La Commission europeenne vient de franchir un cap qu’elle evoquait depuis des annees sans vraiment le concretiser. Le 17 avril 2026, Bruxelles a attribue un marche-cadre pouvant atteindre 180 millions d’euros sur six ans pour fournir des services de cloud souverain a l’ensemble des institutions, organismes, bureaux et agences de l’Union europeenne. Quatre consortiums ont ete retenus : Post Telecom associe a CleverCloud et OVHcloud, STACKIT, Scaleway et Proximus en partenariat avec S3NS, Clarence et Mistral. Un signal politique autant qu’industriel.
Au-dela du montant, c’est la methode qui marque un tournant. En optant pour quatre adjudicataires en parallele plutot que pour un contrat unique concentre sur un seul acteur, la Commission assume une doctrine claire : la souverainete numerique europeenne ne se resume plus a la localisation geographique des donnees, elle devient une question de marche, de capacite industrielle et de gestion du risque strategique. Et ce n’est qu’un premier etage d’une fusee politique bien plus large, qui doit culminer avec le Cloud and AI Development Act (CADA) attendu dans les prochains mois.
Les details du marche-cadre europeen
Le marche attribue le 17 avril 2026 est structure sous la forme d’un framework contract d’une duree de six ans, dont l’enveloppe plafond est de 180 millions d’euros. Concretement, chaque institution europeenne – du Parlement a la Banque centrale, en passant par les agences comme l’EMA, Europol ou l’ENISA – pourra commander des services IaaS et PaaS aupres des quatre consortiums selectionnes, via des contrats specifiques derives du marche-cadre. Une mecanique classique dans les achats publics de l’UE, mais appliquee cette fois a un perimetre strategique longtemps domine par les hyperscalers americains.
La selection s’est appuyee sur le Cloud Sovereignty Framework, un referentiel public elabore par la Direction generale de l’Informatique de la Commission. Ce document definit huit objectifs de souverainete : strategique, juridique et juridictionnelle, donnees et intelligence artificielle, operationnelle, chaine d’approvisionnement, technologique, securite et conformite, durabilite environnementale. La chaine d’approvisionnement pese 20 % de la note finale, les trois piliers strategique, operationnel et technologique 15 % chacun, le reste etant reparti entre aspects juridiques, gouvernance des donnees et IA, securite et durabilite.
Le framework introduit egalement les niveaux de garantie SEAL, gradues de SEAL-0 – absence totale de souverainete, controle exclusif par un tiers non europeen – a SEAL-4, souverainete numerique complete avec technologie et operations integralement sous controle de l’UE. Pour participer, chaque soumissionnaire devait atteindre un seuil minimal, documente publiquement et confirme par une evaluation technique. Cette methodologie, heritiere des travaux du rapport Forrester Wave sur le cloud souverain 2026, transforme une notion jusqu’ici rhetorique en un barometre chiffre et opposable.
Qui sont les fournisseurs retenus
Le panel retenu par Bruxelles dessine une cartographie assez juste de l’industrie cloud europeenne en 2026 : des acteurs purement europeens cotoient des consortiums hybrides integrant des briques americaines encadrees par des garde-fous contractuels. Tour d’horizon des quatre attributaires.
Post Telecom, CleverCloud et OVHcloud
Le consortium emmene par l’operateur luxembourgeois Post Telecom combine deux references du cloud francais : OVHcloud, deja implique dans l’infrastructure de l’euro numerique de la BCE, et CleverCloud, specialiste du PaaS europeen. Les trois acteurs disposent de datacenters entierement operes sur le territoire de l’UE, d’un capital majoritairement europeen et d’une gouvernance exempte de toute dependance au CLOUD Act americain. L’offre cible en particulier les charges de travail sensibles : donnees personnelles des citoyens, applications metiers regaliennes et traitements lies a la defense ou a la sante publique.
STACKIT, l’allemand porte par Schwarz
Filiale du groupe Schwarz (Lidl, Kaufland), STACKIT s’est impose en quelques annees comme l’une des references du cloud souverain allemand. L’operateur revendique une infrastructure entierement germano-autrichienne, un code base developpe en interne et une integration native avec les exigences du BSI (Office federal allemand de la securite des systemes d’information). Sa presence dans le marche-cadre de la Commission valide son passage de fournisseur domestique a acteur paneuropeen credible face a Microsoft Azure et AWS.
Scaleway, le pari cloud de Iliad
Filiale d’Iliad, Scaleway joue la carte d’un cloud public compact, performant et resolument europeen. L’entreprise francaise mise sur ses GPU H100 installes dans ses datacenters parisiens, sa suite managee Kubernetes et son offre de stockage objet compatible S3 pour se positionner face aux hyperscalers. Sa selection par la Commission valide un positionnement technique souvent sous-estime face aux geants mais plebiscite par les startups europeennes d’IA.
Proximus avec S3NS, Clarence et Mistral
C’est le consortium le plus discute. L’operateur belge Proximus s’associe a S3NS – la coentreprise de Thales et Google Cloud -, a Clarence et au champion francais de l’IA generative Mistral. La Commission assume ici qu’une techno d’origine americaine, encadree par des garanties juridiques et operationnelles strictes (cle de chiffrement detenue par Thales, operations localisees, immunite aux injonctions extraterritoriales), peut atteindre le seuil minimal de souverainete exige. Un compromis pragmatique qui irrite une partie des defenseurs du cloud 100 % europeen, mais qui reflete la realite d’une pile technologique encore largement dependante des briques logicielles americaines.
Pourquoi Bruxelles mise sur le cloud souverain
La doctrine europeenne sur la souverainete cloud repose sur trois piliers juridiques et strategiques. Premierement, le CLOUD Act americain de 2018 permet aux autorites federales d’exiger des fournisseurs sous juridiction US la remise de donnees stockees n’importe ou dans le monde. Une epee de Damocles incompatible avec la protection des donnees sensibles des institutions europeennes. Deuxiemement, le RGPD impose un cadre strict de protection des donnees personnelles, que les transferts vers les Etats-Unis ont systematiquement fragilise depuis l’invalidation du Privacy Shield par l’arret Schrems II en 2020.
Troisiemement – et c’est peut-etre le plus structurant – l’Union europeenne a fait de l’autonomie strategique un axe majeur de sa politique industrielle depuis la guerre en Ukraine et le durcissement de la competition technologique avec la Chine et les Etats-Unis. Depuis que la France a annonce l’abandon progressif de Windows dans son administration, le mouvement s’est accelere dans plusieurs capitales europeennes : l’Allemagne avec le projet openDesk, les Pays-Bas avec leur strategie de re-internalisation du cloud, l’Italie avec la Polo Strategico Nazionale. Bruxelles suit le meme chemin, avec une coherence accrue.
Consequences pour le marche europeen
Pour les hyperscalers americains, le signal est clair : meme si l’Europe n’exclut pas totalement leurs technologies, elle ne les positionnera plus par defaut dans les marches publics strategiques. AWS, Microsoft Azure et Google Cloud conservent leur avance technologique et commerciale, mais leur part du gateau souverain europeen se reduit mecaniquement. Selon les dernieres estimations de Canalys, AWS detient encore environ 31 % du marche IaaS mondial en 2026, suivi d’Azure a 25 % et de Google Cloud a 12 %. Mais sur le segment du cloud souverain europeen, leur presence directe devient residuelle – sauf a se plier aux conditions strictes imposees par les coentreprises de type S3NS.
Pour les acteurs europeens, l’enjeu est inverse : transformer ce levier politique en succes commercial durable. OVHcloud, Scaleway, STACKIT et leurs consorts savent que le marche des institutions europeennes ne represente qu’une fraction de leurs revenus cibles. Le vrai pari est d’utiliser cette vitrine prestigieuse pour convaincre les grands comptes prives europeens – banques, industriels, hopitaux, collectivites – que le cloud souverain n’est plus une alternative de second rang, mais un choix performant et economiquement viable. Le rapport Forrester Wave 2026 a deja acte ce basculement : le cloud souverain est passe du statut de niche reglementaire a celui de pilier de la strategie cloud d’entreprise.
Liens avec Gaia-X, EuroStack et le Chips Act
L’attribution de ce marche-cadre ne peut se comprendre qu’articulee avec les autres briques de la souverainete numerique europeenne. Gaia-X, lance en 2020, a pose les premiers standards d’interoperabilite et de portabilite entre fournisseurs europeens. Malgre des critiques sur son rythme et son ouverture a des membres non europeens, Gaia-X a permis de structurer un ecosysteme d’espaces de donnees sectoriels – sante, mobilite, finance, industrie 4.0 – qui nourrissent aujourd’hui la demande cloud souveraine.
Plus recemment, l’initiative EuroStack, portee par un collectif d’industriels et de think tanks europeens, vise a batir une pile technologique souveraine de bout en bout : du silicium aux applications SaaS, en passant par les systemes d’exploitation et les bases de donnees. Le Chips Act europeen, avec ses 43 milliards d’euros de financements publics et prives, attaque la meme problematique par le bas : sans semi-conducteurs europeens, pas de cloud reellement souverain. Une Chips Act 2 est d’ailleurs en preparation, avec un focus accru sur les puces IA et les procedes avances.
Le marche de 180 millions d’euros s’inscrit donc dans une sequence politique coherente : Gaia-X fournit les standards, EuroStack la vision industrielle, le Chips Act les fondations materielles, et le CADA – attendu avant fin 2026 – le cadre reglementaire unifie pour les services cloud et IA souverains. Chaque brique seule reste fragile ; assemblees, elles commencent a dessiner un edifice credible.
Perspectives 2026-2032
Les six ans du marche-cadre couvrent une periode decisive pour le cloud europeen. D’ici 2027, la Commission entend publier une version actualisee du Cloud Sovereignty Framework, avec des criteres plus fins et des mecanismes d’audit renforces. Elle prevoit egalement d’etendre ces exigences aux services numeriques qu’elle fournit a ses propres departements, creant de facto un modele reutilisable par les Etats membres. Le CADA devrait harmoniser ces regles au niveau communautaire, reduisant la fragmentation actuelle entre frameworks nationaux (SecNumCloud en France, BSI C5 en Allemagne, ENS en Espagne).
Sur le plan industriel, le vrai test viendra du passage a l’echelle. Les quatre consortiums retenus devront prouver qu’ils peuvent absorber une demande significative sans degrader leurs SLA, tout en maintenant des tarifs competitifs face aux hyperscalers. C’est aussi sur ce terrain que se jouera leur credibilite aupres du secteur prive. Si d’ici 2030 le cloud souverain europeen represente plus de 20 % des depenses IaaS/PaaS des grandes entreprises du continent – il plafonne aujourd’hui sous les 10 % selon IDC -, la politique de Bruxelles pourra etre consideree comme une reussite. En cas contraire, la question d’une intervention industrielle plus directe, voire d’un champion europeen adosse a des financements publics massifs, reviendra inevitablement sur la table.
Questions frequemment posees
Qu’a exactement attribue la Commission europeenne ?
Il s’agit d’un marche-cadre d’un montant plafond de 180 millions d’euros sur six ans, permettant aux institutions et agences de l’UE de commander des services de cloud souverain aupres de quatre consortiums retenus : Post Telecom avec CleverCloud et OVHcloud, STACKIT, Scaleway et Proximus avec S3NS, Clarence et Mistral.
Les hyperscalers americains sont-ils totalement exclus ?
Non. La Commission admet que des technologies non europeennes peuvent atteindre le seuil minimal de souverainete si elles operent dans un cadre juridique strict, via des coentreprises europeennes comme S3NS (Thales et Google Cloud). L’exclusion n’est pas dogmatique mais conditionnee a des garanties verifiables.
Quels sont les criteres du Cloud Sovereignty Framework ?
Huit objectifs sont evalues : souverainete strategique, juridique et juridictionnelle, gouvernance des donnees et IA, operationnelle, chaine d’approvisionnement, technologique, securite et conformite, durabilite environnementale. Les niveaux SEAL (de 0 a 4) et une note ponderee permettent de classer chaque offre.
Quel est le lien avec le CLOUD Act et le RGPD ?
Le CLOUD Act americain autorise les autorites US a reclamer l’acces aux donnees detenues par des fournisseurs sous juridiction americaine, meme hebergees en Europe. Combine aux fragilites du transfert transatlantique depuis Schrems II, il justifie la necessite d’un cloud reellement souverain pour proteger les donnees sensibles au sens du RGPD.
Quand le Cloud and AI Development Act (CADA) sera-t-il adopte ?
La Commission vise une adoption avant fin 2026, dans le cadre d’un paquet plus large comprenant une strategie Open Source europeenne, une eventuelle Chips Act 2 et une feuille de route IA pour le secteur energetique. Le CADA devrait harmoniser les regles de souverainete cloud et IA au niveau de l’UE, en remplacement progressif des frameworks nationaux.
