Un scénario de politique fiction a récemment marqué les esprits : Donald Trump annonce interdire aux entreprises américaines de la tech - dont Microsoft, Google, Amazon, Meta et Apple - de continuer à fournir leurs services au Danemark. Et déclare que les États-Unis lèveront cet embargo en échange de la vente du Groenland… Ce scénario est signé Henri d’Agrain, délégué général du Cigref, une association qui réunit de grandes entreprises et administrations autour des questions numériques. Jugeant lui-même ce scénario extrêmement peu probable, l’auteur de ces lignes vise surtout à éveiller la réflexion sur les "dépendances technologiques" vis-à-vis des États-Unis, "et leurs conséquences économiques ou géopolitiques".
Il faut dire que le chiffre est édifiant : environ 80 % des produits, services et infrastructures numériques utilisés en Europe sont fournis par des acteurs étrangers, selon le rapport Draghi sur l’avenir de la compétitivité européenne.
L’effet Trump
Rien de nouveau, derrière ce chiffre cité par l’ancien président de la Banque centrale européenne. Mais le risque d’une telle dépendance est monté en flèche avec le retour au pouvoir de Trump à la présidence des États-Unis. Et de sa politique surréaliste.
Hors du monde l’entreprise, les États-Unis ont par exemple décrété l’an dernier des sanctions contre des magistrats de la Cour pénale internationale, en réaction à l’émission des mandats d’arrêt visant le Premier ministre israélien, Benyamin Netanyahou, pour des crimes de guerre et crimes contre l’humanité. Un juge a témoigné des conséquences : carte Visa bloquée, coupure d’accès à une foule de services numériques américains, d’Amazon à Airbnb, interdiction de se rendre aux USA…
"Donald Trump est notre meilleur commercial aujourd’hui", confie un cadre d’une PME française experte des services cloud, qui dit discuter actuellement avec un grand groupe français sur un possible rapatriement de données dans l’Hexagone. Une déclaration "en off", car peu nombreux sont les dirigeants à s’exprimer sur ce sujet. Comme l’a fait le PDG de TotalEnergies, Patrick Pouyanné : "Quand je dois faire des choix de cloud et que je dois choisir entre Amazon, Microsoft ou Google, je ne suis pas très à l’aise", a-t-il déclaré au forum InCyber l’an dernier. Avant d’appeler de ses vœux l’émergence d’un "cloud européen" et d’un régulateur unique pour les 27 pays de l’UE.
Se protéger contre l’espionnage industriel
L’enjeu est de taille. Car, outre le scenario peu probable d’une coupure de services ou "kill switch" généralisé, d’autres risques existent. À commencer par l’espionnage industriel. Les fuites de données au moyen de lois dites extraterritoriales comme le Cloud Act ou le Foreign Intelligence Surveillance Act (Fisa), constituent un risque bien réel pour les entreprises.
"La loi Fisa permet aux services de renseignement américains d’accéder de manière secrète mais légale, et de façon massive, aux données des personnes physiques ou morales étrangères, lorsqu’elles sont détenues par une entreprise de droit américain, résume Henri d’Agrain. Une législation comparable existe aussi en Chine."
"Nous aurons des affaires d’espionnage industriel retentissantes dans les années qui viennent"
PDG de Cheops Technology (750 salariés), acteur girondin du cloud et de la cybersécurité, Nicolas Leroy-Fleuriot abonde dans le même sens. "Le Cloud Act intime l’ordre aux opérateurs de cloud américains comme Amazon, Google et Microsoft de dévoiler les données de n’importe quelle entreprise hébergée chez eux, si un juge ou une agence de renseignement estime qu’il y a un risque pour la sécurité des États-Unis. Et la concurrence économique est considérée comme telle, détaille-t-il. Nous aurons des affaires d’espionnage industriel retentissantes dans les années qui viennent", prédit-il.
"Sur la souveraineté, il y a autant de définitions que de personnes à qui vous posez la question"
En France, une prise de conscience de l’importance d’un cloud souverain semble se dessiner face aux mastodontes américains… Reste à définir le terme "cloud souverain", pour lequel il n’existe ni définition juridique, ni label officiel. Que ce soit à l’échelle française ou européenne.
Un 100 % made in Europe hors de portée
"Sur la souveraineté, il y a autant de définitions que de personnes à qui vous posez la question", commente Sebastien Lescop, DG de Cloud Temple (350 salariés, près de 60 M€ de CA). Il y a quelques années une note de l’Était français évoquait certes un hébergement et traitement des données physiquement réalisés dans les limites du territoire national, par une entité de droit français et en application des lois et normes françaises. Mais la définition peut s’enrichir ou varier selon les acteurs. "La souveraineté au sens strict exigerait que tout soit 100 % français", estime Paul Collignon, chargé de mission à l’Alliance Française des Industries du Numérique. Un but inatteignable aujourd’hui pour la France, rappelle-t-il. "Seule la Chine est aujourd’hui capable d’opérer l’ensemble de la chaîne, de l’extraction du minerai jusqu’à la création du logiciel en passant par la fabrication des serveurs, des puces…", acquiesce Stanislas de Rémur, membre du comex du syndicat des professionnels du numérique Numeum. "Parler de cloud souverain n’a pas de sens ! Il faut plutôt parler d’un cloud au service de la résilience des entreprises européennes", s’agace de son côté Henri d’Agrain.
L’émergence du cloud de confiance
De fait, les experts se focalisent aujourd’hui sur la notion de "cloud de confiance". Terme pour lequel, il existe a contrario une certification française faisant autorité : SecNumCloud. Proposée par l’Agence nationale de la sécurité des systèmes d’information (Anssi), cette qualification impose notamment des garanties de cybersécurité, la localisation des données dans l’UE, un prestataire européen en termes de siège social et de capitalisation, ou encore qu’en cas de recours à des fournisseurs ou sous-traitants non européens ceux-ci n’ont aucun accès aux données des clients. 1 200 points de contrôle sont vérifiés in situ par un évaluateur indépendant, sous contrôle de l’Anssi pour obtenir la qualification. "Les offres qualifiées SecNumCloud sont sans le moindre doute souveraines, entre guillemets", estime le DG du gendarme français de la cybersécurité, Vincent Strubel.
Airbus lance un appel d’offres à 50 millions d’euros
Récemment, des entreprises ont évoqué publiquement leur besoin en cloud européen sécurisé. Airbus a ainsi lancé un appel d’offres d’une valeur estimé de 50 millions auprès des fournisseurs d’hébergement européens, avec des infrastructures installées en Europe, afin de pouvoir exploiter une partie de ses données sensibles (actuellement hébergées en interne) sur le cloud à l’avenir, rapporte le journal Les Échos. "C’est le seul moyen de nous protéger des lois extraterritoriales, en particulier américaines, ou contre le risque que quelqu’un, dans un Bureau ovale, puisse exiger de notre fournisseur d’hébergement, qu’il nous prive d’accès à nos applications et à nos données", commente Catherine Jestin, directrice de l’information et du digital du groupe.
Développer une IA souveraine
Le risque qu’un partenaire américain coupe ses services pour des raisons géopolitiques a aussi été un déclic pour la Caisse des Dépôts (CDC), qui a décidé de repenser en profondeur sa stratégie numérique. Le bras armé de l’Était en matière économique a opté pour un mix entre cloud public, cloud de confiance et data center interne, en fonction du caractère critique des applications. Et travaillé en lien avec Sopra Streria et Oodrive, entre autres. Avec notamment de gros enjeux autour de l’IA…"Nous avons décidé de lancer de nouvelles solutions autour de l’IA que nous souhaitons souveraines, indique Arnaud Martin, directeur des risques opérationnels, cyber et contrôle du groupe. Nous déployons l’IA de Mistral sur des solutions SecNumCloud françaises"
"La demande s’accélère"
Y a-t-il un réel essor de la demande ? "La demande s’accélère, à la fois pour réinternaliser le cloud chez le client ou chez un opérateur français mais aussi pour identifier les tentatives d’intrusion", observe Nicolas Leroy-Fleuriot, du côté de Cheops Technology. "On sent clairement un mouvement. Il y a quelques années toutes les entreprises mettaient leurs données dans les grands fournisseurs de cloud : Microsoft Azure, Amazon Web Services, OVH, Outscale… Désormais, elles font le tri entre ce qui doit être hébergé dans ces clouds, ou dans un cloud de confiance, voire en interne. C’est ce qu’on appelle le cloud hybride", répond Stanislas de Rémur, par ailleurs dirigeant de la société Oodrive.
"Toutes les données des entreprises ne sont pas sensibles"
Toutes les entreprises sont-elles concernées de la même façon ? Des secteurs comme la défense, l’aéronautique, l’énergie, la santé et la banque sont concernés. En particulier, les entreprises classées "opérateurs d’importance vitale" par l’État, jugés indispensables à la survie de la nation. "Néanmoins, il ne faut pas tomber dans l’excès. Toutes les données des entreprises et des Français ne sont pas sensibles et critiques", tempère Sebastien Lescop, de Cloud Temple. Cette société française, dont 100 % des produits sont qualifiés SecNumCloud, travaille notamment avec Naval Group, Suez, l’Apave et le groupe Avril. "Actuellement, 20 % de notre chiffre d’affaires provient de clients qui exigent cette qualification, constate-t-il. Dans le reste des cas, ce n’était pas un prérequis des appels d’offres."
Un risque financier
La question de l’indépendance technologique - et économique – pourrait davantage encore fédérer les entreprises.
Le dirigeant de Cloud Temple invite ainsi à "supprimer les dépendances envers des fournisseurs, et à éviter technologies qui enferment". Il s’agit de permettre une continuité de service en cas de problème, notamment avec des solutions open source ou des technologies reconnues comme des standards internationaux même si elles sont payantes.
La situation génère des risques financiers. "Quand vous n’avez qu’un seul fournisseur, vous pouvez subir des hausses de prix très importantes", souligne Stanislas de Rémur. On l’a vu avec Microsoft qui a augmenté ses prix de parfois 25 % pour 2026. "Des hausses ont été annoncées pour les clients entreprises sur les abonnements à Microsoft 365 et Office 365 notamment.
"L’Europe a fait le choix de dépendre quasi intégralement des États-Unis pour ses services numériques. Nous avons eu tort."
L’expert appelle à "diversifier, les sources d’approvisionnement", à la manière dont les États et les entreprises européennes de l’énergie ont réduit leur dépendance au gaz et pétrole russes. "C’est pareil pour le numérique. On s’est focalisé sur une seule source d’approvisionnement, en faisant le choix de dépendre quasi intégralement des États-Unis. Nous avons eu tort, commente-t-il. L’Europe doit faire émerger des entreprises du numérique fortes, essentielles à son économie."
264 milliards, le coût de la dépendance aux USA
Et cette dépendance technologique de l’Europe a un coût. En 2025, la dépendance numérique en matière de logiciels et de services cloud BtoB a été évaluée à près de 264 milliards d’euros, selon une étude du cabinet Asterès pour le Cigref. En captant ne serait-ce que 15 % de cette manne, l’Europe "créerait près de 500 000 emplois" ajoute l’association. "Est-ce qu’il est bien raisonnable que quasi tous les services numériques réalisés aux États-Unis ?, interroge Henri d’Agrain. Dans une économie avancée, ne pas disposer de sa propre industrie du numérique, c’est se condamner à mourir."
Reste à bâtir une offre européenne à la hauteur des enjeux. Ce qui n’est pas encore le cas. L’avionneur Airbus n’a ainsi pas l’assurance de réussir son pari. Catherine Jestin confiait récemment à l’Usine digitale que les chances de trouver le prestataire européen souhaité étaient de 80 %.
Favoriser la commande publique
Des voix s’élèvent aujourd’hui pour résoudre l’équation. Dont celle de l’ESTIA, la nouvelle alliance européenne dédiée au cloud souverain. Née fin 2025, elle réunit une dizaine de poids lourds, dont Airbus, Dassault Systèmes, Deutsche Telekom, Telecom Italia, OVHcloud ou Sopra Steria. Ses revendications ? Une définition claire du cloud souverain dans la loi européenne incluant notamment localisation des données dans l’UE et mesures de protections contre les législations extraterritoriales. Mais aussi une politique stratégique de commande publique pour soutenir les services européens de cloud souverain.
Créer une impulsion
D’autres aimeraient même aller plus loin. Et soutenir la demande des entreprises. "C’est important mais ça reste symbolique. En France, le budget IT de l’État est de l’ordre de 4 milliards d’euros, une goutte d’eau, estime Henri d’Agrain. En comparaison, à elles seules, quatre banques - Crédit Agricole, BNP Paribas, BPCE et Société Générale - dépensent cinq fois plus que l’État." Pour le délégué général du Cigref, une définition européenne pourrait ouvrir la voie à un dispositif d’incitation fiscale sur le continent, pour une entreprise qui déciderait de protéger ses données sensibles dans un cloud de confiance, auprès entreprise européenne labellisée. Un moyen de créer une véritable impulsion pour la filière.
