En 2026, la quête d’une souveraineté numérique européenne n’est plus un concept lointain ou une simple aspiration politique. Elle s’est immiscée au cœur des stratégies d’achat des entreprises et des administrations, transformant radicalement le paysage du cloud computing. Ce qui était hier une ligne de discours se révèle aujourd’hui une clause contractuelle, une exigence de certification et un critère de décision structurant pour les DSI. L’ombre des géants américains plane toujours, mais le Vieux Continent, avec des initiatives comme Gaia-X, a enfin traduit ses ambitions en dispositifs mesurables, redistribuant les cartes du jeu.
Pourtant, cette transformation ne s’est pas faite sans heurts ni sans clarifications cruciales. La distinction entre un cloud simplement « localisé » et un véritable « cloud souverain » est devenue une ligne rouge infranchissable pour les données les plus sensibles. Le CLOUD Act américain, qui permet l’accès extraterritorial aux données, a mis en lumière la vulnérabilité des infrastructures, même physiquement implantées en Europe. C’est dans ce contexte que les acteurs européens ont dû redoubler d’efforts, non seulement pour bâtir des capacités, mais aussi pour tisser un maillage réglementaire capable de garantir une protection juridique sans faille. L’année 2026 marque ainsi une phase de maturité où l’Europe tente de consolider son autonomie numérique, forte d’un cadre législatif renforcé et d’un écosystème de fournisseurs toujours plus affûté.
La souveraineté numérique européenne face à l’épreuve des faits
Le débat sur la souveraineté numérique, intense depuis des années, a trouvé une résonance particulière en Europe. Pendant longtemps, la simple idée de stocker des données sur des serveurs physiquement situés sur le continent a été perçue comme un rempart suffisant. Or, cette vision s’est heurtée à une réalité juridique complexe : la localisation ne garantit pas la souveraineté. Un datacenter à Francfort ou à Amsterdam, opéré par une filiale européenne d’un groupe américain, reste sous la juridiction de la maison-mère. La distinction fondamentale réside dans le contrôle de l’opérateur et le droit qui lui est applicable. Le CLOUD Act américain, promulgué en 2018, en est l’exemple le plus frappant, autorisant les autorités des États-Unis à exiger l’accès à des données détenues par des entreprises américaines, où qu’elles soient stockées dans le monde. Cette situation a créé un paradoxe pour les entreprises européennes : respecter le CLOUD Act risque de violer le RGPD, qui impose un accord préalable pour tout transfert de données personnelles hors UE.
C’est dans ce climat de tension juridique et de prise de conscience que l’Europe a lancé Gaia-X en 2020. L’ambition, portée par la France et l’Allemagne, était de bâtir un écosystème de données fédéré, interopérable et sécurisé. Cependant, les débuts de l’initiative furent semés d’embûches. La participation d’hyperscalers américains comme membres fondateurs a suscité des critiques, certains y voyant un « cheval de Troie ». Entre 2017 et 2020, la part de marché des fournisseurs européens avait d’ailleurs chuté de 26 % à 10 %. Mais le mouvement s’est structuré. L’adoption du Data Act, applicable en septembre 2025, et de l’AI Act, en vigueur dès août 2024, a ajouté des mécanismes explicites pour bloquer l’accès illégal aux données et imposer la preuve que les données à haut risque n’ont pas quitté les juridictions approuvées. Ce cadre réglementaire, en constante évolution, jette les bases d’une souveraineté non plus seulement géographique, mais juridique et opérationnelle, préparant le terrain pour la phase actuelle où les labels et certifications prennent toute leur importance. Cette affirmation du cloud souverain européen marque une étape clé pour les entreprises et administrations désireuses de sécuriser leurs actifs numériques.
Gaia-X en 2026 : quand les labels deviennent des leviers d’achat
L’année 2026 consacre un tournant majeur pour Gaia-X. Le 17 avril, la Commission européenne a attribué un appel d’offres stratégique pour le cloud souverain, doté de 180 millions d’euros sur six ans. Cette décision n’est pas seulement un acte d’achat ; elle s’accompagne d’un cadre de souveraineté cloud sans précédent, traduisant la souveraineté numérique en huit critères mesurables. Ces exigences couvrent des considérations stratégiques, juridiques, opérationnelles et environnementales, la transparence de la chaîne d’approvisionnement, l’ouverture technologique, la sécurité et la conformité aux lois de l’UE. Ce langage contractuel, enfin à la disposition des DSI, manquait cruellement depuis une décennie.
Au cœur de ce dispositif se trouve le système de labels de Gaia-X, désormais à quatre niveaux :
- Gaia-X Compliant : Compatibilité technique avec les exigences des data spaces Gaia-X.
- Label Level 1 : Conformité de base en matière de protection des données et de sécurité, selon le droit européen.
- Label Level 2 : Conformité renforcée avec des contrôles opérationnels supplémentaires.
- Label Level 3 : Souveraineté pleine, explicitement réservé aux fournisseurs dont le siège est dans l’UE, opérant sous droit européen et à l’abri des prétentions d’accès extraterritorial étrangères.
C’est le niveau 3 qui génère le plus de remous sur le marché. S’il ne concerne que 10 % des charges cloud européennes, ces 10 % représentent les infrastructures critiques, la défense, la santé de référence et les secteurs financiers régulés – là où les enjeux et les pénalités contractuelles sont les plus élevés. Des acteurs comme OVHcloud ou StackIT sont naturellement positionnés sur ce créneau. Le catalogue de services Gaia-X, avec déjà 600 offres de 15 fournisseurs et un objectif de 1 000 d’ici la fin de l’année, offre désormais une vraie lisibilité. L’adoption de ces labels aura cinq conséquences immédiates sur les contrats d’entreprise : le durcissement du langage des appels d’offres publics et privés, la mise à l’épreuve des offres souveraines des hyperscalers américains incapables d’atteindre le niveau 3, l’automatisation de la conformité grâce au cadre Danube, l’achat facilité des data spaces sectoriels, et la cristallisation d’une couche IA souveraine pour les données régulées. Cette généralisation de l’adoption est détaillée sur electronvalley.fr, qui souligne comment cette initiative européenne transforme le marché.
Les acteurs du cloud souverain européen à la loupe
Le marché du cloud souverain européen, bien que dominé par les géants américains à hauteur de 70% en 2022-2025 selon Synergy Research Group, voit émerger des acteurs continentaux qui consolident leurs positions, notamment sur les segments de haute souveraineté et de l’intelligence artificielle. Ces entreprises, souvent pionnières, investissent massivement pour offrir des alternatives crédibles et certifiées.
OVHcloud, fondé par Octave Klaba, reste le plus grand opérateur européen en termes de datacenters. Avec 37 centres dans 15 pays en 2025, il mise sur un pricing GPU compétitif. Ses instances H100 PCIe sont affichées à 2,80 €/h, un tarif quatre fois inférieur à celui d’AWS. La société propose également des services comme AI Endpoints pour l’accès serverless à des modèles open source, et a publié une architecture de référence pour le déploiement de Mistral Large 123B en environnement souverain.
Scaleway, filiale du groupe Iliad de Xavier Niel, s’est imposé comme un spécialiste de l’IA. Son cluster Nabuchodonosor, doté de 1 016 GPU NVIDIA H100, est une infrastructure de pointe. En 2025, Scaleway a remporté en solo le contrat Cloud III DPS de la Commission européenne au niveau SEAL-3, le plus élevé, une confirmation de sa capacité à répondre aux exigences les plus strictes en matière de souveraineté. L’entreprise propose des Generative APIs, offrant un accès serverless à des modèles comme Llama, Mistral ou Qwen, et même des modèles open-weight d’OpenAI depuis août 2025.
Outscale, la branche cloud de Dassault Systèmes, se distingue par son ciblage des secteurs sensibles comme l’industrie, la défense et l’aéronautique. Elle a été le premier opérateur à obtenir la qualification SecNumCloud 3.2 de l’ANSSI en 2024, couvrant l’intégralité de ses services, y compris les GPU IA. Cette certification protège explicitement contre les lois extraterritoriales. En septembre 2025, Outscale a intégré Le Chat de Mistral AI dans son environnement SecNumCloud 3.2, offrant ainsi aux administrations françaises une solution LLM performante en environnement certifié.
En Allemagne, T-Systems / Deutsche Telekom a frappé un grand coup avec l’inauguration le 4 février 2026 de son AI Factory Munich. Un investissement d’un milliard d’euros en partenariat avec NVIDIA, visant jusqu’à 10 000 GPU NVIDIA Blackwell et une puissance de 0,5 ExaFLOPS. Ce projet colossal est conçu pour permettre aux entreprises allemandes d’entraîner des modèles sur leurs données propriétaires sans exposition aux lois étrangères.
Enfin, Orange Business déploie son offre cloud souveraine autour de Cloud Avenue SecNum, également qualifiée SecNumCloud en juillet 2025. L’opérateur s’est associé à la startup française LightOn pour des solutions GenAI. Il est aussi actionnaire de Bleu, une joint-venture avec Capgemini qui opère Microsoft Azure sur infrastructure française. Cette dernière initiative, tout comme S3NS (Thales-Google Cloud), appartient à une catégorie intermédiaire : le « cloud de confiance ». Le débat sur la pleine souveraineté de ces modèles, où le logiciel et le code source restent américains malgré l’opérateur français, n’est pas encore tranché en droit en 2025. Leur inclusion dans le contrat Cloud III de la Commission européenne, notamment Proximus avec S3NS, suggère une compatibilité avec le niveau SEAL-3, bien que les critères exacts restent non publics. Cela illustre la complexité des définitions, où la frontière entre « souverain » et « de confiance » est autant politique que juridique.
Forces et limites d’une ambition continentale
Le cloud souverain européen, en 2026, offre des avantages distincts, mais fait également face à des défis persistants. Ses forces résident d’abord dans une conformité réglementaire native : un opérateur enregistré dans l’UE n’est pas soumis au CLOUD Act. Pour des secteurs ultra-réglementés – santé, défense, administration, finance – cela représente un avantage structurel inatteignable pour les hyperscalers américains. L’accumulation de certifications comme SecNumCloud 3.2, qui s’aligne sur le futur EUCS, crée une barrière de confiance auditable, exigeant des audits sur site et une transparence que les opérateurs US ne peuvent fournir dans le même cadre. Le pricing GPU se révèle également compétitif, comme en témoignent les instances H100 PCIe d’OVHcloud à 2,80 €/h, un tarif quatre fois inférieur à celui d’AWS. Cet écart s’explique par des coûts d’infrastructure moindres et une politique de prix agressive. Enfin, l’écosystème modèle + infrastructure se développe avec des partenariats comme Scaleway × Mistral AI ou Outscale × Mistral, créant des chaînes de valeur européennes complètes. Cela montre une réelle volonté de créer un cloud européen souverain, bien que le chemin reste long.
Malgré ces avancées, le cloud souverain européen est confronté à des limites significatives. Le retard GPU structurel demeure un handicap majeur. La capacité totale des acteurs européens reste sans commune mesure avec celle des hyperscalers américains, qui ont dépensé des dizaines de milliards de dollars en capex IA en 2024. À titre d’exemple, l’AI Factory Munich de T-Systems, bien que massive, représente environ 2 % des investissements annuels d’un seul hyperscaler. De plus, la dépendance hardware à l’égard de NVIDIA est quasi totale pour tous les acteurs européens. Le silicium, qu’il soit américain ou taïwanais, place la souveraineté à un niveau juridique et opérationnel, mais pas encore technologique au niveau du matériel. La fragmentation des offres est un autre point faible ; Gaia-X n’a pas encore abouti à des API interopérables, rendant complexes les migrations entre OVHcloud, Scaleway ou Outscale, ce qui contraste avec la standardisation des hyperscalers. Enfin, la part de marché des fournisseurs européens stagne autour de 15 % du cloud européen, malgré toutes les initiatives réglementaires. Le cloud souverain européen est donc un choix de conformité et de valeurs, offrant une protection juridique réelle et un pricing GPU compétitif, mais ne peut pas encore rivaliser en capacité brute avec les géants mondiaux. Voici une estimation de la capacité GPU déclarée par les acteurs européens en 2026 :
- Scaleway : 1 016 H100 (cluster Nabuchodonosor)
- T-Systems : Objectif 10 000 Blackwell
- OVHcloud : Non publié officiellement
- Outscale : Non publié officiellement
- Orange Business : Non publié officiellement
Naviguer dans l’écosystème : stratégies pour les entreprises
Face à ce paysage en mutation, les entreprises, qu’elles soient européennes ou non, doivent affiner leurs stratégies pour tirer parti du cloud souverain tout en gérant ses complexités. Pour les organisations hors UE qui servent des clients européens, le motif est clair : Gaia-X devient un équivalent cloud de la portée extraterritoriale du RGPD. Cela implique que l’architecture « double pile » devient une norme : les charges de données régulées européennes sont redirigées vers des fournisseurs de niveau 3, même si le reste de l’empreinte mondiale du client utilise des hyperscalers. Les éditeurs SaaS doivent impérativement proposer une option de déploiement souverain alignée Gaia-X s’ils veulent servir les secteurs régulés (banque, santé, secteur public) en Europe. Les simples engagements de résidence des données ne suffisent plus ; le niveau 3 exige un contrôle opérationnel et une juridiction européenne.
L’interopérabilité et la portabilité, imposées comme exigences de label par le cadre Gaia-X, réduisent le verrouillage fournisseur, offrant plus de flexibilité aux entreprises. Par ailleurs, il est probable que le modèle européen – souveraineté mesurable avec des niveaux labellisés – structure les conversations sur le cloud souverain dans d’autres régions du monde, de l’Afrique au Golfe en passant par l’Asie du Sud-Est. Cela suggère une opportunité pour les entreprises de bâtir une architecture de conformité de type Gaia-X qui pourrait être réutilisée sur plusieurs marchés. Pour concrétiser ces choix, quelques règles pratiques s’imposent. Il faut d’abord clarifier les exigences réglementaires : les secteurs non réglementés n’ont pas les mêmes impératifs que la santé ou la défense. L’audit des certifications demandées par les clients est crucial ; un SecNumCloud 3.2 est une condition d’accès à certains marchés publics français, et non une simple option. Enfin, le prix GPU ne doit pas être le seul critère : les services managés, les outils DevOps et les intégrations des hyperscalers peuvent justifier un écart de coût pour des équipes déjà familiarisées. Il est impératif de ne pas confondre « cloud de confiance » et « cloud souverain » ; leur protection juridique n’est pas identique, et le statut de qualification ANSSI doit être vérifié.
En 2026, le cloud souverain européen n’est plus une simple alternative aux hyperscalers américains, mais une réponse structurée à des contraintes spécifiques et de plus en plus cruciales. La validation par la Commission européenne en avril 2026, avec l’attribution de 180 millions d’euros aux opérateurs de l’UE selon les critères SEAL-3, confirme cette orientation. Des acteurs comme Outscale prouvent qu’il est possible de combiner certification gouvernementale et capacités GPU IA en environnement SecNumCloud, tandis que T-Systems et Scaleway démontrent une montée en puissance de l’infrastructure de calcul souveraine. La question pour 2027-2030 n’est plus de savoir si l’Europe peut sortir des griffes des géants américains, mais à quelle vitesse elle pourra tripler ses capacités de datacenters avec l’EU Cloud and AI Development Act et harmoniser ses certifications via l’EUCS. La souveraineté est désormais une réalité juridique et opérationnelle, même si la dépendance technologique vis-à-vis des GPU américains persiste.
