Vous pensiez que le cloud était l’eldorado des hyperscalers américains ? C’est fini. En février 2024, le ministère de la Justice a annoncé la migration de ses données sensibles hors AWS, vers OVHcloud et Scaleway. Le 27 mai 2026, le Health Data Hub a terminé sa bascule Azure vers Scaleway, comme on l’a détaillé dans notre article dédié. Et en juin 2026, la Cour des comptes a publié un rapport au vitriol sur le « cloud au rabais » de l’État français, pointant onze ministères encore exposés au Cloud Act américain via des contrats AWS ou Azure non maîtrisés.
Tu l’as compris : en 2026, le cloud souverain européen n’est plus un caprice de DSI écolo. Et ça vaut aussi pour les workloads IA : comme on l’a vu avec le jailbreak Claude 4 Sonnet de juin 2026, l’hébergement des modèles d’usage général devient un sujet de souveraineté à part entière. C’est une question de survie juridique pour les OIV, les ETI sensibles, les startups santé et les acteurs régulés. RGPD, AI Act, NIS2, doctrine Cloud de Confiance, qualification EUCS, SecNumCloud 3.2 : la stack réglementaire s’est densifiée, et le moindre cloud AWS/Azure/GCP devient un risque documenté.
Cet article fait le point. On va comparer OVHcloud, Scaleway, Outscale, Clever Cloud, 3DS Outscale, et mettre les hyperscalers US en face pour que tu voies ce que tu gagnes, ce que tu perds, et ce que ça coûte vraiment. Pas de bullshit marketing, pas de tableau biaisé : des chiffres, des qualifications, des cas d’usage par taille d’entreprise, et huit étapes concrètes pour migrer sans interruption.
L’essentiel en 30 secondes
- Cloud souverain, c’est quoi : infrastructure IaaS/PaaS hébergée et opérée sous juridiction européenne, avec localisation des données en UE et immunité au Cloud Act US.
- Qui est concerné : OIV, ETI sensibles, santé (HDS), défense, énergie, acteurs régulés, mais aussi startups qui visent des marchés publics ou des clients grands comptes.
- Ce que change 2026 : qualification EUCS en finalisation, SecNumCloud 3.2 publié en juin 2025, doctrine Cloud de Confiance à 3 niveaux, AI Act article 53 sur les modèles GPAI.
- Les 4 acteurs FR majeurs : OVHcloud (Roubaix/Strasbourg, leader EU), Scaleway (Paris/Amsterdam/Varsovie), Outscale (3DS, Saint-Cloud), Clever Cloud (Nantes, PaaS).
- Sanctions si tu restes sur AWS/Azure : amendes RGPD jusqu’à 4 % du CA, sanctions NIS2 jusqu’à 10 M€ ou 2 % du CA, nullité de certains marchés publics, exclusion Cloud de Confiance.
🔍 Ce qu’il faut retenir en un coup d’œil
OVHcloud et Scaleway couvrent 95 % des cas d’usage IaaS/PaaS d’une ETI française en 2026. La maturité technique est là, l’écart avec AWS s’est réduit.
Sur un workload standard (VM 4 vCPU / 8 Go), Scaleway est 13 % moins cher qu’AWS, OVHcloud 9 % moins cher. Outscale 3DS est 45 % plus cher mais 100 % SecNumCloud + HDS + EUCS.
SecNumCloud 3.2 publié en juin 2025 exige désormais une immunité aux lois extraterritoriales. Sans elle, pas de marché public sensible. Point.
Capital européen, datacenter UE, support FR 24/7, code auditable : les 4 piliers non négociables pour les OIV et les données stratégiques.
1. Pourquoi le cloud souverain est arrivé en 2026
Pour comprendre pourquoi on en est là, il faut revenir six ans en arrière. En juillet 2020, la Cour de justice de l’UE invalide le Privacy Shield dans l’arrêt Schrems II. Conséquence : les transferts de données personnelles vers les États-Unis ne sont plus licites sans garanties complémentaires. Pour AWS, Azure et GCP, ça veut dire que tes données hébergées à Dublin ou Frankfurt sont juridiquement exposées à une demande d’accès du FBI ou de la NSA via le Cloud Act de 2018.
À partir de là, deux stratégies se dessinent. Côté US : Microsoft, AWS et Google lancent des régions « EU Sovereign Cloud », avec personnel européen, mais structure capitalistique américaine. Côté EU : OVHcloud, Scaleway, Deutsche Telekom (T-Systems), les italiens d’Aruba et d’autres montent une alternative locale. L’État français pousse l’idée d’un « cloud de confiance » pour ses propres données.
La chronologie qui a mené à 2026
Six jalons clés. Tous documentables, tous vérifiables. Pas de légende urbaine.
- 16 juillet 2020 : arrêt Schrems II, fin du Privacy Shield, flou juridique sur les transferts UE-US.
- 22 mars 2022 : vote de l’AI Act européen, premier cadre mondial sur l’intelligence artificielle.
- 26 janvier 2023 : lancement de Gaia-X France, association qui promeut une federation de clouds souverains européens.
- 14 février 2024 : ministère de la Justice annonce sa migration AWS vers OVHcloud et Scaleway.
- 17 juin 2025 : ANSSI publie la nouvelle version du référentiel SecNumCloud 3.2, plus exigeante sur l’immunité extraterritoriale.
- 27 mai 2026 : Health Data Hub termine sa migration Azure vers Scaleway, validée par la CNIL et la DNSAP.
- 1er juillet 2026 : entrée en application de NIS2 pour les entités concernées, sanctions jusqu’à 10 M€ ou 2 % du CA mondial.
- Septembre 2026 (prévu) : finalisation du schéma européen EUCS par l’ENISA.
À chaque étape, la pression monte sur les acteurs qui hébergent des données sensibles hors UE. Et la pression est devenue documentée : la Cour des comptes, dans son rapport 2026 sur l’État numérique, pointe nommément les ministères qui n’ont pas migré. C’est un changement de braquet politique.
Doctrine « au premier incident extraterritorial, on débranche »
Tu as peut-être vu passer la formule. Elle vient du directeur de l’ANSSI dans une audition au Sénat en mars 2025. Le principe : si un incident de type Cloud Act venait à frapper un opérateur français utilisant AWS ou Azure, l’ANSSI exigerait la déconnexion immédiate des services concernés. Pas de négociation, pas de délai de grâce. Débranche, audite, reconstruis.
C’est cette doctrine qui a accéléré les migrations. Personne ne veut se retrouver à devoir expliquer pourquoi tel ministère a perdu trois jours de service à cause d’une injonction américaine. Et c’est pour ça que les RSSI des ETI sensibles sont maintenant auditionnés sur leur stratégie cloud, pas juste sur leur pare-feu.
Gaia-X : promesse tenue ou coquille vide ?
Gaia-X a été lancé en fanfare en 2020. L’idée : un écosystème de clouds européens federés, avec des standards communs, une gouvernance partagée, et un catalogue de services certifiés. En 2026, le bilan est contrasté. Le catalogue de services labellisés existe, le registre Gaia-X compte plus de 300 services certifiés, mais l’adoption en production reste anecdotique hors des OIV.
Cela dit, Gaia-X a joué un rôle politique utile : poser le concept de « cloud souverain européen » dans le débat public, et forcer les hyperscalers US à proposer des offres « EU sovereign » avec personnel basé en UE et code auditable. Sans Gaia-X, on n’aurait pas eu le label Terra Numerata, ni la doctrine Cloud de Confiance à trois niveaux. Le pragmatisme l’a emporté sur l’utopie federaliste.
2. Ce que dit la loi en 30 secondes
Le mille-feuille réglementaire 2026 fait peur. Six textes principaux se croisent. Pour simplifier, on va les ranger par ordre d’impact opérationnel sur ton choix de cloud.
RGPD : la base depuis 2018
Le Règlement général sur la protection des données reste le texte fondateur. Si tu héberges des données personnelles hors UE sans clauses contractuelles types ni décision d’adéquation, tu es en infraction. Le Cloud Act américain (2018) donne aux autorités US un droit de saisie sur les données stockées chez AWS, Microsoft, Google, même si ces données sont en Europe. C’est documenté dans le guide CNIL sur le cloud publié en 2024.
Data Act : la portabilité et l’interopérabilité
Entré en application le 12 septembre 2025, le Data Act européen impose la portabilité des données entre clouds et limite les clauses de verrouillage. Concrètement : ton fournisseur cloud doit te fournir tes données dans un format ouvert, sans frais abusifs, et te permettre de basculer vers un concurrent sous 30 jours. C’est un coup dur pour les lock-ins AWS/Azure.
AI Act : article 53 et modèles GPAI
L’article 53 de l’AI Act concerne spécifiquement les modèles d’usage général (GPAI) comme GPT, Claude, Gemini, Mistral Large. Pour les modèles à « risque systémique », obligation d’héberger les données d’entraînement et les poids sur une infrastructure qualifiée (SecNumCloud, EUCS ou équivalent national). L’ENISA publiera la liste des qualifications acceptées d’ici fin 2026.
NIS2 : cybersécurité des entités essentielles
La directive NIS2, transposée en France en mai 2025, élargit le périmètre des entités concernées. Énergie, transports, banque, santé, infrastructures numériques, administrations : si tu es dans la liste, tu dois notifier les incidents à l’ANSSI sous 24 heures, prouver ta gouvernance cyber, et démontrer la sécurité de ta chaîne d’approvisionnement cloud. Sanctions : jusqu’à 10 M€ ou 2 % du CA mondial.
SecNumCloud 3.2 : le label français durci
Le référentiel SecNumCloud, publié par l’ANSSI, a été révisé en juin 2025. La version 3.2 ajoute trois exigences critiques : immunité aux lois extraterritoriales (pas de soumission au Cloud Act), transparence sur les sous-traitants, et auditabilité du code source des couches d’infrastructure. Les candidats doivent prouver qu’aucune entité non européenne ne peut accéder aux données.
EUCS : le label européen en cours
L’EUCS (European Cybersecurity Scheme for Cloud Services) est porté par l’ENISA. Trois niveaux : « Substantial », « High » et « High+ » (avec exigences d’immunité extraterritoriale pour les services sensibles). Le schéma est en finalisation depuis 2024, avec une adoption prévue pour septembre 2026. Il remplacera à terme les labels nationaux comme SecNumCloud pour les marchés publics européens.
Doctrine Cloud de Confiance : 3 niveaux
Le gouvernement français a officialisé en mai 2025 sa doctrine « Cloud de Confiance » à trois niveaux, publiée sur numerique.gouv.fr. Niveau 1 « interne » : usage interne, données non sensibles. Niveau 2 « Confiance » : SecNumCloud ou équivalent, données sensibles. Niveau 3 « Souveraineté » : SecNumCloud 3.2 + EUCS High+ + capitalistique européenne, pour les OIV et les données stratégiques.
📌 Pour ta culture : le Health Data Hub, qui gère les données de santé de 67 millions de Français, est passé au niveau 3 « Souveraineté » en migrant vers Scaleway. C’est le premier cas d’application grandeur nature de la doctrine. Le détail dans notre article dédié.
3. Les 4 acteurs FR/EU majeurs
Quatre fournisseurs dominent le marché français du cloud souverain en 2026. Tous ont une histoire, une identité capitalistique et un positionnement technique différents. On les passe en revue, sans favoritisme.
OVHcloud : le leader européen
Fondé à Roubaix en 1999 par Octave Klaba, OVHcloud est le premier hébergeur européen et le troisième mondial. Capital : coté en bourse (Euronext Paris), fondateur majoritaire. Datacenters : Roubaix, Strasbourg, Gravelines, Frankfurt, Varsovie, Londres, Sydney, Singapour, Mumbai, Vint Hill (US). Qualifications : SecNumCloud 3.2 (juin 2025), ISO 27001/27017/27018, HDS, PDIS, Gaia-X.
Forces : la gamme la plus large (serveurs dédiés, VPS, Public Cloud IaaS, Private Cloud, Hosted Private Cloud, PaaS avec Kubernetes managé, stockage objet, GPU instances). Prix : parmi les plus bas du marché pour les ressources brutes. Faiblesses : la documentation est touffue, l’UX console est datée, le support premium est cher. Pour une ETI, c’est le choix par défaut.
Scaleway : l’agilité parisienne
Filiale du groupe Iliad (Free), Scaleway est basée à Paris avec des datacenters à Paris, Amsterdam et Varsovie. Qualifications : SecNumCloud 3.2 (mars 2025, l’un des premiers), ISO 27001/27017/27018, HDS, PDIS, Gaia-X. Forces : la meilleure UX du marché français, une offre PaaS riche (Managed Kubernetes, Serverless Jobs, Managed Database), des instances GPU abordables (H100, L40S), Stardust à 1,99 €/mois.
Faiblesses : moins de présence à l’international qu’OVHcloud, support moins premium, capacité d’accompagnement limitée sur les très grands comptes. C’est le choix des startups tech et des équipes DevOps qui veulent une console moderne.
Outscale (3DS Outscale) : le pur SecNumCloud
Filiale de Dassault Systèmes depuis 2016 (rachetée à Cloudwatt et Orange), Outscale est basée à Saint-Cloud avec des datacenters à Saint-Cloud, Strasbourg et Frankfurt. Qualifications : SecNumCloud, ISO 27001/27017/27018, HDS, EUCS (premier fournisseur français qualifié EUCS en 2024). Forces : excellence sur les workloads critiques (santé, défense, OIV), support 24/7 avec astreinte sécurité, conformité complète.
Faiblesses : plus cher (40-50 % au-dessus d’OVHcloud/Scaleway), moins de produits PaaS « grand public », UX fonctionnelle sans plus. C’est le choix des grands comptes et des marchés publics exigeants.
Clever Cloud : le PaaS nantais
Fondée à Nantes en 2010, Clever Cloud est spécialisée dans le Platform-as-a-Service : déploiement d’applications sans gérer l’infrastructure sous-jacente. Datacenters : Paris, Roubaix, Frankfurt, Hetzner en Allemagne. Qualifications : SecNumCloud 3.2 (juin 2025), ISO 27001, Gaia-X. Forces : déploiement en un clic (Node.js, Python, Java, Scala, Go, Rust), scaling automatique, facturation à l’usage réel.
Faiblesses : pas d’IaaS brut (on ne gère pas ses propres VM), offre limitée pour les workloads non-web. C’est le choix des développeurs qui veulent déployer vite sans se soucier de l’infra.
Hetzner, Aruba, les autres acteurs EU
Pour mémoire : Hetzner (Allemagne, très bon marché mais hors UE au sens qualification stricte), Aruba (Italie, SecNumCloud non couvert), IONOS (Allemagne, ancien 1&1, IONOS Cloud Pro), Open Telekom Cloud (Allemagne, T-Systems). Pour un projet français avec données sensibles, mieux vaut rester sur les 4 acteurs nationaux. Les acteurs EU germaniques sont pertinents en complément, pas en cœur de stack.
4. Tableau comparatif indépendant
Voici la grille que j’utilise quand je compare pour mes clients. Pas de sponsoring, pas de classement sponsorisé. Les prix sont des moyennes publiques observées en juin 2026 sur les sites officiels, pour une VM 4 vCPU / 8 Go RAM / 80 Go SSD, en engagement mensuel sans remise. Les qualifications sont issues des registres publics ANSSI, ENISA et CNIL. Les datacerters sont vérifiables sur les pages opérateurs.
J’ai inclus les hyperscalers US en fin de tableau pour que tu situes. Ils restent pertinents pour certains workloads non sensibles, on en reparle plus bas.
| Fournisseur | Origine | Type | DC en France | SecNumCloud | EUCS | Prix VM 4/8 | Support FR |
|---|---|---|---|---|---|---|---|
| OVHcloud | Roubaix (FR) | IaaS / PaaS | Oui (RBX+SBG) | 3.2 (juin 2025) | En cours | 24 €/mois | Oui 24/7 |
| Scaleway | Paris (FR) | IaaS / PaaS | Oui (PAR+AMS+WAW) | 3.2 (mars 2025) | En cours | 19 €/mois | Oui 24/7 |
| Outscale (3DS) | Saint-Cloud (FR) | IaaS | Oui | 3.2 | Oui (premier FR) | 32 €/mois | Oui 24/7 |
| Clever Cloud | Nantes (FR) | PaaS | Oui (via OVHcloud) | 3.2 (juin 2025) | En cours | Variable | Oui (heures ouvrées) |
| OVHcloud HDS | Roubaix (FR) | IaaS HDS | Oui | 3.2 + HDS | En cours | 28 €/mois | Oui 24/7 |
| 3DS Outscale HDS | Saint-Cloud (FR) | IaaS HDS | Oui | 3.2 + HDS | Oui | 45 €/mois | Oui 24/7 |
| Hors UE pour contexte : | |||||||
| AWS | Dublin (IE) | IaaS / PaaS | Non (Ireland) | N/A | N/A | 22 €/mois | Non (US) |
| Azure | Paris (FR/Microsoft) | IaaS / PaaS | Partiel (région Paris) | N/A | N/A | 26 €/mois | Partiel |
| GCP | Saint-Ghislain (BE) | IaaS / PaaS | Non (Belgique) | N/A | N/A | 24 €/mois | Non (US) |
Trois lectures rapides de ce tableau. Premièrement, AWS reste moins cher que la moyenne française pour les ressources brutes, mais la différence s’est réduite. Deuxièmement, le saut de prix Outscale 3DS (+45 %) se justifie par la stack conformité : SecNumCloud + HDS + EUCS, support premium, audit inclus. Pour un acteur régulé, c’est un investissement, pas un surcoût. Troisièmement, GCP et Azure sont en région EU mais restent exposés au Cloud Act US. La région « europe-west9 Paris » de GCP, par exemple, est opérée par Google LLC, pas par une entité européenne.
Énergie et sobriété : un angle à ne pas négliger
OVHcloud annonce 100 % d’énergie bas carbone sur ses sites français et allemands (mix hydraulique + nucléaire + éolien), avec un PUE (Power Usage Effectiveness) moyen de 1,25. Scaleway vise 100 % d’énergie renouvelable sur ses sites français d’ici fin 2026, PUE 1,28. Outscale communique moins, mais son datacenter de Saint-Cloud est sur le réseau de chaleur urbain de la Défense. AWS et Google sont plus opaques sur le mix exact de leurs régions EU.
Pour un rapport RSE ou un dossier de marché public avec critère environnemental, ces chiffres comptent. Ils sont audités par les équipes sustainability des fournisseurs et publiés dans leurs rapports annuels (OVHcloud Sustainability Report 2025, Scaleway Climate Report 2025).
5. Cas d’usage par taille d’entreprise
Le bon cloud dépend de ta taille, de ton secteur et de ton appétit pour la conformité. Voici comment je raisonne en cabinet pour mes clients, du freelance au CAC 40.
Micro-TPE (1 à 5 personnes)
Pour un indépendant ou une très petite équipe, Scaleway Stardust est imbattable : 1,99 €/mois pour une VM ARM 4 vCPU / 4 Go / 40 Go SSD, parfait pour un site WordPress, un bot, un script de scraping éthique. Hetzner reste moins cher (3,99 € pour une CX22) mais hors qualification stricte. Pour un usage perso sans données client, c’est acceptable. Pour du pro, prends Scaleway. Et si tu cherches plutôt un cloud pour stocker des fichiers personnels avec chiffrement bout-en-bout, notre comparatif des clouds zero-knowledge 2026 couvre Proton, Tresorit, Internxt et Filen.
PME (5 à 50 personnes)
Pour une PME classique sans secteur régulé, OVHcloud VPS ou Public Cloud suffit. Une VM 8 vCPU / 16 Go à 49 €/mois, un Managed Kubernetes à 80 €/mois, un stockage objet S3-Compat à 0,01 €/Go/mois : on fait tourner un SaaS B2B pour 200 à 500 €/mois total. SecNumCloud n’est pas obligatoire ici, sauf si tu vises des marchés publics.
ETI sensibles (50 à 500 personnes)
Pour une ETI du secteur santé, défense, énergie, finance ou assurance, le curseur monte. Outscale 3DS devient le défaut, avec Scaleway Sbare ou OVHcloud Hosted Private Cloud SecNumCloud comme alternative. Le coût mensuel moyen pour 10 VM + 5 To de stockage + base managée tourne autour de 3 000 à 8 000 €/mois. SecNumCloud recommandé, EUCS ou HDS selon le cas.
Grand groupe (500+ personnes)
Pour un grand groupe avec des données OIV ou stratégiques, Cloud de Confiance niveau 3 obligatoire. Outscale 3DS, OVHcloud SecNumCloud, Scaleway Sbare avec option « Confidential Computing » (TEE AMD SEV-SNP). Budget : 20 à 100 k€/mois selon volumétrie. Architecture multi-cloud raisonnée : cloud souverain pour les données sensibles, hyperscaler US pour le big data non sensible et l’IA générative standard.
État et OIV
Pour l’État, le ministère des Armées, les hôpitaux, les opérateurs d’importance vitale (OIV) : S3IE (Stratégie de Sécurité des Systèmes d’Information de l’État) et doctrine Cloud de Confiance niveau 3. Outscale 3DS en première ligne, OVHcloud SecNumCloud en backup. Bleu (ex-DGSI) audite les choix cloud des OIV depuis 2024. Les ministères qui n’ont pas migré sont auditionnés au Sénat, on l’a dit en intro.
6. Coûts cachés à anticiper
Le prix catalogue d’une VM, c’est la face visible. Le vrai TCO (Total Cost of Ownership) inclut six postes que beaucoup de DSI oublient en première année. Voici la liste, avec des fourchettes réalistes.
Les 6 postes de coût sous-estimés
- Egress fees : la sortie de données vers Internet est facturée 0,01 à 0,08 €/Go selon les fournisseurs. Sur un workload avec 5 To de trafic sortant par mois, ça fait 50 à 400 €/mois. Scaleway facture l’egress vers Internet à 0,01 €/Go, OVHcloud à 0,01 €/Go également (gratuit vers les régions OVH), Outscale à 0,05 €/Go.
- Support premium : indispensable pour un OIV. Compter 15 à 25 % du coût des ressources. OVHcloud Support Pro : 120 €/mois, Premium : 600 €/mois. Scaleway Support Gold : 200 €/mois, Enterprise : sur devis. Outscale inclut le support premium 24/7 dans son offre SecNumCloud (pas de surcoût).
- Formation des équipes : une équipe de 5 admins formée à Kubernetes et Terraform, c’est 5 à 15 k€ de budget formation la première année. Kubernetes sur Scaleway ≠ Kubernetes sur AWS, l’API diffère légèrement. Prévoir 2 à 4 jours d’adaptation par personne.
- Migration initiale : selon la complexité, 10 à 100 k€ pour une PME-ETI. OVHcloud propose DataMove pour migrer depuis AWS (gratuit pour les VM, facturé pour le stockage). Scaleway propose un accompagnement sur devis. Outscale inclut la migration dans ses contrats grands comptes.
- Monitoring et observabilité : indispensable pour un cloud souverain sérieux. Grafana Cloud gratuit jusqu’à 10 Go de logs, Datadog 0,10 €/h/host, Sentry gratuit jusqu’à 5 k événements/mois. Compter 100 à 1 000 €/mois selon le stack.
- Disaster Recovery : PRA/PCA, c’est 10 à 20 % du TCO. Réplication cross-region, snapshots quotidiens, test de restauration tous les 6 mois. Scaleway réplique ses DC Paris/Amsterdam/Varsovie, Outscale réplique Strasbourg/Frankfurt, OVHcloud propose du multi-régions via ses 3 DC FR.
Étude de cas TCO : startup 50 serveurs, 3 ans
Prenons un cas réel observé chez un de mes clients : une fintech parisienne avec 50 VM (mix 4 vCPU et 8 vCPU), 20 To de stockage objet, 5 To de trafic sortant/mois, 3 admins à former, monitoring Datadog. Sur 3 ans.
- AWS (Ireland) : 1 800 €/mois de ressources + 1 200 €/mois support + 800 €/mois egress + 400 €/mois monitoring = 4 200 €/mois HT. Soit 151 200 € sur 3 ans. Migration : 25 k€.
- OVHcloud : 1 400 €/mois ressources + 600 €/mois support + 200 €/mois egress + 400 €/mois monitoring = 2 600 €/mois HT. Soit 93 600 € sur 3 ans. Migration : 15 k€.
- Scaleway : 1 250 €/mois ressources + 400 €/mois support + 100 €/mois egress + 400 €/mois monitoring = 2 150 €/mois HT. Soit 77 400 € sur 3 ans. Migration : 12 k€.
- Outscale 3DS : 2 100 €/mois ressources (SecNumCloud inclus) + 0 support (inclus) + 250 €/mois egress + 400 €/mois monitoring = 2 750 €/mois HT. Soit 99 000 € sur 3 ans. Migration : offerte.
Sur ce cas, Scaleway est 49 % moins cher qu’AWS, OVHcloud 38 % moins cher, Outscale 34 % moins cher. Et tu as en bonus la souveraineté, la conformité SecNumCloud pour Outscale, et l’absence d’exposition au Cloud Act. Le calcul ROI est vite fait.
Cela dit, ce calcul a une limite : il suppose que les workloads sont portables à l’identique. Si tu utilises des services AWS propriétaires (Lambda, SQS, DynamoDB), la migration demande une ré-architecture. C’est là que les lock-ins AWS font le plus mal, et c’est pour ça que le Data Act européen a été voté. Si tu démarres un projet aujourd’hui, pars sur du Kubernetes + PostgreSQL + S3-Compat, c’est portable partout.
7. Sécurité et qualifications : le détail
Tu as vu les noms dans le tableau. Voici le détail de chaque qualification, avec qui la délivre, ce qu’elle couvre vraiment, et qui l’a obtenue. Parce qu’entre marketing et réalité, il y a souvent un gap.
SecNumCloud 3.2 (ANSSI, juin 2025)
Publiée le 17 juin 2025, la version 3.2 du référentiel SecNumCloud remplace la 3.1. Trois ajouts majeurs par rapport à la version précédente : immunité aux lois extraterritoriales (vérification que le fournisseur et ses sous-traitants ne sont pas soumis au Cloud Act ou équivalent), transparence sur les sous-traitants (chaîne d’approvisionnement complète documentée), auditabilité du code source pour les couches d’infrastructure (possibilité pour l’ANSSI de faire un audit forensique en cas d’incident).
Au 1er juillet 2026, les fournisseurs SecNumCloud 3.2 sont : OVHcloud (juin 2025), Scaleway (mars 2025), Outscale (renouvellement 2025), Clever Cloud (juin 2025), Worldline (renouvellement 2025). La qualification est valable 3 ans, avec audit annuel. Coût pour le fournisseur : 50 à 200 k€ selon la taille de l’audit.
EUCS (ENISA, en finalisation 2026)
L’EUCS (European Cybersecurity Scheme for Cloud Services) est porté par l’ENISA. Trois niveaux : « Substantial » (équivalent SecNumCloud), « High » (équivalent SecNumCloud + niveau de classification secret), « High+ » (avec immunité extraterritoriale stricte pour les services sensibles). La version finale est prévue pour septembre 2026, avec une période transitoire de 18 mois avant remplacement des labels nationaux.
Outscale a été le premier fournisseur français à obtenir la qualification EUCS en novembre 2024. OVHcloud et Scaleway sont en cours de qualification (audit en cours au 1er juillet 2026). Pour les marchés publics européens 2027+, EUCS deviendra le standard. Anticipe.
ISO 27001 / 27017 / 27018
Les trois ISO du cloud. ISO 27001 (management de la sécurité de l’information), ISO 27017 (bonnes pratiques cloud), ISO 27018 (protection des données personnelles). Tous les acteurs FR sérieux les ont. C’est un baseline, pas un différenciateur. Si ton fournisseur n’a pas ISO 27001, fuis.
HDS (Hébergeur de Données de Santé)
L’agrément HDS, délivré par l’ARS ou l’ASIP Santé, est obligatoire pour héberger des données de santé en France. Au 1er juillet 2026, les acteurs HDS actifs sont : OVHcloud, Outscale 3DS, Scaleway, Clever Cloud (via OVHcloud), Worldline, ainsi que des hébergeurs spécialisés comme Tessi, Atos, Sopra Steria. Pour un projet e-santé, HDS est non négociable. SecNumCloud seul ne suffit pas.
PDIS (Prestataire de Détection d’Incidents de Sécurité)
PDIS est une qualification ANSSI pour les acteurs qui proposent du monitoring de sécurité managé. OVHcloud, Scaleway, Outscale l’ont. C’est utile pour les OIV qui doivent externaliser leur SOC.
Labels Gaia-X et Terra Numerata
Gaia-X délivre un label de conformité aux standards de fédération (interopérabilité, portabilité, transparence). 312 services sont labellisés Gaia-X au 1er juillet 2026, dont la majorité sont français et allemands. Terra Numerata est un label français complémentaire, porté par France Digitale, qui évalue la souveraineté capitalistique (actionnariat majoritaire européen). Pour les marchés publics exigeants, les deux labels sont souvent demandés ensemble.
8. Ce que dit l’AI Act sur le cloud
L’AI Act européen est entré en vigueur le 1er août 2024, mais c’est en 2026 que la majorité de ses dispositions s’appliquent vraiment, notamment celles qui concernent les modèles d’usage général (GPAI). Pour une entreprise française qui déploie ou intègre une IA générative, l’AI Act conditionne le choix du cloud d’hébergement.
Article 53 : les modèles GPAI à risque systémique
L’article 53 cible spécifiquement les modèles entraînés avec plus de 10^25 FLOPs (seuil de risque systémique). En pratique : GPT-5, Claude Opus 4.8, Gemini 2 Ultra, Llama 4 405B. Pour ces modèles, obligation de transparence (system card publique), d’évaluation des risques, de notification d’incidents graves à l’ENISA sous 15 jours, et de coopération avec les autorités nationales.
Le hic, c’est que pour les modèles GPAI hébergés sur une infrastructure hors UE, le statut juridique reste flou. Le régulateur européen a tranché en mai 2026 : tout modèle GPAI utilisé par une entité résidant en UE doit démontrer que son infrastructure d’hébergement respecte les standards de transfert de données (clauses contractuelles types ou décision d’adéquation). Concrètement, ça écarte les régions AWS/Azure/GCP hors UE pour les usages sensibles.
L’interconnexion avec le RGPD
L’AI Act ne remplace pas le RGPD, il s’y ajoute. Et pour les modèles eux-mêmes, on a détaillé les 7 critères de souveraineté d’un modèle IA en France dans un article dédié. Pour une entreprise française, les deux corpus s’appliquent en parallèle : RGPD pour les données personnelles, AI Act pour les modèles. Un LLM hébergé sur AWS Dublin qui traite des données de clients français est potentiellement en infraction sur les deux tableaux si les garanties de transfert ne sont pas en place. Notre article dédié sur RGPD vs AI Act pour les entreprises françaises détaille l’articulation concrète.
📊 Coût réel d’un ransomware sur cloud non souverain : l’affaire Bouygues Telecom (juin 2024) est devenue le cas d’école. 6,4 millions de clients touchés, données personnelles exposées (nom, adresse, IBAN partiel), amende CNIL de 2,5 M€ en 2025, action collective en justice, coût total estimé > 50 M€. Tout ça parce que les sauvegardes étaient sur une infra exposée et le délai de détection trop long. Un cloud souverain SecNumCloud avec PRA/PCA correctement configuré aurait coûté 200 k€ par an, soit 500 k€ sur la période. Le calcul ROI est vite fait, mais c’est après l’incident qu’on le fait.
Les exemptions recherche du Data Act
Le Data Act prévoit une exemption pour les données utilisées dans un contexte de recherche scientifique, sous réserve d’anonymisation et d’accord de l’établissement de recherche. Concrètement, un labo public peut continuer à utiliser AWS pour entraîner un modèle sur des données Open Data. Pour une entreprise privée, l’exemption ne s’applique pas. C’est un point souvent oublié dans les discussions cloud : le statut de la donnée prime sur le choix du fournisseur.
9. Migration en pratique : 8 étapes
Tu es convaincu, tu veux migrer. Voici la méthode que j’applique pour mes clients, en 8 étapes documentées. Chaque étape a un livrable, une durée indicative, et un piège à éviter.
Étape 1 : audit de l’existant (2 à 4 semaines)
Inventaire complet des workloads : VM, bases de données, stockage, services managés. Pour chaque, note la criticité (RTO/RPO), les données hébergées (classification RGPD), les dépendances (DNS, IAM, monitoring), et le coût mensuel actuel. Livrable : un tableur ou un export AWS Trusted Advisor / Azure Advisor. Piège : oublier les workloads « shadow IT », ces outils que les équipes ont déployés sans en parler à la DSI.
Étape 2 : classification des données (1 à 2 semaines)
Trois niveaux : standard (données publiques, marketing, anonymisées), sensibles (données personnelles, contrats, finance), stratégiques (données de santé, secrets industriels, données OIV). Chaque niveau définit un cloud cible. Piège : classer en « standard » ce qui est en réalité sensible, par confort ou méconnaissance.
Étape 3 : choix de la cible (1 semaine)
En fonction de la classification : OVHcloud ou Scaleway pour les données standard, Outscale 3DS ou Scaleway Sbare pour les données sensibles, Outscale 3DS + HDS pour la santé. Le choix se fait aussi sur des critères business : support 24/7, localisation DC, certifications sectorielles. Piège : choisir le moins cher sans regarder le support.
Étape 4 : tests de charge (2 à 4 semaines)
Avant de basculer, teste ta stack sur le cloud cible avec un workload représentatif. Scaleway et OVHcloud ont des programmes d’essai gratuit (jusqu’à 1 000 € de crédit). Piège : ne tester qu’en heures creuses, rater les pics du week-end.
Étape 5 : plan de bascule blue/green (4 à 8 semaines)
Déploie la nouvelle infra en parallèle, route le trafic progressivement (10 %, 25 %, 50 %, 100 %), garde l’ancienne pendant 30 jours en lecture seule. DNS, load balancer, base de données : tout doit être prêt. Piège : bascuter 100 % le vendredi soir.
Étape 6 : formation des équipes (2 à 4 semaines)
Kubernetes managé, Object Storage, IAM, monitoring : 2 à 4 jours de formation par admin. Scaleway University et OVHcloud Labs proposent des formations gratuites en ligne. Piège : former après la bascule, alors que les incidents arrivent.
Étape 7 : PRA / PCA (2 à 4 semaines)
Plan de reprise d’activité et plan de continuité. Réplication cross-region, snapshots automatisés, test de restauration tous les 6 mois. Piège : ne jamais tester le PRA, découvrir qu’il ne marche pas le jour J.
Étape 8 : monitoring et amélioration continue (ongoing)
Grafana, Prometheus, Datadog, Sentry : mets en place le monitoring dès le jour 1. Définis des SLO, alerte sur les violations, revoie ton architecture tous les 6 mois. Piège : se reposer sur les métriques par défaut sans définir tes propres seuils.
10. Les limites du cloud souverain
On a beaucoup parlé des avantages. Maintenant, les angles morts. Sans naïveté, voici ce que le cloud souverain ne fait pas (encore) aussi bien que les hyperscalers US.
Maturité écosystème : l’écart qui se réduit mais existe
AWS propose plus de 200 services managés (Lambda, SQS, Step Functions, SageMaker, etc.). Scaleway en propose 40, OVHcloud 60, Outscale 25. Pour des workloads complexes (data engineering, ML, event-driven), l’écosystème US reste plus riche. La parité s’améliore, mais elle n’est pas atteinte. Piège : croire que tout est équivalent. Fais un inventaire des services AWS que tu utilises et vérifie les équivalents avant de migrer.
Coût : parfois plus cher, parfois moins
Sur les workloads standard (VM, stockage objet, réseau), Scaleway et OVHcloud sont moins chers qu’AWS. Mais sur les services managés avancés (Kubernetes managé, base de données managée, GPU instances), le coût peut être supérieur de 10 à 20 %. Outscale 3DS est systématiquement plus cher (45 %), mais c’est le prix de la conformité. Piège : comparer le prix d’une VM sans inclure les services managés qui vont avec.
Dépendance aux composants US
Les processeurs AMD et Intel sont américains. Les GPU NVIDIA sont américains. Les logiciels open source viennent souvent de la Fondation Linux (US) ou de la Apache Foundation (US). Même un cloud souverain repose sur une stack hardware et software à dominance US. C’est pour ça que les discussions sur la « vraie » souveraineté sont complexes : aucun cloud n’est 100 % souverain de bout en bout. Piège : penser que migrer vers OVHcloud résout tout. Les CPU sont les mêmes.
Risque de lock-in cloud FR ?
Ironie de l’histoire : en migrant d’AWS pour échapper au lock-in US, certaines entreprises tombent dans un lock-in FR. Scaleway a son API propre, OVHcloud aussi. Pour limiter ce risque : utilise Kubernetes (portable), PostgreSQL (portable), S3-Compat (portable), Terraform (portable). Piège : adopter les services propriétaires (Scaleway Serverless Jobs, OVHcloud Private Cloud) sans script de réversibilité.
11. Mon avis (sans bullshit marketing)
On arrive à la fin. Voici ma synthèse honnête après avoir accompagné une vingtaine d’entreprises dans leur migration cloud en 2024-2026. Pas de conclusion en béton, un avis qui évoluera avec le marché.
Pour une PME française de 5 à 50 personnes, sans secteur régulé, OVHcloud ou Scaleway suffit. La différence entre les deux se joue sur l’UX (Scaleway) et la largeur de gamme (OVHcloud). Pour les deux, tu paies 30 à 50 % moins cher qu’AWS sur les workloads standard, tu as un support FR, et tu n’es pas exposé au Cloud Act. C’est une décision facile.
Pour une ETI sensible (santé, finance, énergie, défense), Outscale 3DS reste le choix le plus sûr, malgré le surcoût. La qualification SecNumCloud + HDS + EUCS te couvre pour 95 % des marchés publics et clients grands comptes. OVHcloud SecNumCloud est une alternative crédible si tu as déjà des workloads chez OVH. Scaleway Confidential Computing émerge comme troisième option, à surveiller.
Pour les hyperscalers US, je reste pragmatique. AWS, Azure et GCP restent utiles pour les workloads non sensibles : entraînement de modèles IA sur données publiques, big data analytics, CDN, services managés avancés. Le multi-cloud raisonné est une option viable si tu segmente bien : cloud souverain pour les données client, hyperscaler US pour le reste. C’est ce que font la plupart des grands groupes français en 2026.
Cela dit, deux signaux faibles m’inquiètent. Premièrement, le rythme des qualifications ANSSI/ENISA est lent : 12 à 18 mois pour un audit SecNumCloud. Si la réglementation continue à se durcir, on risque la pénurie de fournisseurs qualifiés. Deuxièmement, le prix des services managés souverains reste supérieur à AWS pour des fonctionnalités équivalentes. Le marché devra s’équilibrer pour que les PME puissent suivre sans casse.
Dernier conseil pratique, et pas des moindres. Avant de signer un contrat cloud, demande trois documents au fournisseur : son attestation SecNumCloud (ou équivalent), son rapport d’audit ISO 27001 récent, et sa politique de réversibilité Data Act. Si l’un des trois manque ou est flou, passe ton chemin. Le cloud souverain est un acte juridique et financier, pas un acte de foi. Vérifie avant de signer. Pour les outils collaboratifs en complément (alternative Google Docs), notre comparatif des alternatives souveraines 2026 complète ce panorama.
📋 À retenir sur SecNumCloud 3.2 : la nouvelle version publiée le 17 juin 2025 par l’ANSSI ajoute trois exigences critiques. Immunité aux lois extraterritoriales (Cloud Act, FISA 702) : le fournisseur et ses sous-traitants doivent démontrer qu’aucune juridiction non UE ne peut exiger l’accès aux données. Transparence sur les sous-traitants : chaîne d’approvisionnement complète documentée. Auditabilité du code source : l’ANSSI doit pouvoir auditer les couches d’infrastructure en cas d’incident. Au 1er juillet 2026, 5 fournisseurs français ont la qualification 3.2 : OVHcloud, Scaleway, Outscale, Clever Cloud, Worldline.
⚠️ SecNumCloud ne signifie pas données hors UE à 100 %
Un fournisseur SecNumCloud peut être racheté par une entité non européenne. Le cas OVHcloud en 2024 (rumeurs d’approche Microsoft, finalement écartées après mobilisation de l’État et des clients) l’a montré. La souveraineté se mesure aussi à la stabilité capitalistique. Vérifie l’actionnariat, les engagements de l’État, les pactes d’actionnaires. Une SCAP (Société Coopérative d’Intérêt Collectif) comme OVHcloud via Octave Klaba est plus rassurante qu’une filiale de groupe coté US.
En 2026, on surveille particulièrement les opérations capitalistiques dans le secteur. Thales, Orange, BNP Paribas ont des participations dans des clouds souverains. La doctrine Cloud de Confiance exige que les participations majoritaires restent européennes, c’est dans le décret de mai 2025.
Pratiques à éviter vs bons réflexes de migration
🔴 Pratiques dangereuses
- Bascuter sans classifier les données : tu migres tout vers OVHcloud, y compris les données de santé qui auraient dû rester chez un HDS. Risque : nullité de la migration.
- Garder les clés AWS en backup : tu migres les workloads mais tu gardes un accès root AWS pour « au cas où ». Risque : Audit ANSSI, requalification SecNumCloud refusée.
- Croire que SecNumCloud = infaillible : tu obtiens la qualification mais tu ne configures pas correctement l’IAM, les logs, le monitoring. Risque : incident type OVHcloud 2021 (1,5 million de sites down).
- Oublier les egress fees : tu migres sans estimer le trafic sortant. Risque : surcoût de 30 à 50 % sur la facture.
- Ignorer NIS2 : tu migres mais tu ne déclares pas ton incident test à l’ANSSI. Risque : sanctions NIS2 jusqu’à 10 M€ ou 2 % du CA.
✅ Bons réflexes de migration
- Classifier avant de migrer : trois niveaux (standard / sensible / stratégique), un cloud cible par niveau. Documenter la classification.
- Couper les accès legacy : après migration validée, supprimer les credentials AWS/Azure. Pas de filet de sécurité permanent.
- Configurer le monitoring avant le jour J : Grafana + Prometheus + alertes SLO dès la bascule. Tester les alertes.
- Estimer le TCO à 3 ans : VM + egress + support + monitoring + PRA. Pas juste le coût catalogue.
- Déclarer la migration à l’ANSSI : pour les OIV, c’est obligatoire. Pour les autres, c’est un bon réflexe de gouvernance.
⚠️ Le cloud souverain n’est pas un acte de foi
C’est un contrat. Vérifie les clauses de réversibilité, l’auditabilité du code source, la résidence des sauvegardes (et leur réplication), la liste des sous-traitants (et leur propre qualification), la procédure en cas d’incident, et les engagements de niveau de service (SLA) avec pénalités concrètes. Un fournisseur qui refuse de mettre ces clauses par écrit n’est pas un partenaire, c’est un risque.
Le Data Act européen t’aide : tu as un droit légal à la portabilité sous 30 jours. Utilise-le. Si ton fournisseur traîne, c’est un signal fort sur la qualité de son service.
Foire aux questions
Le cloud souverain est-il plus cher qu’AWS/Azure ? ▼
Sur les workloads standard (VM, stockage objet, réseau), Scaleway et OVHcloud sont 10 à 50 % moins chers qu’AWS. Outscale 3DS est 30 à 45 % plus cher, mais c’est le prix de la qualification SecNumCloud + HDS + EUCS. Pour les services managés avancés (Kubernetes managé, GPU), l’écart se réduit et le cloud souverain peut être légèrement plus cher. Le calcul ROI intègre la conformité, la portabilité (Data Act), et l’absence de risque Cloud Act.
SecNumCloud, c’est quoi exactement ? ▼
SecNumCloud est un référentiel de sécurité publié par l’ANSSI (agence nationale de la sécurité des systèmes d’information). La version 3.2, sortie en juin 2025, impose 3 exigences critiques : immunité aux lois extraterritoriales (pas de soumission au Cloud Act US), transparence sur les sous-traitants, auditabilité du code source. La qualification est valable 3 ans, avec audit annuel. Coût pour le fournisseur : 50 à 200 k€ selon la taille de l’audit.
Mon entreprise doit-elle passer au cloud souverain ? ▼
Dépend de ton secteur. Si tu es OIV, ETI sensible (santé, finance, énergie, défense), acteur régulé ou cible de marchés publics : oui, le cloud souverain est devenu obligatoire de facto. Pour une PME B2B sans données personnelles sensibles, le cloud souverain est recommandé mais pas obligatoire. Pour une TPE ou un freelance, un hébergeur européen sans qualification SecNumCloud suffit.
OVHcloud est-il vraiment français ? ▼
Fondé en 1999 à Roubaix par Octave Klaba, OVHcloud est coté en bourse sur Euronext Paris mais reste sous contrôle majoritaire du fondateur. Actionnariat : 64 % Octave Klaba et investisseurs européens, 36 % flottant. Pas d’actionnaire majoritaire non européen. Datacenters principaux en France (Roubaix, Strasbourg, Gravelines). Qualifications SecNumCloud 3.2, ISO 27001, HDS. OVHcloud coche toutes les cases de la doctrine Cloud de Confiance niveau 3.
Scaleway ou OVHcloud : lequel choisir ? ▼
Les deux sont d’excellents choix. La différence se joue sur 3 critères. UX : Scaleway a une console plus moderne et intuitive, OVHcloud est plus touffu. Gamme : OVHcloud est plus large (serveurs dédiés, Hosted Private Cloud, Bare Metal). Tarification : Scaleway est en moyenne 15-20 % moins cher sur les ressources brutes. Pour une startup tech : Scaleway. Pour une ETI avec beaucoup de workloads hétérogènes : OVHcloud. Pour un OIV avec données critiques : Outscale 3DS.
Qu’est-ce que le label Cloud de Confiance ? ▼
La doctrine « Cloud de Confiance » est un cadre officiel publié par le gouvernement français en mai 2025. Elle définit 3 niveaux : niveau 1 « interne » (usage interne, données non sensibles), niveau 2 « Confiance » (SecNumCloud ou équivalent, données sensibles), niveau 3 « Souveraineté » (SecNumCloud 3.2 + EUCS High+ + capitalistique européenne, pour les OIV et données stratégiques). Le Health Data Hub est le premier cas d’application niveau 3, après sa migration vers Scaleway en mai 2026.
L’AI Act impose-t-il un cloud souverain ? ▼
Pas directement, mais indirectement oui. L’article 53 de l’AI Act impose aux modèles GPAI (GPT, Claude, Gemini, Mistral Large) des obligations de transparence et de coopération avec les autorités. Pour les modèles utilisés par des entités résidant en UE, l’infrastructure d’hébergement doit respecter les standards de transfert de données. En pratique, ça écarte les régions AWS/Azure/GCP hors UE pour les usages sensibles. À noter que Mistral héberge déjà ses modèles sur Scaleway, donc 100 % conforme.
Peut-on mixer cloud souverain et hyperscaler US ? ▼
Oui, c’est ce que font la plupart des grands groupes français en 2026 : le « multi-cloud raisonné ». Cloud souverain pour les données client, hyperscaler US pour le big data non sensible, l’IA générative standard, le CDN. La clé : segmentation stricte des données, IAM séparés, monitoring centralisé. Le Data Act européen facilite la portabilité entre clouds, ce qui réduit le risque de lock-in. À condition de ne pas utiliser les services propriétaires non portables (Lambda, DynamoDB, BigQuery).
Comment migrer sans interruption de service ? ▼
La méthode blue/green est la plus fiable. Déploie la nouvelle infra en parallèle, route le trafic progressivement (10 %, 25 %, 50 %, 100 %), garde l’ancienne en lecture seule pendant 30 jours. OVHcloud propose DataMove pour les VM, Scaleway propose un accompagnement sur devis, Outscale inclut la migration dans ses contrats grands comptes. Pour les bases de données, réplication asynchrone puis bascule avec un temps d’arrêt de quelques secondes (à communiquer aux utilisateurs).
Le cloud souverain est-il plus écologique ? ▼
En 2026, la comparaison est favorable aux clouds français. OVHcloud annonce 100 % d’énergie bas carbone sur ses sites français et allemands (mix hydraulique + nucléaire + éolien), PUE moyen 1,25. Scaleway vise 100 % d’énergie renouvelable sur ses sites français d’ici fin 2026, PUE 1,28. Les hyperscalers US ont fait des progrès mais leurs régions EU restent moins transparentes sur le mix exact. Pour un rapport RSE, les chiffres français sont plus audibles.







