Glossaire · Architecture cloud Souveraineté du cloud
Propriété architecturale et juridique de l'infrastructure cloud qui garantit que les données, les opérations et le contrôle restent sous la juridiction d'un pays ou d'une région — généralement l'UE.
## Ce que signifie réellement la souveraineté du cloud
La souveraineté du cloud est l'application des concepts de [souveraineté des données](/fr/glossary/data-sovereignty/) et [souveraineté numérique](/fr/glossary/digital-sovereignty/) spécifiquement à l'infrastructure cloud. Un cloud est « souverain » par rapport à une juridiction lorsque :
1. L'infrastructure cloud est physiquement située dans cette juridiction
2. Le cloud est exploité par des entités constituées dans cette juridiction (ou dans des juridictions offrant des protections juridiques équivalentes)
3. Les juridictions externes ne peuvent pas imposer juridiquement la divulgation des données, des opérations ou de l'accès
Pour la souveraineté du cloud européen spécifiquement, la troisième condition est la condition critique — et c'est là que les fournisseurs cloud établis aux États-Unis échouent structurellement en raison du [CLOUD Act](/fr/glossary/cloud-act/).
## Les quatre niveaux de souveraineté
La souveraineté du cloud européen n'est pas binaire. Elle existe sur un spectre :
### Niveau 0 : Aucune souveraineté
Cloud public standard (AWS, Azure, GCP) sans configuration UE spécifique. Les données peuvent être stockées n'importe où dans le monde ; pleine exposition juridique américaine.
### Niveau 1 : Résidence des données dans l'UE
Cloud établi aux États-Unis avec configuration explicite pour conserver les données dans les régions UE. Mieux que le niveau 0 mais ne traite pas la contrainte juridique via le CLOUD Act.
C'est ce que Microsoft commercialise sous « EU Data Boundary ». Utile pour les charges générales mais juridiquement insuffisant pour les exigences de souveraineté les plus élevées.
### Niveau 2 : Cloud établi dans l'UE
Cloud exploité par des entités établies dans l'UE sans contrôle d'entreprise américain. Le CLOUD Act ne s'applique pas (l'entité n'est pas basée aux États-Unis). Les données sont en juridiction UE, contrôlées par une entité UE, sans voie de contrainte externe.
Exemples : [Hetzner](/fr/alternatives/hetzner-vs-aws/), [Scaleway](/fr/alternatives/scaleway-vs-google-cloud/), [OVHcloud](/fr/alternatives/ovhcloud-vs-microsoft-azure/), [Infomaniak](/fr/alternatives/infomaniak-vs-digitalocean/), IONOS.
C'est le niveau de souveraineté pratique pour la plupart des entreprises européennes.
### Niveau 3 : Cloud souverain (certifié)
Cloud établi dans l'UE avec certifications supplémentaires apportant des garanties de souveraineté explicites :
- **Cloud de Confiance français** — certification stricte du gouvernement français exigeant l'absence de contrôle juridique étranger
- **Cloud souverain allemand BSI C5** — certification de cybersécurité allemande pour les charges souveraines
- **Cadres italiens et autres cadres nationaux de souveraineté**
Exemples : Open Telekom Cloud (Allemagne), T-Systems Sovereign Cloud (Allemagne), Outscale (France, filiale de Dassault Systèmes), Bleu (joint-venture Microsoft + Capgemini + Orange pour le cloud souverain français).
C'est le niveau requis pour les cas d'usage aux enjeux les plus élevés — secteur public, santé, infrastructures critiques, défense.
## Ce que signifient réellement les revendications « cloud souverain UE » des fournisseurs américains
Microsoft, AWS et Google Cloud commercialisent tous des offres de « cloud souverain » pour les clients européens. Elles varient considérablement dans la souveraineté qu'elles offrent réellement :
**Microsoft EU Data Boundary** — souveraineté de niveau 1. Les données sont stockées et traitées dans l'UE. Microsoft Corporation (société mère américaine) conserve le contrôle d'entreprise. Le CLOUD Act s'applique.
**AWS European Sovereign Cloud** (annoncé en 2023, déploiement limité) — vise les niveaux 2/3 avec entité opérationnelle séparée. Calendrier de mise en œuvre flou.
**Google Cloud Sovereign Solutions** — varie selon le partenaire. T-Systems Sovereign Cloud Allemagne est exploité par Deutsche Telekom — souveraineté significative. D'autres combinaisons Google Cloud + partenaire UE varient.
**Bleu (Microsoft + Capgemini + Orange)** — cloud souverain français construit sur la technologie Azure mais exploité comme entité française à part entière. Conçu pour être qualifié au niveau 3 / Cloud de Confiance certifié.
Le schéma : les fournisseurs américains peuvent techniquement atteindre des niveaux de souveraineté élevés via des structures de partenariat complexes qui séparent les entités opérationnelles du contrôle d'entreprise. Cela fonctionne mais nécessite une évaluation soignée des garanties contractuelles et techniques spécifiques.
## Quand chaque niveau de souveraineté a du sens
Pour les entreprises européennes prenant des décisions d'architecture cloud :
**Niveau 0 (cloud public standard)** — acceptable pour les charges générales sans exigences spécifiques de souveraineté. Exemples : hébergement de site marketing, ressources publiques, productivité bureautique générale.
**Niveau 1 (résidence des données dans l'UE)** — acceptable pour la plupart des charges avec besoins généraux de conformité RGPD. Exemples : SaaS orientés clients, outils de collaboration internes, hébergement d'applications métier.
**Niveau 2 (cloud établi dans l'UE)** — recommandé pour les données sensibles, les industries réglementées et les entreprises où la souveraineté est une caractéristique compétitive. Exemples : applications adjacentes à la santé, services juridiques, SaaS B2B servant des entreprises européennes.
**Niveau 3 (cloud souverain)** — requis pour le secteur public, la défense, les industries hautement réglementées (banque sous DORA, santé avec données patients) et toute organisation avec mandats explicites de souveraineté.
La plupart des entreprises européennes opèrent au niveau 1 avec niveau 2 sélectif pour les charges sensibles. La question stratégique est de savoir s'il faut étendre l'empreinte niveau 2 / niveau 3 dans le temps.
## Souveraineté du cloud et DORA
DORA (Digital Operational Resilience Act, en vigueur depuis janvier 2025) crée des pressions spécifiques de souveraineté du cloud pour les institutions financières européennes :
- **Exigences de risque de concentration** — les institutions financières ne peuvent pas avoir toute leur infrastructure critique chez un seul fournisseur cloud, poussant des stratégies multi-cloud incluant souvent des fournisseurs résidant dans l'UE
- **Surveillance des prestataires tiers TIC critiques** — les principaux fournisseurs cloud servant plusieurs institutions financières sont désormais sous surveillance réglementaire UE directe
- **Exigences contractuelles spécifiques** — DORA impose des clauses que les conditions standard des fournisseurs américains nécessitent généralement de modifier
Pour la fintech européenne spécifiquement, la souveraineté du cloud est passée de préférence à exigence opérationnelle.
## Implications de coût
Les niveaux de souveraineté plus élevés coûtent généralement plus cher, mais l'écart est plus petit qu'on ne le croit communément :
- **Niveau 0 vs niveau 1** : différence de coût minimale (principalement configuration)
- **Niveau 1 vs niveau 2** : les fournisseurs établis dans l'UE (Hetzner, Scaleway) sont généralement *moins chers* que les hyperscalers américains, souvent de 50 à 80 %
- **Niveau 2 vs niveau 3** : les certifications cloud souverain ajoutent un coût, généralement 20 à 50 % de prime sur le cloud UE standard
La transition niveau 1 → niveau 2 est particulièrement favorable économiquement — meilleure souveraineté + coût plus bas. La transition niveau 2 → niveau 3 coûte plus mais est requise pour les cas d'usage spécifiques à enjeux élevés.
Pour une comparaison de coûts concrète, voir notre [calculateur de coût AWS vs cloud UE](/fr/cloud-savings-calculator/).
## Ce qu'apportent 2026-2027
La souveraineté du cloud est un domaine réglementaire et technique actif. À surveiller :
- **Schéma européen de certification cloud (EUCS)** — certification paneuropéenne de sécurité et souveraineté cloud, en cours de finalisation
- **Cadres de souveraineté des États membres** continuent d'évoluer (Cloud Act allemand 2024, critères Cloud de Confiance français mis à jour)
- **Application de DORA** clarifiant les attentes pour la souveraineté cloud du secteur financier
- **EU AI Act** ajoutant des considérations spécifiques à l'IA pour la souveraineté cloud
- **IA souveraine** à mesure que la souveraineté cloud croise les obligations du EU AI Act
Pour les entreprises européennes, traiter la souveraineté du cloud comme une posture stratégique continue plutôt qu'une décision ponctuelle s'aligne sur la direction réglementaire.
Cela vous a-t-il été utile ?
Merci pour votre retour !