Le choix d’héberger son ERP dans le cloud n’est plus seulement une question de coût ou de performance. C’est devenu une question de souveraineté. Quand un éditeur américain opère votre système de gestion, vos données financières, vos nomenclatures produit et vos fichiers salariés tombent potentiellement sous le coup du Cloud Act ou de la loi FISA, deux législations extraterritoriales qui permettent aux autorités américaines d’accéder à ces données sans notification préalable, et sans passer par un juge européen.
Face à ce risque, l’Europe et la France construisent un cadre de certification exigeant. SecNumCloud en France, EUCS au niveau européen, doctrine « Cloud au centre » pour l’administration : ces dispositifs redessinent les règles du jeu pour tout projet ERP cloud. Ce guide détaille ce que ces certifications signifient concrètement, quels fournisseurs les détiennent, et comment intégrer la souveraineté numérique dans votre stratégie ERP.
Pourquoi la souveraineté numérique concerne directement votre ERP
Un ERP centralise les données les plus sensibles d’une entreprise : comptabilité, paie, achats, stocks, fichiers clients, marges commerciales. C’est, de fait, le coeur du système d’information. Quand ce système est hébergé chez un fournisseur cloud soumis à une juridiction étrangère, la question du contrôle effectif sur ces données se pose.
Le risque extraterritorial : Cloud Act et FISA
Le Cloud Act, adopté en 2018, permet aux autorités américaines de contraindre tout fournisseur de technologie basé aux Etats-Unis (ou ayant une filiale américaine) à fournir les données stockées sur ses serveurs, y compris ceux situés en Europe. Le lien avec les Etats-Unis est suffisant pour activer la loi : siège social, filiale, ou infrastructure gérée par une entité américaine.
La loi FISA (Foreign Intelligence Surveillance Act), dans sa section 702 renouvelée en 2024, autorise la collecte massive de données de personnes non américaines stockées sur des serveurs américains, sans mandat judiciaire individuel.
Concrètement, si votre ERP tourne sur AWS, Azure ou Google Cloud dans leur configuration standard, vos données restent accessibles aux autorités américaines, même si les serveurs sont physiquement en France. Le RGPD interdit ce type de transfert non encadré, mais le Cloud Act ne prévoit aucun mécanisme de notification au propriétaire des données. C’est cette collision juridique qui rend la question de la souveraineté incontournable pour les DSI européens.
Ce que ça change pour un projet ERP
Pour une PME ou une ETI, les conséquences sont concrètes :
- Risque de conformité RGPD. Un transfert de données vers un prestataire soumis au Cloud Act peut constituer une violation du RGPD. Les sanctions vont jusqu’à 4 % du chiffre d’affaires mondial.
- Risque de propriété intellectuelle. Les nomenclatures produit, les prix de revient, les marges fournisseurs sont des actifs stratégiques. Leur exposition à un tiers étatique non européen est un risque business réel.
- Risque contractuel. Certains donneurs d’ordres (défense, santé, secteur public) exigent déjà un hébergement souverain dans leurs cahiers des charges. Ne pas pouvoir y répondre ferme des marchés.
SecNumCloud 3.2 : le bouclier français
Ce que c’est
SecNumCloud est une qualification délivrée par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Dans sa version 3.2, elle impose plus de 360 critères répartis sur 14 thématiques couvrant la sécurité technique, organisationnelle, opérationnelle et juridique.
Le point distinctif de la version 3.2 : l’exigence d’immunité aux lois extraterritoriales non européennes. Un fournisseur qualifié SecNumCloud doit être opéré exclusivement par des entités de droit européen, avec un capital détenu majoritairement par des acteurs européens, et des opérations gérées depuis le territoire de l’UE par du personnel européen. Cela exclut de facto toute soumission au Cloud Act ou à FISA.
Qui est qualifié aujourd’hui
En avril 2026, le paysage des fournisseurs qualifiés SecNumCloud s’est sensiblement étoffé :
| Fournisseur | Statut | Spécificité |
|---|---|---|
| OVHcloud | Qualifié | Offre Hosted Private Cloud, datacenters Gravelines/Roubaix/Strasbourg (OVHcloud SecNumCloud) |
| Outscale (Dassault Systèmes) | Qualifié | Premier opérateur qualifié SecNumCloud 3.2 |
| Cloud Temple | Qualifié | Spécialiste hébergement souverain |
| S3NS (Thales + Google) | Qualifié | Offre PREMI3NS qualifiée fin 2025, couvre IaaS, CaaS et PaaS simultanément |
| Worldline | Qualifié | Services cloud pour le secteur financier |
| Bleu (Orange + Capgemini) | En cours | Jalon J0 validé, qualification visée S1 2026, services Microsoft Azure |
| NumSpot | En cours | Consortium Docaposte, Dassault Systèmes, Bouygues Telecom |
| Scaleway | En cours | J0 validé sans réserve |
Au total, une dizaine de fournisseurs sont qualifiés ou en cours de qualification, pour un marché du cloud souverain européen estimé à 12,4 milliards d’euros en 2026 selon Markess by Exaegis, en croissance de 34 % par rapport à 2025.
Ce que SecNumCloud change pour votre ERP
Si votre ERP est hébergé chez un fournisseur qualifié SecNumCloud, vous bénéficiez de garanties concrètes :
- Immunité extraterritoriale. Aucune autorité non européenne ne peut légalement contraindre le fournisseur à livrer vos données.
- Conformité RGPD renforcée. La qualification couvre les exigences de localisation et de protection des données personnelles.
- Accès restreint. Les opérations sont gérées 24/7 exclusivement par du personnel européen, basé dans l’UE.
- Audit ANSSI. Le fournisseur est audité régulièrement par l’agence nationale de cybersécurité.
Le surcoût est réel : comptez 15 à 35 % de plus qu’un hébergement cloud classique, selon la complexité des services. Mais ce surcoût se compare à la valeur des données protégées et aux amendes potentielles en cas de non-conformité.
Doctrine « Cloud au centre » : le signal de l’Etat français
Depuis 2021, la doctrine « Cloud au centre » du gouvernement français impose le cloud comme mode d’hébergement par défaut pour les nouveaux projets numériques de l’Etat. Dans sa version actualisée de mai 2023, elle précise que tout système traitant des données d’une sensibilité particulière doit obligatoirement recourir à une offre qualifiée SecNumCloud.
L’article 31 de la loi SREN (Sécuriser et réguler l’espace numérique) inscrit cette obligation dans la loi. En 2024, les achats publics de services cloud sur le marché interministériel UGAP ont atteint 51,6 millions d’euros, en hausse de 50 %.
Pourquoi c’est important pour le secteur privé : cette doctrine crée un effet d’entraînement. Les entreprises qui travaillent avec le secteur public (défense, santé, éducation, collectivités) doivent s’aligner sur ces exigences pour remporter des marchés. Et les bonnes pratiques de l’administration diffusent progressivement vers les ETI et les grandes PME soucieuses de leur conformité.
EUCS : le projet de certification européenne
Où en est le schéma
L’EUCS (European Cybersecurity Certification Scheme for Cloud Services) est le projet de certification cloud à l’échelle européenne, piloté par l’ENISA. Son objectif : créer un cadre commun de certification pour tous les Etats membres, avec trois niveaux d’assurance (basique, substantiel, élevé).
Le processus est au point mort depuis plus de quatre ans. Le dernier brouillon, daté de mars 2024, a retiré les exigences de souveraineté (siège en UE, localisation des données) qui figuraient dans les versions précédentes. Ce retrait, poussé par plusieurs Etats membres (Irlande, Suède, Pays-Bas) et les hyperscalers américains, a provoqué une levée de boucliers de la part de la France, de l’Allemagne et de plusieurs associations d’entreprises européennes.
Conséquence pour les entreprises
En l’absence d’EUCS finalisé, la certification SecNumCloud reste le standard de facto pour les entreprises françaises. Pour les entreprises opérant dans plusieurs pays européens, il n’existe pas encore de certification cloud mutuellement reconnue. Chaque pays applique ses propres règles, ce qui complexifie la gouvernance cloud des ERP multi-sites.
Le scénario le plus probable : l’EUCS sera finalement adopté en 2026 ou 2027, probablement sans exigences de souveraineté strictes au niveau « élevé ». La France maintiendra SecNumCloud comme surcouche nationale plus exigeante. Les entreprises qui anticipent en s’alignant dès maintenant sur SecNumCloud seront conformes quel que soit le résultat final de l’EUCS.
Héberger son ERP en cloud souverain : les options concrètes
SAP S/4HANA sur cloud souverain
SAP propose depuis 2023 un partenariat avec OVHcloud et Sopra Steria pour déployer S/4HANA sur infrastructure SecNumCloud. Cette offre cible les acteurs du secteur public et les entreprises soumises à des obligations de souveraineté.
En parallèle, SAP s’appuie sur Bleu pour son cloud de confiance en France, avec les services Microsoft Azure distribués par la coentreprise Orange-Capgemini. La qualification SecNumCloud de Bleu est attendue au premier semestre 2026.
S3NS : Google Cloud qualifié SecNumCloud
L’offre PREMI3NS de S3NS (filiale de Thales) est la première à couvrir simultanément les couches IaaS, CaaS et PaaS sous qualification SecNumCloud 3.2. Avec 15 nouveaux services prévus au S1 2026 et l’arrivée de Vertex AI au S2 2026, c’est l’option la plus complète pour les entreprises qui veulent combiner services Google Cloud et souveraineté.
ERP français et hébergement souverain natif
Certains éditeurs français proposent nativement un hébergement en France, sans recourir aux hyperscalers :
- Cegid : hébergement en datacenters français, offre SaaS opérée depuis la France
- Sage : options d’hébergement cloud en France pour Sage X3
- Divalto : hébergement chez des partenaires français, option on-premise maintenue
Pour ces éditeurs, la question de la souveraineté se pose différemment : l’enjeu n’est pas le Cloud Act (ils ne sont pas soumis à la juridiction américaine), mais la certification SecNumCloud de leurs hébergeurs, qui n’est pas systématique.
ERP open source : la carte de la réversibilité
Les ERP open source comme Odoo, Dolibarr ou ERPNext offrent un avantage structurel en matière de souveraineté : le code est auditable, et l’entreprise peut choisir librement son hébergeur. Déployer un Odoo Enterprise sur un cloud SecNumCloud (OVHcloud, Outscale) donne un contrôle total sur la chaîne : code ouvert, hébergement qualifié, données localisées.
C’est un argument de poids pour les organisations qui veulent maîtriser leur dépendance technologique de bout en bout. Pour approfondir, consultez notre comparatif des ERP open source.
Grille de décision : quel niveau de souveraineté pour votre ERP ?
Toutes les entreprises n’ont pas le même besoin de souveraineté. Le bon niveau dépend de votre secteur, de vos clients et de votre exposition réglementaire.
| Profil | Niveau recommandé | Justification |
|---|---|---|
| PME, données non sensibles | Cloud standard + RGPD | Le risque extraterritorial est faible. Priorisez le rapport qualité/prix. |
| PME, sous-traitant défense ou santé | SecNumCloud obligatoire | Imposé par le donneur d’ordres. Non négociable. |
| ETI industrielle, IP sensible | Cloud souverain recommandé | Protection des nomenclatures, prix de revient, secrets de fabrication. |
| Secteur public, OIV, OSE | SecNumCloud obligatoire | Doctrine « Cloud au centre » + directive NIS 2. |
| Groupe multi-pays UE | SecNumCloud FR + veille EUCS | Anticipation de la certification européenne. |
Pour les organisations soumises à la directive NIS 2, la question du cloud souverain s’inscrit dans un cadre plus large de cybersécurité. Consultez notre analyse de la directive NIS 2 et ses impacts sur les ERP.
Cinq questions à poser à votre éditeur ERP
Avant de signer un contrat ERP cloud, posez ces questions à votre éditeur ou intégrateur :
- Où sont physiquement hébergées mes données ? Exigez une réponse précise : pays, datacenter, nom du fournisseur d’infrastructure.
- Votre hébergeur est-il qualifié SecNumCloud ? Si oui, demandez le numéro de qualification ANSSI. Si non, demandez pourquoi et quelle alternative de certification est proposée.
- Etes-vous soumis au Cloud Act ou à FISA ? Un « non » sans nuance mérite vérification : une filiale américaine, un actionnariat majoritaire américain ou un hébergement chez un hyperscaler US suffisent.
- Puis-je exporter l’intégralité de mes données dans un format standard ? La réversibilité est un pilier de la souveraineté. Un ERP qui verrouille vos données n’est pas souverain, même hébergé en France.
- Quel est le plan en cas de changement réglementaire ? L’EUCS, le RGPD renforcé, les exigences sectorielles évoluent. Votre éditeur doit avoir une feuille de route claire.
Pour structurer ces échanges, notre guide sur le cahier des charges ERP intègre une section dédiée aux exigences de sécurité et de conformité.
Ce qu’il faut retenir
La souveraineté numérique n’est pas un concept abstrait réservé aux débats politiques. Pour un DSI ou un CFO qui pilote un projet ERP, c’est un critère de sélection concret qui impacte le choix de l’éditeur, de l’hébergeur et du modèle de déploiement.
SecNumCloud 3.2 est aujourd’hui le standard le plus exigeant en Europe. L’EUCS européen, quand il sera finalisé, ne le remplacera probablement pas mais le complètera. Les entreprises qui intègrent dès maintenant la souveraineté dans leur grille de décision ERP évitent un chantier de migration coûteux dans deux ou trois ans.
Pour approfondir les enjeux de sécurité liés à votre ERP, consultez notre guide cybersécurité ERP et notre analyse RGPD et conformité ERP. Pour valider une hypothèse d’adoption, partez sur un POC 3 mois sur 1 processus cible (achat, compta, CRM). Budget typique : 15 000 a 30 000 EUR. Résultat : décision Go/No-Go avec chiffres concrets, pas avec un Excel de promesses commerciales.
