Le contexte géopolitique a changé — et c'est structurel
La question de la souveraineté numérique n'est plus théorique. Le CLOUD Act américain (2018) impose aux entreprises de droit américain — AWS, Microsoft, Google, Slack, Salesforce — de fournir des données à la justice américaine même si ces données sont stockées en Europe, sans notification préalable de l'organisation concernée. Ce texte existe depuis 2018. Ce qui a changé depuis : il s'inscrit dans une logique d'extraterritorialité numérique activement assumée par les deux grandes puissances.
La Chine dispose d'un dispositif symétrique. La loi sur la sécurité des données (2021) et la loi sur la sécurité nationale (2020) imposent aux entreprises sous juridiction chinoise — Huawei, ByteDance/TikTok, Alibaba Cloud — de coopérer avec les autorités chinoises, y compris pour des données stockées à l'étranger. L'enjeu n'est pas la nationalité de l'hébergeur : c'est la juridiction qui s'exerce sur lui.
L'instabilité n'est pas conjoncturelle. Safe Harbor a été invalidé en 2015. Le Privacy Shield en 2020. Le Data Privacy Framework (2023) est déjà contesté devant les juridictions européennes. Chaque invalidation place des milliers d'organisations en infraction quasi-automatique du jour au lendemain. Cette instabilité est structurelle — elle reflète une tension profonde entre le droit européen de protection des données et l'extraterritorialité des grandes puissances numériques. Migrer vers des opérateurs de droit européen, c'est sortir de cette roulette juridique une fois pour toutes.
La souveraineté absolue n'existe pas — c'est le bon prisme
Poser la souveraineté numérique en termes binaires — souverain ou pas souverain — est une erreur de cadrage. La réalité est un spectre. Même les opérateurs les plus engagés utilisent des composants tiers : bibliothèques logicielles internationales, protocoles réseau mondiaux. L'autarcie numérique n'est ni réalisable, ni souhaitable. L'objectif est de réduire votre exposition aux décisions que d'autres peuvent prendre à votre place — et de le faire de façon ciblée et progressive.
Exposition non maîtrisée
Données chez AWS/Azure/GCP sans DPA solide, outils SaaS avec clause de transfert hors UE non encadrée. Exposition maximale au CLOUD Act et aux transferts Schrems II.
Niveau de base
Opérateur de droit européen, données stockées en Europe, DPA conforme RGPD. OVHcloud, Scaleway, Infomaniak répondent à ce niveau pour les entreprises privées.
Niveau qualifié SecNumCloud
Immunité garantie contre les législations extra-européennes. Qualification ANSSI réservée aux OIV, administrations et opérateurs de services essentiels. 3DS Outscale est un exemple qualifié.
La bonne question à poser
Où se situent vos données les plus critiques aujourd'hui ? Quel niveau de souveraineté est justifié par votre activité et vos obligations réglementaires ? La réponse guide la roadmap.
L'écueil VMware : quand la dépendance devient un piège
En novembre 2023, Broadcom finalisait l'acquisition de VMware pour 61 milliards de dollars. Dans les mois qui ont suivi, la quasi-totalité des licences perpétuelles ont été supprimées, remplacées par des abonnements obligatoires. Des milliers d'organisations ont découvert que leur infrastructure virtualisée — construite sur des années d'investissements en licences et intégrations propriétaires — se traduisait par des factures multipliées par 3 à 10 fois du jour au lendemain. Ceux dont l'architecture était profondément couplée aux API VMware n'avaient aucune porte de sortie à court terme.
La leçon VMware s'applique à tout logiciel propriétaire à actionnaire unique. Oracle, Salesforce, SAP, Microsoft 365 — une acquisition, un changement de direction ou une décision unilatérale de tarification peuvent placer votre organisation en position de faiblesse du jour au lendemain. L'open source ne peut pas être racheté. Il ne peut pas supprimer vos droits d'utilisation. Proxmox VE, OpenStack, Kubernetes — ces alternatives n'étaient pas des prototypes en 2023. Ce qui manquait aux clients VMware, c'était une stratégie de sortie préparée à l'avance.
La réponse à l'écueil VMware n'est pas de boycotter les éditeurs commerciaux — c'est de ne jamais construire une dépendance dont vous ne contrôlez pas la porte de sortie. Un outil open source avec des API standardisées vous garantit cette sortie. Un outil propriétaire avec des API fermées vous l'enlève.
Repenser durablement sur une base open source
L'open source n'est pas un choix idéologique : c'est un modèle de résilience à long terme. Une organisation construite sur des standards ouverts conserve sa capacité à changer d'hébergeur, de prestataire ou d'outil indépendamment des décisions d'actionnaires tiers. En 2026, la pile open source pour une infrastructure professionnelle est mature et déployable en production :
- Stockage et collaboration : Nextcloud + OnlyOffice — partage de fichiers et édition collaborative, hébergeable on-premise ou chez un opérateur européen
- Messagerie et communication : Mattermost (alternative Slack/Teams), ProtonMail, Tutanota — chiffrement de bout en bout, de droit européen ou suisse
- Visioconférence : Jitsi Meet, BigBlueButton — open source, déployables sur votre propre infrastructure
- Infrastructure : Proxmox VE (virtualisation, remplacement direct de VMware), Kubernetes (orchestration CNCF vendor-neutral), PostgreSQL et MariaDB
- Intelligence artificielle : Mistral AI (France), LightOn — alternatives européennes avec options d'hébergement on-premise
Ce qui rend ces outils stratégiquement robustes n'est pas leur coût — c'est leur interopérabilité par des standards ouverts. Nextcloud parle WebDAV/CalDAV/CardDAV. PostgreSQL parle SQL standard. Kubernetes abstrait l'infrastructure sous-jacente. Ces standards ouverts sont précisément ce qui vous permet de changer d'hébergeur sans refaire l'architecture — l'inverse exact de la situation des clients VMware en 2024.
Un pilotage progressif — commencer par le PRA et le PCA
Une migration globale en une seule vague est contre-productive : elle maximise le risque opérationnel et la résistance des équipes. L'approche la plus efficace est progressive, avec un premier périmètre qui sert simultanément de test réel et de preuve de concept interne. Ce périmètre idéal, c'est votre Plan de Reprise d'Activité (PRA) et votre Plan de Continuité d'Activité (PCA).
Le raisonnement est simple : votre PRA nécessite déjà une infrastructure secondaire capable de prendre le relais en cas d'incident (panne, ransomware, sinistre). Si cette infrastructure secondaire est déployée chez un opérateur souverain européen, vous avez simultanément renforcé votre résilience et commencé votre migration souveraine — sur un périmètre sans impact sur la production, avec un budget justifiable à la direction.
Cartographier les dépendances — toujours la première étape
Inventaire exhaustif de chaque service utilisé : SaaS, IaaS, messagerie, stockage, IA, CRM, RH, ticketing. Pour chaque service : juridiction de l'éditeur, localisation des données, exposition au CLOUD Act ou aux lois chinoises. Les "petits outils" non déclarés représentent souvent la moitié des expositions réelles — c'est là que se cachent les surprises.
Identifier le périmètre PRA/PCA à migrer en premier
Quels systèmes figurent dans votre PRA actuel ? Messagerie, ERP, stockage de fichiers critiques, bases de données clients ? Ce périmètre est votre premier candidat à la migration souveraine. L'argument budgétaire est simple : renforcer la résilience tout en progressant sur la souveraineté — deux objectifs réglementaires adressés avec un seul projet.
Déployer le PRA sur infrastructure souveraine européenne
Premier déploiement réel chez OVHcloud, Scaleway ou un opérateur qualifié selon vos obligations. Ce déploiement est transparent pour les utilisateurs — il s'exécute en parallèle du système primaire. Il vous permet de tester performances, latences et intégrations dans un contexte réel, sans risquer la production.
Tester le PRA souverain — découvrir les gaps avant crise
Un PRA non testé est fictif. L'exercice annuel de bascule sur l'infrastructure souveraine révèle les frictions réelles : latences, fonctionnalités manquantes, problèmes d'intégration. C'est le bon contexte pour découvrir ces problèmes — pas pendant un incident de production. Ajustez l'architecture avant d'élargir le périmètre.
Étendre progressivement à la production — par criticité décroissante
À partir du périmètre PRA validé, planifiez la migration des données critiques vers l'infrastructure souveraine comme système primaire. Ordre recommandé : données personnelles sensibles et réglementées, messagerie et stockage de documents, outils de productivité. Tout nouveau projet démarre directement sur la stack souveraine — pas besoin de migrer ce qui n'existe pas encore.
Installer une gouvernance durable des outils numériques
Sans gouvernance, la dépendance extra-européenne se reconstitue progressivement à chaque adoption d'un nouvel outil SaaS. Politique de validation des outils (critère souveraineté obligatoire), revue annuelle des dépendances, mise à jour du registre RGPD après chaque migration — c'est ce qui transforme un projet ponctuel en posture structurelle durable.
Les points de blocage à anticiper
Ces obstacles sont réels. Les adresser en amont est plus efficace que les découvrir en cours de projet.
Les egress fees : le coût caché de la sortie
AWS, Azure et GCP facturent la sortie de vos données. AWS peut aller jusqu'à 0,09 $/Go. Pour une organisation avec plusieurs To de données, ce poste se chiffre en dizaines de milliers d'euros — souvent absent des budgets de migration initiaux. Il peut représenter 20 à 40% du coût total.
Les intégrations propriétaires profondes
Certains systèmes sont construits sur des API spécifiques — AWS Lambda, Azure Functions, Google Cloud Run. Migrer une application profondément couplée à ces services demande une réécriture partielle, pas un simple déplacement. Ce coût peut dépasser les egress fees pour les applications cloud-native. C'est exactement l'écueil VMware, répliqué à l'échelle applicative.
L'interopérabilité avec l'écosystème externe
Vous pouvez migrer votre messagerie, mais vos clients et partenaires continueront d'utiliser Gmail et Outlook. La migration ne peut pas être totale si votre activité implique des échanges réguliers avec l'extérieur. Ce n'est pas un obstacle à la migration — c'est un argument pour une architecture hybride ciblée.
La conduite du changement — 60% de l'effort réel
La migration technique représente environ 40% de l'effort total. Les 60% restants sont humains : changer des habitudes construites sur 10 ans de GAFAM prend du temps. Sans communication claire sur le pourquoi géopolitique (pas seulement le comment), les équipes reviennent aux anciens outils de façon informelle — "juste pour ce fichier-là".
Par où commencer concrètement
Trois points d'entrée selon votre situation actuelle :
Si votre PRA est à renouveler ou n'a jamais été testé : c'est le meilleur moment pour l'adosser à une infrastructure souveraine européenne. Vous résolvez deux problèmes en un — résilience et souveraineté — avec un seul projet budgétable et justifiable à la direction.
Si vous êtes dans un secteur réglementé (santé, finances, collectivité, défense, industrie sensible) : cartographiez d'abord les traitements soumis à des obligations spécifiques. Ce périmètre détermine votre niveau de qualification cible et votre roadmap s'en déduit naturellement.
Si vous partez de zéro : deux heures de travail suffisent pour une première image. Listez vos 10 principaux outils SaaS, cherchez pour chacun "droit applicable" et "localisation des données". Vous aurez identifié vos principales expositions en une demi-journée — sans budget ni engagement. La cartographie complète vient ensuite.
Vous voulez évaluer votre exposition concrète ?
Nous réalisons un diagnostic initial de vos dépendances aux opérateurs extra-européens et vous proposons une roadmap adaptée à votre secteur et vos contraintes.