Cloud souverain France : SecNumCloud, Bleu, Numspot — guide complet 2026
Le cloud souverain en France en 2026 : qualification SecNumCloud ANSSI, offres Bleu (Orange-Capgemini), Numspot, S3NS (Thales-Google), Cloud Temple — quel cloud choisir selon vos données ?
La question de la souveraineté numérique est devenue centrale pour les entreprises et administrations françaises. Face aux lois extraterritoriales américaines (CLOUD Act, USA PATRIOT Act), à la compétition géopolitique autour des données, et aux obligations réglementaires croissantes (NIS2, RGPD, SecNumCloud), le cloud souverain français s'impose comme une option stratégique. Ce guide fait le point sur les offres disponibles en 2026.
Pourquoi le cloud souverain ? Les risques du cloud US
Les hyperscalers américains (AWS, Azure, Google Cloud) offrent des services de très haute qualité. Mais leur utilisation expose à des risques spécifiques :
- CLOUD Act (2018) : Permet aux autorités américaines d'accéder aux données stockées par des entreprises américaines, même en dehors des États-Unis, sans accord de la juridiction locale. AWS, Microsoft et Google sont des entreprises américaines.
- USA PATRIOT Act : Large pouvoir d'accès aux données dans le cadre de la lutte contre le terrorisme.
- Dépendance stratégique : Une dépendance exclusive à un hyperscaler américain crée un risque de rupture de service ou de modification des conditions tarifaires.
- Conflits RGPD : La CJUE a invalidé Privacy Shield en 2020 (Schrems II). Le successeur (Data Privacy Framework) est fragile juridiquement. Les transferts de données vers les US restent une zone à risque juridique.
Pour les données les plus sensibles (données de santé, données de défense, données personnelles critiques, données stratégiques d'entreprise), le cloud souverain est soit obligatoire soit fortement recommandé.
La qualification SecNumCloud ANSSI : le standard de référence
SecNumCloud est le référentiel de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) pour la qualification des services cloud. Une offre qualifiée SecNumCloud garantit :
- Immunité au CLOUD Act : Le prestataire ne peut pas être contraint de divulguer des données à une autorité étrangère sans accord de la juridiction française
- Sécurité technique vérifiée : Contrôles techniques approfondis (ISO 27001 + critères SecNumCloud spécifiques)
- Gouvernance française : L'opérateur et ses entités de contrôle sont à majorité française/européenne
- Personnel habilité : Le personnel ayant accès aux données peut être soumis à habilitation pour les données sensibles
SecNumCloud est obligatoire pour les systèmes d'information des administrations traitant des données sensibles (DR, Confidentiel Défense), et fortement recommandé pour les OIV/OSE, les données de santé (HDS), et les données fiscales ou judiciaires.
Les offres cloud souverain françaises en 2026
OVHcloud — SecNumCloud partiel
OVHcloud est l'acteur européen du cloud le plus important. Certaines offres OVHcloud (Hosted Private Cloud SecNumCloud) sont qualifiées. Leurs datacenters principaux sont en France (Roubaix, Strasbourg, Gravelines). OVHcloud est français et coté en bourse à Paris. Points forts : prix compétitifs, large gamme de services. Limites : l'offre SecNumCloud couvre un périmètre limité de services.
Bleu — Microsoft Azure souverain
Bleu est une coentreprise entre Orange et Capgemini pour opérer une version souveraine d'Azure en France. Bleu est une entité de droit français, détenue à 100% par des capitaux français, qui opère les services Microsoft sous licence. Les données restent en France, gérées par du personnel français habilité. Bleu cible les administrations et secteurs régulés (santé, défense, énergie). Disponibilité commerciale : 2025-2026.
S3NS — Google Cloud souverain (Thales)
S3NS est une coentreprise entre Thales et Google pour opérer une version souveraine de Google Cloud en France. Thales (groupe de défense et cybersécurité français) est le garant de la gouvernance française. S3NS offre les services GCP (BigQuery, GKE, Cloud Run, AI/ML) avec une immunité juridique française. Cible principale : secteurs régulés, entreprises de défense, grandes entreprises françaises. En déploiement progressif depuis 2024.
Numspot — Cloud souverain Banque des Territoires
Numspot est une initiative portée par des acteurs publics (Banque des Territoires, Docaposte/La Poste, Dassault Systèmes, Bouygues Telecom). C'est un cloud souverain conçu spécifiquement pour le secteur public et les entités régulées. Cible : collectivités, établissements de santé, établissements publics. Services basés sur OpenStack/Kubernetes open source. Qualification SecNumCloud en cours.
Cloud Temple — HPC et données sensibles
Cloud Temple est un opérateur cloud qualifié SecNumCloud proposant des services d'infrastructure (IaaS) pour les données les plus sensibles. Il cible les OIV, les acteurs de la défense et du renseignement, et les secteurs critiques. Périmètre SecNumCloud étendu comparé à d'autres acteurs.
Outscale — cloud AWS-compatible souverain (Dassault Systèmes)
Outscale est filiale de Dassault Systèmes, qualifiée SecNumCloud. Son API est compatible AWS (SDK AWS utilisable), ce qui facilite la migration depuis AWS. Cible les entreprises industrielles, les acteurs de la défense et les administrations.
Comment choisir : grille de décision par type de données
La stratégie cloud doit être différenciée selon la sensibilité des données :
- Données publiques, non sensibles : Hyperscalers US (AWS, Azure, GCP) — excellent rapport qualité/prix, services avancés
- Données personnelles classiques (RGPD) : Hyperscalers US avec clauses SCC robustes OU OVHcloud — acceptable selon votre analyse de risque
- Données de santé (HDS obligatoire) : Hébergeurs certifiés HDS : AWS Healthcare, Azure Healthcare, OVHcloud HDS, Outscale HDS — certification HDS obligatoire
- Données stratégiques d'entreprise (R&D, brevets) : OVHcloud SecNumCloud, Outscale, S3NS, Bleu — recommandé pour éviter l'exposition au CLOUD Act
- Données régaliennes / Diffusion Restreinte : Cloud Temple SecNumCloud, Numspot — exigence SecNumCloud obligatoire
- Secret Défense : Systèmes d'information gouvernementaux (SIGov) — hors cloud commercial
Migration vers le cloud souverain : ce qu'il faut anticiper
La migration vers un cloud souverain implique des choix techniques et des coûts à anticiper :
- Surcoût : Les offres SecNumCloud sont généralement 20-40% plus chères que les hyperscalers équivalents. À intégrer dans le ROI de la conformité.
- Périmètre de services réduit : Les clouds souverains n'ont pas (encore) tous les services d'AWS/Azure/GCP. Certaines fonctionnalités avancées d'IA ou de data analytics ne sont pas disponibles.
- Migration : Le passage d'AWS vers OVHcloud ou Outscale nécessite une adaptation du code (APIs différentes sauf pour Outscale compatible AWS).
- Stratégie hybride : La plupart des entreprises optent pour une approche hybride — données sensibles sur cloud souverain, workloads non sensibles sur hyperscalers.
Conclusion
Le cloud souverain français est maintenant mature avec des offres crédibles (OVHcloud, Bleu, S3NS, Numspot, Cloud Temple). Pour les entreprises traitant des données sensibles, réglementées ou stratégiques, la question n'est plus "si" mais "comment" intégrer le cloud souverain dans une stratégie multi-cloud. CyberSecure accompagne vos équipes dans l'analyse des besoins, le choix des offres souveraines, et l'audit de sécurité de vos environnements cloud.
Besoin d'un accompagnement en cybersécurité ?
CloudSecure vous aide à sécuriser votre infrastructure cloud et à protéger vos données.
Contactez-nous