SAP annonce le lancement de son offre Sovereign Cloud en France, en partenariat avec Bleu, la coentreprise d’Orange et Capgemini adossée à Microsoft Azure. Objectif : répondre aux exigences des secteurs les plus réglementés en proposant des services SaaS hébergés et opérés localement.
L’offre vise en priorité les administrations publiques, les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE), autrement dit des organisations amenées à traiter des données particulièrement sensibles. SAP évoque notamment des données personnelles protégées par le RGPD — comme les données de santé ou d’identité — mais aussi des données souveraines de l’État et des données opérationnelles critiques.
Ce positionnement s’inscrit dans le cadre du développement de Bleu, actuellement en cours d’obtention du visa SecNumCloud 3.2. Cette qualification, délivrée par l’ANSSI, vise à garantir un haut niveau d’exigence en matière de sécurité, de souveraineté et de gestion des données. SAP entend ainsi proposer une offre compatible avec les attentes croissantes des acteurs publics et stratégiques français.
Du souverain sur fondations américaines
Pour l’éditeur allemand, il s’agit d’une étape supplémentaire dans sa stratégie de cloud souverain en Europe. En septembre dernier, SAP avait déjà annoncé l’extension de son partenariat avec AWS, avec une offre Sovereign Cloud reposant sur le futur AWS European Sovereign Cloud, dont la première région doit voir le jour en Allemagne.
Mais derrière ces annonces, une question persiste : peut-on réellement parler de cloud souverain lorsque les infrastructures sous-jacentes reposent sur des technologies de fournisseurs américains ? Malgré les dispositifs mis en avant — isolation des environnements, gouvernance locale, conformité réglementaire — des doutes persistent. À l’échelon politique déjà, le député français Philippe Latombe s’en fait régulièrement l’écho. Plus récemment, les membres du CISPE ont appelé les régulateurs européens à encadrer plus strictement les offres dites souveraines reposant sur des technologies non européennes, dans le cadre du futur règlement sur le cloud et l’IA (CAIDA/CADA).
Toutefois, en dépit des garde-fous, beaucoup doutent encore que la notion de souveraineté puisse être accolée aux hyperscalers américains. Récemment, des fournisseurs de cloud européens réunis au sein du CISPE ont demandé, dans le cadre du futur règlement sur le développement du cloud et de l’IA (CAIDA ou CADA), des mesures fortes pour limiter la portée des offres étrangères présentées comme souveraines et privilégier les fournisseurs européens dans le cadre de la commande publique. Reste à savoir, à terme, comment seront considérés ces services européens, adossés à des technologies américaines. S3NS, filiale de Thales en partenariat avec Google Cloud, a par exemple été qualifiée SecNumCloud.
