Calipia : le blog

La première Forrester Wave dédiée aux « Sovereign Cloud Platforms » vient de tomber, et elle a fait l’effet d’une douche froide dans les cercles de la souveraineté numérique européenne. Microsoft y décroche la première place des Leaders, Google Cloud suit dans le même quadrant, AWS et d’autres hyperscaleurs américains figurent parmi les Strong Performers. Les acteurs européens purs : OVHcloud, Deutsche Telekom, Scaleway, sont évalués, mais cantonnés à des positions bien moins flatteuses. Sur les réseaux professionnels, la réaction ne s’est pas fait attendre : le Cloud Souverain européen serait mort, enterré par un cabinet d’analystes qui aurait offert aux hyperscaleurs américains un brevet de vertu souverainiste.

La réalité est à la fois plus nuancée et plus préoccupante que ce résumé binaire.

Une première édition, et déjà un symbole

Il faut d’abord noter que cette Forrester Wave est inaugurale dans cette catégorie. Jusqu’ici, Forrester évaluait les fournisseurs cloud généralistes ou sectoriels, mais jamais en consacrant une Wave entière à la souveraineté. Le fait que le cabinet ait jugé le marché suffisamment mature pour mériter son propre référentiel est en soi révélateur de l’importance prise par le sujet. Sauf que, en créant cette nouvelle catégorie, Forrester a également choisi ses propres critères d’évaluation et c’est là que le bât blesse.

Les critères retenus mesurent la profondeur fonctionnelle des offres : capacités de résidence des données, contrôles d’accès aux opérations, déploiements déconnectés ou air-gappés, intégration de la gouvernance IA, couverture réglementaire internationale. Sur ces dimensions, Microsoft excelle, notamment grâce à Azure Arc et à ses capacités d’opérations déconnectées que Forrester décrit comme « uniques parmi les fournisseurs évalués ». Google convainc sur l’analytique et l’open source. Les acteurs européens, eux, « scored particularly well on data residency controls » mais peinent sur la complétude de plateforme. Résultat sans surprise pour quiconque connaît l’écosystème.

Le problème n’est pas que Forrester se trompe sur ce qu’il mesure. C’est que ce qu’il mesure n’est pas ce que les DSI européens cherchent réellement quand ils parlent de souveraineté.

Trois souverainetés pour le prix d’une confusion

La notion de Cloud Souverain souffre depuis son origine d’un défaut de définition. On y mélange allègrement trois concepts qui n’ont ni les mêmes implications techniques, ni les mêmes réponses organisationnelles.

La souveraineté opérationnelle désigne le contrôle sur l’accès aux données et aux opérations : qui peut intervenir sur l’infrastructure, dans quel pays, avec quelle traçabilité. Sur ce plan, les hyperscaleurs ont fait des progrès réels. Les offres de type « Sovereign Landing Zone », les engagements contractuels sur la résidence des données, les mécanismes de chiffrement avec clés client sont devenus des standards. Microsoft, Google et AWS ne mentent pas quand ils affirment avoir durci leurs offres.

La souveraineté juridictionnelle est une autre affaire. Elle répond à la question : quelle loi s’applique en cas de conflit, et qui peut être contraint d’ouvrir l’accès à vos données ? Ici, la réponse n’a pas changé d’un iota. Un rapport juridique de l’université de Cologne, commandé par le ministère allemand de l’Intérieur et publié fin 2025, confirme ce que les juristes savaient déjà : le Cloud Act américain et la section 702 du FISA permettent aux agences américaines d’accéder à toute donnée hébergée hors des États-Unis dès lors qu’elle est gérée par une entreprise américaine, qu’il s’agisse de la maison mère ou d’une filiale locale. Un Azure France Central géré depuis Redmond reste soumis à ce dispositif. Peu importe que les serveurs soient physiquement à Marseille.

La souveraineté stratégique, enfin, est la question de la dépendance à long terme : pouvoir de négociation sur les tarifs, portabilité des données, interopérabilité, continuité de service en cas de décision unilatérale du fournisseur. C’est précisément la vulnérabilité que la situation géopolitique actuelle a rendue soudainement très concrète pour de nombreux directeurs des systèmes d’information européens.

La capture sémantique, une stratégie délibérée

Ce n’est pas un hasard si les grands hyperscaleurs ont massivement investi dans le vocabulaire de la souveraineté ces dernières années. AWS European Sovereign Cloud, Microsoft Cloud for Sovereignty, Google Distributed Cloud : les noms de produits ont suivi la demande politique et réglementaire avec une réactivité remarquable. En se qualifiant eux-mêmes de « souverains », en participant aux discussions réglementaires, en obtenant des certifications comme SecNumCloud via des coentreprises (l’offre S3NS de Thales-Google a obtenu la qualification SecNumCloud 3.2 en décembre 2025, au prix d’un débat houleux sur la définition même du label nous vous en parlions lors du dernier Briefing Calipia en décembre), les hyperscaleurs ont progressivement élargi la frontière de ce qui peut être considéré comme souverain.

Le résultat est que la catégorie « Cloud Souverain » est devenue suffisamment large pour accueillir des acteurs dont le siège, la direction et les obligations légales restent aux États-Unis. Forrester, en construisant sa Wave sur des critères fonctionnels objectifs, photographie fidèlement cet état de fait. C’est le reflet d’un marché, pas le jugement normatif sur ce que devrait être la souveraineté.

OVHcloud, Scaleway, Cloud Temple : condamnés à rester contenders ?

Les acteurs européens ne sont pas absents de l’évaluation, ils y figurent, et certains scores en matière de résidence des données sont honorables. Mais la comparaison sur la complétude fonctionnelle est structurellement défavorable. Un OVHcloud ou un Scaleway ne dispose pas des milliers d’ingénieurs, des milliards d’investissements annuels en R&D et de la couverture mondiale qui font la force des hyperscaleurs. Ce n’est pas une question de volonté ou de qualité d’exécution : c’est une asymétrie de moyens fondamentale.

L’idée d’un label « 100% European Cloud » ou d’un club de fournisseurs 100% natifs, évoquée dans le débat LinkedIn, est séduisante dans son intention. Elle se heurte cependant au même obstacle que SecNumCloud : sans obligation réglementaire ou préférence affirmée dans les marchés publics, un label reste un argument commercial de niche. Le marché cloud européen souverain représente 12,4 milliards d’euros en 2026, en croissance de 34% (merci au meilleur commercial du secteur : Donald Trump…) selon les estimations disponibles, c’est significatif, mais insuffisant pour financer le rattrapage fonctionnel.

Ce que les DSI devraient retenir

Face à cette situation, la bonne grille de lecture n’est ni le catastrophisme ni la résignation. Elle consiste à poser les bonnes questions en fonction du contexte réglementaire et de la sensibilité des données concernées.

Pour les données publiques ou peu sensibles, les offres souveraines des hyperscaleurs répondent à des besoins réels de conformité opérationnelle. La résidence des données, les contrôles d’accès et les certifications disponibles constituent une réponse acceptable pour une large majorité de cas d’usage.

Pour les données sensibles soumises à des régimes sectoriels stricts (données de santé, données de défense, secret des affaires dans des secteurs stratégiques), la question juridictionnelle impose de se tourner vers des acteurs dont le capital, la gouvernance et les obligations légales sont entièrement européens. SecNumCloud reste la référence française la plus exigeante sur ce point, malgré les débats suscités par la qualification de S3NS.

Pour la dépendance stratégique, la réponse passe par l’architecture autant que par le choix du fournisseur : interopérabilité, portabilité effective des données, déploiements multi-cloud ou hybrides avec des acteurs européens pour les couches critiques. Le Data Act européen, applicable depuis septembre 2025, impose désormais aux fournisseurs cloud opérant dans l’UE de mettre en place des mesures techniques empêchant l’accès illégal des gouvernements tiers. C’est un levier réglementaire nouveau, même si son articulation avec le Cloud Act américain reste un conflit juridique non résolu.

La Forrester Wave Sovereign Cloud Platforms 2026 ne signe pas la mort du Cloud Souverain européen. Elle signe la fin de l’illusion qu’on pourrait y accéder sans choisir clairement ce que l’on entend par là.

Nous reparlerons de tout cela lors du prochain Briefing Calipia en juin : inscrivez-vous !