Dans l'industrie française, la question du cloud n'est plus seulement technique. Elle est devenue juridique, géopolitique et stratégique.
D'un côté, les hyperscalers américains — AWS, Microsoft Azure, Google Cloud, Oracle, IBM — dominent le marché européen avec une part estimée à 70-75 % selon Synergy Research.
De l'autre, une vague de fournisseurs européens — OVHcloud, Scaleway, Outscale, Cloud Temple, Numspot, S3NS — défendent un modèle de cloud souverain protégé du Cloud Act américain et qualifié SecNumCloud par l'ANSSI.
Entre obligation de conformité (NIS2, DORA, Data Act), pression sur les coûts et besoin d'innovation IA, comment l'industrie doit-elle arbitrer ? Décryptage complet.
1. Définitions : public, souverain, hybride — qui est qui ?
Le cloud public désigne une infrastructure mutualisée, exploitée par un fournisseur tiers et accessible via internet. Les cinq acteurs dominants à l'échelle mondiale sont Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform, Oracle Cloud et IBM Cloud — tous américains.
Sur le marché européen, ces hyperscalers américains pèsent environ 70 à 75 % des dépenses d'infrastructure cloud selon Synergy Research Group. Cette concentration alimente la question de la dépendance technologique de l'Union européenne.
Source : Synergy Research Group et IDC Europe — estimation des parts de marché du cloud d'infrastructure en Europe (IaaS + PaaS), ordres de grandeur 2024.
Le cloud souverain, à l'inverse, désigne une offre dont l'infrastructure, la gouvernance et le contrôle sont localisés en Europe (ou en France) et qui apporte des garanties juridiques contre les lois extraterritoriales — en particulier le CLOUD Act américain et le régime issu de l'arrêt Schrems II (CJUE, 16 juillet 2020).
En France, les acteurs revendiquant ce positionnement incluent OVHcloud (siège à Roubaix), Scaleway (groupe Iliad), Outscale (filiale de Dassault Systèmes), Cloud Temple, Clever Cloud, Numspot (coentreprise Docaposte / Bouygues Telecom / Dassault Systèmes / Banque des Territoires) et S3NS, une joint-venture entre Thales et Google Cloud.
Cloud public
AWS, Azure, GCP, Oracle, IBM. Écosystème de services managés très large (IA, IoT, analytics).
Soumis au CLOUD Act US.
Cloud souverain
OVHcloud, Scaleway, Outscale, Cloud Temple, Numspot, S3NS. Données hébergées en UE, gouvernance européenne.
Garanties d'immunité aux lois extraterritoriales.
Cloud hybride
Combinaison public + souverain (ou public + privé interne). Les workloads sensibles vivent côté souverain, le reste profite des services managés du public.
Modèle majoritaire dans l'industrie.
2. Pourquoi la souveraineté cloud est devenue un sujet critique
Plusieurs textes et événements ont converti une discussion d'experts en obligation stratégique pour les industriels. Quatre piliers structurent ce basculement.
CLOUD Act américain (2018)
Le Clarifying Lawful Overseas Use of Data Act, voté par le Congrès américain en mars 2018, autorise les autorités judiciaires des États-Unis à exiger des entreprises américaines (et de leurs filiales) la communication de données stockées, y compris hors du territoire américain.
Concrètement, AWS, Microsoft ou Google peuvent être contraints de transmettre des données hébergées dans un datacenter européen sur réquisition judiciaire américaine, sans nécessairement informer le client européen.
Schrems II et le cadre DPF (2020-2023)
L'arrêt Schrems II de la CJUE (16 juillet 2020) a invalidé le Privacy Shield entre l'UE et les États-Unis, jugeant que le droit américain n'offrait pas un niveau de protection équivalent au RGPD. Le nouveau cadre Data Privacy Framework (DPF), adopté par la Commission européenne en juillet 2023, est lui-même contesté devant les juridictions européennes.
Pour un industriel manipulant des données personnelles (RH, sous-traitants, clients), l'incertitude juridique sur les transferts transatlantiques reste un risque réel.
NIS2, DORA, Data Act : la vague réglementaire 2024-2025
| Texte | Entrée en vigueur | Cible | Principale exigence cloud |
|---|---|---|---|
| NIS2 (directive UE 2022/2555) | Transposition octobre 2024 | OSE, OIV, secteurs essentiels et importants (énergie, transport, eau, santé, industrie manufacturière critique) | Gestion des risques de la chaîne d'approvisionnement, notification d'incident sous 24/72 h, sécurité des fournisseurs cloud |
| DORA (règlement UE 2022/2554) | 17 janvier 2025 | Secteur financier (banques, assurances, gestionnaires d'actifs) | Résilience opérationnelle, contrats cloud audités, registre des fournisseurs tiers critiques, tests d'intrusion |
| Data Act (règlement UE 2023/2854) | Septembre 2025 | Tous secteurs | Réversibilité obligatoire : pouvoir changer de fournisseur cloud sans frais excessifs ni verrouillage technique |
| Cyber Resilience Act (CRA) | Application progressive 2025-2027 | Produits comportant des éléments numériques | Sécurité tout au long du cycle de vie, dont composants cloud embarqués |
Géopolitique : USA, UE, Chine
La pression géopolitique — guerre commerciale USA-Chine, tensions transatlantiques sur l'IA, programme France 2030 sur les semi-conducteurs et l'industrie verte — fait du cloud un sujet de souveraineté économique. La Commission européenne soutient l'initiative GAIA-X et a publié sa stratégie « European Cloud and AI Development Act » en 2024.
3. SecNumCloud : le référentiel ANSSI qui change la donne
Le SecNumCloud est un référentiel de qualification publié par l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Sa version 3.2, publiée en mars 2022 et progressivement appliquée, est l'une des plus exigeantes au monde.
Au-delà des exigences techniques (chiffrement, journalisation, gestion des accès, plans de continuité), SecNumCloud impose une condition juridique et capitalistique inédite : le fournisseur doit démontrer une immunité aux lois extraterritoriales non européennes. Cela exclut de facto les hyperscalers américains tant qu'ils n'opèrent pas leur offre via une entité européenne indépendante.
Les fournisseurs qualifiés ou en cours
Outscale (Dassault Systèmes)
Premier opérateur à avoir obtenu la qualification SecNumCloud. Cible historique : ministères, OIV, défense.
OVHcloud
Qualification SecNumCloud sur le périmètre Hosted Private Cloud. Plus large opérateur cloud souverain en France par chiffre d'affaires.
Cloud Temple
Acteur historique du cloud privé qualifié. Clientèle santé, banque, secteur public.
Numspot
Coentreprise Docaposte / Dassault Systèmes / Bouygues Telecom / Banque des Territoires — démarche d'obtention en cours, ciblage secteur public et santé.
S3NS (Thales + Google Cloud)
Joint-venture annoncée en 2022 : Thales détient la gouvernance et les opérations en France, Google fournit la technologie sous licence. Démarche SecNumCloud en cours, modèle inédit.
Scaleway, Clever Cloud
Positionnement souverain assumé ; certifications partielles selon les périmètres (ISO 27001, HDS pour certaines offres).
Pour les opérateurs d'importance vitale (OIV), les opérateurs de services essentiels (OSE) et les secteurs sensibles (santé via HDS, défense via LPM, énergie, eau, télécoms), SecNumCloud est en passe de devenir un standard quasi-obligatoire pour les données les plus critiques.
4. Quand l'industrie doit choisir le souverain (et quand non)
Il n'existe pas de réponse universelle. La règle pragmatique observée chez les DSI industriels consiste à segmenter les workloads selon leur sensibilité réelle.
Cas où le cloud souverain s'impose
- Données opérationnelles sensibles : recettes industrielles, plans CAO, données de conception, propriété intellectuelle critique, données client/sous-traitant — où une fuite équivaut à une perte d'avantage compétitif.
- Secteurs réglementés : pharma et santé (certification HDS obligatoire), défense (loi de programmation militaire), nucléaire civil, banque/assurance (DORA).
- OIV et OSE au sens de la NIS2 — la responsabilité du dirigeant peut être engagée en cas d'incident sur la chaîne fournisseur.
- Projets de propriété intellectuelle critique : gigafactories de batteries, semi-conducteurs (cadre France 2030), énergies bas-carbone stratégiques.
Cas où le cloud public reste pertinent
Pour beaucoup de workloads, l'écosystème de services managés des hyperscalers américains reste très difficile à égaler — surtout sur l'IA générative, l'analytics massif, l'IoT industriel et certaines briques de cybersécurité.
- Sites web grand public, e-commerce, plateformes marketing — données non stratégiques, besoins d'élasticité forte.
- Workloads R&D non sensibles ou pré-production.
- Projets IA et analytics sur données non sensibles : entraînement de modèles sur datasets publics, BI sur indicateurs agrégés.
- Applications collaboratives non critiques.
5. Comparatif concret : 10 critères, 3 modèles
Le tableau ci-dessous synthétise les principaux arbitrages observés. Les évaluations sont qualitatives — chaque cas réel mérite une analyse spécifique selon les volumes, la criticité et la stratégie IT.
| Critère | Cloud public (AWS, Azure, GCP…) | Cloud souverain (OVH, Outscale, Cloud Temple…) | Cloud hybride |
|---|---|---|---|
| Coût d'entrée | Faible (-30 à -50 % en entrée de gamme) | Souvent supérieur, gap qui se referme sur les gros volumes | Modulable selon la répartition |
| Services managés IA / analytics | Écosystème très large (Bedrock, OpenAI Service, Vertex AI) | Rattrapage en cours (Mistral chez Scaleway, partenariats S3NS) — 2-3 ans de retard fonctionnel | Permet d'utiliser le public pour l'IA non sensible |
| Géographie / latence | Multi-régions mondial | France / Europe — latence locale optimale | Best of both worlds |
| Réversibilité (Data Act) | Verrouillage formats propriétaires fréquent | Bonne — APIs ouvertes, formats standards | Dépend des composants choisis |
| Conformité juridique UE | Exposition CLOUD Act + incertitude Schrems II / DPF | Immunité aux lois extraterritoriales si SecNumCloud | Conformité possible en isolant les workloads sensibles |
| Certifications sectorielles | ISO 27001, SOC 2, HDS (parfois) | SecNumCloud, HDS, ISO 27001, qualification ANSSI | Cumul possible selon partition |
| Innovation / time-to-market | Très rapide — nouveautés mensuelles | Plus lent, mais cycle d'innovation qui s'accélère | Avantage d'arbitrage |
| Écosystème partenaires / SI | Très dense (intégrateurs, MSP, formations) | Bon en France, plus restreint à l'échelle mondiale | Complexité d'intégration accrue |
| FinOps / maîtrise des coûts | Outils mûrs mais facturation complexe | Tarification souvent plus prévisible | Exige une gouvernance FinOps solide |
| Cas d'usage type | E-commerce, IA grand public, IoT massif | Pharma + HDS, défense, OIV, IP industrielle | Industrie manufacturière, ETI, secteur public |
Trois cas d'usage industriels concrets
Laboratoire pharma (BPF + données patient)
→ SecNumCloud + HDS obligatoire. Cloud souverain non négociable pour le cœur de métier.
E-commerce industriel B2B
→ Cloud public (AWS / Azure) souvent suffisant. Données catalogues, paniers, marketing. Possibilité d'isoler les contrats fournisseurs sensibles.
Projet IA générative interne
→ Selon la sensibilité : AWS Bedrock / Azure OpenAI sur données non confidentielles, ou Mistral hébergé sur Scaleway pour des prompts contenant de la PI industrielle.
6. Métiers, compétences et formations cloud en France
Le déploiement du cloud souverain dans l'industrie ouvre un marché de l'emploi structurant. Selon le Cigref, l'ACSEL et Syntec Numérique, l'écosystème cloud français aurait besoin de plusieurs dizaines de milliers de profils à recruter d'ici 2030.
Les métiers en tension
| Métier | Fourchette de rémunération brute annuelle (indicative) | Profil typique |
|---|---|---|
| Ingénieur cloud souverain | 50 000 - 90 000 € | Bac+5 informatique, certifications OVHcloud / Outscale |
| Architecte cloud hybride | 75 000 - 130 000 € | 10+ ans d'expérience, certifications multi-clouds |
| DPO / juriste tech | 50 000 - 110 000 € | Master droit du numérique, certification CNIL |
| Expert SecNumCloud | 60 000 - 95 000 € | Background cybersécurité + droit, certifications LSTI / PECB |
| FinOps cloud | 50 000 - 95 000 € | Profil finance + IT, certification FinOps Foundation |
| Ingénieur réversibilité | 45 000 - 80 000 € | Profil DevOps + connaissance Data Act |
Fourchettes indicatives selon retours d'expérience d'observatoires sectoriels (Cigref, Syntec Numérique). Les rémunérations varient fortement selon la région, la taille de l'entreprise et le secteur.
Formations et certifications
- Formations initiales : Bachelor/Master Cloud Engineering — École 42, EPITA, ESILV, ENSEIRB, INSA, IMT.
- Mastères cybersécurité : IMT Atlantique, Télécom Paris, EURECOM, ESIEA.
- Certifications cloud public : AWS Solutions Architect, Microsoft Azure Solutions Architect Expert, Google Professional Cloud Architect.
- Certifications souverain / sécurité : auditeur SecNumCloud (organismes LSTI, PECB, accréditation ANSSI), ISO 27001 Lead Auditor.
- FinOps : FinOps Foundation (FOCP — FinOps Certified Practitioner).
Conclusion : un arbitrage qui n'est plus seulement technique
Le choix entre cloud public, cloud souverain ou cloud hybride n'est plus une simple décision d'architecture. Il combine désormais des dimensions juridiques (CLOUD Act, Schrems II, NIS2, DORA, Data Act), sectorielles (HDS, LPM, SecNumCloud) et industrielles (protection de la PI, résilience opérationnelle, IA souveraine).
Pour la plupart des industriels, le modèle hybride — workloads sensibles côté souverain, services managés côté public — s'impose comme la voie médiane. Encore faut-il anticiper la réversibilité et investir dans des compétences cloud à la fois techniques et juridiques. Le retard pris sur ces sujets a un coût silencieux : un audit NIS2 raté, une exfiltration de PI, ou une dépendance ingérable à un fournisseur unique peuvent demain peser bien plus lourd que l'écart de prix initial.