8 min de lecture

82 pour cent des entreprises allemandes ne veulent plus dépendre techniquement des fournisseurs américains de services cloud. Pourtant, 78 pour cent d’entre elles restent, en pratique, dépendantes. L’écart entre souhait et réalité constitue le défi central pour les conseils d’administration en 2026. Car la souveraineté numérique n’est plus un sujet informatique. C’est une décision stratégique prise au niveau du conseil d’administration, aux dimensions géopolitiques, réglementaires et économiques. GAIA-X fournit le cadre. Le Sovereign Cloud Stack (SCS) en assure le fondement technique. Et le groupe Schwarz investit 11 milliards d’euros dans STACKIT. Mais le Cloud Act américain demeure pleinement applicable. Pour les conseils d’administration qui n’agissent pas dès maintenant, cette dépendance deviendra un risque stratégique.

Pourquoi la souveraineté numérique est aujourd’hui un enjeu stratégique

Selon une étude récente, 78 pour cent des cadres dirigeants européens affirment que la direction générale de leur entreprise s’inquiète davantage de la souveraineté numérique qu’il y a un an. En Allemagne, ce chiffre atteint 81 pour cent. Il ne s’agit plus d’un débat abstrait. Ce sont désormais des décisions concrètes prises au niveau du conseil d’administration concernant la stratégie cloud, la maîtrise des données et la conformité réglementaire.

Trois facteurs ont porté ce sujet au sommet de l’agenda stratégique. Premièrement : le Cloud Act américain autorise les autorités américaines à exiger des données détenues par des entreprises américaines, quelle que soit la localisation géographique de ces données. Pour les entreprises européennes utilisant AWS, Azure ou Google Cloud, cela crée un conflit juridique direct avec le Règlement général sur la protection des données (RGPD). Le Cadre de confidentialité des données UE-États-Unis (EU-US Data Privacy Framework) offre un pont temporaire, mais le conflit fondamental demeure non résolu.

Deuxièmement : la situation géopolitique a évolué. La politique commerciale américaine, sous des administrations successives, montre que les dépendances politiques entraînent des conséquences économiques. Selon Bitkom, 50 pour cent des entreprises allemandes déclarent que la politique gouvernementale américaine les oblige à revoir leur stratégie cloud.

Troisièmement : la réglementation rend la souveraineté une obligation légale. Le règlement européen sur les données (EU Data Act, entré en vigueur en septembre 2025), la directive DORA pour le secteur financier et la directive NIS2 pour les infrastructures critiques créent un cadre réglementaire dans lequel la maîtrise des données n’est plus facultative. Le chef de l’information fédéral allemand, Dr. Markus Richter, le résume ainsi : « La souveraineté numérique est absolument essentielle. »

GAIA-X : du concept à la mise en œuvre concrète

GAIA-X a dépassé la phase où son principal produit était du papier. Cette époque est révolue. En novembre 2025, l’initiative a publié le Trust Framework 3.0 « Danube », qui permet des structures de confiance fédérées traversant les domaines et les frontières géographiques. Plus de 15 Data Spaces européens sont opérationnels et reposent sur les normes GAIA-X. Cloud Temple est devenu la première entreprise certifiée avec le label GAIA-X Niveau 3, le niveau le plus élevé.

Le PDG Ulrich Ahle le formule ainsi : GAIA-X est passé du stade conceptuel à celui de la mise en œuvre concrète. Confiance, interopérabilité et innovation ne sont plus des piliers théoriques, mais constituent désormais la base opérationnelle d’écosystèmes numériques réellement fonctionnels.

Pour les conseils d’administration, GAIA-X n’est pas un produit à acheter, mais un cadre garantissant l’interopérabilité. Celui qui souhaite changer de fournisseur cloud a besoin d’interfaces normalisées. GAIA-X fournit précisément cela : des normes communes empêchant le verrouillage (lock-in) auprès d’un seul fournisseur. Le Sovereign Cloud Stack (SCS), soutenu par 24 entreprises et défini comme standard de conformité par l’initiative « Germany Stack », en constitue le fondement technique.

Le paysage européen du cloud : qui investit ?

Les parts de marché sont décevantes : selon Synergy Research, les fournisseurs européens ne détiennent que 15 pour cent du marché européen du cloud. AWS, Microsoft et Google contrôlent 70 pour cent du marché. Toutefois, la dynamique des investissements évolue.

STACKIT (groupe Schwarz) : Le conglomérat mère de Lidl investit 11 milliards d’euros dans sa division cloud. À Lübbenau, un des plus grands centres de données européens est en construction, doté jusqu’à 100 000 GPU. Schwarz Digits (la branche digitale, dont fait partie STACKIT) génère un chiffre d’affaires annuel d’environ 1,9 milliard d’euros. Le partenariat avec Google est remarquable : Google Workspace est hébergé dans des centres de données exploités par Schwarz, avec une résidence des données strictement allemande. Le modèle est le suivant : logiciels américains, oui – mais sur une infrastructure européenne, sous contrôle européen.

Deutsche Telekom / T Cloud : Plus de 4 000 entreprises clientes utilisent T Cloud Public, notamment des groupes du DAX. En novembre 2025, la Industrial AI Cloud a été annoncée à Munich : un investissement d’un milliard d’euros, dotée de jusqu’à 10 000 GPU, exploitée exclusivement par du personnel européen. La Deutsche Telekom prévoit de combler l’écart fonctionnel avec les fournisseurs américains d’ici fin 2026.

AWS European Sovereign Cloud : Même les fournisseurs américains réagissent. Le 15 janvier 2026, l’AWS European Sovereign Cloud a démarré à Brandebourg : un investissement de 7,8 milliards d’euros, une société allemande indépendante (AWS European Sovereign Cloud GmbH), dotée de directeurs généraux européens et physiquement et logiquement séparée de l’infrastructure globale d’AWS. Il s’agit d’un geste d’apaisement face à la pression européenne sur la souveraineté numérique. Reste à savoir si cela suffira : la société mère reste américaine et le Cloud Act s’applique toujours.

Le règlement européen sur les données (EU Data Act) : pourquoi changer de prestataire devient plus simple

Le règlement européen sur les données (EU Data Act) est entièrement applicable depuis septembre 2025 et modifie fondamentalement les rapports de force entre fournisseurs cloud et clients. Son chapitre VI régit le cloud switching : les clients peuvent résilier leurs contrats cloud à tout moment, avec un préavis de deux mois. Jusqu’en janvier 2027, seuls les coûts directs liés au changement de prestataire peuvent être facturés. À partir de janvier 2027 : aucune redevance de changement ne sera plus autorisée. Les fournisseurs IaaS doivent garantir une « équivalence fonctionnelle » lors de la transition. Les autres fournisseurs doivent mettre gratuitement à disposition des interfaces ouvertes pour faciliter le changement.

Pour les conseils d’administration qui débattent actuellement de la souveraineté cloud, le Data Act change radicalement les calculs : le verrouillage (lock-in), jusqu’ici l’argument le plus fort contre un changement (« nous ne pouvons pas partir, les coûts de migration seraient trop élevés »), s’affaiblit nettement à partir de 2027. Celui qui planifie aujourd’hui une stratégie multi-cloud ou une migration vers un fournisseur européen sait que les coûts de sortie seront limités par la réglementation.

Qui migre déjà ?

Le mouvement est réel, même s’il est lent. Airbus a lancé, en décembre 2025, un appel d’offres pour migrer ses systèmes critiques vers un cloud européen souverain : plus de 50 millions d’euros, contrat de dix ans, démarrage début janvier 2026. Le Schleswig-Holstein a migré 40 000 boîtes mail depuis Microsoft Exchange/Outlook vers Open-Xchange/Thunderbird. La Bundeswehr a signé, en avril 2025, un contrat de sept ans avec ZenDiS pour openDesk (remplaçant Microsoft 365). Plusieurs Länder ont ordonné la migration des administrations publiques hors de Microsoft 365.

Dans le secteur privé, la dynamique est plus nuancée. Les données de Bitkom montrent : 100 pour cent des entreprises préféreraient un fournisseur allemand si les fonctionnalités étaient équivalentes. 61 pour cent accepteraient un fournisseur européen. Seulement 6 pour cent privilégieraient un fournisseur américain. Mais préférence ne signifie pas réalité : l’écart fonctionnel entre AWS/Azure/Google et les alternatives européennes reste important, notamment pour les services d’intelligence artificielle, les bases de données gérées (Managed Databases) et la capacité de mise à l’échelle mondiale.

BSI C5 : le label allemand de sécurité cloud

Le catalogue de critères de conformité pour le cloud (Cloud Computing Compliance Criteria Catalogue, C5) du BSI (Office fédéral de la sécurité informatique) évolue d’un standard de niche vers une référence transversale. Plus de 60 fournisseurs sont déjà certifiés C5, notamment AWS, Microsoft, Cisco, Deepl et Doctolib. Depuis juillet 2025, l’attestation C5 de type 2 est obligatoire dans le secteur de la santé. Une nouvelle version, C5:2025, est en projet communautaire (Community Draft) et deviendra obligatoire pour les évaluations à compter de 2027.

Pour le site allemand, le C5 est un succès à l’export : un standard de sécurité cloud plus strict que le SOC 2 et applicable à tous les secteurs. Les fournisseurs européens disposant d’une attestation C5 bénéficient d’un avantage de confiance face à des concurrents non certifiés, y compris face aux fournisseurs américains qui ne considèrent pas le C5 comme une priorité.

La position honnête : la souveraineté a un prix

La souveraineté numérique sonne bien. Mais elle coûte cher. Les fournisseurs européens de services cloud sont plus chers qu’AWS et Azure. L’écart fonctionnel est réel : celui qui a besoin de charges de travail IA sur des grappes GPU ne trouvera pas chez STACKIT ou T Cloud (pas encore) l’offre équivalente à celle d’AWS SageMaker ou d’Azure OpenAI. Et migrer une infrastructure cloud complexe, composée de multiples services, d’AWS vers un fournisseur européen représente un projet de plusieurs mois à plusieurs années, coûtant des millions d’euros – même si le Data Act supprime les frais de changement.

S’y ajoute un problème conceptuel : la data residency (stockage des données en Allemagne) n’est pas synonyme de data sovereignty (maîtrise effective des données). Si AWS crée une société allemande et stocke les données à Brandebourg, mais que sa maison mère siège à Seattle, le Cloud Act s’applique toujours. L’AWS European Sovereign Cloud constitue un progrès, mais ne résout pas intégralement le conflit de compétence juridictionnelle.

Enfin, la part de marché des fournisseurs européens (15 pour cent) n’a pas augmenté depuis 2022. Certes, le marché global croît (36 milliards d’euros au premier semestre 2025, +24 pour cent), mais les fournisseurs européens ne progressent que proportionnellement, sans croissance surperformante. Autrement dit : malgré toutes les discussions sur la souveraineté, les hyperscalers américains continuent de gagner des parts de marché. La question est donc de savoir si les investissements dans les clouds souverains (STACKIT : 11 milliards, AWS Sovereign : 7,8 milliards, Deutsche Telekom : 1+ milliard) modifieront durablement les rapports de force ou ne feront que figer le statu quo.

Ce que les conseils d’administration doivent décider dès maintenant

1. Lier la stratégie cloud aux niveaux de souveraineté. Toutes les données n’ont pas besoin du même degré de souveraineté. Les sites web publics et les SaaS non critiques peuvent rester sur des clouds américains. Les données personnelles, financières et celles liées à la propriété intellectuelle doivent impérativement reposer sur une infrastructure européenne ou souveraine. La classification des données selon leur niveau de sensibilité constitue la base de toute décision.

2. Ancrer la multi-cloud comme principe stratégique. La dépendance à un seul fournisseur constitue le plus grand risque. La multi-cloud (utiliser délibérément deux à trois fournisseurs) réduit le verrouillage (lock-in) et renforce le pouvoir de négociation. GAIA-X et le Sovereign Cloud Stack fournissent les normes d’interopérabilité qui rendent cela possible.

3. Utiliser le EU Data Act comme option de sortie. À partir de janvier 2027, il n’y aura plus de frais de changement. Les conseils d’administration qui auront préparé une stratégie de sortie d’ici là pourront la mettre en œuvre sans pénalité financière. Celui qui n’en aura pas, restera dans le même verrouillage qu’avant – simplement sans pouvoir invoquer l’excuse « c’est trop cher ».

4. Exiger l’attestation C5 de tous les fournisseurs cloud. Chaque fournisseur cloud travaillant pour l’entreprise doit présenter une attestation C5 ou disposer d’un calendrier clair pour l’obtenir. À compter de 2027, le C5 deviendra une référence transversale. Celui qui signe aujourd’hui des contrats sans clause C5 devra les renégocier ultérieurement.

Conclusion

La souveraineté numérique est passée du domaine des vœux pieux à celui des enjeux stratégiques. 82 pour cent des entreprises allemandes veulent rompre leur dépendance, 78 pour cent y sont encore enfermées. GAIA-X fournit le cadre, le Sovereign Cloud Stack la technologie, et les investissements massifs de STACKIT, de la Deutsche Telekom et d’AWS l’infrastructure. Le EU Data Act et le Cloud Act accentuent l’urgence. Gartner prévoit qu’en 2027, l’Europe dépassera l’Amérique du Nord en dépenses consacrées aux clouds souverains. Pour les conseils d’administration, le message est clair : la stratégie cloud n’est plus une décision IT. C’est une question d’indépendance entrepreneuriale. Et on y répond non pas l’année prochaine, mais aujourd’hui.

Questions fréquentes

Lectures complémentaires

CIO Reboot : 245 milliards et la question de l’orientation des investissements (Digital Chiefs)

Gouvernance du conseil d’administration : compétences numériques au sein des conseils de surveillance (Digital Chiefs)

Zero Trust comme facteur de localisation (SecurityToday)

Reboot Germany : 735 milliards d’investissements (MyBusinessFuture)

Source de l’image : Pexels / Christina Morillo (px:1181467)