Le cloud souverain en France en 2026 — où en sommes-nous ?

Souverain ne veut pas dire grand-chose tout seul

Le mot souverain est galvaudé. Pour une organisation européenne en 2026, il devrait couvrir trois dimensions cumulatives :

1. Souveraineté juridique — la société qui opère le cloud n’est pas soumise à des lois extraterritoriales (Cloud Act américain, lois chinoises de surveillance).
2. Souveraineté technique — les datacenters, les opérateurs et la chaîne d’approvisionnement matérielle sont européens.
3. Souveraineté de la donnée — vos données ne quittent jamais le territoire européen, y compris pour la télémétrie produit et le support.

Un hyperscaler américain avec datacenter européen ne coche que la troisième case, et encore — souvent imparfaitement.

Les briques certifiantes en 2026

SecNumCloud (ANSSI)

Le référentiel français de référence pour le cloud souverain. Vingt-six exigences techniques et juridiques. Quelques acteurs portent la qualification : Outscale (Dassault Systèmes), Cloud Temple, OVHcloud (sur un périmètre limité), NumSpot. La qualification garantit la souveraineté juridique et technique, mais limite encore aujourd’hui le catalogue de services disponibles.

EUCS (cloud européen)

Le futur référentiel européen, dérivé partiellement de SecNumCloud. Niveau “High” attendu pour les charges critiques. Le débat ouvert en 2024-2025 sur la place des hyperscalers américains dans le niveau “High” a été tranché — la souveraineté juridique reste requise.

Hébergeur de données de santé (HDS)

Spécifique au secteur santé. Vingt-deux acteurs certifiés en France en 2026. Hexceos en fait partie. Couvre l’hébergement, l’infogérance et la sauvegarde de données identifiantes de santé.

Les options réelles pour une PME ou ETI

Trois architectures crédibles aujourd’hui :

Option A — Cloud souverain qualifié

Vous hébergez chez Outscale, Cloud Temple, OVH SecNumCloud ou un datacenter propriétaire français (comme le nôtre). Le catalogue de services est plus restreint qu’un hyperscaler, les outils DevOps moins riches, mais la souveraineté est totale.

Option B — Cloud hybride avec hyperscaler chiffré BYOK

Vos charges sensibles restent souveraines ; vos charges non sensibles peuvent rester chez AWS/Azure/GCP avec chiffrement BYOK (Bring Your Own Key) et séparation stricte. La souveraineté juridique reste partielle mais la donnée est techniquement isolée.

Option C — Tout hyperscaler avec contractualisation renforcée

Vous restez chez un hyperscaler avec contrats EU-only, clauses de notification CLOUD Act, audits indépendants. C’est la plupart du marché aujourd’hui. Ce n’est pas une vraie souveraineté, mais c’est une réduction du risque acceptable pour beaucoup d’acteurs.

Notre lecture du marché

Pour les charges de production critiques d’une organisation soumise à NIS2 (entité essentielle), à HDS, ou ayant un mandat de service public, l’option A est devenue la norme attendue. Pour les charges périphériques, l’option B suffit.

L’option C est en perte de vitesse pour les acteurs régulés mais reste majoritaire en valeur sur le marché total.

Ce qui change concrètement en 2026

• L’écart de prix entre cloud souverain qualifié et hyperscalers s’est resserré (typiquement 10 à 20% d’écart contre 50% il y a trois ans).
• Le catalogue de services managés (bases de données, analytics, IA) commence à rattraper celui des hyperscalers, sans encore l’égaler.
• Les administrations et OIV imposent de plus en plus SecNumCloud par contrat.

En résumé

Si votre activité est régulée, vous devriez avoir basculé en option A ou être en plan de migration. Si elle ne l’est pas, l’option B est aujourd’hui un bon équilibre. L’option C est un risque dont la valorisation augmente chaque année.

Notre accompagnement cloud couvre les trois options selon votre situation — nous ne sommes pas dogmatiques sur l’architecture, nous sommes dogmatiques sur la documentation du risque.

Article rédigé par l’équipe architecture cloud Hexceos.