Cloud souverain : pourquoi l'ADN européen fait toute la différence

« Vous êtes vraiment souverain ? » Cette question revient dans tous mes rendez-vous. Le terme « cloud souverain » est devenu tellement galvaudé que les entreprises ne savent plus ce qu'il recouvre vraiment. Derrière ce flou sémantique se cache un enjeu majeur : qui contrôle réellement vos données ?

Soyons francs : le mot « cloud souverain » est utilisé à tort et à travers. Pour certains acteurs, il est devenu un argument marketing, un slogan commercial. Cette situation crée une confusion que je constate quotidiennement. Les DSI me disent qu'ils ne s'y retrouvent plus. Comment leur en vouloir ?

Il existe une différence fondamentale entre ceux qui construisent la souveraineté et ceux qui l'adaptent à leur offre existante. Quand un acteur installe des serveurs en Europe et recrute des équipes européennes, il communique sur la « souveraineté ». Mais s'il reste une société de droit américain, et donc soumise au droit américain (CLOUD Act, FISA), peut-on vraiment parler de souveraineté ? C'est toute la différence entre une souveraineté native et une adaptation de circonstance.

Nos clients évoluent aujourd’hui dans un environnement marqué par des risques majeurs. Ils souhaitent disposer des technologies les plus innovantes du marché, sans être exposés au risque de dépendances technologiques. Parallèlement, la montée des menaces cyber renforce la nécessité de protéger leurs systèmes critiques. La sécurisation des données sensibles devient un impératif face aux risques de fuite, d’espionnage ou de perte de contrôle. Dans ce contexte, souveraineté, résilience et confiance deviennent des enjeux essentiels pour nos clients.

Mais nous devons clarifier ce vocabulaire. La souveraineté n'est pas un argument commercial. Dans la Tech, la souveraineté est la capacité à contrôler et à protéger ses infrastructures, données, technologies et ressources numériques.

C'est aussi un concept juridique qui repose sur trois éléments indissociables.  

Premier élément : la localisation. Où sont les infrastructures ? Où sont les équipes ? C'est important, mais insuffisant. Un centre de données en France constitue un point de départ, pas une finalité.

Deuxième élément, celui qu'on oublie le plus souvent : la structure capitalistique de l'opérateur lui-même. Pour proposer du cloud souverain français ou européen, il faut être capitalistiquement une société de droit français ou européen. La vraie question à se poser : à quelle réglementation l'opérateur est-il soumis ? Quelles juridictions peuvent exiger l'accès aux données ?

Troisième élément : les protections juridiques concrètes. Une entreprise de droit français comme Orange Business qui n’opère pas directement sur le marché américain offre une immunité naturelle aux législations extraterritoriales comme le CLOUD Act ou le FISA. Nos clients dans la défense, la justice, la banque ou la santé savent qu'aucune juridiction américaine ne peut demander l'accès à leurs données.

Si l'un de ces éléments manque, la souveraineté juridique n'est pas complète. Voilà ce qui distingue une souveraineté native d'une adaptation marketing.

Dans notre contexte géopolitique actuel, la question de l'immunité aux lois extraterritoriales n'est pas théorique. Elle devient concrète quand des entreprises européennes découvrent que leurs fournisseurs cloud, bien qu'implantés physiquement en Europe, restent soumis à des juridictions étrangères.

Les lois extraterritoriales permettent à certains États d'exiger l'accès aux données hébergées par leurs entreprises nationales, indépendamment de la localisation géographique de ces données. Le CLOUD Act américain ou les dispositions du FISA illustrent cette réalité juridique. Ces mécanismes légaux s'activent sans considération pour les réglementations locales ou les souverainetés nationales.

Cette dépendance juridique crée une vulnérabilité stratégique. Elle peut limiter la capacité d'une organisation à contrôler ses propres informations. Dans certains secteurs sensibles, cette situation devient inacceptable. C'est exactement ce risque de verrouillage technologique que la souveraineté native permet d'éviter.

En juillet, nous avons obtenu la qualification SecNumCloud de l'ANSSI pour Cloud Avenue SecNum, hébergée dans notre centre de données de Grenoble. 

De même, Bleu vient de passer le Jalon J1 pour la qualification SecNumCloud 3.2 de l’ANSSI. Bleu est une entreprise de services cloud portée par deux acteurs français, Orange et Cap Gemini, elle vise à devenir un Cloud de Confiance offrant les services de Microsoft Azure et Microsoft 365 dans un environnement maîtrisé et sécurisé.

La qualification SecNumCloud est la plus exigeante d'Europe. Environ 250 points de vérification sur 17 points de contrôle. Sécurité physique, infrastructures, systèmes d'information, personnes : tout est vérifié. Nos équipes ont travaillé plus d'un an avant l'obtention.

D'autres certifications existent, comme le C5 allemand. Mais sur le critère d'immunité aux lois extraterritoriales – le cœur du sujet – les niveaux d'exigence varient. Il existe un problème d'harmonisation européenne. La Commission européenne devrait proposer des critères communs de souveraineté pour les offres cloud dans le cadre du futur projet de « Cloud and AI Development Act » prévu au 1er trimestre 2026. Nous œuvrons au sein de l’écosystème numérique, notamment avec Deutsche Telekom, pour promouvoir cette harmonisation.
 

Un critère technique nous distingue : la protection des données en transit, pas seulement en hébergement.

Sans connectivité, il n'y a pas de cloud. Cette connectivité doit être de confiance. Sans le contrôle de l’infrastructure, un modèle opérationnel autonome et un réseau sécurisé et résilient, vos données peuvent être sécurisées au repos mais resteront vulnérables lors du transit. Si votre communication transite par un opérateur étranger, un tiers peut intercepter et déchiffrer les données. Nous ne sommes pas encore à l'ère du quantique. Les protections actuelles restent perfectibles.

Nous sommes opérateur de télécommunications. C'est notre ADN. Le contrôle de nos réseaux et de nos infrastructures nous permet d'offrir une protection de bout en bout. Chez Orange Business, nous parlons des trois C : Cloud, Connectivité et Cybersécurité. Avec Orange Cyberdefense, nous disposons du renseignement sur les menaces, de la détection avant l'attaque, et de plans de reprise d'activité testés régulièrement.


 

Il existe un critère qu'on oublie trop : l'humain. Les acteurs de confiance reposent d'abord sur l'humain.

Nos équipes habilitées travaillent pour les opérateurs d'importance vitale : défense, justice, banque, finance, santé. Elles opèrent dans notre centre d’excellence opérationnelle en France. Nous venons d'ouvrir une autre antenne en Europe. Ces équipes fonctionnent en vase clos. Même moi, je ne les connais pas. Pour y accéder, je devrais obtenir des habilitations spécifiques.

Leur mission : assurer la résilience. Le véritable défi pour nos clients, c'est la continuité d'activité lors d'une cyberattaque. C'est là où notre organisation fait la différence.

Face à l'utilisation marketing du terme « souverain », les entreprises ont besoin de critères objectifs pour orienter leurs décisions. Chez Orange Business, nous proposons une approche structurée autour du triangle de choix : le coût (soyons réalistes), la confiance (à quelle réglementation l'opérateur est-il soumis ?) et l'innovation (votre choix soutient-il l'écosystème européen ?).

Cette grille d'analyse permet aux DSI d'évaluer leurs options de manière pragmatique. Selon les secteurs d'activité, les priorités varient. Dans la banque ou la santé, la confidentialité et l'immunité réglementaire priment souvent sur d'autres considérations. Pour des entreprises en transformation digitale, l'innovation et l'écosystème peuvent peser davantage dans la balance.

Depuis plusieurs mois, ce sujet est porté par les comités exécutifs. C'est devenu une stratégie d'entreprise globale.

Soyons lucides : la dépendance technologique existe depuis trente ans. L'Europe a désindustrialisé massivement. On ne résoudra pas en six mois des problèmes vieux de trois décennies. Mais nous devons agir.

Orange Business participe à l’initiative de l'Indice de Résilience Numérique. Un outil pour que les entreprises mesurent leur taux de dépendance technologique et définissent des plans d'action. Nous travaillons aussi avec des acteurs français et européens comme BlueMind, Jalios, Jamespot pour faire émerger un écosystème d'alternatives crédibles.

Le cloud constitue une première bataille. L'intelligence artificielle arrive, l'informatique quantique suit. Sur l'IA, l'Europe a démarré avec une démarche collective. Nous devons soutenir la même approche pour le cloud.

Au-delà de la technologie, nos choix engagent les générations futures. Ma mission consiste à garantir que l'IA, les modèles que nous développons, les données que nous traitons, s'inscrivent dans un cadre de confiance.

Le centre de données de Grenoble qui héberge Cloud Avenue SecNum s’inscrit dans une démarche RSE. Ce n'est pas un détail. C'est un critère structurant. La confiance est inscrite dans la raison d'être d'Orange, dans notre ADN. Ce n'est pas un slogan. C'est notre éthique.  

Les décisions que vous prenez aujourd’hui doivent s’inscrire dans la durée, dans un cadre de confiance. Chez Orange Business, nous avons un ADN européen, qui reflète notre identité depuis toujours. En tant qu’entreprise de droit français, nous opérons selon les réglementations françaises et européennes, ce qui garantit la conformité et la sécurité de vos données sensibles.

Il peut être utile de réfléchir à certains termes comme « souveraineté » : quelles questions vous posez-vous ? Où va votre chiffre d’affaires ? Quelle juridiction s’applique réellement ? Votre choix contribue-t-il à soutenir un écosystème européen dynamique et innovant ? Dans quelles technologies pouvez-vous avoir confiance ?

Chaque décision technologique que vous faites reflète aussi une vision de société : préserver ou renforcer votre capacité de décision. L’objectif est de faire des choix éclairés, qui favorisent un développement durable, tout en restant ouverts aux innovations et aux collaborations internationales. En intégrant ces solutions dans un environnement de confiance, l’Europe peut continuer à évoluer de manière responsable, tout en conservant sa capacité à innover et à relever les défis mondiaux.