Le CISPE, lobby des fournisseurs cloud européens, a publié fin avril 2026 son propre cadre de certification souverain1. L'annonce arrive six mois après le score SEAL de la Commission européenne, et trois mois après un Cybersecurity Act 2 qui a abandonné les critères de souveraineté juridique. Pour les éditeurs SaaS qui vendent en Europe, le rayon vient de se dédoubler.
Deux grilles, deux philosophies, un même marché
La Commission a publié en octobre 2025 sa grille SEAL, pour Sovereignty Effectiveness Assurance Levels. Elle repose sur huit critères pondérés et quatre niveaux de notation. Une entreprise sous juridiction étrangère peut y marquer assez de points pour finir avec une bonne note, parce que le critère d'extraterritorialité y devient un facteur parmi d'autres2.
Le CISPE, qui regroupe OVHcloud, Scaleway, IONOS, Aruba et la plupart des grands fournisseurs cloud européens, n'a pas attendu. Son cadre baptisé "Sovereign & Resilient Cloud Services Framework" propose deux pistes distinctes. Un badge "Sovereign" pour les services intégralement européens, c'est-à-dire la juridiction, la gouvernance et l'exploitation. Un badge "Resilient" pour les services qui acceptent des composants non européens mais imposent du chiffrement géré par le client, de la portabilité réelle et des sauvegardes indépendantes3.
Les deux labels ne se contentent pas de coexister. Le CISPE écrit explicitement vouloir lutter contre le "souveraineté washing" et donner aux clients un moyen de "comprendre ce qu'ils achètent réellement". Le sous-entendu n'est pas voilé : la grille de la Commission laisse passer trop d'offres habillées en souverain qui ne le sont pas.
Pourquoi un éditeur SaaS doit suivre
Pour une PME qui édite un SaaS B2B sans ambition vers le secteur public ou les OIV - Opérateur d'Importance Vitale, le sujet peut sembler lointain. Il ne l'est pas longtemps. Les directions achats des grands comptes intègrent déjà ces grilles dans leurs questionnaires fournisseurs. Une RFP du secteur bancaire, ou un client allemand qui demande à voir votre matrice de souveraineté, ça s'aligne avec NIS2, avec DORA, et avec le cadre HDS quand la santé est concernée.
Concrètement, le choix d'infrastructure devient un argument commercial documenté. Héberger sur Scaleway, OVHcloud ou Clever Cloud n'a plus la même valeur quand un acheteur public peut demander un score SEAL ou un badge CISPE. La déclaration "nous sommes hébergés en France" ne suffit plus, parce qu'il faut désormais produire une attestation tierce.
Pour les studios qui livrent des SaaS, le sujet remonte directement dans les choix d'architecture. Quand un client public ou un grand compte demande où vivent ses données, la réponse devient un livrable.
Le contrat 180M€ et son signal
Le 17 avril 2026, la Commission européenne a attribué un marché-cadre cloud souverain de 180 millions d'euros sur six ans à quatre fournisseurs : Post Telecom (avec Clever Cloud et OVHcloud), StackIT, Scaleway, et Proximus (avec S3NS, Clarence et Mistral)4. Tous européens, certains avec des partenariats hybrides assumés. AWS European Sovereign Cloud, attendu pour l'été 2026 à Brandebourg, n'a pas concouru5.
Le message est clair : pour ses propres usages, la Commission applique des critères plus stricts que ceux du Cybersecurity Act 2. Cette asymétrie est inconfortable. Bruxelles définit les règles pour le marché unique, mais s'en exempte partiellement pour ses propres marchés. Les fournisseurs européens en tirent un argument direct, et le badge CISPE leur fournit l'outil de communication qui manquait.
Ce qu'on en fait côté studio
Sur le développement SaaS pur, ces référentiels restent à distance. Pour un MVP B2B classique, choisir Vercel ou un PaaS américain ne pose pas de problème immédiat. Mais quand un projet vise une cible publique, parapublique, ou des grands comptes français et européens, la décision d'infrastructure se prend tôt et conditionne le reste. Repartir d'AWS vers OVHcloud après six mois de production coûte plus cher qu'un peu de réflexion en amont.
En pratique, on documente le critère d'extraterritorialité dans le cahier des charges dès la première version sur les projets sensibles. Le choix d'un hébergeur audité (SecNumCloud aujourd'hui, badge CISPE bientôt) suit naturellement quand le contrat le justifie, sans en faire une religion. Et même quand le projet n'a pas vocation à être certifié, l'architecture reste pensée pour être portable, parce que c'est ce que les acheteurs européens demanderont dans les douze prochains mois.
Le marché du cloud souverain européen est en train de se structurer. Pour le moment, deux référentiels avancent en parallèle. Celui qui s'imposera dépendra moins des arbitrages institutionnels que des appels d'offres concrets.
Footnotes
-
Next, des entreprises européennes du cloud ont lancé leur propre référentiel, 30 avril 2026. Cloud souverain : des acteurs européens lancent leur propre label ↩
-
CIO Online, le risque aurait été un mécanisme différent du schéma SecNumCloud, 12 février 2026. SecNumCloud : touché, mais pas encore coulé ? ↩
-
CISPE, a practical tool to assess, certify and publicise sovereign cloud services, avril 2026. Sovereign & Resilient Cloud Services Framework ↩
-
Représentation en France de la Commission européenne, la Commission octroie 180 millions d'euros à quatre fournisseurs européens, 17 avril 2026. Souveraineté numérique : 180 millions d'euros pour le cloud souverain ↩
-
L'Usine Digitale, l'UE redessine la carte du cloud souverain sans tourner le dos aux technologies américaines, 17 avril 2026. 180 millions d'euros, 4 lauréats, 6 ans de contrat ↩