À l’heure où la donnée est devenue l’or noir du XXIe siècle, le choix d’une infrastructure cloud dépasse largement les considérations techniques : il s’inscrit désormais dans une véritable réflexion géopolitique. En 2025, cette question demeure centrale pour les ministères, les hôpitaux et les grandes entreprises européennes : faut-il continuer de s’appuyer sur les géants américains du numérique, technologiquement incontournables mais juridiquement controversés, ou privilégier des solutions souveraines européennes, garantes d’indépendance mais encore jugées moins compétitives ? Ce dilemme oppose deux risques majeurs : d’un côté, le décrochage technologique des écosystèmes numériques nationaux et/ou européens; de l’autre, la fuite de données sensibles vers des juridictions étrangères.
La montée en puissance des hyperscalers américains ces dernières années a été largement soutenue par le gouvernement américain, surtout depuis la présidence de Barack Obama, qui a fait du numérique un axe prioritaire de la politique économique et de la sécurité nationale. Ce soutien s’est matérialisé par des investissements publics massifs, à l’image du fonds In-Q-Tel, financé principalement par la CIA et d’autres agences de renseignement américaines à hauteur d’environ 120 millions de dollars par an (soit près de 500 millions de dollars entre 2017 et 2021). Le fonds a investi plus d’un milliard de dollars depuis sa création en 1999 dans plus de 800 entreprises technologiques stratégiques, telles que Palantir, Keyhole (devenu Google Earth) ou encore Facebook, afin de renforcer la souveraineté technologique américaine et de garantir l’accès aux innovations de pointe. Par ailleurs, les commandes publiques sont colossales : le projet Stargate, lancé en 2025, prévoit 500 milliards de dollars d’investissements sur quatre ans pour créer une infrastructure IA nationale, avec la construction d’au moins 10 nouveaux datacenters. Ce modèle contraste avec l’approche européenne, longtemps freinée par le principe de libre concurrence, même si, face à la domination croissante des GAFAM (Google, Amazon, Facebook, Apple, Microsoft) et d’autres géants comme Nvidia, plusieurs États européens ont récemment lancé leurs propres infrastructures numériques pour renforcer leur souveraineté. Ici, le sujet du cloud souverain devient central.
Des projets comme Bleu — partenariat entre Capgemini et Orange basé sur les services de Microsoft —, S3NS — initiative conjointe de Thales et Google — ou encore NumSpot — réunissant Dassault Systèmes, Bouygues Télécom, Docaposte et la Caisse des Dépôts — voient le jour pour concilier performance technologique et souveraineté. Parmi les projets structurants, l’initiative franco-allemande Gaia-X est à mentionner. Elle réunit côté français des acteurs comme Amadeus, Atos, EDF, Outscale, OVHcloud, Scaleway, Orange, l’Institut Mines-Télécom, Safran, CISPE ou Docaposte, et côté allemand, des poids lourds tels que SAP, Siemens, Beckhoff, Bosch ou BMW.
Malgré ces efforts et les premières concrétisations attendues en 2025, avec par exemple le lancement opérationnel de Bleu ou l’arrivée de NumSpot, les offres européennes pourraient être en difficulté face aux hyperscalers américains.
Les initiatives souveraines, notamment Gaia-X, souffrent d’un manque de coordination et d’une influence persistante des géants américains, freinant leur développement stratégique. Tout d’abord, la gouvernance complexe du projet Gaia-X, reposant sur des relais transnationaux et des groupes de travail sectoriels, engendre des difficultés de communication et de mutualisation des efforts entre pays et secteurs. Entre temps, les hyperscalers américains ont été invités à participer aux groupes techniques et à contribuer à l’élaboration des standards et des services de l’écosystème Gaia-X, tout en respectant les règles européennes sur la souveraineté et la sécurité des données. Cependant, leur influence a été critiquée. Bien qu’ils n’aient pas accès au conseil d’administration (réservé aux organisations ayant leur siège en Europe), ils participent activement aux comités techniques, ce qui leur permet d’orienter indirectement certaines décisions stratégiques. Des membres européens comme Scaleway ont dénoncé cette situation, affirmant que la présence des géants américains ralentit les travaux et détourne Gaia-X de son objectif initial de souveraineté numérique. Le projet Gaia-X a alors été repoussé à plusieurs reprises depuis son lancement en 2019. Initialement prévu pour offrir des services opérationnels dès 2021, il a pris plus d’un an de retard, avec les premiers services reportés à 2022. En 2024, des ajustements dans la gouvernance et un nouvel appel à projets ont encore retardé sa mise en œuvre. En 2025, le projet reste en phase de structuration.
Quant au projet Bleu, destiné à terme à rejoindre l’initiative Gaia-X, l’implication de Microsoft relance des interrogations quant aux ambitions de souveraineté. Il en va de même pour S3NS : bien que Thales soit majoritaire dans la coentreprise, la technologie déployée demeure celle de Google.
En vérité, la France semble progressivement substituer à la souveraineté une logique de cloud de confiance, un label qui repose essentiellement sur l’obtention de la certification SecNumCloud délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Ce référentiel impose aux fournisseurs de cloud des obligations juridiques strictes en matière de sécurité, de localisation, de gouvernance et de conformité au droit européen, garanties par des audits réguliers. Ainsi, la confiance accordée par ce label repose non sur une simple déclaration, mais sur un cadre légal robuste et des contrôles rigoureux.
L’évaluation SecNumCloud couvre alors plusieurs aspects clés : la sécurité des infrastructures, avec des mesures avancées telles que les firewalls et les systèmes de détection d’intrusion ; la gestion des accès, via une authentification forte et une segmentation stricte des droits ; ainsi que la confidentialité et l’intégrité des données, assurées par un chiffrement validé par l’ANSSI. Enfin, l’organisation et les processus internes des prestataires sont également examinés, notamment à travers l’adoption d’un système de management de la sécurité de l’information (SMSI) et la réalisation d’audits réguliers pour maintenir la certification.
Mais la certification SecNumCloud et par conséquent le label cloud de confiance ne requièrent pas nécessairement que l’ensemble de la chaîne technologique soit européenne. Un fournisseur de services cloud peut donc s’appuyer sur une technologie développée par un acteur non européen à condition que l’opérateur final de l’offre soit une entité juridiquement autonome, de droit français ou européen, assurant une totale maîtrise opérationnelle, contractuelle et juridique sur les données traitées. Cela signifie que même si l’infrastructure technologique provient d’un acteur américain, comme dans le cas de Bleu (Capgemini, Orange et Microsoft) ou S3NS (Thales et Google Cloud), l’opérateur français doit garantir que les données ne peuvent pas être accessibles ou transférées en dehors du cadre juridique européen.
Toutefois, cette logique hybride fait débat puisqu’accusée d’affaiblir la promesse de protection renforcée des données publiques et de brouiller la frontière entre maîtrise nationale et dépendance stratégique. Des acteurs français du numérique comme Scaleway ou les membres d’Hexatrust dénoncent ce choix comme un renoncement assumé : selon eux, l’État abdique toute volonté de structurer un écosystème cloud souverain compétitif. Et, si les conditions d’un cloud de confiance s’adaptent pour Google ou Microsoft, pourquoi ne le seraient-elles pas demain pour un acteur chinois comme Alibaba, disposant également d’un arsenal cloud complet ?
En contre-exemple des clouds de confiance, NumSpot, le projet signé par Dassault Systèmes, Bouygues Télécom, Docaposte et la Caisse des Dépôts, est entièrement détenu par des acteurs européens. En revanche, à l’instar des autres fournisseurs de cloud du continent, il risque tout de même de faire face à une rude concurrence, et ce, justement car il n’intègre pas d’hyperscaler américain.
En effet, les géants américains comme AWS, Microsoft Azure et Google Cloud bénéficient d’économies d’échelle leur permettant de proposer des services à des coûts bien inférieurs à ceux des acteurs européens, qui doivent supporter des coûts de main-d’œuvre plus élevés et une infrastructure moins développée. De plus, en raison d’une évolution tardive du savoir-faire du Vieux Continent en matière de cloud, les services européens manquent souvent de fonctionnalités avancées comparables, comme les bases de données robustes ou les solutions serverless (modèle d’informatique cloud où le fournisseur gère l’infrastructure, permettant aux développeurs de se concentrer sur le code sans s’occuper des serveurs), ce qui limite leur attractivité pour les entreprises. Malheureusement, les acteurs souverains qui ne collaborent pas avec des hyperscalers dans le cadre du cloud de confiance se positionnent alors dans une situation de déficit concurrentiel. En conséquence, en 2021, la SNCF a choisi AWS pour ses besoins en cloud, invoquant un meilleur rapport coût-bénéfice ainsi que des garanties de service supérieures. Beaucoup d’autres entreprises européennes emboîtent le pas de la SNCF. Alors, les acteurs européens comme OVHcloud, Scaleway ou Hetzner progressent mais restent minoritaires avec environ 5 % du marché européen.
Les fournisseurs américains AWS, Microsoft Azure et Google Cloud continuent de dominer le marché européen du cloud en 2025, avec plus de 70 % des parts cumulées. Cette domination repose sur leur avance technologique, notamment en intelligence artificielle (IA), ainsi que sur leur capacité d’innovation rapide. Ces entreprises offrent des services variés et performants, allant du stockage à l’analyse avancée via l’IA, ce qui les rend incontournables pour les entreprises cherchant à accélérer leur transformation numérique.
Mais la dépendance aux géants américains pose des risques importants pour la confidentialité des données européennes. Le Cloud Act américain permet aux autorités américaines d’accéder aux données hébergées par des entreprises sous juridiction américaine, même si elles sont physiquement stockées en Europe (une entreprise européenne peut être considérée comme relevant de la juridiction américaine si elle entretient des relations commerciales substantielles avec les États-Unis). En outre, les lois américaines comme le FISA et l’Executive Order 12333 permettent aux agences de renseignement des États-Unis de collecter massivement des données, y compris celles de citoyens et d’entreprises européennes, sans leur consentement explicite. Ces cadres juridiques, combinés à l’extraterritorialité du Cloud Act, exposent les données sensibles à un risque d’espionnage économique et industriel, notamment dans un contexte de compétition technologique mondiale. Cette situation fragilise la souveraineté numérique européenne en contournant les protections strictes du RGPD et en permettant des intrusions non conformes aux normes européennes. En conséquence, les données stratégiques européennes deviennent accessibles aux autorités américaines, ce qui confère un avantage compétitif aux États-Unis tout en compromettant la sécurité et l’indépendance des infrastructures numériques européennes.
Mais les risques ne sont pas seulement techniques ou juridiques, ils sont également politiques : un simple changement de doctrine à Washington pourrait mettre à mal des pans entiers de services critiques français ou européens hébergés par des hyperscalers américains. En fin d’année 2024, les tensions géopolitiques exacerbées par l’élection de Donald Trump ont ravivé les inquiétudes concernant l’ingérence étrangère dans les infrastructures numériques européennes.
Consciente de ces enjeux, l’UE intensifie ses efforts pour réduire sa dépendance numérique. Outre les projets de cloud de confiance ou souverain abordés en début de cet article, qui, malgré les critiques auxquelles ils peuvent faire face, incarnent une ambition forte de collaboration européenne pour structurer une économie de la donnée indépendante, d’autres points sont à souligner. Le CISPE (Cloud Infrastructure Service Providers in Europe) a investi un million d’euros dans le Fulcrum Project, une initiative open source — fondée sur un code accessible et modifiable par tous (disponible sur GitHub) — visant à créer un cloud distribué exclusivement européen. Les ressources et services cloud seraient répartis sur plusieurs sites géographiques et opérés par différents fournisseurs, tandis que la gestion, la gouvernance et le contrôle seraient assurés de manière fédérée et collaborative entre les membres. Ce projet s’inscrit dans une stratégie de souveraineté numérique, permettant aux fournisseurs européens de fédérer leurs infrastructures pour proposer des services protégés contre les ingérences étrangères grâce à une infrastructure 100 % européenne. En mutualisant leurs ressources, le projet offre ainsi une alternative compétitive aux hyperscalers américains.
En parallèle, certains hyperscalers américains adoptent une approche localisée en Europe en proposant des solutions de cloud souverain. Ces initiatives incluent le stockage et le traitement des données exclusivement au sein de l’UE, l’opération par du personnel européen, et l’utilisation de technologies renforçant la sécurité des données. Par exemple, AWS prévoit de lancer d’ici fin 2025 en Allemagne un cloud souverain reposant sur ses technologies, tandis que Google Cloud adhère au code de conduite européen pour le cloud (EU Cloud CoC). Cependant, ces efforts restent critiqués pour leur vulnérabilité potentielle aux lois extraterritoriales américaines.
Sur le point réglementaire, là où les Etats-Unis ont le Cloud Act, l’Europe se pare, en plus du EU Cloud CoC, du Data Act. Entré en vigueur le 11 janvier 2024, applicable à partir du 11 septembre 2025, Le Data Act européen, joue un rôle clé dans le rééquilibrage du marché du cloud. Ce règlement vise à lever les barrières commerciales et techniques qui entravent la concurrence, notamment en supprimant les frais de transfert de données et de migration, souvent utilisés par les hyperscalers américains pour verrouiller leurs clients dans leurs écosystèmes. À partir de 2027, ces frais seront totalement interdits, permettant aux entreprises européennes de changer de fournisseur sans coûts excessifs ni contraintes techniques. Le Data Act impose également des normes d’interopérabilité, obligeant les fournisseurs à adopter des formats ouverts pour faciliter la portabilité des données. A terme, ces mesures devraient renforcer la liberté de choix des entreprises européennes et réduire leur dépendance aux acteurs étrangers soumis à des lois extraterritoriales.
En 2025, le choix entre cloud souverain et solutions étrangères demeure un dilemme complexe. Toutefois, la situation pourrait évoluer significativement d’ici 2027 avec l’entrée en vigueur complète du Data Act. En attendant, une stratégie hybride à l’image du cloud de confiance semble s’imposer pour palier le retard numérique de l’Europe : opérer localement des infrastructures dotées de technologies étrangères performantes dans le but de concilier souveraineté et haut niveau de service. Il existe aussi la possibilité d’avoir recours à des clouds souverains pour les données critiques, tout en exploitant des solutions internationales pour les applications moins sensibles. Toutefois, ces approches ne peuvent se pérenniser, cela reviendrait à institutionnaliser une dépendance industrielle durable et à affaiblir la souveraineté numérique nationale. A terme, il faut espérer qu’un cloud souverain compétitif voit le jour, allant au-delà du concept et affirmant une réalité stratégique.
Les avancées récentes montrent que l’Europe progresse sur ce chemin complexe. Néanmoins, la domination persistante des hyperscalers étrangers et les défis techniques liés au développement d’une infrastructure européenne compétitive rappellent l’ampleur du travail à accomplir. La souveraineté numérique ne se limite pas à protéger nos données : elle est le socle de notre souhait d’autonomie technologique, de notre résilience face aux pressions extérieures et de notre capacité à peser économiquement dans un monde toujours plus interconnecté et dépendant des technologies.
Commission du numérique et de la cybersécurité & commission des affaires géoéconomiques de l’INASP.
L’INASP a pour mission de contribuer au débat public sur les questions stratégiques et politiques. Ses publications reflètent uniquement les opinions de leurs auteurs et ne constituent en aucune manière une position officielle de l’organisme.
Pour aller plus loin :
© 2025 INASP
