La souveraineté numérique n’est plus réservée aux gouvernements. Banques, assureurs, administrations publiques, opérateurs critiques, hôpitaux et grandes entreprises commencent à envisager le cloud avec une nouvelle question : non seulement où résident les données, mais aussi qui peut y accéder, sous quelle juridiction, avec quels contrôles, comment se déroule l’audit de l’opération et que se passe-t-il si la connectivité au cloud public est interrompue.
Kyndryl et Microsoft ont annoncé l’élargissement de leur partenariat pour répondre à cette demande. La proposition combine Kyndryl Sovereignty Solutioning avec les capacités de Microsoft Sovereign Cloud, dans le but d’aider les organisations réglementées à concevoir, bâtir et exploiter des architectures cloud conformes aux exigences de résidence des données, de contrôle opérationnel, de conformité et de modernisation, y compris pour des cas d’usage avec l’IA.
Cet accord reflète un changement fondamental. Pendant des années, parler de “cloud souverain” se limitait presque toujours à la localisation du centre de données. Désormais, la conversation devient plus technique : contrôle d’accès privilégié, opération locale, isolement, audit, chiffrement, portabilité, reprise, continuité et capacité à exécuter des charges sensibles dans des environnements hybrides ou déconnectés.
La souveraineté n’est plus seulement une question de résidence des données
La collaboration couvre un vaste éventail de déploiements. Kyndryl propose des services d’évaluation, d’architecture, de mise en œuvre et d’exploitation ; Microsoft apporte son approche de cloud souverain intégrée, comprenant des capacités de cloud public, Microsoft 365, Azure et des environnements privés via Azure Local. L’objectif est qu’une organisation puisse combiner cloud public, cloud privé, infrastructure régionale et systèmes on-premise sans compromettre le cadre de contrôle exigé par ses régulateurs ou son propre modèle de gestion des risques.
Microsoft définit le Sovereign Cloud comme une offre unifiée pour le cloud public, les environnements privés et les clouds gérés par des partenaires. L’accent est mis sur le contrôle de la localisation des données, la gouvernance des accès et la gestion des opérations cloud, sans obliger le déplacement de toutes les charges vers une cloud distincte.
Cette distinction est importante. Une entreprise peut avoir ses données hébergées en Europe, mais ne pas atteindre ses objectifs de souveraineté si la gestion, le support, les clés, les opérations ou la récupération dépendent de processus hors de son contrôle. La souveraineté mature se mesure non seulement par la région cloud choisie, mais aussi par la capacité à démontrer qui gouverne chaque couche.
| Couche de souveraineté | Ce qu’elle doit résoudre |
|---|---|
| Données | Résidence, classification, chiffrement, conservation et cycle de vie |
| Opération | Qui administre, d’où et avec quels privilèges |
| Accès | Gouvernance des identités, segregation et contrôle des opérateurs |
| Infrastructure | Cloud public, Azure Local, on-premise ou fournisseurs régionaux |
| Conformité | Preuves pour GDPR, DORA, NIS2 et réglementations sectorielles |
| IA | Localisation des données, gouvernance des modèles et traçabilité de l’usage |
| Continuité | Résilience, récupération et fonctionnement dans des scénarios restreints |
Kyndryl joue ici un rôle de traduction de ces exigences en architectures applicables. Son Sovereignty Readiness Assessment évalue la posture actuelle d’une organisation en termes de données, d’opérations et de technologie, identifie les écarts et dépendances, puis construit une feuille de route d’évolution par étapes.
Azure Local renforce sa présence dans les environnements réglementés
L’élément technique le plus important est Azure Local. Microsoft a progressivement développé cette plateforme pour apporter les capacités d’Azure à une infrastructure contrôlée par le client, notamment dans des scénarios avec des exigences strictes de résidence, d’opération déconnectée, de charges réglementées ou d’IA en proximité du lieu de traitement des données.
Cela peut séduire les organismes publics, la défense, les finances, la santé ou l’industrie, où déployer simplement dans une région cloud européenne ne suffit pas toujours. Certaines charges doivent fonctionner dans des installations propres, des centres de données nationaux, des environnements isolés ou à des endroits où la latence, la conformité ou la continuité sont prioritaires par rapport à la simplicité du cloud public.
Microsoft a aussi renforcé sa narration autour du cloud souverain avec des offres comme Sovereign Public Cloud, Sovereign Private Cloud, et des capacités opérationnelles en Europe. En 2025, l’entreprise a annoncé des mesures telles que Data Guardian, visant à assurer la transparence des contrôles de souveraineté opérationnelle en Europe, avec un accès à distance de teams Microsoft aux systèmes stockant ou traitant les données européennes, gérés depuis l’UE, avec une supervision par du personnel basé en Europe et des registres résistants à la manipulation.
Avec Kyndryl, cette proposition quitte le champ technique pour entrer dans la gestion quotidienne. Il ne s’agit pas seulement d’avoir une option souveraine avec Azure, mais aussi de concevoir quelles charges vont dans le cloud public, lesquelles dans Azure Local, lesquelles en on-premise, quels contrôles sont appliqués, comment le respect des réglementations est documenté et qui gère l’ensemble.
IA souveraine : une nouvelle source de pression
L’intelligence artificielle accentue encore le besoin de contrôle. De nombreux projets IA dépendent de données internes, historiques clients, documents réglementaires, données de santé, informations financières ou données opérationnelles sensibles. La question n’est plus seulement de savoir si ces données peuvent être intégrées à un modèle cloud, mais aussi où elles sont traitées, quel modèle est utilisé, quelles traces sont laissées, quelles informations sont conservées et si l’usage peut être audité.
Kyndryl et Microsoft évoquent explicitement des cas d’usage IA dans leur partenariat, en mettant l’accent sur la gouvernance des données et la localisation des modèles. Cela indique une mutation progressive : les architectures d’IA réglementée ne seront pas uniquement cloud ou uniquement locales. Beaucoup combineront inférence locale, modèles privés, services cloud gérés, contrôles d’accès stricts et preuves de conformité.
Azure Local peut s’insérer dans cette dynamique en permettant de traiter des charges d’IA et des données proches du lieu de génération, tout en conservant les outils de gestion et de gouvernance d’Azure. Cependant, chaque cas devra évaluer coûts, performance, dépendance technologique, support, disponibilité du matériel et niveau d’isolation requis.
Une tension inévitable apparaît : pour certains clients européens, une offre souveraine d’un fournisseur américain peut suffire si elle assure résidence, accès, chiffrement et contrôles opérationnels. Pour d’autres, une souveraineté totale exigera des fournisseurs locaux, une juridiction européenne, des contrôles contractuels renforcés ou des déploiements privés sans dépendance opérationnelle à l’hyperpuissance. La collaboration Kyndryl-Microsoft ne supprime pas ce débat, mais propose une voie pragmatique pour équilibrer contrôle et modernisation.
DORA, NIS2 et la transition de la théorie à l’architecture
L’annonce cite des cadres réglementaires comme GDPR, DORA et NIS2 car ces normes poussent de nombreuses organisations à revoir leur dépendance technologique, leur résilience, leur gestion des fournisseurs, leur continuité et leur traçabilité. Dans les secteurs réglementés, il ne suffit plus d’affirmer qu’une charge est située dans une certaine région ; il faut aussi prouver comment elle est contrôlée, comment elle peut être récupérée, qui intervient et quelles preuves existent.
Kyndryl possède une position naturelle grâce à son rôle historique dans les services managés et l’exploitation de systèmes critiques. La société ne vend pas simplement du cloud, mais des capacités de conception, migration, gestion et gouvernance d’environnements complexes. Microsoft, quant à elle, apporte une base technologique déjà répandue dans les entreprises et administrations : Azure, Microsoft 365, outils de sécurité, identité, et désormais des capacités souveraines étendues.
L’alliance peut être utile pour des organisations qui ne souhaitent pas une rupture totale avec leur cloud actuel, mais doivent renforcer leurs contrôles. Plutôt que de migrer tout vers un cloud national ou de revenir à leur propre centre de données, elles peuvent concevoir une architecture hybride : charges dans Azure public avec contrôles souverains, Azure Local, infrastructure régionale ou systèmes hérités encore critiques.
Cet approche hybride paraît plus réaliste que des discours extrêmes. La souveraineté numérique ne s’obtient pas en coupant brutalement le cloud public, mais en classant les charges, en séparant les niveaux de risque, en définissant des contrôles et en documentant les décisions.
Le défi : faire de la souveraineté un enjeu concret plutôt qu’un simple marketing
La cloud souveraine est devenue une étiquette très utilisée. La plupart des grands fournisseurs de cloud ont déjà élaboré leur propre discours sur la résidence des données, le contrôle opérationnel et la conformité. Le risque est que ce terme perde en précision s’il sert à décrire tout, depuis une région européenne standard jusqu’à un environnement totalement isolé et géré localement.
C’est pourquoi les clients devront poser des questions précises. Qui peut accéder aux données ? Où sont stockées les clés ? Que faire en cas de support critique ? Peut-on opérer hors ligne ? Comment auditer l’accès privilégié ? Quelles obligations le fournisseur a-t-il face aux lois extraterritoriales ? Quelle dépendance à Microsoft, Kyndryl ou opérateur local ? Comment tester la récupération ?
La démarche de Kyndryl et Microsoft est précieuse car elle vise à ancrer cette conversation dans la conception et l’exploitation, pas uniquement dans le marketing. Toutefois, la réussite dépendra de l’architecture spécifique de chaque client. La souveraineté totale n’existe pas ; il existe des niveaux de souveraineté adaptés aux risques, secteurs et charges.
Cet annonce marque une étape vers une souveraineté numérique plus mature. Ce n’est plus simplement choisir une région ; il faut bâtir des environnements où données, opérations, IA, conformité et résilience puissent être attestés par des preuves. Pour les gouvernements et secteurs réglementés, ce sera l’une des décisions technologiques majeures des années à venir.
Questions fréquentes
Que viennent d’annoncer Kyndryl et Microsoft ?
Ils ont élargi leur partenariat pour combiner Kyndryl Sovereignty Solutioning avec Microsoft Sovereign Cloud, aidant les clients réglementés à concevoir, construire et exploiter des architectures cloud conformes aux exigences de souveraineté.
Qu’est-ce que le Microsoft Sovereign Cloud ?
C’est l’offre de Microsoft pour répondre aux besoins de souveraineté dans le cloud public, les environnements privés et les clouds gérés par des partenaires, avec un contrôle sur la résidence des données, l’accès et l’exploitation.
Quel rôle joue Azure Local ?
Azure Local permet d’étendre les capacités d’Azure à une infrastructure contrôlée par le client, notamment dans des scénarios où la résidence est réglementaire, où l’opération doit rester déconnectée, ou pour des charges réglementées ou d’IA à proximité du lieu de traitement des données.
Pourquoi cela concerne-t-il l’IA ?
Parce que beaucoup de projets IA utilisent des données sensibles. La souveraineté aide à décider où ces données sont traitées, quels modèles sont employés, comment gérer l’accès et comment assurer l’auditabilité.
Une cloud souveraine d’un hyperescaleur résout-elle tous les problèmes ?
Pas toujours. Elle peut couvrir plusieurs besoins pratiques, mais certaines organisations exigeront un contrôle local accru, des fournisseurs régionaux, une opération isolée ou des garanties supplémentaires en fonction de leur niveau de risque et de leur régulation.
Source : kyndryl