# Souveraineté numérique

> Capacité d'un État ou d'une organisation à maîtriser ses infrastructures, données et dépendances numériques, sans coercition extra-territoriale. 70 % du cloud européen est aux mains des GAFAM.

- **Catégorie** : Business
- **URL** : https://www.romaindelfosse.fr/glossary/souverainete-numerique/

---

La **souveraineté numérique** désigne la capacité d'un État, d'une organisation ou d'un territoire à maîtriser ses infrastructures numériques, ses données et ses dépendances technologiques — sans coercition extra-territoriale (Cloud Act, sanctions, fermeture stratégique de fournisseurs). Ce n'est pas un statut binaire mais un **vecteur multi-axes** : data, opérationnelle, technologique, capitalistique, politique. En 2025, les hyperscalers américains détiennent environ 70 % du marché cloud européen, et l'essentiel de l'IA générative se concentre chez quelques acteurs US (OpenAI, Anthropic, Google). La réponse européenne se structure autour de SecNumCloud (ANSSI, 9 prestataires qualifiés fin 2025), GAIA-X, l'EU AI Act et l'appel d'offres cloud souverain de 180 M€ lancé par la Commission en avril 2026.

## Les 5 axes de la souveraineté numérique

La souveraineté n'est pas un attribut, c'est une **exposition au risque** qui se mesure axe par axe.

| Axe | Question opérationnelle |
|-----|-------------------------|
| **Data** | Mes données peuvent-elles être lues ou saisies par une juridiction étrangère via une requête légale ? |
| **Opérationnelle** | Si demain mon fournisseur me coupe (sanctions, faillite, décision stratégique), suis-je à l'arrêt ? |
| **Technologique** | Qui contrôle la chaîne — puces, poids des modèles, frameworks ? Si elle se ferme, ai-je une alternative locale crédible ? |
| **Capitalistique / IP** | Qui détient le contrôle stratégique de l'entreprise (capital, brevets, gouvernance) ? Quelles juridictions s'appliquent à ces actionnaires ? |
| **Politique / valeurs** | Le système porte-t-il les valeurs ou biais d'un autre référentiel (censure, alignement, narratif) ? |

La question utile n'est pas *« est-ce souverain ? »* mais *« sur quel axe je ne peux pas me permettre de dépendance, et quelle option me protège sur cet axe ? »*. Les cinq axes ne sont jamais simultanément maximisables — il y a toujours un arbitrage à formuler, et il varie selon le secteur (santé, défense, finance, retail, médias) et le profil de risque.

## Cadre réglementaire

Le **Cloud Act** américain (2018) impose à tout fournisseur sous juridiction US (AWS, Microsoft, Google, mais aussi Cloudflare, Datadog, GitHub, etc.) de fournir aux autorités américaines les données qu'il héberge, **même physiquement situées en Europe**. Il prévaut sur les législations locales et ne nécessite ni notification de la personne concernée ni procédure judiciaire dans le pays d'hébergement.

Côté européen, le **RGPD** (2018) encadre la collecte, le traitement et le transfert des données personnelles, mais ne traite pas la souveraineté infrastructure. L'arrêt **Schrems II** de la CJUE (2020) a invalidé le Privacy Shield, reconnaissant que les transferts de données vers les États-Unis ne pouvaient être présumés conformes en raison du Cloud Act et du FISA 702. L'**EU AI Act** (2024) ajoute une couche pour les systèmes d'IA à usage général (GPAI), avec obligations renforcées pour les modèles à risque systémique.

Au niveau national, le référentiel **SecNumCloud** de l'ANSSI exige que le fournisseur cloud soit immunisé contre les droits extra-européens : hébergement UE, personnel UE, capital majoritairement européen, isolation juridique vis-à-vis des entités non-européennes du groupe. Au 1er décembre 2025, 9 prestataires sont qualifiés (OVH, Outscale, Cloud Temple, Orange Business, Worldline, Cegedim, Pronote, Hyperplanning, Oodrive) et 12 sont en cours de qualification (Scaleway, S3NS, NumSpot, Bleu).

## Faire de la souveraineté un outil de décision

Quel que soit le type d'organisation — entreprise privée, ETI, scale-up, administration, association — l'approche utile est la même : transformer un mot-slogan en grille d'arbitrage opérationnelle.

**1. Classifier les données et les charges par sensibilité.** Tout n'a pas vocation à être souverain. Une vidéothèque marketing peut vivre sur un hyperscaler US sans risque ; les données clients, RH, propriété intellectuelle ou financières demandent un examen plus rigoureux. Trois ou quatre niveaux de sensibilité (public / interne / confidentiel / régulé) suffisent pour cadrer les décisions.

**2. Mapper chaque charge sur les 5 axes.** Pour chaque charge, identifier l'axe qui domine le risque. Une base de R&D = axe technologique et IP critique. Un CRM = axe data critique. Un SaaS support interne = axes moins critiques. Cette grille évite à la fois la sur-conformité (tout passer en SecNumCloud par principe, coût élevé sans bénéfice) et la sous-conformité (tout chez AWS sans réflexion).

**3. Exiger réversibilité et transparence.** Les axes capitalistique et opérationnel se gèrent par contrat : engagements de localisation, clauses de réversibilité testées, accès aux logs d'accès souverains (qui a lu mes données ?), exit plans documentés. Un fournisseur qui refuse ces clauses signale lui-même son manque de souveraineté.

**4. Diversifier sans complexifier.** Le multi-cloud par principe est coûteux. Le multi-cloud sur les charges critiques (un primaire + un secondaire de juridiction différente) est un levier de souveraineté pertinent — le verrouillage chez un acteur unique reste l'erreur la plus fréquente.

Pour un acteur public, le levier supplémentaire est la **commande publique** : 200 milliards d'euros annuels d'achats publics en France peuvent tirer la demande pour des solutions souveraines. Pour un acteur privé, c'est le **risque opérationnel** (Cloud Act, sanctions) qui justifie l'investissement, pas un argument de pavillon.

## Limites et débats ouverts

La quête de souveraineté absolue est impossible : NVIDIA conserve un quasi-monopole sur les GPU haut de gamme, ASML détient le monopole de la lithographie EUV, et aucun acteur européen ne peut concurrencer OpenAI ou Anthropic sur les modèles fondation à l'échelle. Le débat oppose deux écoles : les tenants de l'**autonomie stratégique ouverte** (collaborer avec des partenaires fiables tout en construisant des alternatives sur les segments critiques) et ceux d'une **souveraineté forte** (priorité absolue aux acteurs locaux, quitte à accepter un retard technologique). En pratique, la majorité des stratégies publiques européennes adoptent la première approche, en concentrant les exigences fortes sur les segments les plus sensibles (cloud souverain, identité numérique, données de santé).


## Chiffres clés

- Les hyperscalers américains (AWS, Azure, Google Cloud) détiennent environ 70 % du marché cloud européen en 2025, contre moins de 10 % pour les acteurs européens *(TechCrunch — Europe's efforts to ditch US software — avril 2026)*

- 9 prestataires sont qualifiés SecNumCloud en décembre 2025 (Cegedim, Cloud Temple, OVH, Orange Business, Outscale, Worldline, Pronote, Hyperplanning, Oodrive), 12 sont en cours de qualification (Scaleway, S3NS, NumSpot, Bleu, …) *(Usine Digitale — décembre 2025)*

- L'appel d'offres cloud souverain de la Commission européenne (avril 2026) a retenu 4 fournisseurs pour 180 millions d'euros : Post Telecom + CleverCloud + OVHcloud ; StackIT ; Scaleway ; Proximus + S3NS + Clarence + Mistral *(DCD — EU Commission selects four cloud providers — avril 2026)*

- Mistral AI a levé 3,05 milliards de dollars cumulés sur 7 tours de financement. Le Series C de septembre 2025 (mené par ASML pour 2 Md$) valorise l'entreprise à 14 Md$, faisant de Mistral le poids lourd européen de l'IA générative — avec un capital majoritairement non-européen *(Tracxn / Bloomberg — septembre 2025)*



## Questions fréquentes

### Un LLM open-source d'origine étrangère hébergé en local est-il souverain ?

Cela dépend de l'axe considéré. Un modèle comme Qwen, DeepSeek ou GLM hébergé sur infrastructure on-premise en Europe offre une souveraineté data forte (pas de Cloud Act applicable, pas de phone-home si déploiement maîtrisé) et une souveraineté opérationnelle forte (vous avez les poids, vous servez indépendamment du pays d'origine).En revanche, la souveraineté technologique est faible : si l'éditeur cesse de publier les versions ouvertes, ou si la juridiction d'origine bloque l'export, vous êtes figé sur la version dont vous disposez. La souveraineté capitalistique est nulle (aucune valeur captée localement, aucun emploi, aucun écosystème). La souveraineté politique/valeurs est risquée : les biais d'alignement reflètent le contexte d'entraînement (censure, narratifs, normes culturelles), souvent invisibles sur des prompts business mais détectables sur des prompts géopolitiques ou éthiques.Acceptable pour un usage tactique court terme, problématique comme socle pluriannuel d'une organisation.

### Un LLM européen avec des actionnaires américains majoritaires est-il souverain ?

Cas Mistral : 3,05 Md$ levés cumulés, capital majoritairement non-européen depuis le Series A (a16z, 2023), Series C de septembre 2025 mené par ASML pour 2 Md$ (valorisation 14 Md$), partenariat compute stratégique avec Microsoft Azure depuis février 2024 (Microsoft a investi 15 M€). Modèles ouverts pour partie (Mistral 7B, Mixtral), équipe et entraînement en France.La souveraineté technologique et politique/valeurs est forte (modèles ouverts, équipe française, alignement européen revendiqué). La souveraineté data dépend du déploiement : Azure UE ou self-hosted = bon, Azure US = exposé Cloud Act. La souveraineté capitalistique est moyenne-faible : capital US significatif, gouvernance hybride, risque OFAC réel si les US décident de sanctionner un client. La souveraineté opérationnelle est moyenne : Microsoft est un partenaire compute critique.Meilleur qu'un GPT-4 sur la plupart des axes, mais pas équivalent à un acteur 100 % européen sur le capital et l'opérationnel.

### Le RGPD garantit-il la souveraineté numérique ?

Non. Le RGPD est un cadre de protection des données personnelles, pas de souveraineté. Une entreprise européenne hébergée chez AWS Francfort peut être conforme RGPD tout en étant exposée au Cloud Act : les autorités américaines peuvent demander les données à AWS, qui doit s'exécuter même si les serveurs sont physiquement en Allemagne. Cette dualité a été reconnue par la CJUE dans l'arrêt Schrems II (2020), qui a invalidé le Privacy Shield. La souveraineté numérique exige de combiner RGPD + cadre opérationnel (SecNumCloud, EUCS) + maîtrise capitalistique du fournisseur.

### Quelle est la différence entre SecNumCloud et un cloud public standard ?

SecNumCloud est un référentiel de l'ANSSI exigeant que le fournisseur soit immunisé aux droits extra-européens. Il impose : (1) hébergement physique en UE, (2) personnel et opérations en UE, (3) capital majoritairement européen avec actionnariat transparent, (4) chiffrement et opérations isolées des entités non-européennes du groupe.AWS Francfort n'est pas SecNumCloud (capital US). Bleu (joint-venture Microsoft + Capgemini + Orange dédiée au secteur public sensible) et S3NS (joint-venture Google + Thales) tentent de qualifier des entités juridiquement isolées. En décembre 2025, 9 prestataires sont qualifiés et 12 en cours. La qualification SecNumCloud est obligatoire pour les opérateurs d'importance vitale (OIV) hébergeant des données sensibles.



## Ressources

- [Référentiel SecNumCloud v3.2](https://cyber.gouv.fr/offre-de-service/solutions-certifiees-et-qualifiees/services-de-securite-evalue/solutions-en-cours-de-qualification/prestataires-secnumcloud/?utm_source=romaindelfosse&utm_medium=glossaire&utm_campaign=souverainete-numerique) — ANSSI

- [GAIA-X Federation](https://gaia-x.eu/?utm_source=romaindelfosse&utm_medium=glossaire&utm_campaign=souverainete-numerique) — GAIA-X AISBL

- [Souveraineté numérique — Réduction des dépendances extra-européennes](https://www.numerique.gouv.fr/sinformer/espace-presse/souverainete-numerique-reduction-dependances-extra-europeennes/?utm_source=romaindelfosse&utm_medium=glossaire&utm_campaign=souverainete-numerique) — DINUM

- [Open Strategic Autonomy — Strategic Foresight Report 2021](https://commission.europa.eu/strategy-and-policy/strategic-foresight/2021-strategic-foresight-report_en?utm_source=romaindelfosse&utm_medium=glossaire&utm_campaign=souverainete-numerique) — Commission européenne