AccueilBlogFondamentaux CloudCloud souverain, portabilité, réversibilité
Fondamentaux Cloud

Cloud souverain, portabilité, réversibilité :
les enjeux au-delà des trois grands fournisseurs

La souveraineté numérique ne se résume pas à la question « où sont stockées mes données ». C'est un sujet juridique, technique et stratégique, structuré depuis 2025 par un règlement européen qui change concrètement la donne : le Data Act. Ce guide détaille les enjeux réglementaires, techniques et contractuels du cloud souverain en 2026.

16 min de lectureFondamentaux CloudAzure · AWS · Google Cloud

L'essentiel à retenir

  • La souveraineté numérique concerne le contrôle légal, administratif et technique sur les données — pas seulement leur localisation géographique.
  • Le règlement européen Data Act, pleinement applicable depuis septembre 2025, impose la portabilité et l'interopérabilité entre fournisseurs cloud, réduisant structurellement le risque de dépendance.
  • Les frais de sortie de données (egress) liés à un changement de fournisseur doivent disparaître d'ici janvier 2027 sous l'effet du Data Act.
  • Un cloud véritablement souverain est opéré par une entité de droit européen, ce qui élimine l'exposition au Cloud Act américain — une distinction différente de la simple localisation des données.
  • Les dépenses mondiales en cloud souverain devraient croître fortement en 2026, l'Europe étant projetée pour dépasser l'Amérique du Nord sur ce segment dès 2027 selon Gartner.
  • Portabilité et réversibilité sont deux notions liées mais distinctes : la première concerne le format et l'accès aux données, la seconde les garanties contractuelles de sortie.
  • Les API compatibles S3 sont devenues un standard de fait pour l'interopérabilité du stockage, indépendamment du fournisseur cloud utilisé.
Définitions

Souveraineté, résidence et localisation : trois notions à ne pas confondre

Ces trois termes sont souvent utilisés de façon interchangeable, alors qu'ils décrivent des garanties très différentes — une confusion fréquente qui conduit à des choix de fournisseur mal alignés avec le besoin réel.

Localisation des données

La localisation désigne simplement le lieu géographique où les données sont physiquement stockées. C'est la garantie la plus faible des trois : elle ne dit rien du droit applicable à ces données ni de qui peut légalement y accéder.

Résidence des données

La résidence va plus loin en garantissant que les données restent dans une zone géographique définie de façon contractuelle ou réglementaire (par exemple l'Union européenne), incluant généralement des engagements sur les flux de données sortants.

Souveraineté numérique

La souveraineté est la garantie la plus complète : elle porte sur le contrôle légal, administratif et technique des données, généralement assuré par une entité opérant sous un droit spécifique. Un cloud pleinement souverain est opéré par une entité de droit européen, ce qui élimine l'exposition à des législations extraterritoriales comme le Cloud Act américain — même si les données sont physiquement hébergées en Europe.

Le piège de la localisation seule

Des données stockées en Europe chez une filiale locale d'un fournisseur américain restent potentiellement soumises au Cloud Act, qui autorise les autorités américaines à demander l'accès à des données sous certaines conditions, indépendamment de leur localisation physique. La localisation seule ne garantit donc pas la souveraineté.

Le cadre réglementaire

Le règlement Data Act : un changement structurel depuis 2025

Le Data Act européen, pleinement applicable depuis le 12 septembre 2025, transforme concrètement les conditions de portabilité entre fournisseurs cloud — au-delà des principes déjà posés par le RGPD sur la protection des données personnelles.

Des obligations concrètes de portabilité

Le règlement impose aux fournisseurs de faciliter un changement de prestataire rapide et fluide, sans perte de données ni de fonctionnalité applicative. Les fournisseurs de PaaS et SaaS doivent proposer des interfaces ouvertes et exporter les données dans un format couramment utilisé et exploitable par des machines. Les fournisseurs d'IaaS doivent permettre d'obtenir des résultats matériellement comparables pour les fonctionnalités partagées entre les deux services.

La fin programmée des frais de sortie

Les frais de sortie de données (egress) facturés lors d'un changement de fournisseur doivent disparaître d'ici janvier 2027 pour la majorité des transferts concernés — une évolution qui réduit directement l'un des freins les plus concrets à la portabilité, souvent cité comme argument principal en faveur d'un fournisseur unique.

Des obligations qui varient selon le modèle de service

Le niveau d'obligation dépend directement du modèle de service concerné : plus le fournisseur gère de couches (PaaS, SaaS), plus les exigences de portabilité prévues par le règlement sont précises et contraignantes, notamment sur le format d'export des données. En IaaS, l'exigence porte davantage sur l'équivalence fonctionnelle globale que sur un format d'export unique et imposé.

Un changement de fond

Le Data Act ne se limite pas à une déclaration d'intention : il impose des obligations techniques précises aux fournisseurs cloud opérant dans l'Union européenne, avec un calendrier de mise en conformité déjà engagé. C'est l'un des changements réglementaires les plus structurants pour la portabilité cloud depuis l'apparition du cloud public.

Commission européenne, Data Act (règlement (UE) 2023/2854)
L'écosystème souverain

Le paysage du cloud souverain européen

Plusieurs initiatives structurent aujourd'hui l'écosystème du cloud souverain européen, à des niveaux différents — certification technique, cadre d'interopérabilité, ou infrastructure nationale dédiée.

  • Gaia-X, une initiative européenne visant à définir des standards communs d'interopérabilité et de confiance entre fournisseurs cloud, plutôt qu'un fournisseur en tant que tel.
  • SecNumCloud, la qualification de sécurité délivrée par l'agence nationale française de sécurité des systèmes d'information, exigeant notamment une protection contre les législations extraterritoriales non-européennes.
  • Des initiatives nationales équivalentes dans plusieurs pays européens, comme les clouds administratifs dédiés au secteur public allemand.
  • Des fournisseurs cloud européens comme OVHcloud ou Scaleway, qui opèrent sous droit européen et proposent des services allant de l'IaaS à des offres managées plus proches du PaaS.
Une croissance forte anticipée

Selon les prévisions de Gartner, les dépenses mondiales en cloud souverain IaaS devraient croître fortement en 2026, avec une progression particulièrement marquée en Europe — au point que le marché européen du cloud souverain est projeté pour dépasser celui de l'Amérique du Nord dès 2027.

Gartner, prévisions cloud souverain 2026
Portabilité technique

Ce que la portabilité signifie concrètement

Au-delà de l'obligation réglementaire, la portabilité technique repose sur des standards concrets qui déterminent la facilité réelle d'un changement de fournisseur.

Formats de données ouverts plutôt que propriétaires

Privilégier des formats de données ouverts et largement adoptés (plutôt que des formats propriétaires spécifiques à un fournisseur) est la première condition d'une portabilité réelle — une décision d'architecture à prendre en amont, pas au moment où la migration devient nécessaire.

Les API compatibles S3, un standard de fait

Le protocole d'API de stockage objet popularisé par Amazon S3 est devenu, de facto, un standard d'interopérabilité largement adopté au-delà d'AWS lui-même — de nombreux fournisseurs, y compris européens comme OVHcloud, proposent des services de stockage compatibles avec cette interface, ce qui facilite considérablement la portabilité de ce type de données.

Au-delà du stockage : bases de données et calcul

La portabilité du stockage est la plus simple à obtenir grâce aux standards ouverts existants. Les bases de données managées et les services de calcul propriétaires restent généralement plus difficiles à porter d'un fournisseur à un autre, en particulier lorsqu'ils s'appuient sur des fonctionnalités spécifiques non standardisées — un point à évaluer précisément avant de construire une dépendance forte sur ce type de service.

Réversibilité

Les clauses de réversibilité à connaître

La réversibilité est le pendant contractuel de la portabilité technique : elle garantit, par contrat, les conditions dans lesquelles un client peut effectivement récupérer ses données et mettre fin à une relation avec un fournisseur.

  • Le délai de récupération des données après une demande de résiliation, et le format dans lequel elles seront restituées.
  • L'assistance technique prévue (ou non) par le fournisseur pour accompagner la migration vers un autre prestataire.
  • Les conditions de suppression effective des données chez le fournisseur d'origine après la migration, avec une preuve de suppression le cas échéant.
  • Les coûts associés à la procédure de réversibilité, au-delà des seuls frais de transfert de données déjà couverts par le Data Act.
Piège courant

Une clause de réversibilité vague ou absente du contrat initial devient très difficile à négocier une fois la dépendance déjà installée. Ces clauses se négocient en amont, au moment de la signature, pas au moment où la sortie devient nécessaire.

Erreurs fréquentes

Les confusions les plus courantes sur ce sujet

Trois erreurs reviennent régulièrement dans la façon dont ce sujet est abordé.

Croire que la localisation des données suffit à garantir la souveraineté

Comme évoqué plus haut, des données localisées en Europe restent potentiellement exposées à des législations extraterritoriales si l'entité qui les héberge est soumise à un droit non-européen — la localisation est nécessaire, mais pas suffisante.

Considérer la souveraineté comme un choix binaire

La souveraineté n'est pas un interrupteur « tout ou rien » : une organisation peut choisir un niveau de garantie différent selon la sensibilité de chaque catégorie de données, en combinant par exemple des fournisseurs souverains pour les données les plus critiques et des fournisseurs internationaux pour le reste.

Penser à la portabilité seulement au moment de vouloir changer

Le coût réel d'une migration dépend largement de décisions d'architecture prises des années auparavant — formats de données, niveau d'intégration avec des services propriétaires, clauses contractuelles. Anticiper ce sujet dès la conception réduit considérablement le coût d'une éventuelle sortie future.

Aller plus loin

Un guide dédié pour approfondir ce sujet

Ce sujet fait l'objet d'un guide memia dédié, qui associe ces concepts à un deck de flashcards pour mémoriser durablement les enjeux réglementaires et techniques de la souveraineté cloud, en complément des guides consacrés à Azure, AWS et Google Cloud.

Pour aller plus loin


Questions fréquentes

Quelle est la différence entre localisation, résidence et souveraineté des données ?

La localisation indique simplement où les données sont stockées physiquement. La résidence garantit contractuellement qu'elles restent dans une zone définie. La souveraineté va plus loin : elle porte sur le contrôle légal et administratif des données, via une entité opérant sous un droit spécifique, indépendamment de la seule localisation physique.

Un cloud hébergé en Europe est-il automatiquement souverain ?

Pas nécessairement. Si l'entité qui héberge les données est une filiale d'un groupe soumis à un droit extraterritorial (comme le Cloud Act américain), les données peuvent rester exposées à ce droit même si elles sont physiquement stockées en Europe.

Qu'est-ce que le règlement Data Act change concrètement ?

Le Data Act, pleinement applicable depuis septembre 2025, impose aux fournisseurs cloud des obligations concrètes de portabilité et d'interopérabilité, et prévoit la suppression progressive des frais de sortie de données liés à un changement de fournisseur, d'ici janvier 2027.

Qu'est-ce que Gaia-X ?

Gaia-X est une initiative européenne qui vise à définir des standards communs d'interopérabilité et de confiance entre fournisseurs cloud, plutôt qu'un fournisseur cloud en tant que tel. Elle sert de cadre de référence pour l'écosystème du cloud souverain européen.

Quelle est la différence entre portabilité et réversibilité ?

La portabilité concerne la capacité technique à extraire et réutiliser ses données dans un format exploitable ailleurs. La réversibilité est son pendant contractuel : les garanties formelles (délais, assistance, coûts) qui encadrent la fin effective d'une relation avec un fournisseur.

Les API compatibles S3 sont-elles un vrai gage d'interopérabilité ?

Elles facilitent significativement la portabilité du stockage objet, puisque de nombreux fournisseurs, y compris européens, les prennent en charge. Ce n'est cependant qu'un aspect de la portabilité globale — d'autres services (calcul, bases de données managées) nécessitent une attention spécifique.

Faut-il choisir un fournisseur 100 % souverain pour toutes ses données ?

Pas nécessairement. La souveraineté n'est pas un choix binaire : de nombreuses organisations combinent un fournisseur souverain pour leurs données les plus sensibles avec un ou plusieurs fournisseurs internationaux pour le reste de leurs besoins.

Qu'est-ce que SecNumCloud ?

SecNumCloud est une qualification de sécurité délivrée par l'agence nationale française de sécurité des systèmes d'information, qui exige notamment une protection contre l'application de législations extraterritoriales non-européennes aux données hébergées.

Le marché du cloud souverain est-il en croissance ?

Oui, fortement. Selon les prévisions de Gartner, les dépenses mondiales en cloud souverain IaaS devraient croître de façon marquée en 2026, avec une croissance particulièrement forte en Europe, qui est projetée pour dépasser l'Amérique du Nord sur ce segment dès 2027.

Faut-il connaître ces enjeux pour une certification cloud ?

Les certifications d'entrée abordent généralement les notions de conformité et de résidence des données de façon introductive, mais les enjeux détaillés de souveraineté, de portabilité et de réversibilité dépassent le cadre de ces certifications — ce sujet est traité en profondeur dans le guide memia dédié à la souveraineté cloud.