En l’espace de six mois, le cloud souverain est passé de sujet technique à question stratégique de conseil d’administration. Le décret n° 2026-272 du 14 avril 2026 assujettit six nouveaux GIP à l’obligation SecNumCloud. La proposition de loi Latombe, adoptée en commission le 25 février 2026, étend cette obligation aux collectivités de plus de 30 000 habitants. Et le marché européen du cloud souverain atteint désormais 12,4 milliards d’euros, en croissance de 34 % sur un an.
La question concrète pour les décideurs : que choisir réellement, et comment éviter les pièges d’un marché où le mot « souverain » est devenu un argument marketing galvaudé ?
Qu’est-ce qu’un cloud souverain ? La définition qui fait foi
Un cloud souverain n’est pas simplement un datacenter situé en France. La définition retenue par la CNIL est plus exigeante : un service cloud souverain est un service « qui n’expose pas à des risques provenant de législations étrangères ». Cette formulation disqualifie les offres des hyperscalers américains — même hébergées en Europe — tant qu’elles restent soumises au Cloud Act ou à la FISA section 702.

Cloud souverain vs cloud de confiance : la nuance qui change tout
Le cloud de confiance est un label plus large. Il peut s’appliquer à des offres d’acteurs étrangers, à condition qu’elles soient opérées par une entité de droit français. Les offres « S3ns by Thales » (Google Cloud) ou « Bleu » (Microsoft Azure) en sont des exemples : l’opération est française, mais la technologie sous-jacente reste américaine.
Le cloud souverain au sens strict implique que l’ensemble de la chaîne — développement, exploitation, actionnariat — est imperméable à toute injonction étrangère.
— Florent Della Valle, délégué à la protection des données de la CNIL (2026)
Les trois risques qui justifient la souveraineté

L’accès extra-européen aux données
Le Cloud Act autorise les autorités américaines à exiger l’accès aux données stockées par toute entreprise de droit américain, quel que soit le pays d’hébergement. En 2025, le Contrôleur européen de la protection des données a conclu que l’usage de Microsoft 365 par des institutions européennes constituait une violation du RGPD.
Le risque de coupure d’accès
Les tensions géopolitiques ont prouvé qu’une dépendance technologique peut devenir un levier de pression.
La non-conformité réglementaire
RGPD, NIS 2, SecNumCloud, HDS : l’empilement réglementaire rend la souveraineté incontournable pour toute organisation manipulant des données sensibles.
Le cadre réglementaire du cloud souverain en 2026
SecNumCloud 3.2 : le référentiel ANSSI
Le référentiel SecNumCloud est aujourd’hui le standard de qualification des prestataires cloud en France. Il couvre plus de 360 critères : sécurité physique, IAM, chiffrement, traçabilité, réversibilité, continuité d’activité.
Le verrou anti-Cloud Act du référentiel repose sur des seuils de détention du capital : un actionnaire extra-européen ne peut détenir plus de 24 % à lui seul, et l’ensemble des entités hors UE pas plus de 39 % cumulés — sans droit de veto ni contrôle des organes de direction. C’est ce critère qui élimine les filiales européennes des hyperscalers américains. Neuf prestataires détiennent aujourd’hui la qualification, douze candidatures sont en cours.
Capital détenu par un seul actionnaire extra-européen
Capital cumulé pour l’ensemble des entités hors UE
Ce qui change concrètement en 2026
Le décret 2026-272 du 14 avril 2026 assujettit six GIP supplémentaires à l’obligation SecNumCloud, dont l’Agence du numérique en santé. La proposition de loi Latombe étendrait l’obligation aux collectivités de plus de 30 000 habitants, aux SDIS, aux EPCI et aux métropoles, avec un délai de mise en conformité de 18 à 36 mois.
Au niveau européen, la certification EUCS reste en cours de finalisation. Vincent Strubel, directeur général de l’ANSSI, confirmait en mars 2026 que les négociations sur le niveau « High+ » ne sont pas abouties. SecNumCloud reste donc le seul référentiel juridiquement opposable en droit français.
Êtes-vous concerné ?
- Commune de plus de 30 000 habitants → concernée par Latombe.
- Hôpital ou CHU → obligations HDS + doctrine « Cloud au Centre ».
- ETI dans la défense (OIV) → SecNumCloud obligatoire pour les SI sensibles.
- Grande entreprise régulée (banque, assurance, énergie) → NIS 2 s’applique.
- PME hors secteur régulé → pas d’obligation directe, mais bonne pratique recommandée dès que vous traitez des données soumises au RGPD.
Les piliers d’un cloud réellement souverain
« Nos données sont hébergées en France » est l’argument numéro un des commerciaux. C’est une condition nécessaire, mais loin d’être suffisante. Un datacenter français opéré par la filiale d’un groupe américain reste soumis au Cloud Act.
Avant tout engagement, vérifiez quatre piliers :
- Souveraineté juridique et capitalistique. Pas plus de 24 % de capital extra-européen par actionnaire (39 % cumulés), droit français applicable au contrat, absence de clauses de transfert hors UE.
- Chiffrement, IAM et traçabilité. Chiffrement E2EE au repos et en transit, MFA native sur tous les accès, journaux d’audit immuables conservés au minimum 12 mois.
- Tests d’intrusion réguliers par des organismes certifiés PASSI.
- Réversibilité documentée. Restitution des données dans un format standard et exploitable, dans un délai contractuellement défini. Sans cela, vous reproduisez le verrou que vous cherchez à briser.
10 questions à poser à votre prestataire
- Détenez-vous la qualification SecNumCloud ? Pour quel niveau ?
- Quel est votre actionnariat exact ?
- Où sont localisés vos datacenters principaux et de secours ?
- Qui détient les clés de chiffrement, et où sont-elles stockées ?
- Quelle est votre politique de gestion des sous-traitants ?
- Proposez-vous une MFA native pour tous les types d’accès ?
- Durée de conservation et format d’export de vos journaux d’audit ?
- Le contrat inclut-il un plan de réversibilité avec délai garanti ?
- Contient-il une clause de transfert de données hors UE ?
- Quel délai de notification en cas d’incident de sécurité ?
Comment migrer vers le cloud souverain sans casse

Bien orchestrée, une migration vers le cloud souverain devient une opportunité de rationaliser l’architecture SI et de purger la dette technique. Cinq étapes :
- Audit du patrimoine data : quelles données, quelle sensibilité, quels usages.
- Cartographie des risques et obligations : RGPD, NIS 2, HDS, SecNumCloud.
- Sélection du prestataire avec les 10 questions ci-dessus.
- Proof of Concept sur un périmètre restreint avant déploiement.
- Bascule progressive et conduite du changement — la formation utilisateurs est le facteur de réussite numéro un, devant le choix technique lui-même.
Pour une alternative souveraine couvrant la visioconférence, la messagerie et le partage de fichiers, le comparatif Aifel vs Microsoft Teams détaille les différences point par point.
FAQ
Un cloud français est-il automatiquement un cloud souverain ?
Non. Si le prestataire est une filiale d’un groupe américain, ou si des entités extra-européennes dépassent les seuils de détention (24 % pour un actionnaire seul, 39 % cumulés), il reste exposé au Cloud Act. Seule la qualification SecNumCloud garantit aujourd’hui une étanchéité juridique réelle.
Quelle différence entre SecNumCloud et HDS ?
SecNumCloud est un référentiel généraliste de sécurité et souveraineté délivré par l’ANSSI. HDS est une certification sectorielle obligatoire pour héberger des données de santé. Un hôpital doit chercher les deux.
Combien de temps prend une migration ?
Pour une organisation de moins de 500 utilisateurs, comptez 3 à 6 mois. Pour une grande structure publique avec contraintes fortes, 12 à 24 mois sont réalistes.
Peut-on combiner cloud souverain et cloud public américain ?
Oui — c’est l’approche hybride. Données sensibles sur du cloud souverain qualifié, charges non critiques sur du cloud public. Cela capte les bénéfices de la souveraineté là où ils comptent, sans rigidifier l’ensemble du SI.
Aifel : la collaboration souveraine par conception
Aifel est une suite collaborative française — visioconférence, messagerie d’équipe, partage de fichiers, tableaux blancs — conçue dès l’origine pour la souveraineté numérique. Contrairement aux solutions américaines adaptées a posteriori via des filiales européennes, l’architecture d’Aifel repose sur un principe non négociable : aucune donnée ne quitte le territoire français.
Hébergement exclusif en France, chiffrement E2EE natif, actionnariat 100 % français : Aifel répond point par point à la grille présentée ci-dessus, et est aujourd’hui déployée auprès de collectivités, ministères, hôpitaux et grandes entreprises régulées.
Pour évaluer la solution dans vos conditions réelles, Aifel propose un essai gratuit d’un mois sans engagement.
Conclusion
Le cloud souverain n’est plus un sujet réservé aux ministères. En 2026, c’est une question stratégique pour toute organisation manipulant des données sensibles. Les solutions existent, les tarifs sont devenus comparables, les retours d’expérience nombreux. La vraie question est désormais : comment migrer efficacement, sans perdre en productivité ni exploser le budget ?