Pour beaucoup, le « cloud souverain » était le buzzword IT en 2025. L’année 2026 sera-t-elle celle où le cloud souverain passera du simple sujet de discussion à une adoption généralisée ? Je formule ci-après trois prédictions sur l’évolution du marché européen des services de cloud souverain au cours de l’année à venir.
- Malgré tout cet engouement, les hyperscalers américains domineront le marché européen des services d’infrastructure cloud en 2026.
Les Européens ont adopté les services de cloud public américains depuis qu'AWS a lancé sa solution S3 en Europe en 2007. En 2025, trois fournisseurs de cloud américains détenaient 70% du marché européen des services d’infrastructure cloud ; les fournisseurs européens n’en détenaient que 15%.
Cela dit, la demande en matière de clouds souverains européens est forte. Une récente enquête menée auprès de DSI et de responsables informatiques en Europe occidentale a révélé que 60% d’entre eux souhaitent recourir davantage aux fournisseurs de cloud locaux. En 2031, le marché européen global des services cloud souverains devrait passer à un chiffre d'affaires annuel de plus de 100 milliards d'euros, contre un peu plus de 20 milliards d'euros aujourd'hui.
Pourtant, malgré la demande croissante en clouds souverains européens, la part de marché des hyperscalers américains ne devrait pas diminuer considérablement à court terme. Cela s’explique en partie par le coût et la complexité d’un changement de fournisseur. Le transfert de données d’un service cloud à un autre est souvent complexe sur le plan technique, en raison des volumes importants de données et des formats de données propriétaires. Depuis septembre 2025, le EU Data Act impose aux fournisseurs de services cloud de faciliter le changement de fournisseur, notamment en réduisant les obstacles techniques. Il sera intéressant de voir si ces nouvelles obligations faciliteront le changement de fournisseur de cloud pour les clients en 2026.
Ces derniers peuvent également se heurter à des obstacles organisationnels lors d’une migration, car leurs processus commerciaux reposent sur des applications logicielles qui leur sont familières et qui sont conformes aux normes du secteur. De nombreux Européens seraient probablement ravis d’utiliser un cloud européen, à condition de pouvoir continuer à travailler avec Microsoft Word, PowerPoint et Excel. À l’inverse, le passage à une architecture Euro-Stack complète, composée uniquement de logiciels européens ou open source, pourrait perturber les opérations de l’entreprise. De plus, les Européens voudront avoir accès aux services d’IA les plus récents, qui, pour la plupart, sont fournis par des entreprises américaines.
Il peut être utile de mettre en place des partenariats entre fournisseurs américains et européens. En effet, ils offrent un accès à des logiciels américains hébergés sur des serveurs gérés en Europe, par exemple S3NS et Bleu en France ou encore Delos et Sovereign OpenAI en Allemagne. Malgré les investissements des fournisseurs européens dans l'infrastructure d'IA en 2026, les hyperscalers américains restent bien placés pour fournir l'infrastructure cloud nécessaire à la formation et à l'inférence des modèles d'IA. Bien que la société française Mistral investisse dans sa propre infrastructure, un partenariat avec Microsoft lui permet également d'utiliser les GPU de ce dernier.
Enfin, les organisations européennes ne souhaitent pas toutes utiliser des clouds européens. Beaucoup pensent peut-être que les agences de renseignement américaines ne s'intéressent tout simplement pas aux types de données qu'elles traitent. De même, elles peuvent juger peu probable que les États-Unis leur imposent réellement des sanctions qui entraveraient leur accès au cloud. Par conséquent, elles estiment que le risque encouru par l'utilisation de fournisseurs de cloud américains est acceptable, surtout comparé aux coûts de migration et aux avantages liés à l'accès aux logiciels et serveurs cloud américains. Pour toutes ces raisons, la part de marché des hyperscalers américains dans le secteur des services cloud européens devrait rester stable en 2026. Une éventuelle transition vers des alternatives européennes prendra du temps.
2. Face à la montée des tensions géopolitiques, les Européens continueront de débattre de la signification du « cloud souverain » en 2026.
Le terme « cloud souverain » ne fait pas l’objet d’une définition officielle. En octobre 2025, la direction générale des services numériques (DIGIT) de la Commission européenne a proposé un cadre pour identifier les clouds souverains. Celui-ci comprend une définition en huit points et une formule à caractère scientifique permettant d’attribuer à chaque service un score de souveraineté précis. Toutefois, on ne sait pas encore comment ces critères s’appliqueront aux différents modèles de cloud, tels que les partenariats UE-États-Unis évoqués ci-dessus ou les offres souveraines proposées par les hyperscalers. Quoi qu’il en soit, le cadre mis en place par la Commission est destiné aux marchés publics passés par les institutions de l’UE, et non au secteur privé en général.
En 2020, l’agence de l’Union européenne pour la cybersécurité, ENISA a préparé un projet de système de certification du cloud (« EUCS ») dans le cadre de la loi sur la cybersécurité, qui pourrait être utilisé dans un contexte plus large. En 2024, une version divulguée suggérait que le niveau d’assurance le plus élevé du programme fournirait des critères permettant de définir un « cloud souverain ». Pourtant, fin 2025, le développement de ce projet restait en proie à l'incertitude et à des discussions interminables. Par ailleurs, en juin 2025, le Parlement européen a appelé la Commission à définir le cloud souverain dans sa prochaine proposition de loi sur le développement du cloud et de l'IA (« CADA »), que la Commission devrait publier au cours du premier semestre 2026. Cela devrait vraisemblablement donner lieu à de nouveaux débats, notamment lors des négociations entre le Parlement européen et le Conseil.
En réalité, cette impasse reflète un désaccord plus profond sur les objectifs que devrait poursuivre un cloud souverain européen. D'une part, certains privilégient une approche fondée sur les risques. L’objectif est de réduire le risque d’accès ou d’ingérence de gouvernements étrangers au moyen de mesures techniques et organisationnelles efficaces, comme le chiffrement ou les sauvegardes locales. De telles mesures peuvent être mises en œuvre quel que soit le pays d’origine du fournisseur de services cloud. À l’inverse, d’autres préconisent une approche stricte qui consiste à n'utiliser que des fournisseurs de cloud européens, dans le cadre d’une « EuroStack ». Cela correspond à l’objectif de la politique industrielle de l’UE visant à renforcer le secteur du cloud en Europe et à soutenir une base industrielle locale, ce qui pourrait avoir des retombées économiques plus larges. Un secteur européen du cloud plus robuste pourrait, à son tour, renforcer l’autonomie stratégique de l’Europe en réduisant sa dépendance vis-à-vis des États-Unis et en renforçant sa capacité à agir indépendamment sur la scène mondiale.
Les États membres sont partagés entre ces approches : les pays nordiques, les pays baltes et les Pays-Bas semblent privilégier les stratégies d’atténuation des risques, tandis que la France soutient fermement l’option européenne stricte. Il est peu probable que ces profondes divergences politiques soient résolues en 2026. Les institutions de l'UE se contenteront plutôt de masquer les problèmes par des solutions de compromis. Dans ce contexte, les États membres pourront poursuivre leurs propres politiques nationales, notamment pour les secteurs riches en données et hautement réglementés, tels que les services financiers, la santé ou d’autres infrastructures nationales critiques.
3. Pendant que les décideurs politiques tergiversent, les organisations européennes expérimenteront différentes solutions de cloud souverain en 2026.
Les organisations du secteur public montreront l'exemple en adoptant des alternatives aux hyperscalers américains. La Cour pénale internationale (« CPI ») de La Haye en est un exemple clair. En 2025, le gouvernement américain a imposé des sanctions aux procureurs et juges de la CPI, empêchant ainsi les personnes visées d'utiliser les services cloud de Microsoft. Face à cette situation, la CPI prévoit d’abandonner Microsoft au profit d’OpenDesk, une suite d’applications bureautiques open source développée grâce à un financement du gouvernement allemand. Il semblerait aussi que le ministère danois de la Numérisation expérimente des alternatives open source. Cela se comprend aisément, car les organismes du secteur public doivent préserver leur indépendance vis-à-vis des gouvernements étrangers. Par exemple, compte tenu des tensions géopolitiques actuelles concernant le Groenland, le gouvernement danois souhaitera gérer les risques liés à sa dépendance technologique vis-à-vis de fournisseurs de services américains.
De telles initiatives sont également en cours dans l’État fédéré allemand de Schleswig-Holstein, dans la ville française de Lyon, ainsi qu’au sein de l'armée et du ministère autrichiens de l'Économie. Plus les turbulences géopolitiques s'intensifient, plus les organismes du secteur public européen chercheront à préserver leur indépendance. Il en va de même pour les fournisseurs européens d'infrastructures nationales essentielles, ainsi que pour les organisations qui mènent des recherches de pointe dans des domaines sensibles susceptibles d'intéresser les gouvernements étrangers. Plusieurs universités néerlandaises expérimentent également des solutions européennes alternatives afin de protéger leurs données contre l’accès de gouvernements étrangers.
Cependant, certains craignent qu'il n'existe pas d'alternatives européennes réalistes aux hyperscalers américains. Miguel De Bruycker, directeur du Centre pour la cybersécurité en Belgique, a récemment déploré qu’il soit « impossible » de stocker intégralement les données en Europe, les entreprises américaines dominant l’infrastructure numérique. Une partie du défi réside dans le fait que les hyperscalers américains proposent des suites de services gérés pratiques qui couvrent tout, des systèmes d’accès et d’identité en passant par les mesures de sécurité telles que la journalisation et la surveillance, jusqu’aux bases de données relationnelles. À l'inverse, de nombreux fournisseurs européens se concentraient traditionnellement sur l'offre d'infrastructures cloud pour le stockage et le calcul, sans proposer de services gérés supplémentaires. Comme l’a expliqué Bert Hubert, la différence revient à proposer aux clients soit du bois, soit des meubles prêts à l’emploi. Si le bois permet aux clients de mieux contrôler leur projet, les meubles sont bien plus pratiques. Et un client habitué au confort des meubles prêts à l’emploi sera peu enclin à se mettre au travail du bois.
Cependant, ce défi offre également des opportunités en 2026. Des fournisseurs de services cloud européens, tels que T-Systems et OVHcloud, se sont associés à Broadcom pour proposer sa suite logicielle VMware de services cloud modernes, hébergée sur une infrastructure détenue par des acteurs européens. Par ailleurs, des entreprises européennes comme Sopra Steria et Schwarz Digits peuvent agir en tant qu’intégrateurs de systèmes souverains, en aidant les organisations européennes à transformer l’infrastructure cloud européenne en systèmes informatiques parfaitement fonctionnels. Par ailleurs, les clients européens qui utilisent déjà des clouds américains peuvent se tourner vers des fournisseurs européens de middleware souverain, tels qu’Arqit ou eXate, qui contribuent à protéger les données en cours d’utilisation contre l’accès des fournisseurs de cloud américains en combinant des techniques de chiffrement avancé, de calcul confidentiel et de pseudonymisation.
Enfin, l'OTAN offre une alternative intéressante. Les 32 membres de l’Alliance ont besoin d’une infrastructure moderne basée sur le cloud pour partager des informations et conserver un avantage tactique sur leurs adversaires. Cependant, compte tenu du risque d'accès ou d'ingérence du gouvernement américain, les armées européennes ne peuvent pas se contenter de traiter des informations classifiées dans un cloud américain. En novembre 2025, l’OTAN a opté pour l’utilisation de Google Distributed Cloud en mode « air-gapped ». Ce service offre un environnement logiciel cloud Google hébergé sur l'infrastructure isolée de l'OTAN et déconnecté de Google. En termes simples : Google fournit le logiciel et l’OTAN exploite le matériel. Broadcom propose également «VMware Private AI»: une stack logicielle qu’une organisation européenne peut héberger sur sa propre infrastructure et utiliser pour l’inférence d’IA avec le modèle de son choix. IBM a récemment annoncé son produit « Sovereign Core », qui propose une solution similaire basée sur l'infrastructure du client.
Ce type de solutions « internes » ne conviendra pas à toutes les organisations européennes, car le client se doit de gérer lui-même son matériel informatique en toute sécurité, ce qui nécessite des compétences techniques et des investissements. En effet, un puriste pourrait se demander s'il s'agit réellement d'un service « cloud ». En résumé, de telles solutions pourraient convenir à des organisations sophistiquées et disposant de ressources importantes, notamment les grandes entreprises et les institutions du secteur public. En revanche, elles se prêtent moins bien aux petites organisations, qui pourraient avoir besoin d'avoir recours à des fournisseurs locaux de cloud souverain. Mais cela illustre la manière dont différents modèles de cloud émergent pour répondre à la demande européenne en matière de clouds souverains.
En 2026, ces expériences menées avec des solutions de cloud souverain européennes seront suivies de près. Dans l'idéal, un écosystème cloud plus diversifié verra le jour, à mesure que différentes organisations adoptent différents modèles, comme illustré dans la figure 2 ci-dessous. Cela pourrait améliorer la résilience globale, car l'Europe ne mettrait plus tous ses œufs dans trois paniers d'hyperscalers. Les organisations européennes disposeraient aussi de plus de choix pour déployer des technologies cloud, tout en limitant la capacité de gouvernements étrangers à surveiller les citoyens européens ou à menacer les institutions européennes d’un « kill switch » qui couperait l’accès au cloud. Et ce serait un dénouement prometteur pour 2027 et au-delà.
Johan David Michels mène des recherches sur le droit applicable au cloud computing dans le cadre du Cloud Legal Project du Centre d’études de droit commercial de l’université Queen Mary de Londres. Il a récemment corédigé un article sur la politique de cloud souverain pour la Virginia Journal of Law and Technology et a publié de nombreux articles sur les questions connexes de conformité au RGPD. Le Cloud Legal Project est rendu possible grâce au généreux soutien financier de Microsoft. L’auteur remercie également Broadcom pour le financement de ses recherches, notamment pour la réalisation d’une série d’entretiens avec des experts et la préparation d’un rapport indépendant sur le cloud souverain. L’auteur assume l’entière responsabilité des opinions exprimées, qui ne reflètent pas nécessairement celles de Broadcom.