Cloud souverain : guide complet pour les décideurs en 2026

cloud souverain Aifel : data center français sécurisé, conforme RGPD et certifié SecNumCloud

En l’espace de six mois, le cloud souverain est passé de sujet technique à question stratégique de conseil d’administration. Le décret n° 2026-272 du 14 avril 2026 assujettit six nouveaux GIP à l’obligation SecNumCloud. La proposition de loi Latombe, adoptée en commission le 25 février 2026, étend cette obligation aux collectivités de plus de 30 000 habitants. Et le marché européen du cloud souverain atteint désormais 12,4 milliards d’euros, en croissance de 34 % sur un an.

La question concrète pour les décideurs : que choisir réellement, et comment éviter les pièges d’un marché où le mot « souverain » est devenu un argument marketing galvaudé ?

12,4 Md€Marché européen du cloud souverain
+34 %Croissance sur un an
30 000Seuil d’habitants visé par la loi Latombe
360+Critères du référentiel SecNumCloud

Qu’est-ce qu’un cloud souverain ? La définition qui fait foi

Un cloud souverain n’est pas simplement un datacenter situé en France. La définition retenue par la CNIL est plus exigeante : un service cloud souverain est un service « qui n’expose pas à des risques provenant de législations étrangères ». Cette formulation disqualifie les offres des hyperscalers américains — même hébergées en Europe — tant qu’elles restent soumises au Cloud Act ou à la FISA section 702.

Cloud souverain hébergé en France, protégé sous un dôme, à l'abri des législations étrangères
Un cloud souverain conserve les données sur le territoire français, hors de portée des législations étrangères.

Cloud souverain vs cloud de confiance : la nuance qui change tout

Le cloud de confiance est un label plus large. Il peut s’appliquer à des offres d’acteurs étrangers, à condition qu’elles soient opérées par une entité de droit français. Les offres « S3ns by Thales » (Google Cloud) ou « Bleu » (Microsoft Azure) en sont des exemples : l’opération est française, mais la technologie sous-jacente reste américaine.

Le cloud souverain au sens strict implique que l’ensemble de la chaîne — développement, exploitation, actionnariat — est imperméable à toute injonction étrangère.

« Le seul marqueur reconnu par la CNIL pour matérialiser un cloud souverain, c’est la qualification SecNumCloud. »
— Florent Della Valle, délégué à la protection des données de la CNIL (2026)

Les trois risques qui justifient la souveraineté

Risque Cloud Act : une main étrangère tente d'accéder aux données hébergées en Europe
Le Cloud Act autorise une autorité étrangère à réclamer l’accès aux données, même hébergées en Europe.

L’accès extra-européen aux données

Le Cloud Act autorise les autorités américaines à exiger l’accès aux données stockées par toute entreprise de droit américain, quel que soit le pays d’hébergement. En 2025, le Contrôleur européen de la protection des données a conclu que l’usage de Microsoft 365 par des institutions européennes constituait une violation du RGPD.

Le risque de coupure d’accès

Les tensions géopolitiques ont prouvé qu’une dépendance technologique peut devenir un levier de pression.

La non-conformité réglementaire

RGPD, NIS 2, SecNumCloud, HDS : l’empilement réglementaire rend la souveraineté incontournable pour toute organisation manipulant des données sensibles.

Le cadre réglementaire du cloud souverain en 2026

SecNumCloud 3.2 : le référentiel ANSSI

Le référentiel SecNumCloud est aujourd’hui le standard de qualification des prestataires cloud en France. Il couvre plus de 360 critères : sécurité physique, IAM, chiffrement, traçabilité, réversibilité, continuité d’activité.

Le verrou anti-Cloud Act du référentiel repose sur des seuils de détention du capital : un actionnaire extra-européen ne peut détenir plus de 24 % à lui seul, et l’ensemble des entités hors UE pas plus de 39 % cumulés — sans droit de veto ni contrôle des organes de direction. C’est ce critère qui élimine les filiales européennes des hyperscalers américains. Neuf prestataires détiennent aujourd’hui la qualification, douze candidatures sont en cours.

≤ 24 %

Capital détenu par un seul actionnaire extra-européen

≤ 39 %

Capital cumulé pour l’ensemble des entités hors UE

Ce qui change concrètement en 2026

Le décret 2026-272 du 14 avril 2026 assujettit six GIP supplémentaires à l’obligation SecNumCloud, dont l’Agence du numérique en santé. La proposition de loi Latombe étendrait l’obligation aux collectivités de plus de 30 000 habitants, aux SDIS, aux EPCI et aux métropoles, avec un délai de mise en conformité de 18 à 36 mois.

Au niveau européen, la certification EUCS reste en cours de finalisation. Vincent Strubel, directeur général de l’ANSSI, confirmait en mars 2026 que les négociations sur le niveau « High+ » ne sont pas abouties. SecNumCloud reste donc le seul référentiel juridiquement opposable en droit français.

Êtes-vous concerné ?

  • Commune de plus de 30 000 habitants → concernée par Latombe.
  • Hôpital ou CHU → obligations HDS + doctrine « Cloud au Centre ».
  • ETI dans la défense (OIV) → SecNumCloud obligatoire pour les SI sensibles.
  • Grande entreprise régulée (banque, assurance, énergie) → NIS 2 s’applique.
  • PME hors secteur régulé → pas d’obligation directe, mais bonne pratique recommandée dès que vous traitez des données soumises au RGPD.

Les piliers d’un cloud réellement souverain

« Nos données sont hébergées en France » est l’argument numéro un des commerciaux. C’est une condition nécessaire, mais loin d’être suffisante. Un datacenter français opéré par la filiale d’un groupe américain reste soumis au Cloud Act.

Avant tout engagement, vérifiez quatre piliers :

  1. Souveraineté juridique et capitalistique. Pas plus de 24 % de capital extra-européen par actionnaire (39 % cumulés), droit français applicable au contrat, absence de clauses de transfert hors UE.
  2. Chiffrement, IAM et traçabilité. Chiffrement E2EE au repos et en transit, MFA native sur tous les accès, journaux d’audit immuables conservés au minimum 12 mois.
  3. Tests d’intrusion réguliers par des organismes certifiés PASSI.
  4. Réversibilité documentée. Restitution des données dans un format standard et exploitable, dans un délai contractuellement défini. Sans cela, vous reproduisez le verrou que vous cherchez à briser.

10 questions à poser à votre prestataire

  1. Détenez-vous la qualification SecNumCloud ? Pour quel niveau ?
  2. Quel est votre actionnariat exact ?
  3. Où sont localisés vos datacenters principaux et de secours ?
  4. Qui détient les clés de chiffrement, et où sont-elles stockées ?
  5. Quelle est votre politique de gestion des sous-traitants ?
  6. Proposez-vous une MFA native pour tous les types d’accès ?
  7. Durée de conservation et format d’export de vos journaux d’audit ?
  8. Le contrat inclut-il un plan de réversibilité avec délai garanti ?
  9. Contient-il une clause de transfert de données hors UE ?
  10. Quel délai de notification en cas d’incident de sécurité ?
Si votre interlocuteur hésite sur deux questions ou plus, considérez le drapeau rouge levé.

Comment migrer vers le cloud souverain sans casse

Migration vers le cloud souverain : parcours par étapes d'un cloud étranger vers une solution française sécurisée
Une migration maîtrisée procède par étapes, d’un cloud étranger vers une solution française qualifiée.

Bien orchestrée, une migration vers le cloud souverain devient une opportunité de rationaliser l’architecture SI et de purger la dette technique. Cinq étapes :

  1. Audit du patrimoine data : quelles données, quelle sensibilité, quels usages.
  2. Cartographie des risques et obligations : RGPD, NIS 2, HDS, SecNumCloud.
  3. Sélection du prestataire avec les 10 questions ci-dessus.
  4. Proof of Concept sur un périmètre restreint avant déploiement.
  5. Bascule progressive et conduite du changement — la formation utilisateurs est le facteur de réussite numéro un, devant le choix technique lui-même.
Sur le coût : le surcoût d’une solution souveraine par rapport aux GAFAM est réel à court terme, mais devient marginal — voire négatif — sur 3 ans dès qu’on intègre le risque d’amende RGPD (jusqu’à 4 % du CA mondial), les coûts de mise en conformité a posteriori et le risque de lock-in. Les hyperscalers américains ont relevé leurs prix de 9 à 20 % en 2024. Sur trois ans, la souveraineté n’est plus une dépense défensive — c’est un investissement de continuité.

Pour une alternative souveraine couvrant la visioconférence, la messagerie et le partage de fichiers, le comparatif Aifel vs Microsoft Teams détaille les différences point par point.

FAQ

Un cloud français est-il automatiquement un cloud souverain ?

Non. Si le prestataire est une filiale d’un groupe américain, ou si des entités extra-européennes dépassent les seuils de détention (24 % pour un actionnaire seul, 39 % cumulés), il reste exposé au Cloud Act. Seule la qualification SecNumCloud garantit aujourd’hui une étanchéité juridique réelle.

Quelle différence entre SecNumCloud et HDS ?

SecNumCloud est un référentiel généraliste de sécurité et souveraineté délivré par l’ANSSI. HDS est une certification sectorielle obligatoire pour héberger des données de santé. Un hôpital doit chercher les deux.

Combien de temps prend une migration ?

Pour une organisation de moins de 500 utilisateurs, comptez 3 à 6 mois. Pour une grande structure publique avec contraintes fortes, 12 à 24 mois sont réalistes.

Peut-on combiner cloud souverain et cloud public américain ?

Oui — c’est l’approche hybride. Données sensibles sur du cloud souverain qualifié, charges non critiques sur du cloud public. Cela capte les bénéfices de la souveraineté là où ils comptent, sans rigidifier l’ensemble du SI.

Aifel : la collaboration souveraine par conception

Aifel est une suite collaborative française — visioconférence, messagerie d’équipe, partage de fichiers, tableaux blancs — conçue dès l’origine pour la souveraineté numérique. Contrairement aux solutions américaines adaptées a posteriori via des filiales européennes, l’architecture d’Aifel repose sur un principe non négociable : aucune donnée ne quitte le territoire français.

Hébergement exclusif en France, chiffrement E2EE natif, actionnariat 100 % français : Aifel répond point par point à la grille présentée ci-dessus, et est aujourd’hui déployée auprès de collectivités, ministères, hôpitaux et grandes entreprises régulées.

Pour évaluer la solution dans vos conditions réelles, Aifel propose un essai gratuit d’un mois sans engagement.

Conclusion

Le cloud souverain n’est plus un sujet réservé aux ministères. En 2026, c’est une question stratégique pour toute organisation manipulant des données sensibles. Les solutions existent, les tarifs sont devenus comparables, les retours d’expérience nombreux. La vraie question est désormais : comment migrer efficacement, sans perdre en productivité ni exploser le budget ?