Le cloud souverain s'impose à l'heure de l'IA

Il y a peu, le cloud pouvait sembler un sujet technique. En l'espace de quelques mois, la course à l'IA et le contexte international ont changé la donne. Car comme l'a rappelé Clara Chappaz, ministre chargée du numérique, "il n'y a pas d'IA sans cloud". Et qui dit IA souveraine dit cloud souverain. 

Le cloud poussé par l'IA

Or jusqu'à présent la France était bien isolée pour défendre un cloud sécurisé européen. Les tentatives de la France pour imposer le référentiel SecNumCloud pour la norme européenne EUCS (European Union Certification Scheme), vivement critiquée par la Cnil, ont jusqu'ici échouées. On rappellera que ce référentiel, élaboré par l'Anssi, vise à garantir une protection effective des données contre les lois extraterritoriales comme le Cloud Act américain. La nouvelle donne géopolitique a engendré "un vrai changement de discours" chez ses homologues européens s'est félicitée Clara Chappaz. Avec des actes concrets comme en témoignent les 200 milliards d'euros annoncés par l'Europe sur l'IA en parallèle des 109 milliards fléchés par la France sur les infrastructures de l'IA grâce à la mobilisation de capitaux privés (voir notre article du 11 février 2025)

Forte croissance du cloud public

La ministre est par ailleurs convaincue que les administrations publiques doivent être exemplaires, leurs achats contribuant à doper le marché du cloud européen. La direction interministérielle du numérique (Dinum) a présenté des chiffres encourageants. La commande publique pour le cloud a connu une croissance de 50% entre 2023 et 2025 pour atteindre 52 millions d'euros, dont 10 millions issus des collectivités. On notera que ces évaluations sont fondées sur les seules commandes Ugap et ne tiennent pas compte des marchés cloud passés en dehors. "Avec environ 300 entités publiques engagées et 1.000 projets en cours, le rythme d'un nouveau projet cloud par jour observé l'an dernier se maintient", s'est félicité Vincent Coudrin, directeur de projet interministériel cloud. En outre, 75% de cette commande publique est orientée vers des acteurs européens, tirée par les nouvelles obligations sur l'hébergement de données sensibles. 

Interopérabilité encore virtuelle

Sur les 52 millions d'euros, un tiers seulement se dirige cependant vers des solutions labellisées SecNumCloud, la majeure partie des dépenses bénéficiant plutôt à des "hyperscalers" américains. La performance de ces dernières solutions, notamment quand il s'agit d'intégrer l'IA, explique une partie des réticences des administrations à migrer vers un cloud européen. Mais c'est loin d'être la seule raison. Les sociétés étrangères s'évertuent en effet depuis des années à multiplier les barrières pour garder des clients captifs et limiter la concurrence. Des pratiques auxquelles la loi Sécurité et Régulation de l'espace numérique (SREN) de mai 2024 promet de mettre fin. Ce texte, par anticipation du Data Act européen, a confié à l'Arcep le soin de prendre des mesures pour obliger les acteurs à l'interopérabilité de leur solution et à faciliter le changement de prestataire. Mais force est de constater que ce cadre est pour le moment virtuel, l'Arcep en étant au stade des consultations. 

Clauses de marché standards

Les administrations rencontrent par ailleurs des difficultés à passer des marchés pour acquérir des solutions européennes, sans risquer d'être attaquées pour favoritisme. Dans la lignée du Data Act, dont l'entrée en vigueur est prévue pour septembre 2025, la Commission européenne a annoncé travailler sur des modèles de marchés publics et des clauses contractuelles standards. "L'objectif est d'aider les administrations à acheter des services cloud sécurisés, souverains et respectueux de l'environnement", a détaillé le représentant de la Commission Toma Petru. Celle-ci souhaite également "coordonner" les initiatives des États membres (achats, plateformes mutualisées, règles en fonction des types de données…) dans le but d'éviter des disparités trop importantes au sein de l'UE. 
Par ailleurs, la directive NIS 2 oblige les administrations, dont 1.500 collectivités, à renforcer la sécurité de leurs infrastructures cloud. On signalera à cet égard les recommandations du Clusif, un club de DSI qui a travaillé sur des clauses types clarifiant les obligations cyber des fournisseurs de cloud. Celles-ci viennent compléter les guides que l'Anssi a publié l'été 2024 sur la sécurité du cloud.