En 2021, la direction générale des finances publiques française a annulé un contrat cloud avec Microsoft Azure pour ses données fiscales. Motif : la dépendance à une infrastructure américaine soumise au Cloud Act rendait la confidentialité des données des contribuables français impossible à garantir. Cette affaire a cristallisé un débat qui couvait depuis des années : la France, l’Europe, peuvent-elles encore contrôler leurs propres données et infrastructures numériques ?

C’est l’enjeu de la souveraineté numérique.

Souveraineté numérique : définition

La souveraineté numérique désigne la capacité d’un État, d’une organisation ou d’un individu à exercer un contrôle effectif sur ses données, ses infrastructures numériques et ses technologies — sans dépendance contrainte vis-à-vis d’acteurs étrangers.

Elle se décline à trois niveaux :

• Souveraineté des données : qui peut accéder à vos données, où sont-elles stockées, quel droit s’applique ?
• Souveraineté technologique : quelle est la dépendance aux logiciels, plateformes et matériels étrangers ?
• Souveraineté des infrastructures : les réseaux, datacenters et câbles sous-marins sont-ils sous contrôle national ou européen ?

Pourquoi c’est devenu un enjeu majeur

La domination des GAFAM

Google, Apple, Facebook (Meta), Amazon et Microsoft concentrent une part écrasante des infrastructures numériques mondiales. En Europe, plus de 70 % du marché du cloud est détenu par des acteurs américains (AWS, Azure, Google Cloud). Concrètement, cela signifie que la plupart des emails professionnels français, des documents d’entreprise et des données de santé transitent par des serveurs contrôlés par des sociétés soumises au droit américain.

Le Cloud Act américain

Adopté en 2018, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) oblige les entreprises technologiques américaines à fournir aux autorités américaines les données qu’elles stockent, y compris sur des serveurs situés en Europe. Une réalité qui rend juridiquement incompatible l’usage de Microsoft 365, Google Workspace ou AWS pour traiter des données sensibles soumises au secret professionnel ou au RGPD.

Les révélations Snowden et leurs suites

Les révélations d’Edward Snowden en 2013 sur la surveillance de masse de la NSA — y compris sur des dirigeants européens — ont déclenché une prise de conscience politique. Elles ont accéléré les travaux sur le RGPD, entré en vigueur en 2018, et ouvert le débat sur une véritable indépendance numérique européenne.

L’Europe face à sa dépendance

GAIA-X : le projet de cloud européen

Lancé en 2019 par la France et l’Allemagne, GAIA-X vise à créer un écosystème de cloud européen interopérable, fondé sur des règles de souveraineté des données strictes. Le projet a réuni plus de 300 organisations.

Mais GAIA-X a été critiqué pour son manque de cohérence et la participation paradoxale d’acteurs américains (Microsoft, Google, AWS) à sa gouvernance. Il reste davantage un label de conformité qu’une infrastructure alternative crédible.

Le label Cloud de Confiance

En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a créé le label SecNumCloud, qui certifie les offres cloud respectant des exigences de souveraineté strictes. Seules quelques entreprises françaises l’ont obtenu : OVHcloud, Outscale (filiale de Dassault Systèmes), S3NS (coentreprise Thales-Google — ce qui illustre la complexité du sujet).

Le Data Act et le Data Governance Act européens

L’Union européenne a adopté plusieurs textes pour reprendre le contrôle :

• RGPD (2018) : encadre le traitement des données personnelles
• Data Governance Act (2022) : crée un cadre pour le partage de données industrielles
• Data Act (2024) : définit qui peut accéder aux données générées par les objets connectés et les services numériques

Ces textes posent des bases juridiques mais ne créent pas d’alternatives technologiques européennes.

Ce que ça change concrètement pour les entreprises

Les secteurs les plus exposés

Certains secteurs sont particulièrement concernés par les enjeux de souveraineté :

• Santé : l’hébergement de données de santé est soumis au statut HDS (Hébergeur de Données de Santé), qui impose des garanties de localisation en France
• Défense et secteur public : l’État français impose désormais l’usage de solutions cloud qualifiées SecNumCloud pour les données sensibles
• Juridique et notariat : le secret professionnel est incompatible avec une infrastructure soumise au Cloud Act
• Finance : les données bancaires font l’objet d’une réglementation spécifique (DORA, directive NIS2)

Ce qu’une PME doit vérifier

Pour une entreprise qui traite des données clients ou des informations confidentielles, plusieurs questions s’imposent :

1. Où sont stockées vos données ? — Vérifiez les conditions générales de votre fournisseur cloud. “Serveurs en Europe” ne suffit pas si le fournisseur est américain.
2. Quel droit s’applique ? — Un fournisseur américain peut être contraint de livrer vos données aux autorités américaines même si elles sont hébergées en France.
3. Existe-t-il une alternative européenne ? — Pour le cloud : OVHcloud, Scaleway, Infomaniak. Pour la suite bureautique : Nextcloud, OnlyOffice. Pour la messagerie : Proton Mail, Tutanota.

Alternatives souveraines — état des lieux en 2026

Usage	Acteurs GAFAM	Alternatives souveraines
Cloud stockage	AWS, Azure, GCP	OVHcloud, Scaleway, Outscale
Messagerie pro	Gmail, Outlook	Proton Mail, Tutanota, Infomaniak
Suite bureautique	Google Workspace, Microsoft 365	Nextcloud, OnlyOffice, Framasoft
Visioconférence	Teams, Meet	Jitsi, Livestorm, Whereby
IA / LLM	ChatGPT, Gemini	Mistral AI (France), Albert (État français)

Les alternatives existent, mais elles impliquent souvent des compromis en termes d’expérience utilisateur, d’intégrations disponibles et de coût.

La souveraineté numérique individuelle

Au niveau personnel, la souveraineté numérique concerne aussi chaque utilisateur. Quelques pratiques concrètes :

• Utiliser un navigateur respectueux de la vie privée (Firefox, Brave) plutôt que Chrome
• Choisir un moteur de recherche européen (Qwant) ou orienté confidentialité (DuckDuckGo, Startpage)
• Stocker ses documents sensibles sur un cloud dont vous contrôlez les clés de chiffrement
• Prendre conscience de la valorisation publicitaire de vos données par les plateformes

---

La souveraineté numérique n’est pas un repli nationaliste — c’est une question de rapport de force. Les données sont devenues la matière première de l’économie du XXIe siècle. Laisser le contrôle de ces données à des acteurs étrangers sans cadre contraignant, c’est accepter une dépendance structurelle dont les conséquences économiques, politiques et sécuritaires sont difficiles à mesurer — jusqu’au moment où elles deviennent impossibles à ignorer.