Cloud

Cloud souverain France 2026 : OVH vs Scaleway vs Outscale

OVHcloud, Scaleway, Outscale : panorama factuel des trois acteurs majeurs du cloud souverain français en 2026, leurs forces, leurs limites et leurs qualifications SecNumCloud.

Marc Aubert · Mis à jour le par Marc Aubert

La question du cloud souverain a quitté le champ politique pour entrer dans le quotidien opérationnel des DSI et RSSI. Trois facteurs convergent en 2026 : l’entrée en application de NIS2 et DORA, la pression réglementaire sur les transferts de données hors UE (jurisprudence Schrems II, position CNIL), et la maturation de l’écosystème français autour de trois acteurs identifiables : OVHcloud, Scaleway et Outscale.

Cet article propose un panorama factuel. Pas de classement absolu : chaque acteur correspond à un positionnement et à des cas d’usage. La grille de lecture s’appuie sur le visa SecNumCloud de l’ANSSI [1] et sur le futur schéma européen EUCS [2].

Cloud souverain : la définition juridique

La notion de “souveraineté” recouvre plusieurs dimensions qu’il faut distinguer.

Souveraineté juridique. Le fournisseur est constitué selon le droit d’un État membre de l’Union européenne et n’est pas contrôlé par une entité de droit non-UE. C’est la dimension qui répond au risque d’extra-territorialité.

Souveraineté technique. Le fournisseur exploite des infrastructures localisées dans l’UE, opérées par du personnel soumis à la législation de l’État membre, sans télémaintenance hors UE pour les charges sensibles.

Souveraineté opérationnelle. Le client conserve un contrôle effectif sur ses données : chiffrement, gestion des clés, journalisation, capacité d’audit.

Les textes extra-territoriaux qui motivent l’exigence :

  • CLOUD Act (États-Unis, 2018) : les autorités américaines peuvent contraindre un fournisseur de droit américain à fournir des données qu’il opère, même hors des États-Unis.
  • FISA section 702 : programme de surveillance des communications électroniques par les agences américaines, applicable aux “Electronic Communication Service Providers” soumis au droit américain.

Le visa SecNumCloud délivré par l’ANSSI [1] vérifie l’absence d’exposition à ces législations. Il s’inscrit dans une approche de cybersécurité globale (organisation, sécurité physique, cryptographie, gestion des incidents) qui dépasse la seule question de l’extra-territorialité.

Le schéma européen EUCS (European Cybersecurity Certification Scheme for Cloud Services) [2] est en cours d’élaboration par l’ENISA. Trois niveaux d’assurance sont prévus (Basic, Substantial, High). Le niveau High reste le terrain du débat sur les critères de souveraineté.

Pourquoi parler de cloud souverain en 2026 ?

Trois moteurs réglementaires en 2026 :

NIS2 (Directive (UE) 2022/2555) [6]. Entités essentielles et importantes doivent garantir la résilience de leur SI, y compris la disponibilité de leurs fournisseurs cloud. La sélection des fournisseurs critiques relève désormais de la gestion des risques de la chaîne d’approvisionnement, exigée par l’article 21.

DORA (Règlement (UE) 2022/2554) [7]. Pour le secteur financier, les prestataires tiers de TIC critiques sont soumis à un cadre de supervision européen. La concentration sur quelques hyperscalers non-européens est un risque systémique identifié par les autorités financières (EBA, AMF).

RGPD et transferts hors UE. La position de la CNIL [8] et la jurisprudence Schrems II maintiennent une exigence de précaution sur les transferts vers les États-Unis. Le Data Privacy Framework (UE-USA, 2023) offre une base juridique, mais reste contestable et est susceptible d’évolutions.

Au-delà du cadre réglementaire, les positions clients (acheteurs publics, donneurs d’ordre industriels) intègrent désormais la souveraineté comme critère d’évaluation. Les marchés publics français appliquent depuis 2021 la doctrine “cloud au centre” qui privilégie les solutions qualifiées SecNumCloud pour les données sensibles.

OVHcloud : positionnement et offre

OVHcloud est le premier acteur cloud européen par la taille. Fondé en 1999, coté à Euronext Paris depuis 2021, l’entreprise est de droit français.

Infrastructure. Plus de 30 datacenters dans 4 continents, dont une majorité en France et en Europe. L’offre est très large : IaaS (Bare Metal, instances), Web Cloud, Public Cloud (compatible OpenStack), Hosted Private Cloud (basé VMware historiquement), services managés.

SecNumCloud. OVHcloud dispose d’un périmètre qualifié SecNumCloud [3]. La gamme qualifiée couvre des services IaaS dédiés et certains services managés. Le périmètre exact est documenté publiquement par l’éditeur et tenu à jour avec les renouvellements ANSSI.

Gouvernance. Société de droit français, sans contrôle capitalistique non-UE. C’est un point central : OVHcloud n’est pas soumis au CLOUD Act.

Points d’attention. L’éventail de services managés (bases de données managées, services de plateforme, IA) reste plus étroit que celui des hyperscalers américains. Pour des charges modernes très orientées PaaS ou managed services, le différentiel fonctionnel peut être significatif.

Scaleway : positionnement et offre

Scaleway est la filiale cloud d’Iliad (Free), constituée selon le droit français.

Infrastructure. Datacenters en France (Paris, Amsterdam, Varsovie) avec une stratégie de proximité européenne. Iliad opère ses propres datacenters via Free Pro / Scaleway Datacenter, ce qui lui donne une maîtrise verticale (foncier, énergie, infrastructure).

Offre. Public Cloud compatible avec une logique d’usage agile et “developer friendly” : instances, conteneurs (Kubernetes managé), bases de données, object storage compatible S3, serverless, services IA. L’éditeur communique régulièrement sur sa documentation publique [4].

SecNumCloud. En 2026, Scaleway poursuit son alignement progressif avec les exigences SecNumCloud. L’éditeur publie l’état d’avancement sur sa page sécurité publique [4]. Le périmètre qualifié peut évoluer : il convient de vérifier sur le site officiel pour les engagements contractuels.

Gouvernance. Société de droit français contrôlée par un groupe français (Iliad), donc non soumise au CLOUD Act.

Points d’attention. Le catalogue est plus jeune que celui d’OVHcloud sur certains services historiques (sauvegarde managée legacy, VMware) mais structurellement plus moderne sur les usages cloud-native (Kubernetes, serverless, object storage).

Outscale : positionnement et offre

Outscale est la filiale cloud de Dassault Systèmes, créée en 2010. Positionnement clairement orienté entreprises, défense et industrie.

Infrastructure. Datacenters en France, États-Unis, Chine (régions séparées par contrats spécifiques). Pour les charges souveraines, c’est exclusivement la région France qui est concernée.

SecNumCloud. Outscale a été l’un des premiers acteurs à obtenir le visa SecNumCloud sur un périmètre IaaS [5]. L’offre qualifiée porte sur le cloud public en région française, opéré par du personnel français.

Gouvernance. Filiale de Dassault Systèmes (groupe industriel français coté Euronext). Non soumis au CLOUD Act.

Différenciation. L’orientation B2B et la culture industrielle se traduisent par un focus marqué sur la conformité, l’isolation et les engagements contractuels (SLA, audit, réversibilité). Le catalogue est plus orienté IaaS et services d’infrastructure que sur les services managés haut niveau.

Matrice de choix par cas d’usage

Aucune table de comparaison ne remplace une analyse contextuelle. Le tableau ci-dessous propose une orientation indicative, à confronter aux fiches techniques publiques des éditeurs.

Cas d’usageOVHcloudScalewayOutscale
IaaS bureautique non sensibleAdaptéAdaptéAdapté
Conteneurs (Kubernetes managé)DisponibleForte expérienceDisponible
Bases de données managéesCatalogue largeCatalogue modernePlus restreint
Charges IA et GPUCatalogue dédiéForte communication récentePlus restreint
Données régulées (HDS, défense)Périmètre qualifié SecNumCloudSelon évolution périmètrePérimètre qualifié SecNumCloud
Migration depuis VMwareHosted Private Cloud historiquePlus récentDisponible

Pour les charges régulées (santé, défense, finance critique), la sélection doit se faire sur le périmètre qualifié SecNumCloud à la date du contrat, et non sur le positionnement marketing. Les listes officielles sont publiées sur le site cyber.gouv.fr [1].

L’écueil du multi-cloud souverain

Construire une stratégie multi-cloud souverain (par exemple OVHcloud + Outscale) répond à plusieurs préoccupations légitimes :

  • Réduction du risque de défaillance fournisseur unique.
  • Exit strategy crédible vis-à-vis de DORA et NIS2.
  • Bénéfice de catalogues complémentaires.

Mais le multi-cloud ne s’improvise pas :

  • Interopérabilité. Les API ne sont pas standardisées : OpenStack, S3, Kubernetes constituent des couches de portabilité partielle, pas totale.
  • FinOps. Le multi-cloud rend le pilotage des coûts plus complexe. Sans gouvernance, la facture dérive (voir /cloud/finops-reduire-facture-cloud/).
  • Compétences. Chaque cloud demande une expertise opérationnelle distincte. L’investissement humain est significatif.

La règle empirique : multi-cloud par cas d’usage, pas par principe. La portabilité d’une charge particulière (workload critique avec exigence d’exit) justifie le surcoût ; le multi-cloud généralisé n’a souvent pas de ROI démontrable. Voir l’article dédié à la stratégie d’exit multi-cloud (/cloud/multi-cloud-strategie-exit/).

L’option hyperscaler + chiffrement client

Une option fréquemment évoquée consiste à héberger sur AWS, Azure ou Google Cloud avec un chiffrement géré par le client. Trois variantes :

BYOK (Bring Your Own Key). Le client génère ses clés, le fournisseur les utilise pour chiffrer et déchiffrer. La clé maître reste sous contrôle nominal du client.

HYOK (Hold Your Own Key). Le client garde physiquement les clés (HSM dédié, parfois opéré par un tiers de confiance), le fournisseur ne voit jamais les données en clair.

Confidential Computing. Le chiffrement s’étend à l’usage : les données restent chiffrées pendant le traitement, dans une enclave matérielle.

Limites. Ces dispositifs limitent l’exposition en clair, mais ne lèvent pas la qualification juridique du fournisseur. Un fournisseur de droit américain reste soumis au CLOUD Act, indépendamment du chiffrement. Pour les données les plus sensibles, ces dispositifs ne se substituent donc pas à un fournisseur de droit européen non contrôlé par une entité non-UE.

Pour des charges intermédiaires (données importantes mais non critiques au sens souveraineté), hyperscaler + BYOK ou HYOK reste une option pragmatique, à condition d’une analyse de risque documentée.

Qualification SecNumCloud : ce qui change vraiment

Le visa SecNumCloud n’est pas un sticker marketing. Il engage le fournisseur sur plusieurs dimensions vérifiées par audit ANSSI :

  • Périmètre matériel et logiciel précisément délimité.
  • Personnel soumis à la législation française, avec habilitation et formation tracées.
  • Sécurité physique des datacenters concernés.
  • Cryptographie conforme aux recommandations ANSSI.
  • Gestion des incidents et obligations de signalement.
  • Réversibilité et exit documentées.

Conséquences pour le client :

  • Engagement contractuel sur le périmètre qualifié.
  • Capacité d’audit (sous conditions).
  • Engagement de service incluant notification d’incident, restauration, continuité.
  • Limitation aux ressources situées dans le périmètre qualifié : les services hors périmètre ne sont pas couverts par le visa.

Calendrier. Le visa est délivré pour une durée limitée (typiquement 3 ans) et soumis à renouvellement. Les périmètres qualifiés peuvent évoluer entre deux audits : la vérification doit être faite à la date de souscription du contrat.

L’arrivée d’EUCS (en cours en 2026) doit, à terme, harmoniser ces exigences au niveau européen. SecNumCloud restera vraisemblablement la référence française tant qu’EUCS High n’aura pas convergé sur ses critères de souveraineté juridique.

Sortir d’un cloud non souverain : retour d’expérience

De nombreuses organisations françaises et européennes ont engagé entre 2022 et 2026 des chantiers de rapatriement ou de migration partielle depuis des hyperscalers non-européens vers du cloud souverain. Quelques constats récurrents issus de ces retours d’expérience publics :

La migration prend plus de temps que prévu. Les estimations initiales sous-évaluent systématiquement la durée. Une charge applicative migrée en six mois sur le papier prend généralement douze à dix-huit mois en pratique, en raison de dépendances techniques (services managés propriétaires sans équivalent direct), de re-tests fonctionnels et de la coexistence transitoire entre deux clouds.

Le coût d’exit est principalement humain. Les frais d’egress (sortie de données) sont marginaux pour des volumes raisonnables, et plusieurs hyperscalers ont assoupli leur politique de frais de sortie depuis l’entrée en vigueur du Data Act européen. Le coût principal reste l’effort humain de refactorisation : adaptation du code, modification des pipelines CI/CD, formation des équipes.

Les services managés très spécifiques sont les plus difficiles à porter. Les fonctions IaaS standard (compute, stockage objet, réseau) sont relativement portables. Les services managés haut niveau (bases de données spécifiques, analytics, services IA propriétaires) demandent souvent un re-design plus profond. C’est le bon moment pour normaliser le SI sur des standards ouverts (PostgreSQL, Kubernetes, S3 API, OpenTelemetry).

L’organisation est le premier enjeu. Une migration cloud-to-cloud ne se gère pas comme une migration on-premise-to-cloud. Les compétences sont différentes, la gouvernance change, la facturation est différente. Préparer l’équipe et la gouvernance en amont conditionne la réussite.

Pour les entités essentielles NIS2 : la spécificité de la chaîne d’approvisionnement

La directive NIS2 introduit une obligation explicite de gestion des risques de la chaîne d’approvisionnement (article 21). Pour le cloud, cela se traduit par plusieurs exigences pratiques :

Cartographie des dépendances. Une entité essentielle doit identifier ses fournisseurs cloud critiques et les services associés. Le périmètre dépasse l’IaaS : il inclut les SaaS opérés depuis des clouds tiers (la majorité des SaaS modernes), les services d’authentification, les services de messagerie.

Évaluation du risque fournisseur. L’analyse doit couvrir la résilience opérationnelle, la sécurité, mais aussi la pérennité juridique et économique du fournisseur. Un fournisseur soumis à une législation extra-territoriale est, par construction, plus exposé à des décisions hors de la maîtrise du client (sanctions internationales, contraintes diplomatiques).

Exit strategy documentée. Pour les services critiques, le contrat doit prévoir un plan de réversibilité testable. Les autorités sectorielles (ACPR pour la finance, ANSM pour la santé, etc.) demandent de plus en plus systématiquement la documentation de cette exit strategy.

Notification d’incident bilatérale. Le fournisseur cloud notifie au client tout incident affectant ses services dans des délais compatibles avec les obligations NIS2 du client (24 heures pour la notification initiale, 72 heures pour la notification détaillée).

Le cloud souverain ne dispense pas de ces exigences, mais simplifie leur mise en œuvre : juridiction unique, opérateur soumis aux mêmes obligations NIS2 que le client, canaux d’escalade vers l’ANSSI partagés.

Au-delà du IaaS : la couche SaaS souveraine

Le débat sur le cloud souverain se concentre souvent sur l’IaaS et les services managés bas niveau. La réalité opérationnelle est plus large : les SaaS représentent désormais une part majoritaire des dépenses cloud de la plupart des entreprises (messagerie, suites bureautiques, CRM, gestion RH, signature électronique). La question de la souveraineté se pose pour chacun d’entre eux.

Bureautique et messagerie. Plusieurs offres françaises et européennes existent (Whaller, Olvid, Tchap pour les administrations, des suites bureautiques européennes). Leur catalogue fonctionnel reste plus restreint que celui des géants américains, mais l’écart se réduit pour les usages courants.

CRM et applications métier. L’écosystème français et européen propose des alternatives crédibles dans plusieurs verticaux (CRM, ERP secteur public, GED, signature électronique). Le critère SecNumCloud commence à être exigé par certains acheteurs publics.

Identité. La gestion d’identité en mode SaaS (IDaaS) est un service critique : un IDaaS hors souveraineté donne potentiellement accès à toutes les sessions des utilisateurs. Plusieurs acteurs européens proposent des offres alignées sur les exigences SecNumCloud.

La règle d’analyse : appliquer le même filtre de souveraineté juridique et opérationnelle à chaque SaaS critique, pas seulement à l’IaaS sous-jacent. Un SaaS non souverain hébergé sur un cloud souverain reste un SaaS non souverain : c’est l’éditeur qui détient les données et qui répond aux réquisitions.

À retenir

Le cloud souverain en France s’organise en 2026 autour de trois acteurs : OVHcloud, Scaleway et Outscale, tous trois de droit français et donc non soumis au CLOUD Act. Le visa SecNumCloud de l’ANSSI reste la référence pour les charges sensibles, en attendant la maturation du schéma européen EUCS. Le choix se fait par cas d’usage : OVHcloud propose le catalogue le plus large, Scaleway un positionnement cloud-native et developer-friendly, Outscale une orientation industrielle et défense. L’option hyperscaler + BYOK / HYOK ne lève pas le risque juridique d’extra-territorialité : elle reste pertinente pour des charges intermédiaires, pas pour les données les plus sensibles. Le multi-cloud souverain se justifie par une exit strategy explicite, pas par principe.

Sources

[1] ANSSI, Visa SecNumCloud, prestataires qualifiés. https://cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud [2] ENISA, European Cybersecurity Certification Scheme for Cloud Services (EUCS). https://www.enisa.europa.eu/topics/cloud-and-big-data/eucs [3] OVHcloud, Conformité SecNumCloud. https://www.ovhcloud.com/fr/enterprise/certification-conformity/secnumcloud/ [4] Scaleway, Sécurité et conformité. https://www.scaleway.com/fr/securite/ [5] Outscale, SecNumCloud. https://fr.outscale.com/secnumcloud/ [6] Directive (UE) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj [7] Règlement (UE) 2022/2554 (DORA). https://eur-lex.europa.eu/eli/reg/2022/2554/oj [8] CNIL, Transferts de données hors UE. https://www.cnil.fr/fr/transferts-de-donnees-hors-ue

Questions fréquentes

Le chiffrement BYOK suffit-il à se prémunir du CLOUD Act ?

Non. Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) permet aux autorités américaines de réclamer à un fournisseur de droit américain l'accès à des données qu'il opère, indépendamment de leur localisation géographique. Le BYOK (Bring Your Own Key) limite l'accès en clair par le fournisseur, mais ne change pas la situation juridique : le fournisseur reste soumis à la juridiction américaine. HYOK (Hold Your Own Key) renforce le contrôle technique mais ne lève pas la qualification juridique. Pour les données les plus sensibles (DR, OIV, défense), seul un fournisseur de droit européen non contrôlé par une entité non-UE est protégé du CLOUD Act.

EUCS remplace-t-il SecNumCloud ?

Non, pas en 2026. Le schéma européen de certification de cybersécurité pour les services cloud (EUCS) est en cours d'élaboration par l'ENISA. Plusieurs versions de travail ont circulé, avec un débat ouvert sur les critères de souveraineté (notamment le niveau d'assurance High). En attendant son adoption, SecNumCloud reste la référence française. À terme, SecNumCloud devrait converger vers le niveau le plus exigeant d'EUCS, mais le calendrier et le périmètre restent à confirmer.

Quels cas d'usage justifient un cloud souverain ?

Quatre cas principaux. (1) Données régulées sectorielles : santé (HDS), défense (LPM, IGI 1300), finance (DORA, secret bancaire). (2) Données personnelles à enjeu fort (RGPD article 5, principes de licéité et de loyauté, position CNIL sur les transferts hors UE). (3) Continuité géopolitique : entités essentielles NIS2 qui doivent garantir la disponibilité même en cas de tensions internationales. (4) Engagement contractuel ou politique vis-à-vis de clients publics ou européens. Les autres cas d'usage peuvent rester sur hyperscaler avec une politique de chiffrement et de sauvegarde adaptée.

Le multi-cloud souverain est-il une stratégie viable ?

Techniquement oui, économiquement c'est exigeant. Le surcoût (FinOps, compétences, abstraction logicielle) est réel et doit être justifié par un bénéfice clair : exit strategy, conformité à des exigences sectorielles, mitigation de risque de défaillance fournisseur. Le multi-cloud par principe, sans cas d'usage précis, conduit souvent à un cloud sprawl coûteux. Voir l'article dédié à l'exit strategy multi-cloud.

Sources citées

  1. https://cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud
  2. https://www.enisa.europa.eu/topics/cloud-and-big-data/eucs
  3. https://www.ovhcloud.com/fr/enterprise/certification-conformity/secnumcloud/
  4. https://www.scaleway.com/fr/securite/
  5. https://fr.outscale.com/secnumcloud/
  6. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  7. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
  8. https://www.cnil.fr/fr/transferts-de-donnees-hors-ue
#cloud-souverain#secnumcloud#ovh#scaleway#outscale#rssi
Cloud

FinOps : réduire la facture cloud de 30 % sans casser la perf

Le FinOps n'est pas une chasse à la dépense : c'est une discipline d'allocation. Voici la méthode en 6 étapes pour récupérer 20 à 30 % sans dégrader le service.
Cloud

Multi-cloud : architecture résiliente et exit strategy hyperscaler

Le multi-cloud n'est pas une stratégie en soi. Il devient pertinent quand il sert continuité, conformité ou pouvoir de négociation. La matrice de décision.
Cybersécurité

Cybersécurité entreprise : l'observatoire 2026 (NIS2, DORA, ReCyF, attaques, marché FR)

Ce qu'un DSI ou RSSI doit retenir de la cybersécurité d'entreprise en 2026 : NIS2, DORA, ReCyF ANSSI, détection, marché français et obligations à venir.