Pendant qu'on suit les annonces de Mistral et les milliards promis dans les data centers, le marché de la souveraineté numérique se structure surtout par la réglementation. La contrainte légale crée la demande, et la demande est supérieure à l'offre qualifiée.

Le 3 juin 2026, la Commission européenne a publié sa proposition de Cloud and AI Development Act (CADA), qui vise à au moins tripler la capacité des data centers de l'UE en cinq à sept ans et instaure quatre niveaux de souveraineté pour les achats cloud du secteur public. Le texte arrive dans un paysage où AWS, Microsoft Azure et Google Cloud détiennent environ 70 % du marché européen des infrastructures cloud, tandis que les fournisseurs européens sont passés d'environ 25 % de part de marché en 2017 à environ 15 % en 2025. La trajectoire est claire : sans levier réglementaire, l'écart se creuse encore.

L’IaaS souverain stricto sensu (calcul + stockage qualifiés souverains, hors SaaS et services managés) atteindrait 80,4 Md$ en 2026 (+35,6% Gartner), dont 12,6 Md$ en Europe, 16,4 Md$ en Amérique du Nord et 47,4 Md$ en Chine. À comparer aux 21,4 Md€ du cloud français en 2025 (+19% IDC) : le souverain reste marginal mais c’est le segment le plus dynamique. L’Europe dépasserait l’Amérique du Nord en 2027 (23,1 Md$).

Le CADA redessine la carte

La souveraineté numérique n’est pas un segment mais une architecture en strates, où chaque couche possède son propre cadre réglementaire.

Au-dessus des infrastructures physiques, l'IaaS (Infrastructure as a Service), c'est-à-dire la couche d'hébergement et de calcul qui constitue le socle technique du cloud. C'est ici que se joue la bataille de la souveraineté. La qualification SecNumCloud impose plus de 360 critères de conformité, et depuis la doctrine « Cloud au Centre » de 2023, elle est devenue obligatoire pour héberger les données sensibles des administrations françaises. En 2026, neuf prestataires sont qualifiés, douze candidatures sont en cours. Le ticket d'entrée est tel qu'il crée une rente pour les acteurs déjà en place. OVHcloud reste le seul pure player coté en Europe sur ce créneau

Deuxième étage, le SaaS et la collaboration souveraine, terrain de prédilection de la commande publique. La DINUM déploie progressivement La Suite Numérique aux 2,5 millions d'agents publics, avec un objectif d'effectivité à 2027. Microsoft a répliqué en février 2026 avec Microsoft 365 Local Frontier France, opéré par Bleu, coentreprise détenue à 100% par Capgemini et Orange. Microsoft n'est que fournisseur technologique sous licence, Bleu opère seule ses data centers en France et garde les clés de chiffrement. C'est ce qui permet en théorie d'échapper au Cloud Act, cette loi américaine de 2018 qui autorise les autorités américaines à exiger d'une entreprise relevant du droit américain qu'elle leur communique des données qu'elle détient, où qu'elles soient stockées dans le monde. Une logique similaire vaut pour S3NS, filiale de Thales adossée à Google Cloud, qui a décroché la qualification SecNumCloud 3.2 fin 2025.

Ce modèle hybride a toutefois une limite désormais claire, et c'est l'apport majeur du CADA. Le règlement définit quatre niveaux d'assurance, du plus simple (hébergement dans l'UE, accessible aux hyperscalers américains) au plus exigeant. Le niveau 4, réservé aux données les plus sensibles (défense, santé, fonctions régaliennes), n'est ouvert qu'aux fournisseurs sous contrôle européen maîtrisant l'intégralité de leur chaîne d'approvisionnement, ce qui exclut les partenariats technologiques avec un acteur non européen. Bleu et S3NS peuvent donc prospérer jusqu'au niveau 3, mais le sommet de l'édifice reste réservé aux pure players européens.

Pourquoi le moment réglementaire change la donne

Trois textes se télescopent au niveau européen et créent un effet de cliquet difficile à inverser. Le premier, c'est le CADA évoqué plus haut, porté par la Commission européenne. Le deuxième texte, c'est la directive européenne NIS2, qui étend les obligations de cybersécurité bien au-delà de ces opérateurs critiques, à des milliers d'entreprises de taille moyenne dans des secteurs jugés essentiels. Le troisième, c'est le règlement européen DORA, qui applique une logique équivalente au secteur financier, en visant spécifiquement les prestataires informatiques dont dépendent les banques et les assureurs. 

Le point commun de ces trois textes : ils s'imposent à tous les États membres et harmonisent par le haut les exigences de souveraineté et de cybersécurité, ce qui élargit mécaniquement le marché adressable des acteurs qualifiés.

À cela s'ajoute un signal politique fort : la déclaration conjointe ANSSI/BSI de mars 2026, dans laquelle les autorités de cybersécurité française et allemande s'accordent sur des critères communs de souveraineté cloud. Cet alignement entre les deux plus grandes économies de l'UE pourrait débloquer les négociations sur EUCS, le futur schéma européen de qualification cloud, jusqu'ici paralysé par les divergences nationales.

Pour les acteurs cotés qualifiés, c'est mécanique : la demande est obligatoire, l'offre est plafonnée par le rythme des qualifications, et les prix portent une prime de 20 à 50% selon les services. La rente n'est pas garantie à vie (EUCS pourrait, à terme, élargir le pool de prestataires éligibles), mais sur l'horizon 2026-2028, l'asymétrie offre/demande joue en faveur des acteurs déjà qualifiés.