Pendant longtemps, la souveraineté numérique a structuré les débats autour des grandes infrastructures : ERP critiques, données de R&D, systèmes d’information stratégiques. Les outils de gestion administrative, notes de frais en tête, restaient en dehors de ce périmètre. Trop périphériques, trop « opérationnels ».
En 2026, une solution de gestion des dépenses professionnelles traite en continu des données personnelles de collaborateurs, des informations financières opérationnelles, des factures fournisseurs, et des métadonnées de déplacement qui peuvent, dans certains contextes, atteindre un niveau de sensibilité stratégique. Poser la question de la souveraineté numérique sur ces flux n’est pas une précaution excessive : c’est une exigence de gouvernance.
1. Ce que « cloud souverain SaaS » signifie vraiment
Le terme « souverain » est aujourd’hui utilisé de manière très variable par les éditeurs SaaS. Un datacenter en France ne suffit pas à qualifier une solution de souveraine. Comprendre les niveaux réels de protection est le premier prérequis à toute évaluation sérieuse.
Les trois niveaux à connaître
- Hébergement en France ou dans l’UE chez un acteur européen indépendant C’est le socle. Les données sont physiquement stockées sur le territoire français ou européen, chez un opérateur dont le capital et le contrôle sont exclusivement européens. La juridiction américaine et notamment le Cloud Act est écartée. Ce niveau est acceptable pour la majorité des données opérationnelles d’une ETI non soumise à des obligations sectorielles spécifiques.
- Hébergement en France chez un acteur soumis à une législation extra-européenne C’est le cas des grandes plateformes cloud américaines disposant de datacenters français. Les données sont physiquement en France, mais l’opérateur reste soumis au droit américain. Le Cloud Act (2018) autorise les autorités américaines à accéder aux données détenues par des entreprises américaines, y compris lorsqu’elles sont hébergées hors des États-Unis, et sans notification obligatoire de l’organisation concernée. Ce niveau crée une zone grise juridique avec le RGPD, que plusieurs autorités de protection des données européennes ont déjà sanctionnée.
- Cloud de confiance qualifié SecNumCloud La qualification SecNumCloud est délivrée par l’ANSSI. Elle garantit l’indépendance totale de l’opérateur vis-à-vis de toute entité non européenne, des audits de sécurité approfondis et documentés, et un niveau de résilience certifié. C’est le niveau requis pour les organismes publics, les OIV, et les entités opérant dans des secteurs sensibles, défense, recherche stratégique, finances publiques. En 2026, les fournisseurs certifiés ou en cours de qualification incluent OVHcloud, Outscale (Dassault), Scaleway et Cloud Temple.
La règle des 3 questions : checklist de premier niveau
Avant toute décision sur un fournisseur SaaS, trois filtres permettent de qualifier rapidement le niveau de souveraineté réel :
| Questions | Ce que vous devez vérifier | |
|---|---|---|
| ☐ | Qui peut légalement accéder à mes données ? | La nationalité de l’actionnaire de contrôle de l’opérateur d’hébergement pas seulement la localisation physique des serveurs |
| ☐ | Que se passe-t-il si je perds l’accès pendant 48 heures ? | L’existence d’un Plan de Reprise d’Activité documenté et testé, avec des engagements de délai contractuels |
| ☐ | Puis-je migrer en moins de 6 mois si nécessaire ? | Les conditions contractuelles d’export des données, les formats proposés et les frais associés |
Si l’une de ces réponses est insatisfaisante, le niveau de souveraineté affiché mérite d’être questionné.
2. Pourquoi les notes de frais entrent dans ce périmètre
La sous-estimation du niveau de sensibilité des données traitées par un outil de gestion des dépenses est un angle mort fréquent dans les cartographies d’actifs numériques. En réalité, ces solutions manipulent quatre types de données dont la combinaison peut être stratégiquement sensible.
- Des données personnelles de collaborateurs : noms, coordonnées, itinéraires de déplacement, données bancaires partielles. Ces données relèvent du RGPD et sont soumises aux obligations de localisation et de protection qui en découlent.
- Des données financières opérationnelles : montants engagés par projet, par client, par direction. Ces informations révèlent des dynamiques commerciales, des volumes d’activité et des relations fournisseurs qui peuvent constituer des informations stratégiques confidentielles.
- Des données de mobilité : fréquence et destinations de déplacement des collaborateurs. Dans les secteurs de la défense, de la recherche ou des services publics sensibles, ces métadonnées peuvent avoir une valeur bien au-delà de leur apparente banalité.
- Des données fournisseurs : factures nominatives, références SIREN, relations commerciales. Des informations qui, agrégées sur la durée, dressent un tableau précis de l’écosystème partenarial d’une organisation.
Pour une organisation dont les collaborateurs interviennent sur des projets confidentiels, opèrent dans des zones géographiques sensibles, ou entretiennent des relations fournisseurs stratégiques, la question de l’hébergement de ces données n’est pas anodine.
L’enjeu de la chaîne d’approvisionnement
Un point souvent sous-estimé : la souveraineté numérique de votre organisation dépend aussi des exigences de vos clients et donneurs d’ordre. Les grandes entreprises et les organisations publiques qui ont structuré leur politique de souveraineté numérique la répercutent désormais dans leurs cahiers des charges et questionnaires fournisseurs.
Concrètement : un éditeur SaaS de notes de frais qui ne peut pas justifier d’un hébergement souverain documenté peut faire perdre des marchés à ses clients quelle que soit la qualité fonctionnelle de sa solution. Cette logique de chaîne s’est accélérée depuis l’entrée en vigueur des obligations de contrôle des tiers introduites par NIS2 et DORA. Elle concerne les éditeurs eux-mêmes autant que leurs clients.
3. Le contexte de 2026 : ce qui a changé
La doctrine « cloud de confiance » s’impose dans le secteur public
Depuis 2021, la doctrine « cloud au centre » de la DINUM impose le recours au cloud pour tout nouveau projet numérique de l’État. Le bilan 2025 révèle 84 millions d’euros de commandes cloud, dont 70 % orientés vers des fournisseurs européens. Le signal est clair : les solutions retenues par les administrations et les organisations para-publiques doivent s’inscrire dans ce cadre, et les appels d’offres intègrent désormais des clauses de souveraineté de plus en plus précises y compris pour les outils de gestion administrative.
La prochaine phase annoncée par la DINUM prévoit explicitement la migration des grands systèmes d’information historiques et sensibles vers le cloud de confiance. Les éditeurs SaaS adressant le secteur public ont intérêt à anticiper.
Le Data Act renforce la réversibilité
Un changement structurel souvent ignoré lors des évaluations fournisseurs : le Data Act européen impose désormais l’export des données en format standard sous 30 jours maximum, des APIs interopérables, et un plafond de frais de transfert sortant à 0,01 €/Go. La migration vers un fournisseur alternatif est légalement protégée.
Ce changement modifie le rapport de force contractuel. Le lock-in technologique longtemps utilisé comme barrière à la sortie est désormais contraire au droit européen. Tout contrat SaaS qui ne prévoit pas ces conditions d’export est potentiellement non conforme.
La Commission européenne valide la maturité des acteurs souverains
En avril 2026, la Commission européenne a attribué un marché-cadre de 180 millions d’euros sur six ans à quatre consortiums européens de cloud souverain, mettant fin à la domination exclusive d’AWS, Azure et Google Cloud sur les contrats institutionnels. Ce signal politique renforce la crédibilité et la compétitivité des acteurs certifiés, et accélère leur adoption par les grands comptes français. Les benchmarks 2026 confirment par ailleurs que les fournisseurs souverains atteignent 96 à 98 % des performances des hyperscalers américains sur le compute et le stockage. L’argument de la performance n’est plus un frein.
4. Les cinq questions à poser à votre éditeur
Ce tableau est conçu pour être utilisé directement lors d’un RFP, d’un audit fournisseur ou d’une revue contractuelle. Pour chaque question, une réponse solide est distinguée d’un signal qui mérite d’être approfondi.
| Questions à poser | Ce qu’une réponse solide contient | Signal à approfondir | |
|---|---|---|---|
| 1 | Où sont hébergées mes données, et par qui ? | Nom précis de l’opérateur d’hébergement, confirmation de l’absence de soumission au Cloud Act, engagement contractuel sur la localisation y compris backups et environnements de pré-production | « Nos données sont hébergées en France » sans précision sur l’identité de l’opérateur cloud sous-jacent |
| 2 | Quelle est votre certification de sécurité, et est-elle à jour ? | ISO 27001 certifié avec date du dernier audit et organisme certificateur. SecNumCloud pour le secteur public et les environnements sensibles | « ISO 27001 en cours de certification » une certification en cours n’offre pas les mêmes garanties qu’une certification obtenue |
| 3 | Comment gérez-vous un incident de sécurité impliquant mes données ? | Délai de notification inférieur à 72 heures, processus d’escalade documenté, obligations contractuelles en cas de violation, traçabilité des accès par logs | Absence de procédure écrite, ou délai de notification supérieur à 72 heures |
| 4 | Quels sont vos sous-traitants, et quelles garanties offrent-ils ? | DPA (Data Processing Agreement) listant tous les sous-traitants ultérieurs avec leur certification et leur localisation, hébergeur, monitoring, emailing transactionnel, support | DPA incomplète ou absence d’identification des sous-traitants de second rang |
| 5 | Comment puis-je récupérer mes données si je change de solution ? | Format d’export standard, délai de 30 jours maximum, coût plafonné conformément au Data Act (0,01 €/Go) | Frais d’export élevés, formats propriétaires, ou absence de clause de réversibilité dans le contrat |
5. Le bon niveau d’exigence selon votre contexte
Toutes les organisations n’ont pas les mêmes impératifs. Le tableau ci-dessous synthétise le niveau minimum attendu selon trois profils.
| Profil | Niveau d’hébergement | Certification | Réversibilité |
|---|---|---|---|
| ETI non soumise à des obligations sectorielles | France ou UE, acteur indépendant du droit américain | ISO 27001 certifié + DPA RGPD complète | Clause Data Act (30 jours, format standard) |
| ETI ou GC opérant dans un secteur réglementé ou servant des clients publics | France ou UE, acteur non soumis au Cloud Act, PRA testé et documenté | ISO 27001 + clause contractuelle de contrôle des tiers | Idem + intégrable à la cartographie des actifs pour audits clients |
| Secteur public, OIV, environnement sensible | Infrastructure qualifiée SecNumCloud ou offre cloud de confiance DINUM | SecNumCloud — toute solution hébergée chez un acteur extraterritorial est à exclure | Idem + exigence d’auditabilité complète de la chaîne |
Conclusion
La souveraineté numérique a longtemps été traitée comme un sujet de DSI, cantonné aux infrastructures critiques. Elle est en train de devenir un critère d’achat SaaS à part entière, porté par les politiques d’appels d’offres publics, les exigences contractuelles des grands comptes, et une réglementation européenne qui structure progressivement le marché.
Pour les ETI et les organisations du secteur public, la bonne nouvelle est que le marché des solutions souveraines a considérablement mûri. Les acteurs certifiés sont compétitifs, les performances comparables aux hyperscalers américains, et le cadre réglementaire protège désormais la réversibilité.
Ce qui distingue les organisations qui gèrent bien cette transition de celles qui la subissent n’est pas la taille ni le budget : c’est la clarté des questions posées à leurs fournisseurs, et la capacité à lire ce que les contrats disent ou ne disent pas.
Cinq repères à garder
| Repère | Ce que ça implique concrètement |
|---|---|
| « Hébergé en France » ≠ souverain | La nationalité de l’opérateur d’hébergement prime sur la localisation physique des serveurs, vérifier l’actionnaire de contrôle |
| Le Data Act protège votre réversibilité | Export sous 30 jours, format standard, frais plafonnés à 0,01 €/Go, ce sont des droits, pas des options commerciales |
| SecNumCloud est une qualification, pas un argument marketing | Demander le certificat ANSSI et sa date de validité, pas un logo sur un site |
| La DPA doit lister tous les sous-traitants | Hébergeur, outils de monitoring, support, emailing, chaque maillon de la chaîne compte |
| ISO 27001 « en cours » ≠ ISO 27001 certifié | Une certification en cours de renouvellement ou d’obtention n’offre pas les mêmes garanties contractuelles |
Vertical Expense accompagne depuis plusieurs années des ETI, grands comptes et organisations publiques dans la gestion de leurs dépenses professionnelles, dans des environnements où la sécurité et la souveraineté des données ne sont pas optionnelles.
