Souveraineté numérique : ce que le choix de Scaleway révèle d'un enjeu stratégique majeur
Article rédigé par notre expert Jérémy Guillier, consultant en financement de l’innovation chez EPSA.
Le débat sur la souveraineté numérique a longtemps semblé abstrait. Entre réflexe protectionniste et résistance à la domination technologique américaine, il restait prisonnier des grands mots : cloud souverain, autonomie stratégique, dépendance aux GAFAM.
L’annonce de la migration de la Plateforme des données de santé vers Scaleway, acteur français du cloud et filiale du groupe Iliad, vient transformer ce débat en réalité concrète et opérationnelle. La vraie question n’est plus de savoir si l’Europe doit « avoir son cloud ». Elle est de savoir qui héberge les données les plus sensibles d’un pays, dans quel cadre juridique, avec quelle capacité de contrôle, et avec quelles conséquences industrielles à long terme.
Pour les entreprises qui innovent dans cet écosystème, ce changement de paradigme crée aussi de nouvelles opportunités, notamment dans la valorisation de leurs travaux de R&D via des dispositifs comme le Crédit d’Impôt Recherche (CIR) et le Crédit d’Impôt Innovation (CII).
Le Health Data Hub migre vers Scaleway : un signal fort
Le 23 avril 2026, la Plateforme des données de santé a annoncé avoir retenu Scaleway comme futur hébergeur de son infrastructure technologique. Cette migration concerne notamment les données de remboursement de l’Assurance maladie et d’autres bases de données de santé stratégiques pour la recherche et l’innovation.
Le choix a été effectué après un processus de sélection de deux mois et demi, intégrant plus de 350 exigences techniques, avec l’accompagnement d’experts de la DINUM, d’Inria et du ministère de la Santé.
Cette décision referme une controverse ouverte depuis plusieurs années : celle du recours à Microsoft Azure pour héberger une infrastructure publique traitant des données de santé françaises. Le problème n’était pas technique : Microsoft dispose évidemment de capacités cloud considérables. Il résidait dans la dépendance à un fournisseur soumis à un droit extra-européen et dans l’incertitude créée par les lois extraterritoriales américaines, notamment le Cloud Act.
Pour les entreprises du secteur numérique qui accompagnent cette transition, ce changement représente bien plus qu’un marché remporté : c’est l’émergence d’une demande structurelle pour des solutions souveraines, performantes et documentables, y compris sur le plan de la R&D.
Souveraineté numérique : au-delà du lieu d’hébergement
La souveraineté numérique est souvent mal comprise. Elle ne signifie pas que toutes les technologies doivent être produites localement, ni qu’il faut renoncer aux solutions étrangères les plus performantes. La vraie question est plus précise : sur quelles couches critiques accepte-t-on de dépendre d’acteurs que l’on ne maîtrise pas ?
Dans une architecture numérique moderne, la dépendance ne se limite pas à la localisation physique des serveurs. Elle concerne aussi le droit applicable, les logiciels d’administration, les API propriétaires, les capacités de chiffrement, les systèmes d’identité, les modèles économiques et la capacité réelle de migrer vers un autre fournisseur.
Une donnée peut être stockée physiquement sur le territoire national tout en dépendant d’un fournisseur soumis à des obligations juridiques étrangères. À l’inverse, une infrastructure réellement souveraine permet un contrôle technique, juridique et opérationnel suffisant sur les données et les traitements.
C’est dans cette logique que s’inscrit la doctrine française « Cloud au centre » (2021), qui impose le cloud comme mode d’hébergement privilégié pour les nouveaux projets numériques de l’État, tout en posant des exigences fortes de souveraineté, de sécurité et d’autonomie. L’objectif n’est pas de revenir à des infrastructures fermées, mais d’utiliser le cloud sans abandonner la capacité d’action publique.
Le piège du vendor lock-in : une dépendance qui se construit par confort
Les grands fournisseurs cloud ne vendent pas seulement de l’hébergement. Ils vendent un environnement complet : bases de données managées, calcul élastique, IA, sécurité, monitoring, data pipelines, outils de développement. Plus une organisation utilise ces briques, plus elle gagne en vitesse à court terme, et plus elle accroît sa dépendance à long terme.
C’est ce que l’on appelle le vendor lock-in, ou verrouillage fournisseur. Il ne s’agit pas d’une difficulté contractuelle uniquement. C’est une dépendance d’architecture : une fois que les applications, les données, les modèles de sécurité et les processus métiers sont construits autour d’un écosystème cloud spécifique, la migration devient coûteuse, risquée et lente.
C’est là que la notion de réversibilité devient stratégique. La Plateforme des données de santé indique que sa plateforme avait été conçue dès l’origine avec une logique de réversibilité, afin d’anticiper un éventuel changement d’hébergeur. Cette anticipation architecturale est probablement l’enseignement le plus important de toute cette migration.
Un État, une entreprise ou un hôpital ne devient pas souverain parce qu’il change de fournisseur. Il devient plus souverain lorsqu’il est capable de changer de fournisseur sans mettre en péril ses services critiques. Cette capacité se prépare dans les choix de standards ouverts, de portabilité des données, de séparation des couches critiques et de documentation des dépendances.
Pour les acteurs privés qui accompagnent ou opèrent ces infrastructures, ces exigences de réversibilité et d’interopérabilité constituent également des chantiers de R&D à part entière, avec des travaux techniques innovants, documentables et potentiellement éligibles aux dispositifs fiscaux dédiés.
Evaluer mes projets de R&D avec un expert
SecNumCloud : la souveraineté comme exigence technique et juridique
La qualification SecNumCloud de l’ANSSI joue un rôle central dans l’écosystème français. Elle ne se limite pas à certifier un bon niveau de cybersécurité : elle encadre aussi les dimensions organisationnelles, opérationnelles et juridiques du cloud de confiance.
Ce point est décisif, car la cybersécurité technique ne suffit pas toujours. On peut disposer d’une infrastructure très sécurisée mais juridiquement exposée. Le chiffrement, les audits et les certifications ne règlent pas seuls la question de l’extraterritorialité du droit. C’est pourquoi la qualification SecNumCloud vise aussi à assurer la résilience du service face à une possible injonction d’un État non-membre de l’Union européenne s’appuyant sur l’extraterritorialité de son droit.
C’est précisément le problème posé par le Cloud Act américain, adopté en 2018. Cette loi autorise les autorités américaines à exiger d’une entreprise soumise au droit américain, qu’elle soit établie aux États-Unis ou non, qu’elle leur transmette des données stockées sur ses serveurs, y compris en dehors du territoire américain. Concrètement, un fournisseur cloud comme Microsoft, Amazon ou Google peut être légalement contraint de donner accès à des données hébergées en France, sans que les autorités françaises ou européennes en soient informées, et sans possibilité de s’y opposer efficacement. Pour des données aussi sensibles que celles de santé, de défense ou d’infrastructures critiques, cette exposition juridique est inacceptable. La qualification SecNumCloud impose donc que le fournisseur soit non seulement techniquement sécurisé, mais aussi immunisé contre ce type d’injonction extraterritoriale, ce qui implique une gouvernance et une structure capitalistique entièrement européennes.
La souveraineté numérique se situe donc à la frontière de trois mondes : l’ingénierie, le droit et la stratégie industrielle. C’est ce qui la rend complexe à traiter, et c’est précisément pour cette raison qu’elle génère des travaux d’innovation technique et organisationnelle considérables chez les acteurs qui la portent.
Pourquoi c’est stratégique pour les entreprises européennes
Le cloud est devenu la couche de base de l’économie numérique. Les données, les applications, les modèles d’IA, les outils de cybersécurité et les infrastructures critiques convergent vers quelques grandes plateformes. Celui qui contrôle ces plateformes ne contrôle pas seulement des serveurs : il contrôle des standards, des écosystèmes de développement et des capacités d’innovation.
C’est encore plus vrai avec l’intelligence artificielle. Les modèles d’IA exigent des données, du calcul, des GPU, des environnements de déploiement distribués et des capacités de passage à l’échelle. Si l’Europe dépend intégralement d’acteurs étrangers pour ces couches, elle risque de devenir un simple marché de consommation technologique, incapable de maîtriser ses propres chaînes de valeur numériques.
La souveraineté numérique n’est donc pas seulement une question défensive. C’est une question de compétitivité : disposer d’acteurs cloud européens crédibles permet de créer des compétences, des emplois qualifiés, des standards techniques, des filières cyber et des offres industrielles spécialisées.
Le choix de Scaleway pour la Plateforme des données de santé illustre comment les marchés publics exigeants peuvent devenir des leviers de structuration industrielle. Ce n’est pas seulement un contrat remporté par un acteur français. C’est une manière de faire monter en maturité une offre européenne sur des exigences de très haut niveau, et d’ouvrir un marché pour tous les acteurs qui contribuent à cette montée en compétence.
Souveraineté numérique : une grille d’arbitrage plutôt qu’un dogme
Il faut éviter une lecture trop manichéenne. Les hyperscalers américains conservent une avance majeure en profondeur de services, en investissements R&D, en écosystèmes logiciels, en IA et en présence internationale. Les acteurs européens doivent encore démontrer leur capacité à offrir à grande échelle le même niveau de fiabilité, d’élasticité et de richesse fonctionnelle.
La vraie question n’est donc pas de remplacer mécaniquement Microsoft, Amazon ou Google partout et immédiatement. C’est une posture, pas une stratégie. L’enjeu est de définir des niveaux de criticité.
Pour des usages peu sensibles, certaines dépendances peuvent être acceptées si elles sont maîtrisées. Pour des données stratégiques, des infrastructures publiques, des systèmes de santé ou des services essentiels, les exigences doivent être beaucoup plus fortes.
La souveraineté numérique doit devenir une grille d’arbitrage : non pas dire oui ou non aux fournisseurs étrangers, mais identifier où la dépendance est acceptable, où elle doit être encadrée, et où elle devient incompatible avec les intérêts collectifs.
Valoriser l’innovation souveraine : le rôle du CIR et du CII
La construction d’une offre cloud souveraine n’est pas seulement un enjeu stratégique. C’est aussi, pour les acteurs qui la portent, un effort de recherche et développement considérable. Concevoir des architectures conformes aux exigences SecNumCloud, développer des briques technologiques interopérables, garantir la réversibilité des systèmes, assurer la résilience face aux injonctions extraterritoriales : toutes ces activités mobilisent des compétences d’ingénierie de haut niveau et génèrent des innovations techniques réelles.
Or, ces travaux sont précisément ceux que le législateur a souhaité encourager à travers le Crédit d’Impôt Recherche (CIR). Plusieurs verrous technologiques propres au cloud souverain peuvent ainsi ouvrir droit à ce dispositif : la conception de mécanismes de chiffrement de bout en bout résistants aux injonctions extraterritoriales, le développement de systèmes d’orchestration conformes aux exigences SecNumCloud, la recherche sur la portabilité et l’interopérabilité des données entre environnements hétérogènes, ou encore la mise au point d’architectures de détection d’intrusion adaptées aux contraintes de souveraineté. Ces travaux présentent un caractère d’incertitude technique réelle et une démarche systématique de recherche, deux critères fondamentaux d’éligibilité au CIR.
La difficulté réside souvent dans la capacité à documenter et à valoriser ces travaux de manière rigoureuse. Le CIR exige une démonstration claire du caractère incertain, systématique et original des activités de recherche. C’est là qu’un accompagnement spécialisé fait la différence : identifier les projets éligibles, structurer la documentation technique, qualifier les dépenses et sécuriser le dossier face à un éventuel contrôle fiscal.
Pour les entreprises qui construisent la souveraineté numérique européenne, le CIR n’est donc pas un simple avantage fiscal. C’est un levier concret pour financer l’innovation, accélérer la montée en maturité des offres et renforcer la compétitivité face aux hyperscalers américains dont les moyens de R&D restent sans commune mesure.
C’est précisément dans cet accompagnement que nous intervenons. Partenaires de Scaleway sur ses projets de R&D, nous prenons en charge la rédaction et la valorisation complète des dossiers CIR : analyse d’éligibilité, structuration des travaux de recherche, documentation technique et suivi en cas de contrôle. Nous les accompagnons également dans l’identification et le montage de leurs dossiers d’aides et subventions. Notre objectif est simple : permettre aux acteurs de l’innovation souveraine de se concentrer sur leur cœur de métier, tout en optimisant le financement de leurs efforts de recherche.
Pour soutenir et accélérer la souveraineté numérique de la France, Bpifrance lance un nouvel appel à projets dédié aux « Espaces de données ». Le dispositif vise à soutenir la création de plateformes sectorielles permettant le partage sécurisé et souverain des données entre acteurs industriels. Il s’agit d’une opportunité majeure de financement public pour structurer l’économie de la donnée en France. Retrouvez notre analyse complète de l’AAP Espaces de données de Bpifrance.
Conclusion : la souveraineté se construit dans les choix d’architecture
Le cas du Health Data Hub illustre que la souveraineté numérique entre dans une nouvelle phase. Elle n’est plus seulement un principe affiché dans des doctrines publiques : elle devient un sujet d’architecture, de contractualisation, de migration, de sécurité, de réversibilité et de capacité industrielle.
La vraie question n’est plus de savoir s’il faut être « pour » ou « contre » les grands fournisseurs technologiques étrangers. Elle est plus opérationnelle : sur quelles couches sommes-nous prêts à dépendre, et sur quelles couches devons-nous impérativement garder la main ?
Cette distinction est essentielle. Toute dépendance numérique n’est pas problématique. Mais certaines dépendances deviennent critiques lorsqu’elles concernent des données de santé, des infrastructures publiques, des systèmes d’IA ou des chaînes de traitement difficiles à déplacer.
La souveraineté numérique, au fond, c’est retrouver la capacité de choisir. Choisir ses infrastructures. Choisir ses dépendances. Choisir ses règles. Et ne plus confondre rapidité d’exécution à court terme et perte de maîtrise à long terme, qu’il s’agisse d’architecture technique ou de valorisation de l’innovation.
Partagez l'article
