Klaerenn
⌘K
Klaerenn
Tribunes

Cloud Souverain : L'Europe lance le défi aux acteurs qui en parlent

180 millions d'euros, critères publics, notation détaillée. La Commission européenne lance un appel d'offres qui va révéler l'état réel de l'offre cloud souveraine.
Cloud Souverain : L'Europe lance le défi aux acteurs qui en parlent

180 millions d'euros sur 6 ans pour des services cloud souverains. La Commission européenne lance un appel d'offres qui sort du registre déclaratif : critères publics, notation détaillée, budgets réels. Entre décembre 2025 et février 2026, les résultats révéleront l'état réel de l'offre cloud souveraine européenne.

Un appel d'offres qui sort du registre déclaratif

Depuis des années, le débat sur la souveraineté numérique tourne en boucle. Rapports parlementaires, tribunes d'experts, déclarations politiques : tout le monde s'accorde sur l'urgence de réduire notre dépendance aux hyperscalers américains. Mais entre les discours et les actes, l'écart reste béant.

La Commission européenne vient de franchir un cap avec le lancement d'une mini-compétition inédite au sein de son Cloud III Dynamic Purchasing System : 180 millions d'euros pour des services cloud évalués selon un Cloud Sovereignty Framework détaillé. Quatre fournisseurs maximum seront retenus. L'attribution est prévue entre décembre 2025 et février 2026.

Ce n'est pas un énième rapport. C'est un marché ouvert, avec un cahier des charges public et des budgets réels.

Un framework qui opérationnalise huit objectifs de souveraineté

Le framework, publié en septembre 2025, sort de l'incantation pour entrer dans l'opérationnel. Il évalue les fournisseurs sur huit objectifs de souveraineté (SOV-1 à SOV-8), chacun pesant différemment dans la note finale :

Les piliers structurels (poids cumulé : 40%)

  • Souveraineté opérationnelle (20%) : capacité des acteurs européens à opérer le service sans dépendre d'un éditeur étranger
  • Souveraineté de la supply chain (20%) : origine et transparence des composants matériels et logiciels

Les fondamentaux institutionnels (poids cumulé : 35%)

  • Souveraineté stratégique (15%) : ancrage dans l'écosystème industriel et financier européen
  • Souveraineté technologique (15%) : ouverture, standards, absence de lock-in propriétaire
  • Souveraineté juridique (10%) : exposition aux législations extraterritoriales

Les dimensions spécifiques (poids cumulé : 25%)

  • Souveraineté données & IA (10%) : contrôle cryptographique, localisation, gouvernance des modèles
  • Souveraineté sécurité & conformité (10%) : certifications, centres opérationnels en UE
  • Durabilité environnementale (5%) : efficacité énergétique, circularité

Le système combine une barrière à l'entrée (niveaux SEAL minimums pour chaque objectif) et un score de compétitivité pour départager les candidats admissibles.

La supply chain : une vulnérabilité partagée, pesant 20% de la notation

L'analyse du framework révèle une réalité inconfortable. Même les meilleurs acteurs cloud européens se heurtent à un mur : la dépendance aux composants non-européens.

Processeurs (Intel, AMD), GPUs pour l'IA (NVIDIA), firmware, équipements réseau, systèmes de stockage : l'essentiel de la chaîne de valeur matérielle est américaine ou asiatique. OVHcloud fabrique ses propres serveurs, mais avec des puces américaines. T-Systems opère des datacenters en Allemagne, mais sur des technologies dont elle ne contrôle pas la source.

Cette vulnérabilité pèse 20% de la note finale - autant que la souveraineté opérationnelle. C'est une pondération assumée qui reconnaît que sans contrôle de la chaîne d'approvisionnement, il n'y a pas de souveraineté réelle.

Une admission ouverte, une évaluation différenciée

Le Cloud III DPS dans son ensemble est ouvert à tous : AWS, Microsoft Azure, Google Cloud y sont probablement inscrits aux côtés d'OVHcloud, Scaleway, T-Systems et autres acteurs européens. Les critères d'admission sont purement techniques : APIs automatisées, multi-régions EEE, gestion des identités, facturation électronique.

Aucune discrimination par nationalité à l'entrée. Tous peuvent jouer.

Mais cette mini-compétition "souveraineté" change la donne. Les critères SOV-1 (stratégique) et SOV-2 (juridique) pénalisent structurellement les acteurs non-européens. Un calcul rapide suggère qu'AWS pourrait perdre 20 à 25 points sur ces deux seuls critères face à un OVHcloud.

La vraie question n'est donc pas : "Les hyperscalers américains vont-ils postuler ?"

La vraie question est : "Les acteurs européens vont-ils être au rendez-vous ?"

La participation des acteurs européens : une question ouverte

Pour les acteurs français et européens du cloud qui plaident depuis des années pour une politique industrielle favorable, c'est le moment de vérité :

OVHcloud vient de franchir le milliard d'euros de chiffre d'affaires et proclame son modèle souverain. Son CEO, Octave Klaba, a commenté sobrement l'appel d'offres : "Ça prend du temps, mais nous sommes heureux de voir que le marché évolue dans la bonne direction." Mais va-t-il postuler ?

Scaleway (groupe Iliad), T-Systems (Deutsche Telekom), Ionos (United Internet) : autant d'acteurs qui ont l'infrastructure, la présence européenne, et devraient scorer haut sur les critères de souveraineté.

Si ces acteurs ne se positionnent pas sur ce marché, que signifie leur discours sur la souveraineté ?

Des effets potentiels au-delà du montant du contrat

Les 180 millions d'euros peuvent sembler modestes face aux budgets cloud des grandes entreprises. Mais l'impact potentiel dépasse largement le montant :

  1. Effet de référence : un contrat avec les institutions européennes vaut certification de crédibilité
  2. Effet d'entraînement : les États membres observent et pourraient répliquer le framework
  3. Effet d'échelle : le Cloud III DPS prévoit 550M€ de mini-compétitions au total, celle-ci n'est que la première avec un volet souveraineté explicite
  4. Effet normatif : le framework devient une grille de lecture pour le secteur public européen

Quatre paramètres à observer d'ici février 2026

Le cahier des charges complet n'est pas public. Plusieurs inconnues demeurent :

  • Quels seront les niveaux SEAL minimums exigés ? Si la Commission impose SEAL-4 sur les critères stratégiques et juridiques, les hyperscalers américains sont de facto exclus. Si elle accepte SEAL-2, ils peuvent concourir.
  • Y aura-t-il quatre candidats européens crédibles ? Le risque d'une procédure infructueuse existe si l'offre souveraine est trop faible.
  • Comment sera traité le critère supply chain ? Tous les acteurs, européens compris, y sont vulnérables. La Commission sera-t-elle pragmatique ou puriste ?
  • Les institutions européennes accepteront-elles les compromis ? Un cloud souverain mais moins riche fonctionnellement qu'AWS nécessitera des adaptations.

Un test de cohérence collective

Cet appel d'offres est un test de cohérence collective.

Pour la Commission européenne, c'est l'occasion de prouver qu'elle peut transformer les déclarations d'intention en politique d'achat concrète.

Pour les États membres qui réclament la souveraineté, c'est le moment de soutenir activement leurs champions nationaux dans la compétition.

Pour les acteurs européens du cloud, c'est l'opportunité de démontrer qu'ils peuvent répondre aux exigences d'institutions critiques sur du IaaS/PaaS de niveau entreprise.

Et pour les observateurs du débat sur la souveraineté numérique, c'est un révélateur : entre décembre 2025 et février 2026, nous saurons si le cloud souverain européen est une ambition industrielle crédible ou un alibi rhétorique.

Le marché est ouvert. Les critères sont publics. Les budgets sont là.

Reste à savoir qui se présentera. Et ce que leur absence éventuelle dira de l'état réel de l'écosystème cloud européen.

Le Cloud Sovereignty Framework v1.2 est disponible publiquement. L'appel d'offres est lancé dans le cadre du Cloud III Dynamic Purchasing System (DIGIT/2023/DPS/0031). L'attribution est prévue entre décembre 2025 et février 2026 pour un montant total de 180 millions d'euros sur 6 ans.

Sources

  • Commission européenne, Cloud Sovereignty Framework Version 1.2, septembre 2025
  • Commission européenne, "The Commission moves forward on cloud sovereignty with a EUR 180 million tender", 10 octobre 2025
  • Cloud III Dynamic Purchasing System (DIGIT/2023/DPS/0031), février 2024
  • Cloud II DPS (2019-2024), résultats d'attribution publiés sur TED (Tenders Electronic Daily)

Les listes de participants au Cloud III DPS ne sont pas publiques conformément aux règles des Dynamic Purchasing Systems européens.

Initialement publié sur LinkedIn le 2025-10-24

More like this

Les faucons du numérique

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.
Le dernier canal

Le dernier canal

« Le renseignement était authentique. C'était là toute sa beauté. » Le 7 janvier, les États-Unis se sont retirés de trois forums de coopération cyber. Le 9 janvier, la CISA a clôturé dix Emergency Directives. Moins une maturation qu'un arbitrage contraint.
I Am Altering the Deal

I Am Altering the Deal

On January 7, 2026, the United States withdrew from the Hybrid CoE, the Freedom Online Coalition and the GFCE. Three Western cyber forums abandoned. European dependencies remain intact.
I Am Altering the Deal

I Am Altering the Deal

Le 7 janvier 2026, les États-Unis ont quitté le Hybrid CoE, la Freedom Online Coalition et le GFCE. Trois forums cyber occidentaux abandonnés. Les dépendances européennes, elles, restent intactes.
Final report, 2026. Third officer reporting.

Final report, 2026. Third officer reporting.

600 millions de données exposées. 50 organisations majeures compromises. EDR en place, SOC opérationnel, conformité respectée. Elles ont quand même été compromises. Bilan 2025.