Cloud souverain européen : la bascule de 2026

Le 14 mars 2026, la panne AWS du Bahrein coupait 84 services pendant plus de sept heures. Douze jours plus tard, Bruxelles officialisait son initiative commune pour un cloud et une IA souverains. Le calendrier n’est pas un hasard : il cristallise ce qui se joue depuis des mois pour les DSI européennes, la fin d’une décennie où l’on choisissait son hyperscaler comme on choisit un fournisseur d’électricité, sans se poser la question de la dépendance. Pour revenir sur les fondamentaux du cloud computing et de ses modèles, nous avons publié un article dédié. Voici ce que l’annonce change vraiment, et par où commencer.

L’initiative cloud souverain européen : de quoi parle-t-on vraiment ?

Ce qui a été annoncé. L’initiative européenne vise deux objectifs structurants : bâtir une infrastructure cloud capable d’héberger les workloads sensibles des administrations et des entreprises européennes, et développer des capacités d’IA souveraine qui permettent d’entraîner et d’exploiter des modèles sans dépendre d’infrastructures américaines. Elle s’accompagne d’un soutien renforcé aux projets fédérateurs comme Gaia-X et EURO-3C, ce dernier doté de 75 millions d’euros et réunissant 87 acteurs européens autour d’un cloud Telco-Edge indépendant.

Pourquoi maintenant. Trois dynamiques convergent. D’abord la domination des hyperscalers américains : AWS, Microsoft Azure, Google Cloud qui captent aujourd’hui plus de 72 % du marché cloud européen. Ensuite la fragilité révélée par les pannes en série de 2025 et 2026 : quand une seule région d’un seul fournisseur peut paralyser des milliers d’entreprises, la concentration devient un risque systémique. Enfin la question de l’extraterritorialité : le droit américain (Cloud Act, FISA) permet aux autorités d’accéder à des données hébergées par des entreprises américaines, où qu’elles soient physiquement stockées.

Le cadre qui se dessine. L’initiative s’appuie sur un arsenal réglementaire qui prend forme. Le Cloud and AI Development Act (CADA), dont la proposition est attendue au premier trimestre 2026, vise à harmoniser la définition du cloud souverain à l’échelle du marché unique. Il viendra compléter la triade déjà en vigueur (RGPD, NIS2, EU Data Act) et s’articulera avec les référentiels nationaux comme SecNumCloud en France, qui reste la référence pour les opérateurs d’importance vitale (OIV), les opérateurs de services essentiels (OSE) et les administrations.

Attention : cloud de confiance ≠ cloud souverain

Les deux notions sont souvent confondues, y compris dans des appels d’offres. Un cloud de confiance désigne une offre conçue pour répondre à de fortes exigences de sécurité, parfois en s’appuyant sur des technologies d’hyperscalers exploitées par des opérateurs européens. Un cloud souverain est, lui, pleinement immunisé contre les lois extraterritoriales américaines. Tous les clouds souverains sont des clouds de confiance ; l’inverse n’est pas toujours vrai. Clarifier cette distinction est un préalable à toute stratégie de souveraineté.

Ce que ça change concrètement pour les DSI

La fin du « tout hyperscaler » par défaut

Pendant une décennie, la question n’était pas s’il fallait aller sur un hyperscaler, mais lequel choisir. Cette évidence vole en éclats. Les DSI européennes sont désormais attendues sur leur capacité à justifier le choix d’hébergement de chaque workload au regard de sa sensibilité. L’hybride et le multicloud, longtemps présentés comme une bonne pratique, deviennent la norme d’architecture par défaut et la réversibilité, c’est-à-dire la capacité à sortir d’un fournisseur sans rupture opérationnelle, s’impose comme un critère d’achat non négociable.

Classifier ses données, le préalable stratégique

Toutes les données ne méritent pas un cloud souverain. L’exercice de classification, souvent négligé, devient la fondation de toute stratégie crédible. Trois grandes catégories se dégagent dans la pratique :

Catégorie 1 : Cloud souverain requis. Données personnelles sensibles (santé, RH, juridique), données stratégiques de l’entreprise (R&D, propriété intellectuelle, données financières confidentielles), données relevant d’obligations SecNumCloud ou d’une qualification NIS2. Pour ces workloads, l’hébergement souverain devient la seule option défendable.

Catégorie 2 : Arbitrage au cas par cas. Données opérationnelles métier (ERP, CRM, données de production industrielle), applications critiques non réglementées, données clients B2B. L’arbitrage combine sensibilité business, volumétrie, dépendances applicatives et coût. Souvent, la réponse est hybride : base souveraine + services d’exploitation sur hyperscaler.

Catégorie 3 : Hyperscaler acceptable. Données marketing publiques, analytics web, environnements de développement et de test, charges à fort trafic non sensibles, services SaaS standards. Y basculer un workload souverain n’apporte aucune valeur et coûte plus cher.
À retenir :  la règle des 3 questions

Avant toute décision d’architecture, chaque workload doit passer par trois filtres : « Qui peut légalement y accéder ? » (extraterritorialité), « Que se passe-t-il si je perds l’accès pendant 48 heures ? » (criticité), « Puis-je en sortir en moins de 6 mois ? » (réversibilité). Si une seule réponse est inacceptable, l’architecture doit être revue.

Le piège des environnements critiques et legacy

Un réflexe répandu consiste à traiter la souveraineté comme un mouvement « tout ou rien » : tout migrer, tout moderniser, tout reconstruire. C’est rarement tenable. Une part significative des grands comptes français et européens opère encore sur des environnements IBM Power, IBM i (ex-AS400), AIX  qui portent des applications métier critiques et indécommissionnables à court terme. Ces plateformes résistent parce qu’elles fonctionnent, qu’elles sont stables, et que les migrer vers des architectures x86 cloud-native représente des projets de plusieurs années au risque élevé.

Trois voies existent pour ces environnements :

• Le statu quo on-premise : confortable à court terme, mais de plus en plus difficile à défendre face aux exigences de résilience, de plan de reprise d’activité et de conformité.
• La migration complète vers x86 cloud : ambitieuse, mais souvent sous-estimée en complexité, en coût, et en risque opérationnel.
• La voie médiane : un IaaS souverain spécialisé dans les environnements IBM Power : qui apporte les bénéfices du cloud (élasticité, PRA, services managés) sans imposer la réécriture applicative. C’est aujourd’hui la réponse la plus pragmatique pour les grands comptes qui veulent avancer sans tout casser.

Tip Jiliti
Chez Jiliti, nous opérons une offre IaaS souveraine dédiée aux environnements IBM Power, en partenariat avec Naitways (intégré au groupe en 2025). Cette offre de cloud souverain français permet de rapatrier des charges critiques vers un hébergement souverain sans modifier les applications. Elle intègre nativement les services de sauvegarde externalisée, de réplication et de reprise d’activité, réponses directes aux exigences NIS2 et SecNumCloud.

Quatre principes directeurs pour une transition maîtrisée

Commencer par la sensibilité, pas par la technologie

La première question à poser n’est pas « quel cloud ? » mais « quelles données ? ». La plupart des projets échouent parce qu’ils inversent l’ordre : on choisit une cible technique, puis on essaie d’y faire rentrer les workloads. La bonne séquence part toujours de la donnée — sa sensibilité, ses obligations réglementaires, ses dépendances métier — et c’est cette analyse qui dicte l’architecture cible. Une cartographie des données validée par le RSSI et le DPO n’est pas un livrable optionnel, c’est le point de départ non négociable.

Penser réversibilité avant performance

Dans un modèle hyperscaler classique, on optimise la performance et on subit la dépendance. Dans une logique souveraine, le rapport s’inverse : la réversibilité — la capacité à sortir d’un fournisseur sans rupture opérationnelle — devient le critère premier, et la performance un paramètre à maximiser sous cette contrainte. Concrètement, cela signifie tester dès le départ le scénario de sortie, privilégier les standards ouverts et documenter les procédures de portabilité. Une migration brillamment exécutée qu’on ne sait pas inverser n’est pas souveraine : c’est un changement de prison.

Avancer par vagues, pas par révolutions

Les projets de souveraineté qui échouent partagent un trait commun : l’ambition du big bang. Migrer l’ensemble du SI en un seul mouvement cumule les risques — opérationnels, financiers, humains — et transforme le projet en cible politique dès les premières difficultés. Les transitions qui tiennent sont séquencées : on commence par les workloads à plus forte criticité réglementaire, on valide les processus, on ajuste, puis on étend. Un plan sur dix-huit à vingt-quatre mois, avec des vagues de trois à six mois et des portes de sortie claires à chaque étape, produit de bien meilleurs résultats qu’un programme ambitieux voté en COMEX puis enlisé six mois plus tard.

Gouverner l’hybride comme un tout

L’erreur la plus coûteuse, une fois la migration lancée, consiste à piloter les environnements en silos : une équipe « cloud », une équipe « on-premise », une équipe « souverain », chacune avec ses indicateurs et ses budgets. La valeur d’une stratégie hybride se joue dans la vision consolidée — coûts, performances, conformité, risques. Sans gouvernance FinOps unifiée, les surcoûts s’accumulent sans qu’aucun responsable ne soit en mesure de les détecter. La souveraineté n’est pas seulement une question d’hébergement : c’est aussi une discipline de pilotage.
Tip Jiliti : FinOps multi-cloud
Un environnement hybride mal gouverné coûte entre 20 et 30 % de plus qu’un environnement équivalent sous gouvernance FinOps structurée. Les surcoûts viennent rarement d’un seul endroit : ils s’accumulent sur les instances mal dimensionnées, les volumes de stockage oubliés, les transferts inter-régions et les licences sous-utilisées. Notre service managé J-IT Supervise mutualise cette gouvernance sur l’ensemble des environnements, avec un guichet unique pour 3 500 clients actifs.

En 2026, l’année de la bascule pour le cloud

L’initiative européenne de mars 2026 marque un tournant. Le cloud souverain passe du sujet de discussion stratégique à la réalité opérationnelle, porté par une convergence rare : pression politique, cadre réglementaire qui se solidifie, fragilités révélées par les grandes pannes, et maturité des acteurs européens. Pour les DSI, la vraie question n’est plus « faut-il y aller ? »,  la réponse est désormais dictée par la réglementation et par le risque. La question devient « comment y aller sans casser l’existant ? ».

C’est précisément là que se jouera la différence entre les organisations qui subiront la transition et celles qui en feront un levier de résilience et de compétitivité.

Évaluez la souveraineté de votre infrastructure IT avec un expert Jiliti.
-> Prendre rendez-vous