9 min de lecture

90 pour cent des entreprises allemandes utilisent des services cloud. 78 pour cent d’entre elles déclarent en même temps : « Nous sommes trop dépendants des fournisseurs américains. » Cette dissonance cognitive façonne les stratégies cloud des PME plus que tout autre sujet. 2026 sera l’année décisive où la souveraineté numérique européenne passera du leitmotiv politique à la réalité opérationnelle. L’infrastructure nécessaire est en cours de construction.

L’essentiel

• Cloud souveraine européenne AWS en production : disponible depuis janvier 2026 à Brandebourg, investissement de 7,8 milliards d’euros, environ 90 services disponibles dès le lancement
• Marché en pleine explosion : les dépenses européennes liées aux clouds souverains devraient passer, selon Gartner, de 6,9 milliards de dollars US (2025) à 12,6 milliards de dollars US (2026), soit une hausse de 83 %
• Tous les hyperscalers suivent le mouvement : Microsoft Sovereign Public Cloud, Google Sovereign Cloud Hub à Munich, Delos Cloud (T-Systems/SAP) en exploitation commerciale
• Alternatives allemandes en plein essor : STACKIT se développe en tant qu’hyperscaler allemand, OVHcloud exploite l’infrastructure du digital euro de la BCE
• Certification EUCS bloquée : le schéma européen de certification cloud (EUCS) stagne depuis plus de quatre ans. Le référentiel BSI C5 reste la norme de facto en Allemagne

Le marché bascule : la souveraineté devient une question de milliards

Ce qui, il y a trois ans encore, était considéré comme une simple revendication politique est devenu, en 2026, un marché doté de chiffres concrets. Gartner évalue les dépenses mondiales liées aux infrastructures cloud souveraines (IaaS) à 80 milliards de dollars US pour 2026, soit une hausse de 35,6 % par rapport à l’année précédente. La part européenne connaît la croissance la plus rapide : elle passe de 6,9 milliards de dollars US (2025) à 12,6 milliards de dollars US (2026), avec une projection à 23,1 milliards de dollars US d’ici 2027.

Ce que ces chiffres signifient : l’Europe devrait probablement dépasser l’Amérique du Nord en matière de dépenses liées aux clouds souverains dès 2027. Le continent n’investit plus seulement dans le cloud, il investit dans un autre type de cloud.

Les moteurs de cette évolution sont bien connus : la directive NIS2, le règlement DORA (Digital Operational Resilience Act) pour le secteur financier, la loi sur la chaîne d’approvisionnement et, surtout, l’incertitude géopolitique depuis l’accession à la présidence américaine de la deuxième administration Trump. Le Bitkom Cloud Report 2025 rend tangible l’état d’esprit des entreprises : la moitié des entreprises interrogées indiquent réajuster leur stratégie cloud en raison de la nouvelle administration américaine. Et lorsqu’on leur demande quel fournisseur ils privilégient, 100 % répondent : « un fournisseur allemand ». Seuls 6 % préfèrent un fournisseur américain.

« Les décideurs – pas seulement les DSI, mais l’ensemble du comité de direction – se demandent s’ils peuvent encore faire confiance à une infrastructure numérique fournie par des acteurs américains. »

René Buest, Senior Director Analyst chez Gartner, février 2026

AWS European Sovereign Cloud : l’hyperscaler devient européen

Le 15 janvier 2026, la AWS European Sovereign Cloud est entrée en production à Brandebourg. Ce concept diffère fondamentalement des régions AWS existantes en Europe : infrastructure propre, gouvernance propre, personnel propre. Organisationnellement, techniquement et juridiquement séparée des régions AWS mondiales.

Pour ce faire, AWS a créé une organisation européenne autonome : une nouvelle société mère ainsi que trois filiales, toutes immatriculées en droit allemand. Tous les employés opérationnels sont des ressortissants de l’UE résidant dans l’UE. À leur tête figurent Stephane Israel, Managing Director (depuis octobre 2025), et Stefan Hoechbauer (depuis janvier 2026).

Le montant total de l’investissement : 7,8 milliards d’euros répartis sur plusieurs années. Au lancement, environ 90 des plus de 240 services AWS sont disponibles ; le portefeuille sera progressivement étendu. Des régions supplémentaires sont prévues aux Pays-Bas, en Belgique et au Portugal.

Pour les entreprises, cela change radicalement la base de la discussion cloud : la question n’est plus « Un hyperscaler américain peut-il être souverain ? », mais « Cette forme de souveraineté me suffit-elle ? ». Car un point demeure : AWS, en tant qu’entreprise, est et restera américaine. La European Sovereign Cloud répond aux exigences de souveraineté opérationnelle et juridique, mais non à la dépendance économique vis-à-vis d’un seul fournisseur. Les décideurs IT doivent intégrer cette distinction avant de signer tout contrat.

« L’Europe a besoin d’un accès à la technologie cloud et IA la plus robuste. Les clients veulent le meilleur des deux mondes : exploiter l’intégralité du portefeuille AWS tout en satisfaisant leurs exigences strictes en matière de souveraineté. »

Stephane Israel, Managing Director de la AWS European Sovereign Cloud, janvier 2026 (traduction adaptée)

Microsoft, Google, Delos : les concurrents emboîtent le pas

AWS n’est pas seule. Microsoft a annoncé sa Sovereign Public Cloud pour toutes les régions européennes, incluant le chiffrement contrôlé par le client, un conseil de surveillance européen et un « Data Guardian » chargé des opérations européennes. Pour les charges de travail hautement sensibles, Azure Local propose, depuis décembre 2025, une option sur site (on-premises) dotée de contrôles souverains.

Delos Cloud, projet commun de T-Systems, SAP et Microsoft, est en exploitation commerciale depuis janvier 2026. Son modèle : T-Systems exploite la technologie Microsoft dans des centres de données allemands en tant que fiduciaire, entièrement séparé du réseau mondial de Microsoft. Le prix à payer : 10 à 20 % de plus que la Public Cloud de Microsoft. À noter : Delos et Microsoft ont conclu un accord garantissant la continuité d’exploitation en cas de sanctions américaines limitant les services cloud européens.

Google Cloud a inauguré, en novembre 2025, un Sovereign Cloud Hub à Munich, couplé à un Security & Privacy Engineering Hub. En partenariat avec T-Systems, Thales, le groupe Schwarz et d’autres acteurs européens, Google construit un réseau couvrant différents niveaux de souveraineté : de la Data Boundary (les données restent en Europe), à la Dedicated Cloud (infrastructure dédiée exploitée par des entités européennes), jusqu’à la variante totalement isolée Air-Gapped, destinée aux charges de travail les plus sensibles.

Ce qui frappe chez ces trois hyperscalers : la souveraineté n’est plus commercialisée comme un produit unique, mais comme un spectre. Selon la sensibilité de la charge de travail et les exigences réglementaires, les entreprises peuvent choisir le niveau de contrôle adapté. Il s’agit là d’une différence fondamentale avec les premiers débats, où le « cloud souverain » était perçu comme un concept binaire : soit entièrement européen, soit pas du tout.

L’alternative européenne : STACKIT, OVHcloud et le rêve d’un hyperscaler national

Parallèlement aux offres souveraines des hyperscalers américains, les alternatives européennes se développent. STACKIT, la plateforme cloud du groupe Schwarz (Lidl/Kaufland), est en cours de transformation, depuis mai 2025, en « hyperscaler allemand » : quatre centres de données en Allemagne et en Autriche, un cinquième en construction à Lübbenau, certifiée BSI C5 et ISO 27001, reposant sur OpenStack.

OVHcloud exploite, grâce à sa certification SecNumCloud (la certification française exigeante de l’ANSSI), l’une des rares plateformes cloud européennes atteignant le plus haut niveau de sécurité. Un gage de confiance particulier : la Banque centrale européenne a désigné OVHcloud comme fournisseur d’infrastructure pour le digital euro. Et IONOS (certifié BSI C5 depuis 2023) constitue une autre alternative entièrement européenne, qui gagne du terrain notamment auprès des PME.

Une évaluation honnête : aucun de ces fournisseurs européens ne peut aujourd’hui remplacer l’offre de services d’AWS ou d’Azure. Celui qui a besoin de plus de 200 services gérés au niveau entreprise ne peut pas faire l’impasse sur les hyperscalers. Mais pour des charges de travail définies – notamment l’infrastructure cloud (IaaS), Kubernetes, le stockage et les bases de données – STACKIT, OVHcloud et IONOS sont techniquement matures et disposent d’un avantage réglementaire.

EUCS : quatre ans de débats, zéro résultat

Alors que le marché crée des faits, la régulation stagne. Le schéma européen de certification cloud (EUCS), discuté depuis décembre 2020, n’a toujours pas été adopté. Le cœur du conflit : les hyperscalers américains doivent-ils pouvoir obtenir le niveau de certification le plus élevé (« High »), ou ce niveau exige-t-il une majorité de propriété européenne ?

Certains États membres de l’UE et les hyperscalers eux-mêmes bloquent l’exigence de souveraineté. Le résultat est un vide réglementaire : les entreprises qui prennent aujourd’hui des décisions cloud pour les cinq à dix prochaines années ne disposent d’aucun cadre européen contraignant de certification pour les guider.

En Allemagne, le BSI (Office fédéral de la sécurité informatique) comble ce vide. Le Catalogue des critères de conformité pour le cloud computing (C5), avec ses 121 contrôles répartis en 17 domaines, est obligatoire depuis juillet 2025 pour le secteur de la santé et certaines parties de l’administration publique. La mise à jour C5:2025 introduit de nouvelles exigences en matière de gestion des conteneurs, de gestion des risques liés à la chaîne d’approvisionnement et de cryptographie post-quantique. AWS, Microsoft, Google, SAP, STACKIT, OVHcloud et IONOS sont déjà certifiés C5.

GAIA-X : ambition contre réalité

Il reste ensuite GAIA-X, le projet cloud européen le plus ambitieux. Le bilan honnête après cinq ans : son impact pratique reste en deçà des promesses initiales. Avec le Trust Framework 3.0 et plus de 180 Dataspaces en cours de développement, GAIA-X a bel et bien créé une substance, notamment pour les écosystèmes de données intersectoriels dans les domaines de la mobilité, de l’énergie et de la santé.

Cependant, l’adhésion d’AWS, de Google et de Microsoft en tant que membres a soulevé la question de savoir si GAIA-X demeure crédible quant à son objectif initial d’indépendance européenne. Pour la question concrète « Quel cloud dois-je utiliser ? », GAIA-X ne fournit à ce jour aucune réponse opérationnellement pertinente. Sa valeur réside davantage dans l’écosystème : des cadres de confiance pour des Dataspaces intersectoriels, qui pourraient devenir cruciaux à l’avenir pour les chaînes d’approvisionnement, la mobilité et les données de santé.

Un autre projet phare mérite d’être mentionné : SAP et OpenAI ont annoncé, en mars 2026, « OpenAI pour l’Allemagne », un service IA souverain destiné aux administrations publiques, aux collectivités locales et aux institutions de recherche. Cela montre que la discussion sur la souveraineté dépasse désormais largement l’infrastructure cloud pour englober les services d’intelligence artificielle.

Ce que les décideurs IT doivent faire dès maintenant

Le paysage des clouds souverains est, en 2026, plus diversifié que jamais. Cela crée des options, mais aussi de la complexité. Voici cinq recommandations opérationnelles :

Classer les charges de travail. Toute charge de travail n’a pas besoin d’un environnement souverain. La question n’est pas « Souverain ou pas ? », mais « Pour quelles données et quels processus ai-je besoin de quel niveau de contrôle ? »

Fixer le BSI C5 comme seuil minimal. En l’absence d’adoption de l’EUCS, le C5 reste le cadre d’orientation le plus fiable en Allemagne. Les fournisseurs non certifiés C5 ne devraient pas figurer dans la sélection finale pour les charges de travail réglementées.

Prévoir des scénarios hybrides. Le cloud souverain ne remplacera pas le cloud public, mais le complétera. Les architectures multi-cloud avec des zones de conformité différenciées deviendront la norme.

Garanter contractuellement des stratégies de sortie. Delos montre, avec sa clause de continuité d’activité, comment atténuer contractuellement les risques géopolitiques. De telles clauses devraient figurer dans tout contrat cloud.

Évaluer les alternatives européennes. STACKIT, OVHcloud et IONOS ont rattrapé leur retard technique. Pour les charges de travail non critiques et moyennement sensibles, elles constituent une option sérieuse permettant de réduire les dépendances.

Fazit : la souveraineté n’est pas un produit, mais une décision architecturale

La bonne nouvelle pour les décideurs IT : le temps où la souveraineté constituait un compromis – où l’on devait choisir entre innovation et maîtrise – touche à sa fin. En 2026, on dispose pour la première fois d’une offre réelle sur les deux fronts : des hyperscalers américains dotés d’une gouvernance européenne, et des fournisseurs européens dont le portefeuille de services s’élargit constamment.

La moins bonne nouvelle : il n’existe pas de solution universelle. La souveraineté numérique n’est pas une case à cocher, mais une décision architecturale qui traverse l’ensemble de la stratégie IT. Celui qui la prend au sérieux doit classer ses charges de travail, examiner ses contrats, simuler des scénarios de sortie et développer des compétences multi-cloud. L’infrastructure est prête. La question est de savoir si les entreprises le sont aussi.

Questions fréquentes

Quelle est la différence entre la AWS European Sovereign Cloud et une région AWS classique en Europe ?

La European Sovereign Cloud est séparée, sur les plans organisationnel, technique et juridique, des régions AWS mondiales. Elle repose sur une société mère propre immatriculée en droit allemand, un personnel propre (exclusivement composé de ressortissants de l’UE) et une infrastructure propre. Dans une région AWS classique à Francfort, la gouvernance relève de la société mère américaine.

Une cloud souverain est-elle plus chère qu’un cloud public classique ?

Oui, généralement. Selon les rapports, Delos Cloud (T-Systems/SAP/Microsoft) coûte 10 à 20 % de plus que la Public Cloud de Microsoft. Ce surcoût reflète les efforts supplémentaires liés à l’infrastructure séparée, au personnel européen et aux structures de gouvernance. Pour les charges de travail réglementées, ce surcoût est souvent inférieur à l’alternative : une infrastructure on-premises propre.

Mon entreprise a-t-elle besoin d’un cloud souverain ?

Pas de façon systématique. Ce qui compte, c’est la classification des données : les données à caractère personnel, les secrets industriels et les charges de travail réglementées (KRITIS, santé, services financiers) bénéficient d’environnements souverains. Les charges de travail standard – hébergement web, environnements de développement ou applications SaaS non critiques – peuvent continuer à fonctionner dans des régions cloud classiques.

Quelle est la différence entre le BSI C5 et l’EUCS ?

Le BSI C5 est un référentiel allemand comportant 121 contrôles, déjà appliqué opérationnellement et obligatoire depuis juillet 2025 pour certains secteurs. L’EUCS devrait devenir la norme européenne, mais n’a pas encore été adoptée après plus de quatre ans de débats. Jusqu’à son entrée en vigueur, le C5 demeure le cadre d’orientation le plus pertinent pour les entreprises allemandes.

Quels fournisseurs cloud européens constituent une alternative à AWS, Microsoft et Google ?

STACKIT (groupe Schwarz) se développe en tant qu’hyperscaler allemand, est certifié BSI C5 et ISO 27001, et repose sur OpenStack. OVHcloud propose, avec sa certification SecNumCloud, le plus haut niveau de sécurité français et a été choisi par la BCE pour le digital euro. IONOS est certifié BSI C5 depuis 2023. Pour des charges de travail spécifiques, ces fournisseurs sont techniquement matures.

 

Source de l’image : Unsplash / ALEXANDRE LALLEMAND