SAP redéfinit la souveraineté du cloud : quatre dimensions déterminent ce qui compte réellement
Réduire la souveraineté au seul choix de l’infrastructure revient à construire une illusion de sécurité.
Brussel, le 21 mai 2026 - Le débat sur la souveraineté numérique en Europe repose sur un malentendu persistant : l’idée qu’elle se résume à l’emplacement du serveur. Certains pensent qu’un datacenter à Francfort suffit à garantir la souveraineté. D’autres craignent de la perdre dès lors qu’ils utilisent un hyperscaler américain. Pour Martin Merz, président de SAP Sovereign Cloud, ce débat passe largement à côté du véritable enjeu. « La discussion sur l’infrastructure cloud est importante, mais ceux qui en font l’unique critère de souveraineté manquent le cœur du problème. »
Merz s’appuie sur vingt années d’expérience pratique dans le déploiement de clouds souverains auprès de gouvernements et de services de sécurité à travers le monde. Depuis le début des années 2000, SAP collabore avec le gouvernement fédéral américain sur des déploiements dits “trusted”. L’entreprise a ensuite étendu cette approche à l’Australie, au Canada, à l’Allemagne, aux Pays-Bas et à la France. Chaque pays a ajouté de nouvelles exigences au cadre initial. SAP a ainsi progressivement construit un ensemble de standards renforcés qu’elle applique désormais à l’échelle mondiale pour ses déploiements de cloud souverain.
Fort de cette expérience, Merz observe avec scepticisme le débat européen sur la souveraineté, qu’il voit trop souvent bloqué sur la question de l’infrastructure. Quel hyperscaler, quel datacenter, quel pays : ce ne sont pas de mauvaises questions, mais elles prennent selon lui trop de place au détriment de l’essentiel. Quelles conditions doivent réellement être réunies pour qu’une organisation puisse transférer ses données et processus les plus sensibles vers le cloud en toute sécurité ? Sa réponse prend la forme d’un cadre en quatre dimensions qui dépasse largement la seule localisation des datacenters.
Quatre dimensions, une seule validation
La première dimension est la souveraineté des données : les données et métadonnées doivent rester dans le pays ou la région, sans exception. Cela évite que des informations sensibles ne tombent involontairement sous une juridiction étrangère ou dans des mécanismes de réplication non maîtrisés.
La deuxième dimension est la souveraineté opérationnelle. Les organisations n’accordent l’accès aux systèmes et aux données qu’aux employés répondant aux exigences nationales en matière de nationalité et de contrôle de sécurité. Certaines fonctions nécessitent également une habilitation spécifique. Pour les services de défense et de renseignement, cet aspect est crucial : ils doivent savoir précisément qui administre les systèmes, fournit le support ou peut accéder aux informations sensibles.
La troisième dimension est la souveraineté technique. Merz souligne ici un élément qui, selon lui, distingue SAP des autres fournisseurs : le control plane de l’environnement cloud est hébergé dans le pays lui-même, et non dans un système centralisé situé à l’étranger. Ce control plane gère notamment l’administration, les mises à jour et les droits d’accès. Selon SAP, cela permet aux organisations de conserver davantage de contrôle sur la gestion de leur environnement cloud et sur les personnes qui peuvent y accéder.
La quatrième dimension est la souveraineté juridique. Elle concerne le cadre légal applicable à l’environnement cloud. Une organisation doit pouvoir avoir la certitude que ses données et processus sensibles restent soumis au droit national et ne peuvent être affectés par une réglementation étrangère ou des revendications juridiques externes.
La souveraineté exige une reconnaissance officielle
Pour Merz, le respect de ces quatre dimensions ne suffit toutefois pas. Un environnement cloud ne peut être considéré comme souverain que lorsque cette qualification est officiellement reconnue par l’autorité nationale de cybersécurité. L’infrastructure sous-jacente importe alors moins. Il peut s’agir de l’infrastructure cloud de SAP, d’un hyperscaler américain ou même des propres datacenters du client.
Selon Merz, certaines organisations militaires européennes choisissent d’ailleurs délibérément un hyperscaler américain. Tant que l’autorité nationale de cybersécurité confirme que l’environnement répond à toutes les exigences de souveraineté, SAP considère cette solution comme un cloud souverain.
La résilience comme stratégie, non comme idéologie
Cette indépendance vis-à-vis de l’infrastructure n’est pas, selon SAP, un argument marketing mais un choix de principe. Et c’est précisément ce choix qui suscite régulièrement des critiques dans le débat européen sur la souveraineté numérique. Une partie de ce débat repose sur le rejet de principe des technologies américaines.
Merz dit comprendre cette réaction, mais la juge finalement contre-productive. Selon lui, l’Europe a longtemps bénéficié d’un environnement géopolitique relativement stable. Cette période est désormais révolue. Les organisations qui ne préparent pas leur stratégie cloud à des scénarios alternatifs deviennent vulnérables.
Une stratégie multi-cloud comme filet de sécurité
Concrètement, cela signifie selon Merz qu’une stratégie multi-cloud ne constitue pas une concession aux ambitions de souveraineté. Au contraire, c’est un moyen de les concrétiser. Les organisations peuvent aujourd’hui choisir un hyperscaler américain pour ses avantages technologiques tout en développant en parallèle une alternative européenne ou interne. Ces choix ne sont pas incompatibles.
SAP recommande donc à ses clients d’éviter toute dépendance totale envers un seul fournisseur, y compris envers l’infrastructure de SAP elle-même. Pour Merz, la résilience numérique suppose toujours de disposer d’alternatives de secours. Les organisations doivent préparer ces scénarios dès maintenant, et non attendre qu’une crise géopolitique ou technologique les y contraigne.
Cela implique également de cesser de considérer la souveraineté comme une simple case de conformité à cocher une fois pour toutes. Les vraies questions sont beaucoup plus concrètes : qui a accès aux données ? Sous quel système juridique l’infrastructure opère-t-elle ? Que se passe-t-il si un fournisseur disparaît ou si le contexte géopolitique change ? Ceux qui ne répondent pas à ces questions disposent peut-être d’un certificat, mais pas d’une véritable stratégie.
Exploiter les données, pas seulement les protéger
Ce passage d’une logique de conformité à une logique de résilience devient encore plus urgent à mesure que l’IA s’intègre dans les processus métiers et que les organisations deviennent de plus en plus dépendantes des données qu’elles gèrent. « L’Europe a produit trente zettaoctets de données l’année dernière. Pour rendre ce chiffre concret : si un bit équivalait à un grain de sable, cela représenterait trente déserts du Sahara remplis de sable. Pourtant, nous n’exploitons que 10 à 15 % de ces données », explique Merz.
« L’Europe débat de la construction de nouvelles infrastructures numériques alors que l’immense majorité des données déjà disponibles restent inexploitées », poursuit-il. « Le véritable enjeu n’est pas l’endroit où les données sont stockées, mais la manière dont l’Europe transforme ces données en innovation et en compétitivité. »
Pour Merz, la souveraineté n’est donc pas un frein, mais une condition préalable. Sans contrôle sur les données et l’infrastructure, le risque devient trop important pour déployer l’IA à grande échelle dans des processus critiques. Cela ne concerne pas uniquement les entreprises de défense ou les services de renseignement, mais toute organisation dont les données sont essentielles à son activité. Toute entreprise qui ne peut se permettre que ses données deviennent inaccessibles, peu fiables ou juridiquement vulnérables ne peut plus considérer la souveraineté comme un luxe.
À propos de SAP
En tant que leader mondial des applications d'entreprise et de l'IA commerciale, SAP (NYSE : SAP) est le lien entre les entreprises et la technologie. Depuis plus de 50 ans, les organisations font confiance à SAP pour tirer le meilleur parti d'elles-mêmes. SAP relie les processus critiques de l'entreprise dans des domaines tels que les finances, les achats, les ressources humaines, la chaîne d'approvisionnement et l'expérience client.
Pour plus d'informations, rendez-vous sur www.sap.com/netherlands/index.html
Note à la rédaction :
Pour obtenir des images d'archives et des photos de presse, rendez-vous sur www.sap.com/photos.
Pour plus d'informations :
Patricia Bueters
+31 (0)6 - 11513823
