Le 9 juin 2026, SAP a reçu du BSI (Bundesamt für Sicherheit in der Informationstechnik) l’autorisation d’exploitation (Einsatzerlaubnis) pour traiter des informations classifiées VS-NfD (“Nur für den Dienstgebrauch”, soit “Réservé à l’usage officiel”) sur son infrastructure cloud opérée en Allemagne (SAP News Center Germany, 9 juin 2026). L’annonce classe SAP parmi les très rares fournisseurs cloud commerciaux à avoir obtenu cet agrément outre-Rhin.
Contexte : qu’est-ce que VS-NfD et pourquoi ça compte
En Allemagne, la classification VS-NfD est le premier niveau de protection des informations sensibles de l’État. Elle couvre les données qui, si elles étaient divulguées, porteraient préjudice aux intérêts de la République fédérale. Concrètement : les informations issues de procédures administratives sensibles, de marchés publics stratégiques, ou de certaines communications entre ministères et collectivités locales (Länder, communes).
Jusqu’ici, les administrations fédérales et les secteurs fortement réglementés (défense, santé, énergie) ne pouvaient pas migrer ce type de données vers un cloud public. Elles étaient contraintes de maintenir des infrastructures sur site, souvent coûteuses et difficiles à faire évoluer.
L’Einsatzerlaubnis du BSI change la donne : elle constitue une validation formelle que la plateforme de SAP satisfait aux exigences techniques et organisationnelles requises pour héberger ces données classifiées.
Impact pour les DSI et DAF du secteur public et des industries réglementées
La certification porte sur l’infrastructure cloud opérée par SAP dans ses datacenters de Walldorf et St. Leon-Rot, organisée en trois zones de disponibilité géographiquement distinctes. Martin Merz, Président SAP Sovereign Cloud, a déclaré que cette autorisation “confirme la capacité et la sécurité de notre plateforme pour les exigences réglementaires les plus strictes” (SAP News Center Germany).
Ce que cela ouvre concrètement :
- Secteur public fédéral : les ministères et agences fédérales peuvent désormais envisager SAP S/4HANA Cloud pour des processus impliquant des données VS-NfD, sans dérogation spéciale.
- Collectivités locales : Länder et grandes communes qui utilisent déjà SAP dans leurs ERP peuvent migrer vers le cloud sans abandonner leurs obligations réglementaires.
- Industries réglementées : entreprises de défense, opérateurs d’infrastructures critiques (KRITIS) et prestataires du secteur de la santé confrontés à des exigences de protection équivalentes peuvent inclure SAP Cloud dans leurs appels d’offres.
- Contrats-cadres avec l’administration : l’agrément BSI est souvent un prérequis pour figurer dans les listes de fournisseurs homologués de l’administration fédérale allemande.
SAP précise dans son communiqué être, au moment de l’annonce, le seul prestataire cloud commercial en Allemagne où applications SAP et applications clients peuvent fonctionner simultanément dans un environnement conforme VS-NfD.
Comparatif avec les alternatives : où en sont les concurrents ?
Pour les DSI qui évaluent leurs options, la situation reste contrastée :
- Microsoft Azure et Google Cloud ont des certifications BSI pour leurs infrastructures en Allemagne (IT-Grundschutz, C5 attestation), mais pas l’Einsatzerlaubnis VS-NfD pour des charges applicatives spécifiques SAP.
- T-Systems (filiale Deutsche Telekom) opère déjà des offres cloud souverain pour les administrations allemandes sous label “Open Telekom Cloud”, avec certaines accréditations sectorielles, mais sans le niveau d’intégration native SAP qu’offre cet agrément.
- AWS GovCloud n’existe pas sous forme équivalente en Allemagne pour la souveraineté stricte au sens du droit public allemand.
L’Einsatzerlaubnis BSI se distingue des simples certifications ISO 27001 ou des attestations C5 : c’est une autorisation d’exploitation délivrée après audit par l’autorité publique compétente, avec une portée juridique directe pour les marchés publics.
Ce qu’il faut surveiller
SAP indique que l’Einsatzerlaubnis constitue une étape intermédiaire. La prochaine étape annoncée est la recertification ISO 27001 basée sur les standards IT-Grundschutz du BSI, processus qui s’est déroulé sur environ douze mois pour cette première phase. Les DSI qui planifient une migration multi-annuelle sur SAP S/4HANA Cloud peuvent d’ores et déjà inclure ce scénario dans leurs analyses.
Côté calendrier réglementaire allemand, l’obligation de facturation électronique (ZUGFeRD / Factur-X) pour le B2B entre dans sa phase opérationnelle en 2025-2027 : une migration ERP vers le cloud SAP certifié VS-NfD peut donc servir deux objectifs en un — conformité numérique et souveraineté des données.
Pour aller plus loin, consultez notre guide complet sur les ERP allemands et la conformité GoBD / ZUGFeRD et notre comparatif SAP S/4HANA Cloud vs Oracle Fusion vs Dynamics 365 Finance.
