Cloud souverain France : le comparatif OVHcloud, Outscale, Scaleway et Thales pour choisir en 2026
Choisir un cloud souverain en France ne se résume plus à cocher la case « datacenter dans l’Hexagone ». Depuis l’arrêt Schrems II et l’arrivée du Cloud Act américain, les DSI savent que la localisation des serveurs ne suffit pas. Il faut une isolation juridique réelle, une stack technologique maîtrisée, et idéalement le label SecNumCloud délivré par l’ANSSI.
Quatre acteurs dominent ce marché : OVHcloud, 3DS Outscale, Scaleway et l’arrivant Thales avec S3NS. Chacun vise un profil de client différent. Ce comparatif passe au crible leurs offres, leurs certifications, leurs tarifs et leur capacité à répondre aux nouveaux enjeux de souveraineté des données.
Pourquoi le cloud souverain revient au premier plan en 2026
Trois textes changent la donne cette année. Le Data Act européen impose la portabilité des données en moins de 30 jours et plafonne les frais de sortie à 0,01 euro par giga-octet. L’AI Act, applicable depuis février 2026, exige une infrastructure souveraine pour les modèles d’IA classés à haut risque (santé, finance, justice). Et la jurisprudence européenne sur le Cloud Act américain met les hyperscalers US sous pression.
Le rappel des faits aide à comprendre l’urgence. En janvier 2024, le ministère français de la Santé a été mis en demeure par la CNIL pour son usage d’Azure dans le Health Data Hub. En mars 2025, une banque européenne a écopé d’une amende de 12 millions d’euros pour avoir hébergé des données clients chez AWS sans Privacy Impact Assessment. Les sanctions peuvent grimper jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros, le montant le plus élevé étant retenu.
Côté marché, les chiffres parlent. OVHcloud détient environ 45 % du marché du cloud souverain français avec 1,1 milliard d’euros de chiffre d’affaires en 2025, et table sur 1,35 milliard en 2026. L’entreprise revendique 1,6 million de clients et 43 datacenters. Outscale, Scaleway et le tandem Thales-Google montent en puissance, chacun sur un créneau distinct.
Le label SecNumCloud, juge de paix de la souveraineté française
SecNumCloud est une qualification délivrée par l’ANSSI, dans sa version 3.2 depuis 2022. Elle impose plus de 200 critères techniques et juridiques. La logique : aucune entité non-européenne ne doit pouvoir prendre le contrôle du service, ni accéder aux données, même sur réquisition d’un tribunal étranger.
Les critères qui comptent vraiment :
- Juridiction européenne. La société mère, ses filiales et son actionnariat doivent être soumis au droit de l’UE. Pas de maison mère à Seattle ni de holding aux Pays-Bas contrôlée depuis Mountain View.
- Stack technologique maîtrisée. Open source ou technologies européennes. OpenStack, Kubernetes, PostgreSQL passent. Les bibliothèques américaines propriétaires non auditables, non.
- Datacenters sur le sol européen. L’infrastructure physique reste en France ou dans l’Union.
- Personnel habilité. Pour les données les plus sensibles, les administrateurs système doivent disposer d’une habilitation Secret Défense.
- Audit annuel ANSSI. Pas un simple contrôle documentaire. Un audit technique et juridique mené par un organisme indépendant agréé.
- Chiffrement souverain. AES-256, RSA-4096, algorithmes validés par l’ANSSI. Les clés ne quittent jamais le périmètre de confiance.
Trois fournisseurs détiennent aujourd’hui la qualification SecNumCloud 3.2 sur tout ou partie de leur offre : Outscale (première certification en 2019, intégralité du catalogue), OVHcloud (depuis 2021, gamme Bare Metal POD certifiée début avril 2025 incluant les GPU), et NumSpot (consortium Docaposte, Dassault Systèmes, Bouygues Telecom). Scaleway et Orange Cloud Avenue ont lancé leur processus de certification en 2025. S3NS, la coentreprise Thales-Google, a obtenu sa qualification fin 2025 sur son offre PREMI3NS.
Le bon réflexe : vérifier le périmètre exact de la qualification. Tout le catalogue d’un fournisseur n’est pas forcément couvert. Chez OVHcloud par exemple, c’est l’offre Bare Metal POD qui porte le label, pas l’ensemble du cloud public. Le diable se cache dans ce détail.
OVHcloud, le poids lourd européen du cloud souverain
OVHcloud reste l’option par défaut pour la majorité des entreprises françaises qui cherchent un cloud souverain. La raison tient en trois mots : couverture, prix, écosystème.
L’entreprise de Roubaix exploite 43 datacenters dans 12 pays. Son offre va du serveur dédié au cloud public, en passant par le Bare Metal POD certifié SecNumCloud, les bases de données managées, les services Kubernetes (Managed Kubernetes Service) et une suite de PaaS taillée pour l’IA. Cette dernière brique inclut un AI Endpoints qui sert les modèles BERT, Deepseek, Llama 3, Mistral, Qwen, Stable Diffusion et T5 (offre encore en bêta sur certains modèles).
Sur le terrain des GPU, OVHcloud propose les Nvidia A100 et H100 dans son cloud public, et les L4S dans la gamme Bare Metal POD qualifiée SecNumCloud. C’est ce produit qui intéresse les administrations publiques et les opérateurs d’importance vitale (OIV) qui veulent entraîner ou inférer des modèles IA sur infrastructure souveraine.
Les tarifs sont généralement 30 à 40 % en dessous d’AWS ou Azure équivalent. À titre d’exemple, une VM 4 vCPU avec 15 Go de RAM coûte environ 85 euros par mois chez OVHcloud, contre 140 euros pour une c5.xlarge équivalente chez AWS. La différence s’accentue sur les volumes de stockage et sur le trafic sortant, où le plafond Data Act à 0,01 euro par giga-octet rend OVHcloud particulièrement compétitif.
Le revers de la médaille : OVHcloud reste un fournisseur généraliste. Son catalogue de services managés ne rivalise pas avec celui d’AWS sur les briques très spécialisées (services serverless avancés, certaines bases de données NoSQL exotiques). Pour la majorité des charges de travail standards (web, API, bases relationnelles, conteneurs, IA générative), l’offre couvre largement le besoin.
3DS Outscale, le cloud premium pour la défense et les secteurs régulés
Outscale, filiale de Dassault Systèmes, a fait un choix radical : tout son catalogue est certifié SecNumCloud, depuis 2019. Pas une portion, pas une gamme dédiée. L’intégralité. Cette posture en fait le fournisseur préféré des secteurs où la conformité n’est pas optionnelle : défense, santé hospitalière et pharmaceutique, énergie, transport, banques systémiques.
Le catalogue technique comprend des GPU Nvidia K2, P6, P100, V100 et A100, tous qualifiés SecNumCloud. Outscale ne joue pas la course aux H100 et autres GH200 (Scaleway et OVHcloud occupent ce terrain). Sa proposition reste centrée sur la stabilité, la conformité et le support premium.
Les qualifications complémentaires comptent autant que SecNumCloud pour les clients d’Outscale :
- Hébergeur de Données de Santé (HDS), requis pour la santé
- ISO 27001, 27017, 27018 sur tout le périmètre
- SOC 2 Type II pour les clients internationaux
- Qualifications Diffusion Restreinte (DR) pour la défense, avec une qualification Secret Défense en cours d’instruction
Le prix se ressent. Une VM 4 vCPU avec 16 Go de RAM coûte environ 125 euros par mois, soit 47 % de plus que chez OVHcloud. Ça se justifie si vous êtes un hôpital, un industriel de l’armement ou un acteur du nucléaire. Pour un e-commerçant ou une startup SaaS sans contrainte réglementaire forte, c’est surdimensionné.
Scaleway, le spécialiste de l’IA souveraine et des GPU dernier cri
Scaleway, filiale du groupe Iliad, a pris un virage clair : devenir la référence européenne pour l’entraînement de modèles IA en environnement souverain. Le pari fonctionne. L’entreprise a obtenu l’accès aux Nvidia H100 80 Go, GH200 480 Go et A100, parfois avant ses concurrents français. Son cluster Jeroboam, basé sur des H100, a accueilli les premiers entraînements de Mistral AI.
L’offre PaaS s’organise autour de Kapsule (Kubernetes managé), d’un Object Storage compatible S3, d’un service de fonctions serverless et d’une plateforme de Managed Inference qui propose en libre-service les modèles BGE, Deepseek, Llama 3 et Mistral. Pour l’entraînement de modèles, Scaleway industrialise les chaînes MLOps avec une approche DevOps-friendly très appréciée des équipes data.
Côté tarif IA, Scaleway tire avantage de son volume. Un GPU H100 80 Go coûte environ 3 200 euros par mois, contre 4 800 euros pour un équivalent chez Google Cloud Platform (zone europe-west9). Pour les startups IA et les laboratoires de recherche, l’écart est décisif sur le ROI d’une expérimentation.
Le point à surveiller : la certification SecNumCloud du périmètre IaaS et GPU est en cours, annoncée pour fin 2025 à début 2026. Tant qu’elle n’est pas obtenue, les workloads qui exigent strictement SecNumCloud doivent attendre ou se tourner vers OVHcloud Bare Metal POD. Pour les charges sans contrainte réglementaire forte mais avec un fort besoin de GPU récents, Scaleway reste la meilleure option.
Thales-S3NS et Microsoft Bleu, l’option hyperscaler opérée en France
Cette catégorie crée la polémique. Le principe : reprendre la stack technologique d’un hyperscaler américain (Google Cloud ou Azure), mais la faire opérer par une entreprise française indépendante, sur des datacenters français, avec une isolation juridique stricte.
S3NS est la coentreprise créée par Thales (95 %) et Google (5 %). Elle exploite la plateforme Google Cloud Platform sous pavillon français. Son offre PREMI3NS a obtenu la qualification SecNumCloud fin 2025 et est commercialement disponible depuis le second semestre 2026. Cible : les entreprises qui veulent les services managés avancés de GCP (BigQuery, Vertex AI, Spanner) sans renoncer à la souveraineté juridique. Le pari technologique tient si vous faites confiance à la promesse d’isolation contractuelle. Le pari politique est plus délicat : la stack reste américaine sur le plan logiciel.
Bleu est l’équivalent pour Azure, monté par Capgemini et Orange. Même principe : services Azure opérés par une entité française, hors juridiction du Cloud Act. La qualification SecNumCloud est attendue en 2026. Bleu vise les administrations qui ont déjà des dépendances fortes vis-à-vis de l’écosystème Microsoft (Active Directory, Office 365, SharePoint).
Trois questions à se poser avant de signer chez S3NS ou Bleu :
- La promesse d’isolation tient-elle techniquement si la stack logicielle vient d’un éditeur américain ? Le Cloud Act est neutralisé par la structure juridique, mais reste le risque de backdoor firmware ou de zero-day non patché.
- Les coûts. Compter 15 à 30 % de surcoût par rapport à la version originale d’Azure ou de GCP. Les services managés complexes (BigQuery, AI Platform) restent plus chers que les équivalents OVHcloud ou Scaleway.
- La réversibilité. Si demain l’éditeur américain durcit ses conditions, le contrat S3NS ou Bleu vous protège juridiquement, mais la migration vers une stack 100 % souveraine restera un projet long.
Comparatif synthétique des fournisseurs cloud souverain en France
| Critère | OVHcloud | 3DS Outscale | Scaleway | S3NS (Thales-Google) |
|---|---|---|---|---|
| Maison mère | OVH Groupe (FR) | Dassault Systèmes (FR) | Iliad (FR) | Thales 95 % + Google 5 % |
| SecNumCloud 3.2 | Oui (Bare Metal POD) | Oui (catalogue complet) | En cours, fin 2025 | Oui (PREMI3NS, fin 2025) |
| GPU disponibles | A100, H100, L4S | K2, P6, P100, V100, A100 | H100, GH200, A100 | A100, H100 (via GCP) |
| Tarif VM 4 vCPU 16 Go | 85 EUR/mois | 125 EUR/mois | 90 EUR/mois | env. 130 EUR/mois |
| Services PaaS IA | Riche (8 modèles) | Limité (Mistral) | Riche (4 modèles) | Très riche (Vertex AI) |
| HDS / qualifications santé | Oui (selon offre) | Oui, sur tout | Partiel | En cours |
| Audience cible | Généraliste, PME, ETI | Défense, OIV, santé | Startups IA, recherche | Grandes entreprises GCP |
| Réversibilité Data Act | Conforme | Conforme | Conforme | À vérifier sur GCP API |
Quel cloud souverain choisir selon votre profil
Trois cas pratiques pour éclairer la décision.
Vous êtes une PME ou une ETI sans contrainte sectorielle forte. Aller chez OVHcloud couvre 90 % du besoin. Le rapport qualité-prix-souveraineté est imbattable pour les charges génériques : sites web, API, bases de données, conteneurs, espaces de stockage. Le label SecNumCloud n’est pas forcément utile, sauf si vous traitez des données clients sensibles ou si vous travaillez avec des administrations.
Vous êtes un acteur régulé (banque systémique, santé, énergie, défense). Outscale s’impose. Le surcoût est compensé par la couverture exhaustive des certifications, l’intégralité du catalogue qualifié SecNumCloud et la qualité du support premium. Pour les données les plus sensibles, demandez une analyse de risque conjointe avec votre RSSI et la cellule défense d’Outscale.
Vous êtes une startup IA ou un laboratoire de recherche. Scaleway est le bon choix tant que vous n’avez pas de contrainte SecNumCloud immédiate. Les tarifs GPU et la disponibilité des H100 et GH200 changent l’économie de vos expérimentations. Surveiller la finalisation de la certification permet de basculer plus tard les charges sensibles.
Cas hybride : grand compte déjà sur Azure ou GCP. S3NS ou Bleu permettent de réduire le risque juridique sans tout remigrer. Pas la solution la plus souveraine, mais la moins disruptive. À combiner avec une stratégie de cloud computing multi-cloud, en gardant les workloads les plus sensibles chez OVHcloud ou Outscale.
Migrer vers un cloud souverain : ce qu’il faut anticiper
Une migration cloud-to-cloud demande six à neuf mois pour une charge de travail mature, plus si vous avez accumulé de la dette technique sur AWS ou Azure. Trois chantiers à planifier en parallèle.
D’abord, l’inventaire applicatif. Cartographier les services hyperscaler utilisés (Lambda, RDS, DynamoDB, S3, Cognito, etc.) et identifier les équivalents souverains. Certains n’ont pas de pendant exact. Une fonction Lambda peut être portée vers Scaleway Serverless Functions, mais l’écosystème d’intégration diffère. Compter 15 à 25 % de réécriture sur les charges fortement couplées aux API propriétaires AWS ou Azure.
Ensuite, les données. Le Data Act facilite le transfert (30 jours, frais d’egress capés), mais les volumes massifs imposent une planification logistique. Pour plus de 50 To, prévoir un transfert physique par disques chiffrés ou des fenêtrès de coupure planifiées.
Enfin, les compétences. Les équipes ops formées sur AWS ou Azure connaissent rarement OpenStack, Outscale ou Scaleway. Compter trois à six mois de montée en compétences, en s’appuyant sur les programmes de formation des fournisseurs. OVHcloud et Outscale proposent des académies certifiantes, Scaleway des parcours plus DevOps-oriented.
Un dernier point qui revient souvent : le contrat. Lire en détail les clauses de réversibilité, de portabilité et de continuité. Les engagements SecNumCloud apportent une garantie supplémentaire, mais les SLA financiers se négocient. Pour un workload critique, viser 99,95 % minimum sur une zone et 99,99 % sur une architecture multi-zones.
Quelle différence entre cloud français et cloud souverain ?
Un cloud français est un fournisseur dont le siège social est en France. Ça ne dit rien de la stack technologique ni du capital. Un cloud souverain ajoute trois garanties : juridiction européenne sur l’ensemble du groupe (pas de filiale américaine contrôlante), stack maîtrisée (technologies européennes ou open source), et immunité vis-à-vis des lois extraterritoriales comme le Cloud Act. SecNumCloud est aujourd’hui le seul label français qui valide ces trois critères simultanément.
Le label SecNumCloud est-il obligatoire ?
Non, sauf pour certaines administrations publiques et les opérateurs d’importance vitale (OIV) sur leurs données les plus sensibles. La doctrine « Cloud au centre » de l’État impose SecNumCloud pour les données d’importance vitale et le recommande pour les données sensibles. Pour le secteur privé, SecNumCloud reste recommandé mais pas obligatoire. Ça devient un argument commercial fort vis-à-vis de clients régulés.
Combien coûte une migration vers un cloud souverain français ?
Pour une charge de travail standard d’une PME (env. 20 à 50 serveurs, 10 To de données), compter entre 50 000 et 150 000 euros pour la migration complète, incluant audit, replatforming, transfert de données, tests et formation. Le retour sur investissement se fait en 18 à 24 mois grâce aux économies sur les coûts d’infrastructure (30 à 40 % moins cher qu’AWS sur les charges génériques) et à la suppression des frais d’egress.
Peut-on rester sur AWS ou Azure tout en étant conforme RGPD ?
Techniquement oui, avec des limites. Choisir une région UE (eu-west-3 Paris, France Central), activer le chiffrement BYOK avec clés hébergées en Europe, signer les clauses contractuelles standards (SCC). Mais le Cloud Act américain continue de s’appliquer : sur réquisition d’un tribunal US, le fournisseur américain doit obtempérer. Le niveau de protection plafonne autour de 20 à 30 % selon le framework de l’ANSSI. Pour les données sensibles, la solution reste un cloud souverain certifié SecNumCloud.
Quelle solution pour faire du multi-cloud souverain ?
Le multi-cloud souverain combine deux ou trois fournisseurs français pour réduire le risque de dépendance unique. Schéma courant : OVHcloud pour les charges génériques, Outscale ou NumSpot pour les données sensibles, Scaleway pour l’IA. La couche d’orchestration s’appuie sur Kubernetes (compatible chez les trois) et sur Terraform pour l’infrastructure as code. Compter une complexité opérationnelle accrue, mais une résilience juridique et technique plus forte.
OVHcloud reste l’option la plus complète et la moins chère pour le marché généraliste. Outscale couvre les besoins les plus régulés sans concession sur la conformité. Scaleway prend l’avantage dès qu’il faut des GPU récents pour l’IA. Et S3NS ou Bleu offrent un pont vers les hyperscalers pour ceux qui ne veulent pas tout reconstruire. Le bon choix dépend moins du fournisseur que de votre profil de risque, de votre maturité cloud et de la sensibilité des données concernées. À garder en tête : le label SecNumCloud progresse vite, mais le périmètre exact qualifié chez chaque acteur évolue tous les six mois. Vérifiez avant de signer.
