunité concrète de renégocier les contrats existants et de préparer une éventuelle migration sans coût de sortie prohibitif (source : Newlink).

La présence de Google Cloud dans S3NS remet-elle en cause la souveraineté du service ?

S3NS est une coentreprise de Thales et Google Cloud, qualifiée SecNumCloud en décembre 2025. La qualification garantit que le contrôle opérationnel et juridique reste européen, et que les données ne sont pas accessibles par les autorités américaines via le Cloud Act. C’est précisément l’objet de la qualification : certifier que la technologie sous-jacente quelle que soit son origine est opérée dans des conditions souveraines (source : Legiscope).