Sortir des nuages américains : ce que les PME doivent vérifier
4 Min. Temps de lecture
La situation géopolitique oblige les entreprises de taille moyenne à agir. Les droits de douane punitifs de Trump, la loi CLOUD et la loi sur les données de l’UE applicables à compter de septembre 2025 créent une vague de changement loin des fournisseurs de cloud américains. Selon une étude de Lünendonk, la souveraineté numérique est devenue une priorité absolue pour 78 % des DSI interrogés. Dans le même temps, 43 % des entreprises de taille moyenne n’ont pas encore de stratégie de sortie pour leur dépendance aux fournisseurs de cloud américains. Le moment d’agir est maintenant, car un changement de cloud prend six à dix-huit mois.
Les points clés en bref
- 78 % des DSI donnent la priorité à la souveraineté numérique : Les tensions géopolitiques, les droits de douane punitifs de Trump et la loi CLOUD poussent à la découplage des fournisseurs américains (étude Lünendonk, 2025).
- 43 % sans stratégie de sortie : Presque une entreprise de taille moyenne sur deux n’a pas d’option de sortie documentée pour sa dépendance aux fournisseurs de cloud américains. Cela devient un risque.
- Loi sur les données de l’UE contre loi CLOUD non résolu : Applicable à compter de septembre 2025, mais le conflit juridique avec la loi CLOUD américaine persiste. Les données européennes sur les serveurs américains restent vulnérables.
- Les alternatives européennes se développent : STACKIT (Groupe Schwarz), Open Telekom Cloud, Hetzner et OVHcloud proposent une infrastructure de plus en plus compétitive avec un cadre juridique européen.
- 6 à 18 mois pour un changement de cloud : La migration n’est pas un sprint. Celui qui ne commencera pas à planifier en 2026 agira sous pression réglementaire et politique en 2028.
Pourquoi la question de la souveraineté s'intensifie en 2026
Le débat sur la souveraineté du cloud n'est pas nouveau. Ce qui a changé en 2026, c'est l'urgence. Trois développements coïncident et font de l'attente une stratégie risquée.
Premièrement : le règlement européen sur les données (EU Data Act) est pleinement applicable depuis septembre 2025. Il donne aux entreprises européennes le droit à la portabilité des données et oblige les fournisseurs de cloud à permettre techniquement le changement de fournisseur. Cela réduit le risque de verrouillage, mais ne remplace pas la décision stratégique de savoir si un changement est pertinent.
Deuxièmement : la loi américaine CLOUD Act de 2018 permet aux autorités américaines de continuer à accéder aux données stockées par des entreprises américaines, quelle que soit la localisation du serveur. Un centre de données de l'UE ne protège pas contre une décision de justice américaine, tant que l'exploitant est une entreprise américaine. Microsoft, Amazon et Google sont des entreprises américaines. Ce risque existe depuis huit ans, mais la situation géopolitique de 2026 le rend plus tangible.
Troisièmement : l'administration Trump a imposé des droits de douane sur les produits de l'UE en 2025 et 2026 et a menacé de prendre d'autres mesures. Dans ce climat, la conscience grandit que les dépendances numériques sont aussi des dépendances politiques. La Commission européenne a annoncé en mars 2026 une initiative pour une infrastructure de cloud et d'IA souveraine, destinée à renforcer les alternatives européennes.
S'y ajoute un facteur économique concret : la Commission européenne estime que les entreprises européennes dépensent plus de 100 milliards d'euros par an pour des services de cloud proposés par des fournisseurs américains. De l'argent qui, pour la plupart, coule aux États-Unis et y finance des capacités d'innovation. Les fournisseurs de cloud européens ne peuvent pas utiliser ce capital pour leur propre recherche et développement. Le désavantage stratégique se renforce.
Pour les PME, cela signifie une vérité désagréable : les services de cloud les moins chers et les meilleurs fonctionnels viennent actuellement des États-Unis. Mais les coûts d'un incident de protection des données ou d'un changement de fournisseur forcé sous pression dépassent de plusieurs fois la différence de prix. L'action prospective est moins chère que la gestion de crise.
„La souveraineté numérique devient une priorité absolue en raison des fortes dépendances à l'égard des fournisseurs de TI et de cloud ainsi que des risques géopolitiques.“
– Étude Lünendonk sur la souveraineté numérique, 2025
Ce dont le secteur intermédiaire dépend vraiment du cloud
La plupart des entreprises intermédiaires n’utilisent pas un seul cloud, mais trois à cinq services de cloud simultanément : Microsoft 365 pour la productivité, AWS ou Azure pour l’infrastructure, Salesforce pour le CRM, peut-être encore SAP dans le cloud pour l’ERP. Chacun de ces services est hébergé chez un fournisseur américain.
La dépendance n’est pas répartie de manière uniforme. Remplacer Microsoft 365 affecte chaque employé et constitue un projet de gestion du changement de douze à dix-huit mois. Migrer un bucket AWS S3 vers un stockage d’objets européen prend en revanche quelques jours. La question stratégique est donc non pas si, mais où un changement apporte le plus grand gain de souveraineté à un coût raisonnable.
Une priorisation pragmatique : migrer en premier lieu les données hautement sensibles telles que les données financières, les données du personnel et la propriété intellectuelle vers des fournisseurs européens. Les outils de productivité tels que la messagerie électronique et Office peuvent être reconfigurés en dernier lieu, car la charge de travail est la plus élevée et le risque lié au CLOUD Act est le plus faible. Personne ne fera une demande de jugement pour des feuilles de calcul Excel.
Un aspect souvent négligé : même les services de cloud apparemment inoffensifs créent des dépendances. Qui utilise Microsoft Teams pour l’ensemble de la communication d’entreprise, stocke ses documents dans PartagerPoint et gère ses identités via Azure AD a créé un point de défaillance unique. Si Microsoft décide de modifier la structure de licence, de restreindre le service dans certaines régions ou de rompre la compatibilité des API, l’entreprise a peu de marge de négociation.
Alternatives européennes : ce que le marché offre
Le marché européen du cloud s’est nettement développé ces deux dernières années. STACKIT (groupe Schwarz), Open Telekom Cloud (T-Systems), Hetzner Cloud, OVHcloud et IONOS Cloud proposent des services IaaS et PaaS qui suffisent pour la plupart des applications du secteur intermédiaire. L’écart avec AWS et Azure se situe principalement au niveau des services gérés, des plateformes d’IA et de l’écosystème d’intégrations de fournisseurs tiers.
Pour les charges de travail SAP, SAP lui-même (avec Sovereign Cloud via Bleu en France et prévu en Allemagne) et T-Systems proposent des solutions de cloud souverain certifiées. Pour les applications basées sur Kubernetes, Hetzner et IONOS sont attractifs en termes de prix et techniquement matures. Pour les secteurs fortement réglementés tels que les services financiers ou la santé, il existe des fournisseurs spécialisés tels que plusserver (certifié BSI C5) ou Ionos (ISO 27001).
L’évaluation honnête : un changement complet loin de tous les services de cloud américains n’est ni réaliste ni nécessaire pour la plupart des entreprises intermédiaires. L’objectif n’est pas l’autarcie, mais la liberté de choix. Qui opère ses données les plus critiques sur une infrastructure européenne et a une évaluation des risques documentée pour le reste est stratégiquement bien positionné.
Le coût réel d’une migration vers le cloud
Les coûts d’une migration vers le cloud sont systématiquement sous-estimés. Les coûts d’infrastructure pure (calcul, stockage, réseau) sont souvent comparables ou même inférieurs chez les fournisseurs européens par rapport aux hyperscalers américains. Les coûts cachés se trouvent ailleurs.
Premièrement, les efforts de migration : les bases de données, les applications et les interfaces doivent être adaptés. Plus une application utilise des services cloud propriétaires (AWS Lambda, Azure Functions, Google BigQuery), plus la migration est complexe. Deuxièmement, la formation : les équipes qui travaillent avec AWS depuis des années ont besoin de temps et de formation pour de nouvelles plateformes. Troisièmement, les coûts parallèles : pendant la migration, les deux environnements fonctionnent en parallèle, ce qui double temporairement les dépenses cloud.
Comme règle générale : une migration de dix workloads productifs d’AWS vers un fournisseur IaaS européen coûte typiquement entre 80 000 et 200 000 euros et dure six à douze mois. Pour des environnements complexes avec des services gérés et des plateformes d’IA, cela peut être nettement plus élevé.
Un exemple de calcul : un constructeur mécanique moyen avec 300 employés opère son environnement ERP sur AWS, utilise Microsoft 365 pour la productivité et stocke des données de conception dans un bucket S3. La migration de l’environnement ERP vers Open Telekom Cloud coûte environ 120 000 euros et dure neuf mois. La migration des données de conception vers Hetzner Storage dure deux jours et coûte moins de 1 000 euros. Remplacer Microsoft 365 est un projet de deux ans. La priorisation est claire : les données en premier, l’infrastructure en deuxième, les outils de productivité en dernier.
La décision ne doit donc pas être prise à la légère, mais de manière opportune. Plus la dépendance grandit, plus le changement ultérieur sera coûteux.
Check-list : cinq étapes vers la souveraineté du cloud
1. Créer un inventaire du cloud. Quelles données se trouvent où ? Quels services utilisent quel fournisseur ? Il est particulièrement important d’identifier les données personnelles et les secrets commerciaux.
2. Effectuer une évaluation des risques. Pour chaque service cloud : que se passe-t-il en cas d’accès CLOUD-Act ? Que se passe-t-il en cas de sanctions ou de conflits commerciaux ? Le résultat est une liste priorisée des dépendances les plus critiques.
3. Documenter la stratégie de sortie. Pour chaque service cloud critique, définir un plan B : quel fournisseur alternatif est envisageable ? Combien de temps dure la migration ? Quel est son coût ?
4. Lancer un projet pilote. Migrer un workload non critique vers une plateforme européenne. Recueillir des expériences, valider les coûts et les efforts avant de procéder à des migrations plus importantes.
5. Examiner les clauses contractuelles. Examiner les contrats cloud existants pour les délais de résiliation, la portabilité des données et les clauses de protection des données. Le EU Data Act renforce ici la position du client.
6. Créer un plan d’urgence. Que se passe-t-il si un fournisseur cloud américain n’est plus disponible à court terme, que ce soit en raison de sanctions, de pannes techniques ou de résiliations de contrats ? Un plan d’urgence documenté avec des scénarios de remplacement concrets fait partie d’une gouvernance des données responsable.
Conclusion
La question n’est plus de savoir si les PME doivent revoir leur stratégie cloud. La question est de savoir à quelle vitesse. Le EU Data Act donne aux entreprises de nouveaux droits. La situation géopolitique leur donne de nouvelles raisons. Et le marché cloud européen en croissance leur offre enfin de véritables alternatives.
Qui commence maintenant par une analyse structurée des risques et priorise ses données les plus critiques évite la pression temporelle sous laquelle d’autres agiront dans deux ans. La souveraineté du cloud n’est pas un projet avec une date limite. C’est une attitude stratégique qui se rentabilise avec chaque workload migré.
Foire aux questions
Dois-je complètement abandonner les fournisseurs de cloud américains ?
Non. L’objectif n’est pas l’autosuffisance, mais la liberté de choix. Données critiques sur l’infrastructure européenne, pour le reste une évaluation des risques documentée. Un modèle hybride est pour la plupart des entreprises de taille moyenne la voie la plus pragmatique.
Un centre de données de l’UE me protège-t-il contre le CLOUD Act ?
Non. Le CLOUD Act s’applique aux entreprises américaines quelle que soit la localisation du serveur. Un centre de données AWS à Francfort relève de la juridiction américaine. Seul un fournisseur non américain ayant son siège et son infrastructure dans l’UE est exempt de CLOUD Act.
Quel est le coût d’une migration vers le cloud ?
Valeur indicative : 80 000 à 200 000 Euro pour dix workloads productifs, six à douze mois de durée de projet. Les coûts varient fortement en fonction de la complexité et de l’utilisation de services propriétaires.
Existe-t-il des alternatives européennes à Microsoft 365 ?
Oui, par exemple Suivantcloud (gestion de fichiers), Open-Xchange (courrier électronique), OnlyOffice ou Collabora (suite bureautique). La parité fonctionnelle avec Microsoft 365 n’est cependant pas encore totalement atteinte, en particulier pour Teams et PartagerPoint.
Que signifie le règlement européen sur les données (EU Data Act) pour les clients du cloud ?
Il donne aux entreprises le droit à la portabilité des données et oblige les fournisseurs de cloud à permettre techniquement le changement de fournisseur. Les frais de changement seront interdits à compter de 2027. Cela renforce considérablement la position de négociation.
Quels fournisseurs de cloud européens sont certifiés BSI C5 ?
Entre autres, plusserver, STACKIT, T-Systems Open Telekom Cloud et SAP. Les certifications BSI C5 sont accessibles publiquement et sont considérées comme la norme de sécurité cloud la plus stricte en Europe.
Conseils de lecture de la rédaction
Plus d’informations sur le réseau MBF Media
- cloudmagazin – Cloud, SaaS et infrastructure informatique pour les décideurs
- Digital Chiefs – Leadership, transformation et perspectives de niveau C
- SecurityToday – Cybersécurité, conformité et protection des données
Lectures complémentaires
Règlement sur la cyberrésilience : ce que les fabricants doivent faire maintenant
Règlement sur l’IA à partir d’août 2026 : IA à haut risque dans les PME
Sortie, succession ou reprise : M&A dans les PME en 2026
Source de l’image de titre : Anete Lusina / Pexels
