En 2026, choisir un cloud souverain français ne consiste pas seulement à repérer un drapeau tricolore sur une page commerciale. Une entreprise doit savoir où ses données sont stockées, quelles lois peuvent atteindre le prestataire et qui garde la maîtrise technique du service. Ce choix touche autant la conformité que la continuité d'activité. Il concerne les fichiers partagés, les sauvegardes, les applications métiers et parfois les données de clients. Voici une méthode concrète pour distinguer la résidence des données, la souveraineté réelle et les certifications, puis comparer des offres sans se laisser guider par un slogan.
Qu'est-ce qu'un cloud souverain en entreprise ?
Un cloud est un ensemble de ressources informatiques accessibles à la demande : stockage, serveurs virtuels, bases de données ou logiciels en ligne. Le mot « souverain » ajoute une exigence de contrôle. Pourtant, il n'existe pas une case unique qui rendrait automatiquement une offre souveraine. Il faut examiner plusieurs dimensions complémentaires.
La première est la localisation. Les données principales, leurs copies et les sauvegardes doivent rester dans le territoire annoncé. Un datacenter en France réduit la distance réseau et place l'exploitation physique sous le droit français. Ce point ne suffit cependant pas à lui seul. Une société étrangère peut exploiter des serveurs français tout en restant liée au droit de son pays d'origine.
La deuxième dimension est juridique. Il faut identifier l'entité qui signe le contrat, sa maison mère, ses sous-traitants et les demandes d'accès auxquelles elle pourrait être soumise. Le lieu du serveur et le contrôle de l'entreprise sont donc deux questions différentes. Une analyse sérieuse prend aussi en compte les transferts vers des outils de support, de journalisation ou de facturation.
La troisième dimension est opérationnelle. L'entreprise doit pouvoir administrer ses accès, récupérer ses données dans un format exploitable et continuer son activité si elle change de fournisseur.
| Dimension | Question à poser | Preuve attendue |
|---|---|---|
| Localisation | Où sont les données, répliques et sauvegardes ? | Liste des régions et datacenters |
| Contrôle juridique | Qui possède et exploite le service ? | Organigramme, contrat et sous-traitants |
| Sécurité | Quels contrôles sont audités ? | Qualification ou certification au bon périmètre |
| Réversibilité | Comment récupérer données et configurations ? | Procédure, formats, délais et coûts |
| Exploitation | Qui peut accéder à la plateforme ? | Rôles, journaux et gestion des habilitations |
France ne veut pas toujours dire souverain
Un hébergement en France apporte une résidence locale. Il ne garantit pas, à lui seul, l'absence d'exposition à une législation étrangère ni la capacité de changer facilement de prestataire.
Pourquoi la souveraineté des données devient-elle un sujet de direction ?
Le cloud souverain n'est plus réservé aux administrations. Une PME y trouve trois intérêts directs. Le premier est la maîtrise du risque juridique. Le Règlement général sur la protection des données, ou RGPD, impose au responsable de traitement de choisir des sous-traitants offrant des garanties adaptées. Il faut aussi encadrer les transferts de données hors de l'Espace économique européen lorsqu'ils existent.
Le deuxième intérêt est la continuité d'activité. Un service central peut devenir indisponible à cause d'une panne, d'un incident de sécurité, d'une rupture contractuelle ou d'une erreur de configuration. La souveraineté utile se mesure alors à la capacité de restaurer les données ailleurs. Les sauvegardes indépendantes, les formats ouverts et la documentation de reprise comptent davantage qu'une promesse générale.
Le cadre européen renforce cette attention. La directive NIS2 organise des obligations de cybersécurité pour de nombreux secteurs et entités entrant dans son champ. Le règlement DORA s'applique au secteur financier depuis le 17 janvier 2025 et encadre notamment le risque lié aux prestataires informatiques. Toutes les PME ne sont pas concernées de la même façon, mais leurs donneurs d'ordre peuvent répercuter des exigences dans les contrats.
Enfin, le règlement européen sur les données, appelé Data Act, est applicable pour l'essentiel depuis le 12 septembre 2025. Il prévoit des mesures destinées à faciliter le changement de service de traitement de données. Cela ne remplace pas un plan de migration, mais confirme que la réversibilité est un critère de choix à traiter avant la signature.
SecNumCloud, ISO 27001 et HDS : quelles différences ?
SecNumCloud est une qualification délivrée par l'Agence nationale de la sécurité des systèmes d'information, l'ANSSI. Son référentiel porte sur des exigences techniques, organisationnelles, contractuelles et juridiques propres aux services cloud. Il vise un niveau de confiance élevé pour les usages sensibles. La liste officielle permet de vérifier les services qualifiés ou en cours de qualification.
Il faut lire le périmètre avec attention. La qualification concerne un service défini, dans une version et une infrastructure données. Elle ne couvre pas automatiquement toutes les offres du fournisseur. La mention « en cours de qualification » ne vaut pas qualification obtenue. Demandez le nom exact du service, la décision publiée et les éventuelles restrictions de périmètre.
ISO/IEC 27001 atteste qu'une organisation exploite un système de management de la sécurité de l'information audité. C'est un indicateur utile sur les processus, l'amélioration continue et le traitement des risques. Cette certification ne prouve toutefois ni une localisation française, ni une immunité face aux lois étrangères. Là encore, son certificat doit couvrir les activités et sites concernés.
HDS, pour hébergeur de données de santé, répond à un besoin sectoriel. En France, l'hébergement numérique de données de santé pour le compte de tiers peut imposer le recours à un prestataire certifié HDS selon le contexte. HDS n'est pas un label général de souveraineté. Une entreprise sans données de santé n'a donc pas intérêt à en faire son seul critère.
| Référence | Objet principal | Ce qu'elle ne prouve pas seule |
|---|---|---|
| SecNumCloud | Confiance pour un service cloud qualifié | Que toutes les offres du fournisseur sont couvertes |
| ISO/IEC 27001 | Management de la sécurité de l'information | La souveraineté juridique et la résidence en France |
| HDS | Hébergement de données de santé | L'adéquation à tous les autres usages métiers |
| RGPD | Protection des données personnelles | Un niveau de disponibilité ou de performance |
Vérifiez le service, pas seulement le fournisseur
Un logo de certification sur la page d'accueil ne suffit pas. Contrôlez le certificat, sa date, son périmètre et le nom précis de l'offre que vous achetez.
Comment évaluer un fournisseur de cloud souverain français ?
Commencez par cartographier vos données. Classez-les selon leur sensibilité, leur volume, leur durée de conservation et leur importance pour l'activité. Un site vitrine public, une sauvegarde comptable et un dossier médical n'appellent pas les mêmes garanties. Cette étape évite d'imposer le niveau le plus élevé à tout le système, avec des coûts et contraintes inutiles.
Envoyez ensuite le même questionnaire à chaque fournisseur. Demandez les lieux de stockage primaire et secondaire, l'identité des sous-traitants, les conditions d'accès du support et la politique de suppression. Vérifiez si les sauvegardes sont incluses, chiffrées et isolées du compte principal. Un ransomware qui peut effacer la production et ses sauvegardes annule l'intérêt de ces dernières.
Examinez l'identité et les accès. L'authentification multifacteur doit être disponible pour les comptes administrateurs. Le service doit permettre des rôles séparés, la révocation rapide d'un utilisateur et l'export des journaux. Demandez qui détient les clés de chiffrement. Une clé gérée par le fournisseur simplifie l'exploitation, tandis qu'une clé contrôlée par le client augmente la maîtrise mais demande une procédure de sauvegarde stricte.
Évaluez aussi la disponibilité avec des éléments mesurables. Le contrat doit préciser l'engagement de service, les exclusions, la méthode de calcul et les compensations. Demandez l'architecture de redondance plutôt que de vous contenter d'un pourcentage. Deux copies dans la même salle ne protègent pas contre tous les sinistres.
Enfin, testez la sortie. Faites exporter un échantillon de données, restaurez-le dans un environnement distinct et mesurez le temps nécessaire. Pour une plateforme de fichiers, vérifiez les formats, les métadonnées, les droits et les versions. Pour un serveur virtuel, documentez les images disque, variables, secrets, règles réseau et dépendances. Ce test donne une valeur concrète à la promesse de réversibilité.
Cloud public, privé ou hybride : quel modèle choisir ?
Le cloud public mutualise une infrastructure entre plusieurs clients tout en isolant leurs environnements. Il offre une mise en service rapide et des ressources ajustables. Un cloud public peut être souverain si son exploitation, son cadre juridique, ses implantations et ses garanties répondent au besoin. « Public » ne signifie donc pas automatiquement « étranger » ou « peu sûr ».
Le cloud privé réserve une plateforme à une organisation, sur son site ou chez un hébergeur. Il apporte davantage de contrôle sur l'architecture. En contrepartie, il faut financer l'exploitation, les mises à jour, la surveillance et la capacité de secours.
Le cloud hybride combine plusieurs environnements. Une entreprise peut garder sa base clients et ses sauvegardes chez un acteur français, tout en utilisant un service public pour des contenus non sensibles. Ce modèle fonctionne à condition de définir les flux. Sans cartographie, les outils d'analyse, de support ou de messagerie peuvent déplacer des données sans que l'équipe en ait conscience.
| Modèle | Atout | Point de vigilance | Usage courant |
|---|---|---|---|
| Public souverain | Souplesse et mise en service rapide | Périmètre contractuel du service | Sites, applications et sauvegardes |
| Privé hébergé | Contrôle de l'architecture | Compétences et coût d'exploitation | Données sensibles, applications stables |
| Hybride | Placement selon le niveau de risque | Maîtrise des flux entre clouds | Systèmes métiers hétérogènes |
Pour le partage documentaire, une solution libre peut aussi réduire la dépendance au format d'un éditeur. Notre guide de l'hébergement Nextcloud en France détaille les options techniques. Pour une application à administrer soi-même, comparez également le VPS et l'hébergement mutualisé. Le bon modèle reste celui que votre équipe sait exploiter et restaurer.
Quel plan d'action suivre avant de migrer ?
Une migration souveraine réussie commence par un périmètre limité. Sélectionnez une application non critique, un groupe d'utilisateurs et un volume de données représentatif. Mesurez le délai de restauration, le temps de réponse, la gestion des droits et la durée d'export.
Préparez ensuite le contrat et la technique en parallèle. Le contrat doit couvrir les lieux de traitement, les sous-traitants, la notification des incidents, l'assistance à la sortie et la suppression finale. La documentation technique doit décrire les comptes, le chiffrement, les sauvegardes, la supervision et le plan de reprise. Attribuez un responsable à chaque contrôle.
Voici une checklist utilisable avant décision :
- inventorier les données et leurs contraintes réglementaires ;
- vérifier l'entité contractante et sa chaîne de sous-traitance ;
- contrôler la localisation de la production, des sauvegardes et du support ;
- valider le périmètre exact des qualifications et certifications ;
- activer l'authentification multifacteur et séparer les rôles ;
- tester une restauration sur un environnement indépendant ;
- réaliser un export complet avec métadonnées et configurations ;
- chiffrer le coût de sortie, y compris le transfert réseau et l'accompagnement ;
- documenter une solution de repli et la tester régulièrement.
Commencez par le test de sortie
Avant de charger toutes vos données, exportez puis restaurez un petit jeu d'essai. Vous découvrirez immédiatement les formats manquants, les coûts cachés et les étapes qui dépendent du fournisseur.
Sources officielles
- ANSSI, services et prestataires SecNumCloud
- CNIL, conseils aux entreprises qui utilisent le cloud computing
- Commission européenne, cadre européen de protection des données
- Commission européenne, règlement européen sur les données
- EUR-Lex, directive NIS2
- EUR-Lex, règlement DORA
Conclusion
Un cloud souverain en entreprise se choisit avec des preuves : localisation complète, contrôle juridique compris, sécurité auditée et sortie testée. SecNumCloud constitue une référence forte pour les besoins sensibles, mais chaque organisation doit adapter ses exigences à ses données. Commencez par cartographier les traitements, vérifiez le périmètre des attestations, puis réalisez un test de restauration et d'export. Cette démarche réduit à la fois le risque réglementaire, la dépendance technique et le temps perdu lors d'un incident ou d'une future migration.
Découvrir les VPS GaprodInfrastructure administrable hébergée en France