Un RSSI d’un établissement de santé, une DSI d’un ministère, un directeur financier d’une banque de taille intermédiaire : tous posent aujourd’hui la même question à leur éditeur ERP. “Votre offre cloud est-elle compatible avec nos obligations de localisation des données ?” La réponse, souvent évasive, cache une réalité plus complexe.
Le marché du cloud souverain européen s’est profondément reconfiguré entre 2024 et 2026. Deux certifications françaises de référence coexistent, l’Allemagne a son propre standard, et l’Europe construit un socle commun encore inachevé. Pendant ce temps, les ERP des grands éditeurs américains restent majoritairement hébergés sur AWS, Azure ou Google Cloud, soumis de plein droit au CLOUD Act américain.
Ce guide cartographie les certifications disponibles par pays et par secteur, les éditeurs ERP qui proposent réellement un hébergement souverain, et les compromis concrets qu’il faut accepter pour y parvenir.
Pourquoi le cloud souverain s’impose dans les secteurs réglementés
Les textes qui créent l’obligation
Plusieurs réglementations européennes et nationales convergent pour contraindre certaines organisations à choisir leur hébergeur cloud avec soin.
La doctrine “cloud au centre” (France, 2021). Le décret du 10 août 2021 a posé un principe clair pour les administrations françaises : tout nouveau projet numérique doit par défaut recourir au cloud. Pour les systèmes traitant des données sensibles, la qualification SecNumCloud de l’ANSSI devient impérative. La doctrine est sans ambiguité : “l’offre de cloud commerciale retenue devra impérativement respecter la qualification SecNumCloud” pour les données dont la compromission pourrait nuire à l’ordre public, à la sécurité nationale ou à la santé publique (source : numerique.gouv.fr). Les collectivités qui choisissent un ERP de gestion financière ou RH entrent directement dans ce périmètre.
NIS 2 (Europe, décembre 2022, transposée en 2024). La directive sur la sécurité des réseaux et des systèmes d’information dans sa deuxième version élargit considérablement son champ d’application. Elle couvre désormais les “entités essentielles” dans dix-huit secteurs, de l’énergie aux transports en passant par la santé et les infrastructures numériques. Ces entités doivent démontrer que leurs prestataires IT, hébergeurs ERP inclus, respectent des niveaux de sécurité élevés. L’hébergeur cloud n’est plus un sous-traitant silencieux : il fait partie de la surface d’audit.
DORA (Europe, entrée en application janvier 2025). Le Digital Operational Resilience Act impose aux institutions financières (banques, assurances, gestionnaires d’actifs, prestataires de paiement) des exigences de résilience numérique documentées sur l’ensemble de leur chaîne de fournisseurs IT. Un ERP hébergé sur un cloud non européen représente un risque de concentration que DORA impose désormais de mesurer, de surveiller et de réduire. Les DORA assessments de 2025 ont mis en lumière la fragilité de certains hébergements ERP historiquement choisis pour leur commodité.
La Loi de Programmation Militaire (France, 2024-2030). Pour les acteurs de la base industrielle et technologique de défense (BITD), les obligations de sécurisation des systèmes d’information sensibles sont encore plus strictes. Un ERP hébergeant des données liées à des marchés défense doit, dans de nombreux cas, être hébergé en France avec des garanties d’isolement opérationnel.
Le risque CLOUD Act américain
Le Foreign Intelligence Surveillance Act (FISA) et le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) permettent aux autorités américaines d’exiger l’accès aux données stockées par des entreprises américaines, quelle que soit leur localisation physique. AWS, Azure et Google Cloud sont des entreprises américaines. Même si votre instance ERP est hébergée dans un datacenter situé à Paris ou à Francfort, les données restent juridiquement accessibles aux autorités des États-Unis via leurs maisons mères.
Cette réalité n’est pas une hypothèse théorique pour les services juridiques et les RSSI. C’est la raison principale pour laquelle la notion de “cloud souverain” va au-delà de la simple localisation géographique des serveurs : elle exige aussi une indépendance opérationnelle et juridique vis-à-vis des législations extraterritoriales.
L’on-premise n’est plus la réponse par défaut
Pendant des années, la réponse aux contraintes de souveraineté était simple : garder l’ERP sur des serveurs dans votre datacenter ou dans une salle serveur que vous contrôlez. Cette approche a ses mérites, mais elle présente des coûts cachés de plus en plus difficiles à justifier : maintien en conditions opérationnelles, sauvegardes, redondance, mises à jour de sécurité, absence de mobilité pour les équipes distantes.
Le cloud souverain offre une troisième voie : conserver les garanties juridiques et opérationnelles d’un hébergement européen, tout en bénéficiant de l’élasticité et des économies d’échelle du cloud. La question n’est plus “cloud vs on-premise”, mais “quel cloud avec quelles garanties”.
Les certifications clés en Europe : ce qu’elles garantissent vraiment
SecNumCloud (France, ANSSI) : la certification la plus exigeante
La qualification SecNumCloud, délivrée par l’Agence Nationale de la Sécurité des Systèmes d’Information, est le standard français le plus élevé pour les prestataires de cloud. Sa version 3.2, en vigueur depuis 2022, ajoute des exigences spécifiques sur l’immunité aux législations extraterritoriales : un hébergeur qualifié SecNumCloud ne peut être contraint de communiquer vos données à des autorités étrangères.
La qualification couvre plusieurs aspects : la sécurité physique et logique des infrastructures, les processus opérationnels, la localisation des données en France ou dans l’Espace Économique Européen, et la nationalité du personnel ayant accès aux systèmes. C’est sur ce dernier point que les offres de “cloud de confiance” (comme Bleu ou S3NS dans leur conception initiale) ont dû se distinguer des simples offres localisées.
Hébergeurs qualifiés SecNumCloud en 2026 :
- OVHcloud : qualification obtenue sur plusieurs offres (Bare Metal Pod, VMware on SecNumCloud, SNC Cloud Platform avec IaaS/PaaS/Containers/databases managées/IAM, SAP HANA on VMware). Le catalogue qualifié ne couvre pas l’intégralité des services OVHcloud (source : ovhcloud.com/fr/secnumcloud/).
- S3NS, filiale de Thales (technologie Google Cloud) : qualification SecNumCloud 3.2 obtenue fin 2025 sur l’offre PREMI3NS, qui propose 30 services cloud, avec une roadmap vers 150 services (source : s3ns.io).
HDS (France) : obligatoire pour tout hébergement de données de santé
La certification Hébergeur de Données de Santé est distincte de SecNumCloud. Elle est obligatoire pour toute organisation qui héberge des données de santé à caractère personnel collectées lors d’actes de prévention, de diagnostic ou de soins. Cette certification est délivrée par des organismes accrédités par le Cofrac (Comité français d’accréditation) et valide pour trois ans, avec des audits de surveillance annuels.
Le référentiel réglementaire a évolué en avril 2024 avec un nouveau décret qui a ouvert le schéma d’accréditation HDS (source : esante.gouv.fr). Concrètement : un établissement de santé privé, une clinique, un groupement hospitalier ou un éditeur de logiciel de gestion médicale qui fait héberger ses données chez un prestataire tiers doit impérativement vérifier que ce prestataire est certifié HDS sur le périmètre concerné.
Pour les ERP déployés dans le secteur santé (gestion administrative, RH, finances d’un hôpital ou d’un EHPAD), la certification HDS de l’hébergeur est un prérequis légal non négociable.
BSI C5 (Allemagne) : le standard de référence outre-Rhin
Le Cloud Computing Compliance Criteria Catalogue (C5) du Bundesamt für Sicherheit in der Informationstechnik est l’équivalent allemand de SecNumCloud, dans un format différent. Là où SecNumCloud est une qualification délivrée par l’ANSSI elle-même, le C5 est un catalogue d’exigences sur lequel des auditeurs indépendants émettent des attestations (Testate). Les entreprises publient ces attestations, le BSI consolide la liste.
Le C5:2020 est la version actuelle de référence. Une révision C5:2026 est en cours selon le BSI. Plus de cent attestations ont été accordées à ce jour à des fournisseurs cloud nationaux, européens et mondiaux, ce qui en fait le standard cloud le plus largement adopté en Europe après ISO 27001 (source : bsi.bund.de).
Pour une entreprise allemande dans un secteur réglementé, une entreprise européenne avec des filiales en Allemagne, ou tout ERP hébergeant des données soumises à la loi allemande sur la protection des données (BDSG), l’attestation BSI C5 de l’hébergeur est le signal de référence à demander lors d’un appel d’offres.
ISO 27001 et EUCS : le socle européen en construction
La norme ISO 27001 est un prérequis implicite dans tous les appels d’offres cloud pour secteurs réglementés. Elle certifie la mise en oeuvre d’un système de management de la sécurité de l’information (SMSI), mais elle n’adresse pas la question de la souveraineté ou de l’immunité aux législations étrangères.
L’European Union Cloud Certification Scheme (EUCS), développé par l’ENISA (Agence de l’Union européenne pour la cybersécurité), vise à harmoniser les certifications cloud à l’échelle de l’UE avec trois niveaux (Basic, Substantial, High). La version finale de l’EUCS est attendue pour 2026. Lorsqu’il sera opérationnel, il pourrait servir de référence commune pour les appels d’offres transfrontaliers, réduisant la fragmentation actuelle entre SecNumCloud, BSI C5 et leurs équivalents italiens (ACN), espagnols (ENS) ou néerlandais.
Tableau de synthèse : certification par secteur et par pays
| Certification | Pays | Secteurs concernés | Niveau de souveraineté |
|---|---|---|---|
| SecNumCloud 3.2 | France | Défense, collectivités, santé sensible, finance d’État | Maximum (immunité extraterritoriale) |
| HDS | France | Tout hébergement de données de santé | Obligatoire légalement |
| BSI C5 | Allemagne | Secteur public, finance, industrie critique | Référence audit (attestation privée) |
| ISO 27001 | Europe | Tous secteurs (socle) | Sécurité organisationnelle uniquement |
| EUCS (High) | Europe (2026) | Secteurs critiques, transfrontalier | En construction |
Panorama des hébergeurs cloud souverains en Europe
OVHcloud : le seul hyperscaler européen avec SecNumCloud sur ERP
OVHcloud est à ce jour l’acteur offrant l’infrastructure cloud qualifiée SecNumCloud la plus mûre pour les charges ERP. L’offre “SAP HANA on VMware” en zone SecNumCloud permet à des clients SAP de faire tourner leur base de données HANA dans un environnement qualifié par l’ANSSI. La SNC Cloud Platform offre par ailleurs une expérience cloud-native (IaaS, databases managées, containers, IAM/KMS) dans le périmètre qualifié.
Ses forces : infrastructure européenne, datacenter en France, personnel opérationnel européen, catalogue mature sur l’infrastructure. Ses limites : le catalogue qualifié SecNumCloud est plus restreint que l’offre globale OVHcloud, et les services managés avancés (IA/ML notamment) restent moins riches que chez AWS ou Azure. Pour un ERP qui a besoin d’IaaS stable et de bases de données managées, c’est une option concrète et disponible.
Bleu : Microsoft Azure à opération française (en cours de qualification)
Bleu est une entreprise créée en janvier 2024 par Orange et Capgemini, sous licence de technologie Microsoft Azure. Le modèle repose sur une séparation stricte : la technologie est américaine (Azure), mais l’opération, les équipes et la gouvernance sont entièrement françaises et donc hors de portée du CLOUD Act.
C’est précisément la distinction entre “cloud de confiance” (technologie US, opération FR) et “cloud souverain” (technologie ET opération 100% européenne). Bleu vise la qualification SecNumCloud, ce qui impose à l’ANSSI de vérifier que le modèle d’opération française est réellement étanche. La qualification était attendue pour 2025-2026 au moment de la rédaction de cet article. Jusqu’à son obtention effective, Bleu ne peut pas être présenté comme une offre SecNumCloud.
Pour un DSI cherchant à héberger Microsoft Dynamics 365 dans un cadre juridiquement protégé, Bleu représente la trajectoire la plus plausible. Elle n’est pas encore arrivée.
S3NS / PREMI3NS : SecNumCloud 3.2 obtenu fin 2025
S3NS est une filiale de Thales (contrôle capitalistique français à 100%) qui exploite la technologie Google Cloud dans un environnement souverain. Son offre PREMI3NS a obtenu la qualification SecNumCloud 3.2 de l’ANSSI fin 2025, ce qui en fait la deuxième offre qualifiée disponible en France après OVHcloud.
En mi-2026, PREMI3NS propose 30 services, avec une roadmap vers 150 pour atteindre la parité avec Google Cloud Platform. Les services disponibles incluent BigQuery (analytics), GKE (Kubernetes), les bases de données managées et l’IaaS. Vertex AI Model Garden (IA générative) était en cours de lancement pour 2026 selon la roadmap publiée. Pour un ERP nécessitant une puissance d’analytics ou un modèle d’IA intégré dans un contexte SecNumCloud, S3NS ouvre des perspectives que OVHcloud n’offrait pas seul.
T-Systems / SAP Sovereign Cloud (Allemagne)
T-Systems (filiale de Deutsche Telekom) opère en partenariat avec SAP un “SAP Sovereign Cloud” destiné aux clients allemands des secteurs défense, public et industrie critique. Ce modèle permet à des entreprises soumises aux exigences BSI C5 ou à des restrictions de classification de données d’accéder à SAP S/4HANA dans un environnement opéré localement par une entité allemande.
Le périmètre fonctionnel de cette offre souveraine n’est pas identique à une instance S/4HANA standard : certains modules ou certaines fonctionnalités cloud-native (dont une partie des capacités IA de SAP Joule) ne sont pas encore disponibles dans les variantes souveraines. C’est un compromis que les clients acceptent en échange des garanties opérationnelles.
Outscale (filiale de Dassault Systèmes)
Outscale est une offre IaaS française opérée par une filiale de Dassault Systèmes. Elle est positionnée sur les secteurs défense et industrie, avec des certifications de sécurité adaptées aux données sensibles. Son catalogue de services cloud reste orienté infrastructure de base, sans l’étendue des hyperscalers. Pour des ERP industriels ou de défense cherchant une alternative française sur l’IaaS, Outscale est une option à étudier.
Les ERP qui proposent réellement un hébergement souverain
SAP : l’offre OVHcloud en France, T-Systems en Allemagne
SAP S/4HANA Cloud peut être hébergé sur OVHcloud (zone SecNumCloud) via l’offre SAP HANA on VMware. Pour les clients SAP en France qui doivent respecter la doctrine “cloud au centre”, c’est la voie disponible aujourd’hui. Il s’agit d’un hébergement IaaS géré, pas d’une offre SaaS SAP “clés en main”, ce qui implique de s’appuyer sur un intégrateur pour la mise en oeuvre et les mises à jour.
En Allemagne, le partenariat SAP / T-Systems offre une offre plus intégrée pour les clients soumis à des contraintes BSI C5 ou de données classifiées, avec les compromis fonctionnels évoqués ci-dessus.
Microsoft Dynamics 365 : en attente de Bleu
Microsoft Dynamics 365 sur un hébergement qualifié SecNumCloud n’est pas disponible en mi-2026 en dehors d’un montage IaaS personnalisé sur OVHcloud. L’offre naturelle sera Bleu, lorsque sa qualification SecNumCloud sera obtenue. En attendant, les organisations qui doivent absolument disposer de Dynamics 365 dans un cadre souverain français doivent soit accepter une architecture hybride (modules non sensibles en cloud standard, données sensibles en on-premise ou IaaS qualifié), soit attendre.
Odoo : hébergement OVHcloud possible, certification limitée
Odoo, dans ses versions Community et Enterprise, peut être hébergé sur OVHcloud, y compris dans des zones SecNumCloud pour l’IaaS. Odoo SA n’opère pas ses propres hébergements qualifiés SecNumCloud en SaaS. Pour des PME ou des ETI souhaitant Odoo avec des garanties de souveraineté, la solution passe par un hébergeur partenaire certifié ou par un hébergement propre sur OVHcloud SecNumCloud.
Berger-Levrault et Civitas : natifs cloud souverain pour le secteur public
Berger-Levrault, éditeur historique d’ERP pour les collectivités françaises, héberge ses solutions dans des environnements conformes aux exigences de la doctrine “cloud au centre”. Pour une mairie, un département ou un établissement public cherchant un ERP RH ou financier, Berger-Levrault est souvent la réponse la plus directe en termes de conformité réglementaire française. Civitas, positionné sur le même segment, opère selon des principes comparables.
Ces acteurs sont moins connus du marché privé mais représentent la réponse native pour le secteur public territorial.
Les compromis à trancher avant de signer
Le surcoût réel du cloud souverain
Les offres SecNumCloud ou BSI C5 coûtent structurellement plus cher que les équivalents hyperscaler classiques, pour deux raisons : la moindre économie d’échelle (la base de clients qualifiés est plus petite) et les coûts d’audit et de maintien de la certification. Le marché évoque des surcoûts d’infrastructure, mais les chiffres varient considérablement selon les services et les volumes : les demander directement à l’hébergeur, en euros par vCPU/mois et par To de stockage, est la seule approche fiable.
Ce surcoût doit être mis en regard du coût d’une non-conformité. Pour une entité essentielle NIS 2, les sanctions peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial. Pour un établissement de santé qui héberge des données sans certification HDS, les sanctions CNIL et la responsabilité pénale de ses dirigeants sont des risques réels. La question n’est pas “est-ce que le cloud souverain coûte plus cher ?” mais “qu’est-ce que la non-conformité coûtera ?”
Les fonctionnalités parfois absentes dans les offres souveraines
C’est le compromis le plus difficile à accepter pour des DSI habitués aux fonctionnalités des hyperscalers. Les offres souveraines ne couvrent pas toujours l’intégralité du catalogue de services avancés :
- Les modules d’IA générative intégrés (SAP Joule, Microsoft Copilot for Finance) ne sont souvent pas disponibles dans les variantes souveraines en 2026.
- Les services de data analytics avancés peuvent être absents ou en version allégée.
- Les intégrations natives avec des services SaaS tiers (Salesforce, Workday) peuvent nécessiter des architectures spécifiques pour rester dans le périmètre certifié.
S3NS avec sa roadmap vers 150 services, dont Vertex AI, représente une évolution prometteuse. Mais en mi-2026, le catalogue reste partiel. Pour un DSI, la question concrète est : “quelles fonctionnalités de mon ERP utilisent des services cloud qui ne sont pas disponibles dans la zone qualifiée ?” Cette analyse doit être conduite module par module avant toute décision.
Cloud de confiance vs cloud souverain : une distinction capitale
La confusion entre ces deux notions est fréquente et coûteuse. La distinction nette :
Cloud de confiance : technologie d’un éditeur américain (Microsoft, Google), hébergée et opérée par une entité française ou européenne sous licence. Le code source et les algorithmes restent propriété américaine. La protection contre le CLOUD Act repose sur l’étanchéité opérationnelle, validée (ou non) par une certification SecNumCloud.
Cloud souverain : technologie ET opération 100% européennes. OVHcloud en est l’exemple le plus abouti : le code de la plateforme est développé en Europe, les équipes opérationnelles sont européennes, la gouvernance est française. S3NS, dans son modèle Thales/Google, se situe entre les deux selon le périmètre considéré.
Pour les marchés défense ou les données classifiées Diffusion Restreinte, seul un cloud souverain à technologie européenne répond aux exigences. Pour un ministère ou une collectivité avec des données sensibles mais non classifiées, un cloud de confiance qualifié SecNumCloud est souvent suffisant.
Checklist : 8 questions à poser à un hébergeur avant de signer
Avant de contractualiser l’hébergement de votre ERP dans un contexte réglementé, posez ces questions par écrit et exigez des réponses documentées :
- Avez-vous la qualification SecNumCloud sur l’offre concernée (pas sur une offre différente de votre catalogue) ?
- Êtes-vous certifié HDS sur ce périmètre (si données de santé) ?
- Vos équipes opérationnelles sont-elles exclusivement de nationalité européenne ? Quelles sont les procédures pour les accès à distance ?
- Avez-vous des actionnaires ou sociétés mères soumis à une législation extraterritoriale (CLOUD Act, FISA) ? Comment l’étanchéité est-elle garantie ?
- Quelles fonctionnalités ERP ne sont pas disponibles dans votre zone qualifiée ? La liste exhaustive, pas les généralités.
- Quel est le délai de portabilité des données si nous souhaitons changer d’hébergeur ? Y a-t-il des frais de sortie ?
- Où sont localisées vos sauvegardes et sont-elles aussi dans le périmètre qualifié ?
- Comment documentez-vous la conformité pour nos audits NIS 2 / DORA / LPM ? Fournirez-vous des attestations auditables ?
Un hébergeur qui répond à ces huit points avec des documents précis est un hébergeur sérieux. Celui qui répond avec des brochures commerciales mérite une vigilance accrue.
Articuler la stratégie : l’hybride comme réponse réaliste
Pour la grande majorité des organisations, un ERP 100% souverain dans chaque pays de présence n’est pas réaliste en 2026. Une entreprise française avec des filiales en Allemagne, aux Pays-Bas et en Espagne devra composer avec des réglementations locales différentes et des offres souveraines inégalement matures selon les marchés.
La stratégie hybride, souvent présentée comme un compromis temporaire, est en réalité la réponse structurelle : les données les plus sensibles (défense, santé, données personnelles classées) dans des zones qualifiées ; les modules moins critiques (reporting, analytics non sensibles, intégrations SaaS) sur des clouds standard avec des protections contractuelles adaptées. Cette architecture demande un travail de classification des données en amont, souvent négligé. C’est pourtant lui qui détermine quelles parties de l’ERP doivent impérativement passer par un hébergeur qualifié.
Pour approfondir les aspects sécurité et résilience de vos systèmes ERP, consultez notre guide complet sur la cybersécurité ERP, notre analyse de DORA et ses implications pour les ERP du secteur financier et notre checklist NIS 2 pour préparer un audit ERP.
