Souveraineté numérique : le CADA rebat les cartes
par Victor Lamarre, analyste chez Euroland Corporate
Pendant qu'on suit les annonces de Mistral et les milliards promis dans les data centers, le marché de la souveraineté numérique se structure surtout par la réglementation. La contrainte légale crée la demande, et la demande est supérieure à l'offre qualifiée.
Le 3 juin 2026, la Commission européenne a publié sa proposition de Cloud and AI Development Act (CADA), qui vise à au moins tripler la capacité des data centers de l'UE en cinq à sept ans et instaure quatre niveaux de souveraineté pour les achats cloud du secteur public. Le texte arrive dans un paysage où AWS, Microsoft Azure et Google Cloud détiennent environ 70 % du marché européen des infrastructures cloud, tandis que les fournisseurs européens sont passés d'environ 25 % de part de marché en 2017 à environ 15 % en 2025. La trajectoire est claire : sans levier réglementaire, l'écart se creuse encore.
L’IaaS souverain stricto sensu (calcul + stockage qualifiés souverains, hors SaaS et services managés) atteindrait 80,4 Md$ en 2026 (+35,6% Gartner), dont 12,6 Md$ en Europe, 16,4 Md$ en Amérique du Nord et 47,4 Md$ en Chine. À comparer aux 21,4 Md€ du cloud français en 2025 (+19% IDC) : le souverain reste marginal mais c’est le segment le plus dynamique. L’Europe dépasserait l’Amérique du Nord en 2027 (23,1 Md$).
Le CADA redessine la carte
La souveraineté numérique n’est pas un segment mais une architecture en strates, où chaque couche possède son propre cadre réglementaire.
Au-dessus des infrastructures physiques, l'IaaS (Infrastructure as a Service), c'est-à-dire la couche d'hébergement et de calcul qui constitue le socle technique du cloud. C'est ici que se joue la bataille de la souveraineté. La qualification SecNumCloud impose plus de 360 critères de conformité, et depuis la doctrine « Cloud au Centre » de 2023, elle est devenue obligatoire pour héberger les données sensibles des administrations françaises. En 2026, neuf prestataires sont qualifiés, douze candidatures sont en cours. Le ticket d'entrée est tel qu'il crée une rente pour les acteurs déjà en place. OVHcloud reste le seul pure player coté en Europe sur ce créneau
Deuxième étage, le SaaS et la collaboration souveraine, terrain de prédilection de la commande publique. La DINUM déploie progressivement La Suite Numérique aux 2,5 millions d'agents publics, avec un objectif d'effectivité à 2027. Microsoft a répliqué en février 2026 avec Microsoft 365 Local Frontier France, opéré par Bleu, coentreprise détenue à 100% par Capgemini et Orange. Microsoft n'est que fournisseur technologique sous licence, Bleu opère seule ses data centers en France et garde les clés de chiffrement. C'est ce qui permet en théorie d'échapper au Cloud Act, cette loi américaine de 2018 qui autorise les autorités américaines à exiger d'une entreprise relevant du droit américain qu'elle leur communique des données qu'elle détient, où qu'elles soient stockées dans le monde. Une logique similaire vaut pour S3NS, filiale de Thales adossée à Google Cloud, qui a décroché la qualification SecNumCloud 3.2 fin 2025.
Ce modèle hybride a toutefois une limite désormais claire, et c'est l'apport majeur du CADA. Le règlement définit quatre niveaux d'assurance, du plus simple (hébergement dans l'UE, accessible aux hyperscalers américains) au plus exigeant. Le niveau 4, réservé aux données les plus sensibles (défense, santé, fonctions régaliennes), n'est ouvert qu'aux fournisseurs sous contrôle européen maîtrisant l'intégralité de leur chaîne d'approvisionnement, ce qui exclut les partenariats technologiques avec un acteur non européen. Bleu et S3NS peuvent donc prospérer jusqu'au niveau 3, mais le sommet de l'édifice reste réservé aux pure players européens.
Pourquoi le moment réglementaire change la donne
Trois textes se télescopent au niveau européen et créent un effet de cliquet difficile à inverser. Le premier, c'est le CADA évoqué plus haut, porté par la Commission européenne. Le deuxième texte, c'est la directive européenne NIS2, qui étend les obligations de cybersécurité bien au-delà de ces opérateurs critiques, à des milliers d'entreprises de taille moyenne dans des secteurs jugés essentiels. Le troisième, c'est le règlement européen DORA, qui applique une logique équivalente au secteur financier, en visant spécifiquement les prestataires informatiques dont dépendent les banques et les assureurs.
Le point commun de ces trois textes : ils s'imposent à tous les États membres et harmonisent par le haut les exigences de souveraineté et de cybersécurité, ce qui élargit mécaniquement le marché adressable des acteurs qualifiés.
À cela s'ajoute un signal politique fort : la déclaration conjointe ANSSI/BSI de mars 2026, dans laquelle les autorités de cybersécurité française et allemande s'accordent sur des critères communs de souveraineté cloud. Cet alignement entre les deux plus grandes économies de l'UE pourrait débloquer les négociations sur EUCS, le futur schéma européen de qualification cloud, jusqu'ici paralysé par les divergences nationales.
Pour les acteurs cotés qualifiés, c'est mécanique : la demande est obligatoire, l'offre est plafonnée par le rythme des qualifications, et les prix portent une prime de 20 à 50% selon les services. La rente n'est pas garantie à vie (EUCS pourrait, à terme, élargir le pool de prestataires éligibles), mais sur l'horizon 2026-2028, l'asymétrie offre/demande joue en faveur des acteurs déjà qualifiés.
* Les informations, données chiffrées, opinions et analyses contenues dans cette recommandation proviennent de sources jugées fiables au moment de la publication. Toutefois, leur exactitude ou leur exhaustivité ne peuvent être garanties. Les analyses et interprétations de marché contenues dans la présente recommandation ne sont pas personnalisées et reflètent uniquement l’opinion de l’auteur à la date de rédaction et sont susceptibles d’évoluer sans préavis. Les projections, prévisions et objectifs de prix présentés sont fournis à titre indicatif. Ils ne constituent pas une garantie de performance future.
L’évaluation des instruments financiers ou des émetteurs mentionnés repose sur les méthodes suivantes : analyse fondamentale (bilan, compte de résultat, valorisation relative), analyse technique (tendances et niveaux de prix clés), et / ou analyse macroéconomique (taux, inflation, politique monétaire).
Les informations, analyses et recommandations publiées par Meilleurtaux Placement sont fournies à titre strictement informatif et ne constituent en aucun cas une incitation à l’achat ou à la vente d’instruments financiers.
Ces publications ne doivent pas être interprétées comme un conseil en investissement personnalisé, une offre de souscription, ni une promesse de performance. Elles s’adressent à des investisseurs avertis, préalablement informés des risques inhérents aux marchés financiers, et notamment du risque de perte en capital. Meilleurtaux Placement rappelle que les performances passées ne préjugent pas des performances futures et décline toute responsabilité quant aux pertes éventuelles résultant de l’utilisation ou de l’interprétation des informations publiées. Les principales sources utilisées par les auteurs de cet article sont : Bloomberg, Reuters, Financial Times, The Wall Street Journal, Les Échos, Zonebourse, Morningstar, BFM Business, Capital, Investing.com.
Dans le cadre de ses publications, Meilleurtaux Placement relève de la compétence de l’Autorité des Marchés Financiers (AMF).
