Actualités & ressources

Actualités & ressources

Nos articles, conseils et nouveautés sur la cybersécurité, l'IA et la data.

← Tous les articles
Cybersécurité2026-06-28 · 10 min de lecture · KLE Formations

Souveraineté numérique : comprendre le Cloud Act et SecNumCloud (et pourquoi ça crée des emplois)

Datacenter européen symbolisant la souveraineté numérique et le cloud de confiance

Qui contrôle vraiment vos données quand elles sont hébergées sur un cloud américain, même en Europe ? Cette question, longtemps réservée aux experts, est devenue un sujet politique et économique majeur en 2026. Derrière les sigles Cloud Act, SecNumCloud et cloud de confiance se joue une bataille pour l'autonomie technologique, qui crée une demande nouvelle et forte de compétences cyber et cloud. Décryptage du sujet, et de l'opportunité d'emploi qu'il représente.

Le point de départ : le Cloud Act et l'extraterritorialité

Adopté aux États-Unis en 2018, le Cloud Act (Clarifying Lawful Overseas Use of Data Act) autorise les autorités fédérales américaines à exiger d'un fournisseur de services soumis au droit américain la communication de données qu'il héberge, y compris lorsque ces données sont stockées hors des États-Unis.

La conséquence est contre-intuitive mais décisive : une entreprise française qui héberge ses données dans un datacenter parisien géré par un acteur américain reste juridiquement exposée à une injonction de Washington. Le piège classique, c'est de croire que le RGPD suffit à s'en protéger. Or le RGPD encadre le traitement des données personnelles, mais il ne bloque pas une injonction adressée à un fournisseur soumis au Cloud Act. Cette tension n'est pas théorique : un tribunal canadien a récemment sommé OVHcloud de transmettre des données hébergées en Europe, plaçant l'entreprise entre deux droits contradictoires.

Le problème est massif, car environ 70 à 75 % du marché européen du cloud reposent sur trois fournisseurs américains (AWS, Microsoft Azure, Google Cloud).

La réponse française : SecNumCloud et le « cloud de confiance »

Face à cela, la France a bâti une réponse concrète : la qualification SecNumCloud, délivrée par l'ANSSI. Dans sa version 3.2 (en vigueur depuis 2022), ce référentiel exige un haut niveau de sécurité, mais aussi des garanties d'immunité face aux lois extra-européennes : localisation des données, contrôle capitalistique européen, protection contre les injonctions étrangères. C'est le « Visa de sécurité » qui sert de socle à la doctrine du cloud de confiance, pour les administrations et les organismes manipulant des données sensibles (santé, finances publiques, infrastructures critiques).

Une distinction est essentielle ici, et fait débat :

  • Le cloud souverain : une infrastructure entièrement contrôlée par des acteurs européens, hébergée et opérée dans l'UE.
  • Le cloud de confiance : des technologies potentiellement non européennes, mais opérées par un acteur qualifié respectant SecNumCloud. La qualification de S3NS (partenariat Thales-Google) fin 2025 a montré qu'un cloud utilisant la technologie d'un hyperscaler américain peut, sous conditions strictes, atteindre le plus haut niveau. Certains experts restent toutefois prudents sur la pérennité de cette immunité en cas de forte pression juridique.

À la mi-2026, plusieurs acteurs français sont qualifiés (OVHcloud, 3DS Outscale, Cloud Temple, Orange Business, Worldline, Numspot, Scaleway), et d'autres offres sont en cours de qualification. Au niveau européen, le schéma EUCS vise à harmoniser ces exigences, même si la place des critères de souveraineté y reste débattue.

2026, l'année de l'accélération

Plusieurs faits récents montrent que le sujet est passé du discours à l'action :

  • Le 3 juin 2026, la Commission européenne a présenté le Cloud and AI Development Act, qui dote les acheteurs publics d'un cadre à quatre niveaux de souveraineté, de la simple localisation européenne jusqu'au contrôle capitalistique du fournisseur et à l'absence d'ingérence d'un État tiers.
  • En France, le gouvernement a engagé la migration de 2,5 millions de fonctionnaires vers des outils souverains, en remplacement de Zoom et Microsoft Teams, à horizon 2027. La « Suite Numérique » de l'État et son outil de visioconférence Visio en sont la traduction concrète, déployés à grande échelle dès 2026.
  • Un triptyque réglementaire est venu structurer les obligations du secteur public début 2026 (circulaire sur les achats numériques, décret sur les données de santé, décret sur les données sensibles en cloud privé).
  • Le gouvernement a lancé en janvier 2026 un Observatoire de la souveraineté numérique pour mesurer les dépendances de la France et mieux les réduire.

Le marché suit : le cloud souverain mondial est estimé à plus de 80 milliards de dollars en 2026 selon Gartner.

Pourquoi tout cela crée des emplois

C'est le cœur du sujet pour qui envisage une reconversion. Migrer des systèmes, qualifier des infrastructures, auditer des dépendances, mettre en conformité des contrats : tout cela demande des compétences rares, et la demande explose. France Travail estime un besoin de 30 000 à 50 000 emplois supplémentaires dans la filière souveraineté d'ici 2030.

Les profils en tension sont clairement identifiés : RSSI, architecte cloud souverain, expert en cybersécurité industrielle (OT), juriste tech et data, data engineer, spécialiste de l'AI Act et DPO. Surtout, l'expertise des environnements SecNumCloud est devenue une compétence rare et premium, particulièrement recherchée dans le secteur public, la défense, la santé et la finance.

Cette dynamique se conjugue avec les autres chantiers réglementaires que nous avons décrits sur ce blog : NIS2 pour les entités essentielles, DORA pour la finance, l'AI Act pour l'intelligence artificielle. Tous tirent dans le même sens : un besoin croissant de professionnels capables de conjuguer maîtrise technique et compréhension des enjeux de conformité et de souveraineté.

Les nuances à garder en tête

Soyons honnêtes, car le sujet est aussi un argument marketing très utilisé. La « souveraineté » affichée par une offre se vérifie sur le terrain de la juridiction et de la maîtrise technique réelle, au-delà du discours commercial. Le débat sur le cloud de confiance (technologie américaine opérée localement) n'est pas tranché. Le marché français reste encore modeste en valeur, même s'il croît vite. Et la souveraineté ne se limite pas au cloud : elle concerne toute la chaîne, des applications aux réseaux, jusqu'au matériel (les GPU et la mémoire restent dominés par des acteurs non européens).

Pour un futur professionnel, c'est plutôt une bonne nouvelle : cela signifie que le sujet est durable, complexe, et qu'il a besoin de gens qui le comprennent vraiment, pas seulement de slogans.

Se former pour la filière souveraine

La souveraineté numérique n'est pas une mode passagère : c'est une transformation de fond, portée par la réglementation, la géopolitique et une volonté politique affirmée. Elle crée un besoin durable de compétences en cybersécurité, en cloud et en conformité, précisément les domaines où les talents manquent.

Chez KLE Formations, notre parcours en cybersécurité forme aux compétences qui sous-tendent cette filière : sécurité des systèmes, gouvernance, conformité, protection des données. Accessible et finançable (CPF, France Travail, OPCO, Transitions Pro), il vise un titre RNCP de niveau 7, et nos futurs parcours data et IA prolongeront cette logique. Pour comprendre les réglementations qui alimentent cette demande, lisez nos articles sur NIS2 et sur DORA, et pour situer les métiers et les rémunérations, notre guide des métiers de la cybersécurité.

Comprendre la souveraineté numérique, c'est comprendre l'un des grands enjeux de la décennie, et l'une des filières qui recruteront le plus. Une raison de plus de s'y former dès maintenant.


Sources : ANSSI / cyber.gouv.fr (référentiel SecNumCloud 3.2, acteurs qualifiés) ; Commission européenne (Cloud and AI Development Act, 3 juin 2026) ; DINUM et numerique.gouv.fr (Suite Numérique, migration des agents) ; France Travail (estimation d'emplois de la filière) ; Synergy Research / IDC (part de marché des hyperscalers) ; Gartner (taille du marché du cloud souverain) ; analyses Travail-Industrie, Banque des Territoires et Usine Digitale (métiers, acteurs, cas OVHcloud). Chiffres et statuts à jour à la mi-2026 ; le paysage réglementaire et la liste des acteurs qualifiés évoluent rapidement.