AWS, Azure, GCP : les trois géants américains dominent le marché cloud mondial, y compris en France. Mais depuis 2022, une question s'impose avec une urgence croissante dans les DSI françaises — peut-on continuer à confier ses données sensibles à des entreprises soumises au Cloud Act américain ? Entre contraintes réglementaires, impératifs de souveraineté et réalités budgétaires, le cloud souverain sort de la niche. Panorama des 8 alternatives les plus solides en 2026.
Sommaire
- Pourquoi choisir un cloud souverain en France en 2026 ?
- Les critères d'un vrai cloud souverain (SecNumCloud, RGPD)
- OVHcloud : le géant français face aux hyperscalers
- Scaleway : le cloud des développeurs made in France
- Outscale et les clouds certifiés SecNumCloud
- Thales, Orange Business et les solutions enterprise
- Les clouds souverains européens : Hetzner, IONOS, Exoscale
- Comparatif des prix : AWS vs cloud souverain en 2026
- Comment migrer d'AWS/Azure vers un cloud souverain ?
Le 16 juillet 2020, la Cour de justice de l'Union européenne a invalidé le "Privacy Shield" dans son arrêt Schrems II. La décision a rappelé brutalement une réalité que beaucoup préféraient ignorer : les données hébergées chez des fournisseurs américains peuvent être soumises au Cloud Act, une loi américaine de 2018 qui oblige les entreprises américaines à transmettre des données aux autorités fédérales — même si ces données sont stockées en Europe.
Depuis, la question du cloud souverain est sortie des colloques de juristes pour atterrir dans les agendas des DSI. Notre guide cloud computing complet détaille les fondamentaux des différentes architectures cloud ; cet article se concentre sur la couche souveraineté — ce qui la définit, qui la propose, et ce qu'elle coûte réellement.
Pourquoi choisir un cloud souverain en France en 2026 ?
Cinq facteurs convergent pour rendre le cloud souverain de plus en plus incontournable pour les entreprises françaises en 2026.
Le Cloud Act américain : une épée de Damoclès
Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) de 2018 autorise les autorités américaines à accéder aux données stockées par des entreprises américaines, y compris sur leurs serveurs européens, dans le cadre d'enquêtes pénales et de sécurité nationale. AWS, Microsoft Azure et Google Cloud Platform sont tous trois des entreprises américaines. Leurs garanties contractuelles de confidentialité des données en Europe sont réelles, mais ne prévalent pas sur une ordonnance du tribunal américain.
Concrètement, cela signifie que vos données médicales, vos R&D, vos données de clients ou vos communications internes stockées chez AWS peuvent théoriquement être accessibles aux autorités américaines sans que vous en soyez informé. Pour une entreprise française opérant dans des secteurs sensibles, c'est un risque non négligeable.
La directive NIS2 et les obligations sectorielles
La directive européenne NIS2, transposée en droit français par la loi du 17 octobre 2024, impose aux "entités essentielles" et "entités importantes" des obligations de cybersécurité renforcées. Pour les secteurs les plus sensibles (énergie, transport, santé, finance, administration), la localisation des données sur des infrastructures souveraines est fortement recommandée, parfois imposée par des réglementations sectorielles spécifiques comme l'hébergement de données de santé (HDS) ou les exigences de l'ACPR pour le secteur financier.
Le RGPD et la simplification de la conformité
L'utilisation d'un fournisseur cloud européen simplifie considérablement la mise en conformité RGPD. Les transferts de données hors UE nécessitent des bases légales spécifiques (clauses contractuelles types, décision d'adéquation) qui créent une charge administrative. Avec un fournisseur européen, les données ne quittent pas l'UE et les obligations de transparence vis-à-vis des personnes concernées sont plus simples à satisfaire.
Les critères d'un vrai cloud souverain (SecNumCloud, RGPD, territoire)
La notion de "cloud souverain" est utilisée avec plus ou moins de rigueur par les fournisseurs. Pour évaluer réellement le niveau de souveraineté d'une offre, cinq critères sont déterminants.
- Localisation des données : les données doivent être stockées et traitées exclusivement sur le territoire français ou européen, sans copie ni accès depuis des pays tiers.
- Statut juridique du fournisseur : le fournisseur doit être une entité dont la structure de contrôle et de propriété est européenne, non soumise à des lois extraterritoriales d'États tiers.
- Personnel habilité : pour les données très sensibles, les personnels ayant accès aux infrastructures doivent être des ressortissants européens habilités.
- Certification SecNumCloud (pour les données les plus sensibles) : qualification ANSSI qui garantit les critères ci-dessus et des exigences de sécurité très élevées.
- Transparence et audit : le fournisseur doit accepter des audits de sécurité par des tiers indépendants et être transparent sur ses sous-traitants.
OVHcloud : le géant français face aux hyperscalers
Fondé à Roubaix en 1999 par Octave Klaba, OVHcloud est le premier fournisseur cloud européen par taille de parc et le champion national incontesté. En 2026, OVHcloud exploite plus de 450 000 serveurs dans 33 datacenters répartis dans 16 pays, avec une large concentration en France.
Points forts d'OVHcloud
L'atout principal d'OVHcloud est son rapport qualité-prix : ses offres de compute (instances Public Cloud) sont systématiquement 20 à 40 % moins chères qu'AWS pour des configurations équivalentes. L'infrastructure bare metal — serveurs dédiés sans virtualisation — est l'une des meilleures du marché pour les workloads intensifs.
OVHcloud a également développé une offre de services managés de plus en plus complète : Managed Kubernetes, bases de données managées (PostgreSQL, MySQL, MongoDB), Object Storage S3-compatible, AI Platform pour les modèles de machine learning. La compatibilité S3 est particulièrement précieuse car elle facilite la migration depuis AWS sans réécriture de code.
Limites à connaître
Le catalogue de services managés reste moins profond que celui d'AWS, notamment pour les services d'IA/ML avancés et les outils d'analytics sophistiqués. Le support client a fait l'objet de critiques récurrentes sur les délais de réponse. Et l'incident d'incendie du datacenter de Strasbourg en mars 2021 — qui a provoqué la perte irrémédiable de données de certains clients — reste une référence dans les discussions sur la résilience des fournisseurs cloud.
Scaleway : le cloud des développeurs made in France
Filiale du groupe Iliad (Free), Scaleway s'est positionnée comme le cloud "developer first" français, avec une approche axée sur l'expérience développeur, l'open source et la performance. En 2026, Scaleway exploite des datacenters à Paris, Amsterdam et Varsovie, et a réalisé d'importants investissements dans le GPU-as-a-Service pour répondre à la demande en IA.
L'offre GPU de Scaleway : un atout majeur en 2026
Avec l'explosion des besoins en calcul pour l'IA et le machine learning, l'offre GPU de Scaleway est devenue l'une de ses propositions de valeur les plus distinctives. Des instances H100, A100 et L40S sont disponibles à la demande, avec des tarifs compétitifs par rapport à AWS ou Google Cloud pour les workloads d'entraînement de modèles. Pour les entreprises qui veulent développer ou fine-tuner des modèles IA sans passer par les APIs américaines, c'est une alternative sérieuse.
L'engagement green
Scaleway se distingue également par son engagement environnemental : ses datacenters parisiens utilisent le "free cooling" naturel et ont un PUE (Power Usage Effectiveness) parmi les meilleurs du secteur. Pour les entreprises qui intègrent le bilan carbone dans leurs critères de sélection cloud — une pratique en forte croissance avec la CSRD — c'est un différenciateur réel. Les stratégies de sauvegarde cloud souveraine détaillent comment combiner Scaleway et d'autres fournisseurs dans une architecture multi-cloud résiliente.
Outscale (Dassault Systèmes) et les clouds certifiés SecNumCloud
Outscale, filiale de Dassault Systèmes depuis 2017, est l'un des rares fournisseurs cloud à avoir obtenu la qualification SecNumCloud de l'ANSSI pour ses services IaaS. Cette certification place Outscale dans une catégorie à part pour les organisations qui traitent des données de défense nationale, des données de santé très sensibles ou des informations classifiées.
En 2026, d'autres fournisseurs sont engagés dans le processus de qualification SecNumCloud : Orange Flexible Engine, Thales S3NS (une coentreprise entre Thales et Google qui propose une version "souveraine" de GCP) et S3NS développée par Thales. Ces certifications créent un marché de niche mais stratégique pour les administrations publiques et les opérateurs d'importance vitale.
Thales S3NS : la réconciliation entre souveraineté et puissance hyperscaler
Le modèle Thales S3NS est particulièrement intéressant : il s'agit d'une déclinaison de Google Cloud opérée exclusivement par Thales en France, avec une séparation physique et logique garantissant qu'aucune donnée ne peut être accessible depuis les États-Unis. Les clients bénéficient de l'écosystème et des services managés avancés de Google Cloud (BigQuery, Vertex AI, Kubernetes Engine), tout en maintenant la souveraineté requise. C'est une approche "le meilleur des deux mondes" qui répond aux objections des DSI qui ne veulent pas sacrifier la puissance technologique sur l'autel de la souveraineté. Pour les aspects liés à la conformité RGPD et protection des données, ce type d'offre hybride est de plus en plus plébiscité par les DPO français.
Thales, Orange Business et les solutions enterprise
Pour les grandes entreprises et les administrations, plusieurs acteurs français proposent des offres cloud gérées avec des niveaux de service et de souveraineté premium.
Orange Business propose le "Sovereign Cloud" avec des SLA entreprise stricts, des services de sécurité managée intégrés, et une capacité à s'inscrire dans des architectures hybrides combinant on-premise et cloud. Orange Business est particulièrement présent dans les secteurs de la santé, des collectivités territoriales et de l'industrie.
Atos et Eviden (la branche numérique d'Atos) développent une offre cloud souverain positionnée sur les marchés de la défense et du renseignement, avec des certifications de sécurité spécifiques. L'entreprise a traversé des turbulences financières en 2024-2025, mais son offre cloud souverain reste une référence pour les marchés publics les plus sensibles.
Les clouds souverains européens : Hetzner, IONOS, Exoscale
La souveraineté ne se limite pas au territoire français. Pour de nombreuses entreprises, un fournisseur européen non soumis aux lois extraterritoriales américaines représente déjà un niveau de souveraineté acceptable.
Hetzner (Allemagne) est le fournisseur cloud "value for money" de référence en Europe, avec des tarifs encore inférieurs à OVHcloud pour les instances compute et le stockage. Sa politique de protection des données est strictement conforme au RGPD. Hetzner est particulièrement prisé par les développeurs et les start-ups européennes pour son excellent rapport qualité-prix.
IONOS (groupe United Internet, Allemagne) propose une offre cloud complète avec des services managés, une présence commerciale forte en France, et une certifications ISO 27001. IONOS est une alternative crédible pour les PME et les ETI françaises qui cherchent un interlocuteur européen avec un support francophone.
Exoscale (Suisse) se positionne sur la souveraineté suisse, avec les avantages liés à la neutralité et au secret professionnel suisse, et une localisation des données exclusivement en Europe continentale.
Comparatif des prix : AWS vs cloud souverain en 2026
Comparons les coûts sur des configurations représentatives pour une PME de 100 collaborateurs avec des besoins web/applicatifs standards (2 instances compute, base de données managée, stockage objet, CDN).
| Fournisseur | Compute (2 vCPU/4GB × 2) | DB managée (PostgreSQL) | Stockage 1TB | Total/mois |
|---|---|---|---|---|
| AWS (eu-west-3 Paris) | ~85 € | ~130 € | ~23 € | ~238 € |
| OVHcloud | ~52 € | ~89 € | ~18 € | ~159 € |
| Scaleway | ~49 € | ~95 € | ~15 € | ~159 € |
| Hetzner | ~28 € | ~55 € | ~12 € | ~95 € |
Note : estimations mai 2026 pour les configurations standards. Les prix varient selon les options, les réservations et la consommation réelle. Les services managés avancés (ML, analytics) peuvent réduire l'écart.
L'économie est claire : pour des workloads standards, les fournisseurs cloud souverains sont 30 à 60 % moins chers qu'AWS. Les coûts de migration initiale et la formation des équipes s'amortissent en général en 12 à 18 mois.
Comment migrer d'AWS/Azure vers un cloud souverain ?
La migration cloud-to-cloud est un projet qui se prépare méthodiquement. Voici les phases clés.
Phase 1 : audit de l'architecture existante (2 à 4 semaines)
Cartographiez tous les services AWS/Azure utilisés, identifiez les services propriétaires sans équivalent direct chez les fournisseurs cibles (ex: certains services spécifiques AWS comme DynamoDB ou SageMaker n'ont pas d'équivalent exact), et évaluez les dépendances entre services. L'outil AWS Application Discovery Service (ironiquement proposé par AWS lui-même) ou Movere de Microsoft peuvent automatiser une partie de cet inventaire.
Phase 2 : sélection du fournisseur et architecture cible (2 à 3 semaines)
Choisissez votre fournisseur en fonction de vos critères : niveau de souveraineté requis (RGPD simple, SecNumCloud), catalogue de services nécessaires, budget, localisation. Définissez l'architecture cible et identifiez les points d'adaptation du code (APIs non-S3, services spécifiques).
Phase 3 : migration par workloads (2 à 12 mois)
Ne migrez jamais tout en une seule fois. Commencez par les workloads les moins critiques, validez chaque migration avant de passer au suivant. Maintenez un double hébergement temporaire pour les services critiques pendant la transition. Les enjeux de sécurité des données dans le cloud doivent être réévalués à chaque étape de migration.
Pour les entreprises qui souhaitent expérimenter avant de migrer, des solutions de sauvegarde et d'archivage souveraines peuvent être déployées en parallèle de l'infrastructure existante — un premier pas vers la souveraineté sans disruption immédiate. Les ressources sur la sauvegarde souveraine et la protection des données détaillent les meilleures pratiques pour sécuriser vos données en priorité. Les développeurs qui déploient sur des infrastructures souveraines trouveront également des guides sur l'hébergement web souverain et le déploiement cloud.
La souveraineté numérique n'est plus une option pour de nombreuses entreprises françaises : c'est une obligation réglementaire qui se renforce, un argument commercial vis-à-vis de clients soucieux de la protection de leurs données, et une assurance contre les risques géopolitiques liés à la dépendance aux hyperscalers américains. Les alternatives souveraines françaises et européennes ont atteint un niveau de maturité qui rend la migration réaliste et économiquement avantageuse. La question n'est plus "si" mais "quand". Au-delà du choix de fournisseur, le sens long terme du marché cloud français à l'horizon 2027-2030 (multi-cloud, edge 5G, FinOps, IA agentique) est analysé en profondeur dans notre dossier prospectif avenir du cloud 2026 : 5 tendances qui redéfinissent l'IT.