180 millions d’euros sur la table, quatre noms retenus, Post Teleco, STACKIT, Scaleway et Proximus. La Commission européenne a sélectionné ces fournisseurs dans le cadre d’une procédure de marché public portant sur une « nube souveraine » européenne, selon des informations issues de l’appel d’offres. L’objectif affiché est clair : disposer d’infrastructures et de services cloud opérés sous juridictions européennes, capables d’héberger des données sensibles sans dépendre des hyperscalers américains.
Le montant place l’opération dans une catégorie qui compte à Bruxelles : assez élevé pour structurer un écosystème, trop limité pour prétendre rivaliser seul avec les investissements annuels des géants du cloud. Le signal politique, lui, est net. En choisissant une liste resserrée de prestataires européens, la Commission cherche à transformer une notion souvent théorique, la souveraineté numérique, en contrats, en capacités et en exigences techniques vérifiables.
La composition du quatuor retenu est aussi un message de méthode. Elle combine des opérateurs télécoms et des acteurs cloud déjà implantés dans plusieurs pays, avec des profils industriels différents. Le choix implique une mise en concurrence interne à l’Europe, mais aussi une répartition des risques : capacité de livraison, couverture géographique, certifications et continuité d’activité.
180 millions d’euros : un marché public calibré pour des usages sensibles
Le chiffre de 180 millions d’euros donne une indication sur la nature du besoin. À ce niveau, il ne s’agit pas d’un simple test de concept ni d’un contrat d’hébergement isolé. Le périmètre vise typiquement des services mutualisés, des capacités de stockage et de calcul, des outils de gestion des identités, et des fonctions de sécurité destinées à des administrations ou agences européennes. Les marchés cloud publics de ce type intègrent souvent des clauses strictes sur la localisation des données, la traçabilité des accès et la réversibilité, point central pour éviter l’enfermement propriétaire.
La Commission européenne pousse depuis plusieurs années une doctrine de « cloud de confiance » fondée sur des exigences de conformité et de contrôle. Dans les documents de politique publique, la souveraineté ne se résume pas à l’adresse des data centers. Elle recouvre aussi la gouvernance de l’opérateur, la chaîne de sous-traitance, la capacité à résister à des injonctions extraterritoriales, et la transparence des mécanismes d’administration. Le marché vise à traduire ces principes en obligations contractuelles, avec des pénalités et des audits.
Le montant, même significatif, rappelle aussi l’écart d’échelle. Les dépenses d’investissement et de R&D des grands fournisseurs mondiaux se comptent en dizaines de milliards par an. Le pari européen consiste donc moins à copier un modèle qu’à segmenter les besoins : bâtir des offres solides sur des usages critiques, là où la maîtrise juridique et opérationnelle prime sur la recherche du coût marginal le plus bas. Dans cette logique, l’appel d’offres devient un outil de politique industrielle autant qu’un achat.
Ce calibrage renvoie à une autre réalité : la demande publique européenne est fragmentée. Un contrat de 180 millions peut agir comme un catalyseur, mais il ne suffit pas à créer un standard unique. La Commission peut en revanche imposer des exigences techniques communes, favoriser l’interopérabilité et pousser des certifications. C’est souvent sur ces détails, formats de logs, chiffrement, gestion des clés, que la souveraineté se joue dans les faits.
Post Teleco, STACKIT, Scaleway, Proximus : quatre profils pour une même promesse
La sélection de Post Teleco, STACKIT, Scaleway et Proximus dessine une cartographie intéressante du cloud européen. Elle mêle des opérateurs télécoms historiques et des acteurs nés dans l’hébergement et le cloud public. Cette diversité peut répondre à une contrainte fréquente des acheteurs institutionnels : combiner des capacités de connectivité, des implantations locales et des services cloud standardisés, tout en garantissant des niveaux de sécurité élevés.
Proximus, acteur belge des télécommunications, apporte une proximité géographique et institutionnelle avec Bruxelles, mais aussi des compétences d’opérateur sur des environnements critiques. Post Teleco, associé à l’écosystème luxembourgeois, s’inscrit dans une tradition de services aux institutions européennes et aux secteurs régulés. La présence de ces acteurs télécoms renforce l’idée d’une chaîne complète, du réseau à l’hébergement, avec une maîtrise des opérations et des procédures de sécurité.
Scaleway représente une approche davantage orientée cloud public européen, avec une culture produit et une offre de services IaaS et PaaS qui vise à se rapprocher des standards attendus par les développeurs. STACKIT, adossé au groupe Schwarz, incarne un autre modèle, celui d’un acteur industriel qui finance une plateforme cloud pour ses propres usages et pour des clients externes, avec une logique de souveraineté et de conformité fortement mise en avant en Allemagne. Le quatuor retenu couvre donc plusieurs écoles, télécom, cloud natif, industriel.
Cette combinaison n’efface pas les contraintes. Livrer une « nube souveraine » ne se limite pas à fournir des machines virtuelles. Il faut proposer des services managés, une supervision, des accords de niveau de service, et surtout une capacité à absorber des montées en charge. Les institutions publiques attendent aussi des garanties sur la continuité d’activité et des mécanismes de reprise après sinistre. Les quatre prestataires devront prouver qu’ils peuvent tenir des engagements comparables à ceux des grands fournisseurs mondiaux, mais avec des exigences supplémentaires sur la gouvernance.
Localisation, chiffrement, réversibilité : les critères techniques qui tranchent
Dans un marché de cloud souverain, les critères décisifs sont rarement les plus visibles. La localisation des données est un prérequis, mais elle ne suffit pas si l’administration de la plateforme dépend d’entités situées hors de l’Union européenne. Les appels d’offres publics intègrent souvent des exigences sur le contrôle des accès privilégiés, la gestion des identités, la journalisation et la conservation des preuves, avec des audits réguliers. La souveraineté se mesure alors à la capacité à démontrer, documents à l’appui, qui peut faire quoi, quand et depuis où.
Le chiffrement et la gestion des clés constituent un second pivot. Pour des données sensibles, l’enjeu est de s’assurer que le client, ici des entités publiques, garde la maîtrise des clés ou peut imposer des modèles de type « bring your own key » et « hold your own key ». Cette architecture réduit le risque d’accès non autorisé, mais elle complexifie l’exploitation. Les fournisseurs sélectionnés devront offrir des options robustes de gestion de clés, idéalement compatibles avec des modules matériels de sécurité, et intégrées à des politiques de rotation et de révocation.
La réversibilité est le troisième point qui sépare un cloud institutionnel d’une simple offre d’hébergement. Les administrations cherchent à éviter une dépendance technique et économique. Les clauses de sortie imposent des formats standards, des délais de restitution, des mécanismes d’effacement certifié, et parfois un accompagnement à la migration. Dans la pratique, la réversibilité se heurte aux services managés propriétaires, bases de données, outils d’observabilité, qui créent de la dépendance. Les prestataires européens devront démontrer qu’ils peuvent fournir des alternatives interopérables sans dégrader la qualité de service.
À cela s’ajoute la question des certifications et des référentiels. Les institutions européennes naviguent entre des exigences nationales et des cadres européens. Les fournisseurs retenus devront aligner leurs pratiques sur des standards de sécurité, de continuité et de protection des données, tout en acceptant des contrôles. La crédibilité de la « nube souveraine » dépendra moins du discours que de la capacité à produire des preuves, rapports d’audit, tests d’intrusion, procédures d’incident, et à les maintenir dans la durée.
Face à AWS, Microsoft et Google : une stratégie de niches critiques
Le choix de prestataires européens s’inscrit dans une concurrence structurellement asymétrique avec AWS, Microsoft Azure et Google Cloud. Ces plateformes disposent d’un catalogue de services très large, d’écosystèmes de partenaires et d’une force de frappe financière qui leur permet d’investir massivement dans l’IA, les réseaux et les puces. Un marché public de 180 millions d’euros ne change pas l’équation globale, mais il peut consolider une alternative sur des segments où la contrainte réglementaire est maximale.
La stratégie européenne se lit souvent comme une segmentation des usages. D’un côté, des workloads non sensibles peuvent rester sur des clouds mondiaux pour des raisons de coût, de maturité des services ou de disponibilité. De l’autre, des données stratégiques, défense, justice, santé, infrastructures critiques, exigent des garanties renforcées. La « nube souveraine » vise ce second ensemble. La question n’est pas seulement technique, elle est juridique et politique : qui peut être contraint de donner accès à des données, et dans quel cadre.
Cette approche a des implications économiques. Les fournisseurs européens doivent atteindre une taille critique pour amortir les coûts fixes des data centers, de la cybersécurité et de la conformité. Les marchés publics peuvent jouer un rôle d’ancrage, en apportant un volume stable et une visibilité pluriannuelle. Mais le risque est celui d’un marché trop administré, où la conformité absorbe l’essentiel des ressources au détriment de l’innovation produit. La sélection de quatre acteurs peut limiter ce risque en maintenant une forme de concurrence, mais elle peut aussi fragmenter la demande si les offres ne convergent pas sur des standards communs.
Le test se fera sur la capacité à attirer aussi des entreprises privées, en particulier dans les secteurs régulés. Si les offres issues de ce marché public deviennent des références pour la finance, l’énergie ou l’industrie, l’effet de levier sera réel. Dans le cas inverse, le dispositif restera cantonné à un périmètre institutionnel, utile pour certains usages, mais insuffisant pour faire émerger un champion continental. La Commission européenne a choisi une voie pragmatique : financer et contractualiser des capacités européennes, en espérant que la demande suivra au-delà des administrations.