Une région allemande a finalisé cette année un chantier informatique colossal en remplaçant le couple bien connu Microsoft Exchange et Outlook par Open-Xchange et Mozilla Thunderbird.

Ce sujet vous a particulièrement captivé cette année, sans doute parce qu'il touche au cœur même de l'indépendance technologique.
Alors, si pendant les fêtes vous vous retrouvez à devoir expliquer à votre famille pourquoi il existe des alternatives aux géants américains du numérique, ou si l'on vous demande de dépanner le PC familial, vous pourrez désormais citer cet exemple frappant.
Direction l'Allemagne, où une administration entière a prouvé qu'il était possible de couper le cordon avec Microsoft.
Un chantier informatique colossal
Concrètement, nous parlons ici du Land du Schleswig-Holstein. Cette région allemande a finalisé cette année un chantier informatique colossal en abandonnant totalement ses systèmes de messagerie et d'agenda propriétaires.
Ils ont remplacé le couple bien connu Microsoft Exchange et Outlook par des solutions Open Source, à savoir Open-Xchange et Mozilla Thunderbird.
Ce n'est pas une simple expérimentation de laboratoire. La bascule concerne l'ensemble de l'appareil d'État, de la chancellerie aux ministères, en passant par la police et la justice. L'objectif affiché est sans équivoque. Il faut garantir la souveraineté numérique et ne plus dépendre des décisions d'une seule grande entreprise technologique.
Pour bien saisir la prouesse technique, il faut se pencher sur les chiffres, car ils donnent le vertige.
La migration a duré six mois et a impliqué le transfert de plus de 40 000 boîtes aux lettres électroniques
La migration a duré six mois et a impliqué le transfert de plus de 40 000 boîtes aux lettres électroniques. Au total, ce sont plus de 100 millions de messages et d'entrées d'agenda qui ont été migrés vers ce nouvel environnement libre.
Les autorités locales qualifient elles-mêmes ce projet de pionnier, affirmant qu'il existe très peu de précédents de cette ampleur dans le monde. C'est d'ailleurs la suite logique d'une stratégie entamée l'année précédente avec le déploiement de LibreOffice pour remplacer la suite bureautique traditionnelle.
Le logiciel libre est désormais une alternative crédible et robuste
Au-delà de l'exploit technique, l'impact pour les décideurs informatiques et les administrations européennes est majeur. Le Schleswig-Holstein se positionne désormais comme un modèle exportable, prêt à partager son expertise, de l'analyse des données à la surveillance des centres de données.
Ce mouvement s'inscrit dans une tendance de fond en Europe, rejoignant des initiatives similaires observées dans l'armée autrichienne ou, plus près de nous, dans la villeplugin-autotooltip__blue plugin-autotooltip_bigWikikPedia

WikikPedia de Lyon.
Pour les DSI, la leçon est claire : le logiciel libre est désormais une alternative crédible et robuste pour réduire les dépendances monopolistiques et garder la maîtrise réelle des données citoyens et entreprises.
Le ZD Tech est sur toutes les plateformes de podcast ! Abonnez-vous !
https://www.zdnet.fr/actualites/zd-tech-microsoft-evince-dune-administration-entiere-100-millions-de-mails-migres-vers-des-outils-libres-avec-succes-486675.htm

Depuis plusieurs mois, un mouvement de fond traverse les administrations et institutions publiques européennes. Sans annonces tonitruantes ni déclarations politiques spectaculaires, de nombreux organismes revoient en profondeur leur dépendance aux grands fournisseurs de cloud américains. Ce basculement progressif n’a rien d’idéologique. Il est avant tout pragmatique, technique et juridique, porté par une accumulation de signaux faibles que les décideurs publics ne peuvent plus ignorer.

Pour les professionnels de l’informatique, ce mouvement est loin d’être anecdotique. Il redéfinit les stratégies d’hébergement, les architectures de systèmes d’information et, à terme, l’équilibre du marché cloud sur le continent.
Les révélations de Snowden montrent que les États-Unis se livrent à une surveillance de masse des utilisateurs de l'UE en récupérant des données personnelles auprès des grandes entreprises américaines. En conséquence, un rapport en 2020 a révélé que les Européens ne font pas confiance aux géants américains de la technologie pour leurs dossiers personnels. Le rapport, basé sur une enquête auprès de 4500 personnes au Royaume-Uni, en France et en Allemagne, a montré que les plus grandes inquiétudes concernent l'utilisation des données personnelles à des fins commerciales (51 %) et la possibilité de piratage (43 %). C’est dans ce contexte que de plus en plus de clients européens des grands fournisseurs de services Cloud US envisagent de s’affranchir.
Des fournisseurs comme Nextcloud et OVHCloud font état d'un pic de demandes de renseignements de la part de leurs clients. Les responsables desdites structures attribuent ce phénomène non seulement à l'effet Trump, mais aussi aux actions de l'administration américaine dans son ensemble.
La loi américaine CLOUD Act au cœur du problème ?
La quête de souveraineté numérique de l'Europe est entravée par une dépendance à 90 % vis-à-vis de l'infrastructure cloud américaine, affirme Cristina Caffarra, experte en concurrence et l'un des moteurs de l'initiative Eurostack.
Alors que Bruxelles défend des initiatives politiques et que les géants technologiques américains commercialisent leurs propres solutions « souveraines », quelques autorités publiques en Autriche, en Allemagne et en France, ainsi que la Cour pénale internationale de La Haye, prennent des mesures concrètes pour reprendre le contrôle de leurs technologies de l'information.
Ces cas constituent un modèle potentiel pour un continent aux prises avec son autonomie technologique, tout en révélant les défis juridiques et commerciaux profondément enracinés qui rendent si difficile l'accès à une véritable indépendance.
Le cœur du problème réside dans un conflit juridique direct et irréconciliable. La loi américaine CLOUD Act de 2018 permet aux autorités américaines d'obliger les entreprises technologiques basées aux États-Unis à fournir les données demandées, quel que soit l'endroit où ces données sont stockées dans le monde. Cela place les organisations européennes dans une position précaire, car cela entre en conflit direct avec la réglementation européenne stricte en matière de confidentialité, le règlement général sur la protection des données (RGPD).
Cela crée un risque difficile, voire impossible, à atténuer par voie contractuelle. Tout contrat privé entre un client européen et un fournisseur de services cloud américain est en fin de compte soumis à la législation fédérale américaine. Un mandat délivré en vertu du CLOUD Act oblige légalement une entreprise américaine à remettre des données, passant outre tout engagement contractuel en matière de résidence des données ou de confidentialité.
De plus, ces mandats s'accompagnent souvent d'une ordonnance de silence, interdisant légalement au fournisseur d'informer son client que ses données ont été consultées. Cela rend sans effet toute clause contractuelle exigeant la transparence ou la notification. Si des mesures techniques telles que le chiffrement sont souvent proposées comme solution, leur efficacité dépend entièrement de la personne qui contrôle les clés de chiffrement. Si le fournisseur américain gère les clés, comme c'est souvent le cas dans de nombreux services cloud standard, il peut être contraint de déchiffrer les données pour les autorités, rendant ainsi ces mesures de protection inutiles.
Le conflit entre le CLOUD Act et la législation européenne en matière de protection des données devient un obstacle pratique en vertu de l'article 35 du RGPD, qui impose une analyse d'impact relative à la protection des données (AIPD) avant le déploiement de toute nouvelle technologie « susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques ».
Lorsqu'elles sont réalisées pour les services hyperscalers américains, ces AIPD signalent invariablement le CLOUD Act comme un risque important, souvent inacceptable. Cette obligation légale incite de plus en plus les organismes publics à rechercher des alternatives.
Ce que l'Autriche a appris
Le ministère fédéral autrichien de l'Économie, de l'Énergie et du Tourisme en est un bon exemple. Le ministère a récemment achevé la migration de 1 200 employés vers la plateforme collaborative open source européenne Nextcloud, mais le projet ne consistait pas à migrer depuis un fournisseur de cloud américain existant. Il s'agissait d'un choix délibéré de ne pas en adopter un.
Contrairement à de nombreuses organisations qui se sont précipitées pour adopter des solutions cloud américaines pendant la pandémie de COVID-19, le ministère autrichien a eu plus de temps pour évaluer les alternatives, car il utilisait encore Skype for Business. Ce répit s'est avéré crucial.
Florian Zinnagl, le CISO du ministère, et Martin Ollrom, son CIO, ont dirigé le projet. Le ministère traite non seulement les données des employés, mais aussi des informations sensibles provenant des citoyens et des entreprises externes, ce qui rend l'évaluation des risques DPIA particulièrement critique. Pour Ollrom, la question dépassait le simple choix technologique.
« Il ne s'agit pas seulement de Microsoft. Il s'agit d'un changement fondamental, les grandes entreprises technologiques transférant toutes vos données et le contrôle opérationnel vers leurs clouds », explique-t-il. « Au sein du département informatique, nous nous inquiétons depuis des années de perdre le contrôle de notre propre infrastructure. »
Le principal facteur déterminant n'était pas le coût, mais la souveraineté. « Il ne s'agissait pas d'économiser de l'argent », ajoute Zinnagl. « Il s'agissait de garder le contrôle sur nos propres données et nos propres systèmes. »
Une validation de principe de trois mois sur les serveurs du ministère a convaincu l'équipe que Nextcloud pouvait offrir les fonctionnalités dont elle avait besoin. Plus important encore, elle offrait quelque chose que Microsoft n'avait jamais pu offrir, selon le RSSI : « Nous pouvons voir notre contribution dans les versions de Nextcloud. C'est un sentiment que nous n'avons jamais eu avec Microsoft », explique Zinnagl.
La migration, achevée en seulement quatre mois, a démontré que de tels projets peuvent être exécutés rapidement. La solution Nextcloud s'est avérée nettement moins coûteuse, explique-t-il , mais le principe de maintien du contrôle est resté primordial.
Le cas autrichien illustre également les limites pratiques de la souveraineté numérique
Cette décision a eu un effet boule de neige, puisque plusieurs autres ministères autrichiens ont depuis commencé à mettre en œuvre Nextcloud. Pour Zinnagl et Ollrom, cela prouve qu'une organisation prête à faire le premier pas peut inciter d'autres à suivre son exemple.
Leur conseil aux autres gouvernements européens est clair : soyez courageux, impliquez la direction et lancez-vous. « On n'atteint pas la souveraineté numérique du jour au lendemain », explique Ollrom. « Il faut passer par plusieurs étapes, mais il faut commencer par la première. Ne vous contentez pas d'en parler, passez à l'action. »
Cependant, le cas autrichien illustre également les limites pratiques de la souveraineté numérique. Nextcloud sert désormais de principale plateforme de collaboration pour la communication interne et le partage de fichiers, mais Microsoft Teams n'a pas été entièrement interdit.
Son utilisation est strictement limitée à la communication externe avec les parties qui continuent de l'utiliser, telles que la Commission européenne. Même dans ce cas, des règles strictes s'appliquent : aucune information sensible ne peut être discutée sur Teams, et son utilisation est réduite au strict minimum. Cette approche hybride reflète une reconnaissance pragmatique du fait que l'indépendance totale n'est pas toujours possible immédiatement lorsque les partenaires externes restent liés aux plateformes américaines.
L'ampleur du déficit technologique de l'Europe rend les migrations telles que celle de l'Autriche intimidantes pour la plupart des organisations. Une analyse récente de l'Australian Strategic Policy Institute a révélé que sur 64 technologies cruciales, la Chine est en tête dans 57 d'entre elles et les États-Unis dans les sept restantes. L'Europe n'est en tête dans aucune d'entre elles.
Le rapport Draghi sur la compétitivité européenne, publié en septembre 2024, mettait également en garde contre la dépendance croissante de l'Europe vis-à-vis des fournisseurs de technologies étrangers.
Cette dure réalité souligne une vulnérabilité plus générale : l'infrastructure numérique européenne dépend presque entièrement de fournisseurs non européens. Si un grand fournisseur américain de services cloud venait à restreindre l'accès aux Européens ou à cesser ses activités, les conséquences seraient immédiates et graves. Cette fragilité a créé une opportunité de marché que les hyperscalers américains exploitent désormais. Les organisations à travers l'Europe prennent des mesures pour atteindre une véritable souveraineté
Poussées par les impératifs juridiques du RGPD et les préoccupations croissantes concernant l'accès aux données, les organisations à travers l'Europe prennent des mesures concrètes pour atteindre une véritable souveraineté. La Cour pénale internationale (CPI) à La Haye a annoncé en novembre 2025 qu'elle remplaçait son logiciel Microsoft Office par une alternative européenne.
La décision d'adopter OpenDesk, une suite bureautique et collaborative open source fournie par le Centre allemand pour la souveraineté numérique (ZenDiS), a été considérée comme une réponse directe à la pression politique exercée par les États-Unis, qui ont déjà sanctionné des employés de la CPI par le passé. Cette décision aurait été motivée par un incident au cours duquel le procureur général Karim Khan s'est vu temporairement privé d'accès à son compte de messagerie Outlook.
Le nouveau système, soutenu par le gouvernement allemand, regroupe les services de fournisseurs européens tels que Nextcloud et Collabora, et implique l'institut national néerlandais de santé RIVM. Il s'agit d'un exemple frappant d'une institution internationale, située au cœur de l'Europe, qui s'oppose à la domination des hyperscalers.
Cette tendance est visible à travers tout le continent. En Allemagne, le Land de Schleswig-Holstein mène un projet encore plus ambitieux visant à remplacer les produits Microsoft par des alternatives open source pour ses 30 000 fonctionnaires. Le Land a entamé sa migration en mars 2024 et a déjà fait passer 24 000 employés à LibreOffice, Nextcloud, Open Xchange et Thunderbird.
Depuis, le projet a inspiré une collaboration européenne plus large. En juillet 2025, l'Allemagne, la France, l'Italie et les Pays-Bas ont créé le Consortium européen pour les infrastructures numériques communes afin de développer et de déployer conjointement des outils numériques souverains tels qu'OpenDesk.
En France, le ministère de l'Économie et des Finances a récemment achevé NUBO, une initiative de cloud privé basée sur OpenStack et conçue pour traiter les données et les services sensibles. Ces exemples montrent que, même si une rupture totale avec les hyperscalers américains peut sembler irréaliste, comme le prédit Forrester, des migrations ciblées pour des applications spécifiques à haut risque sont non seulement possibles, mais activement recherchées. Elles représentent un mouvement populaire, motivé par des obligations légales et un désir croissant d'autonomie.
Le choix délibéré d'un fournisseur local n'offre aucune garantie : le cas du rachat de Solvinity aux Pays-Bas
Même lorsque les organisations font des choix délibérés en faveur des fournisseurs européens, ces décisions peuvent être annulées par les forces du marché. Une récente acquisition aux Pays-Bas illustre ce risque. En novembre 2025, le géant américain des services informatiques Kyndryl a annoncé son intention d'acquérir Solvinity, un fournisseur néerlandais de services cloud gérés.
Cette annonce a été une « mauvaise surprise » pour plusieurs de ses clients gouvernementaux, notamment la municipalité d'Amsterdam et le ministère néerlandais de la Justice et de la Sécurité. Ces organismes avaient spécifiquement choisi Solvinity afin de réduire leur dépendance vis-à-vis des entreprises américaines et d'atténuer les risques liés au CLOUD Act.
Solvinity gère des infrastructures nationales critiques, notamment le système d'authentification des citoyens néerlandais et le portail des services publics. Cette acquisition place ces systèmes à la portée potentielle des autorités américaines. Cette affaire démontre que même le choix délibéré d'un fournisseur local n'offre aucune garantie de souveraineté à long terme lorsque ce fournisseur peut être racheté par une entité basée aux États-Unis, exposant ainsi une faille critique dans la stratégie européenne qui ne peut être résolue par la seule passation de marchés publics.
Aussi, pour que ces succès individuels se transforment en un changement à l'échelle du continent, il faut s'attaquer aux obstacles structurels. Le chemin vers la souveraineté numérique n'est pas un geste unique et grandiose, mais une série de choix délibérés, souvent difficiles. Les exemples de l'Autriche, de la France et de la CCI montrent que le voyage commence par un seul pas courageux, souvent motivé par la réalité banale d'une évaluation de la protection des données.
Ils prouvent qu'il existe des alternatives et que les avantages vont au-delà de la simple conformité. Pourtant, le cas de Solvinity aux Pays-Bas sert d'avertissement sévère : les marchés publics ne suffisent pas ; sans mécanismes pour protéger les champions européens contre les acquisitions étrangères, tout progrès peut être réduit à néant du jour au lendemain.
Pour l'Europe, la question n'est plus de savoir si elle doit poursuivre la souveraineté numérique, mais si elle a la volonté collective d'arrêter de parler, de commencer à construire et, surtout, de distinguer la véritable autonomie du marketing intelligent.
La souveraineté des données redevient une contrainte opérationnelle
Pendant plus d’une décennie, les clouds hyperscale américains ont été perçus comme la solution par défaut. Performance, élasticité, richesse fonctionnelle et écosystèmes matures ont largement éclipsé les préoccupations juridiques. Cette logique s’est fissurée avec la montée en puissance des cadres réglementaires européens, au premier rang desquels le RGPD, mais surtout avec la remise en cause répétée des mécanismes de transfert de données transatlantiques.
La question n’est plus de savoir si les données sont physiquement stockées en Europe, mais sous quelle juridiction elles peuvent être légalement saisies ou consultées. Le Cloud Act américain, en particulier, a profondément modifié la perception du risque. Même hébergées dans un datacenter européen, des données confiées à un fournisseur soumis au droit américain peuvent, dans certains cas, être accessibles aux autorités des États-Unis.
Pour une administration, un hôpital public, une université ou un organisme de sécurité sociale, cette incertitude juridique est devenue difficilement justifiable.
Les hyperscalers américains face à un plafond de verre réglementaire
Les grands acteurs du cloud public comme Amazon Web Services, Microsoft Azure ou Google Cloud ont multiplié les initiatives pour rassurer leurs clients européens. Offres dites « souveraines », partenariats locaux, promesses de cloisonnement opérationnel, engagements contractuels renforcés : l’arsenal est riche, mais il ne convainc plus systématiquement.
Le problème est structurel. Tant que l’entité juridique ultime reste américaine, le doute persiste. Pour des acteurs privés, ce risque peut être accepté ou compensé. Pour des institutions publiques, il devient de plus en plus difficile à défendre, notamment face aux autorités de contrôle nationales et aux juridictions administratives.
La montée en puissance des alternatives européennes
Ce contexte crée un terrain favorable à l’émergence et à la consolidation de fournisseurs européens. Des acteurs comme OVHcloud, mais aussi des initiatives transnationales portées par des consortiums publics et privés, gagnent en visibilité et en crédibilité.
Au-delà des fournisseurs eux-mêmes, l’Europe cherche à structurer un écosystème cohérent autour de standards communs, de certifications et d’interopérabilité. Le projet Gaia-X, souvent critiqué pour sa lenteur et sa complexité, illustre cette ambition : créer un cadre de confiance plutôt qu’un simple concurrent technologique aux hyperscalers.
Pour les équipes IT, cela implique de revoir certaines habitudes. Les catalogues de services sont parfois moins exhaustifs, certaines briques avancées d’IA ou d’analytics sont moins matures, mais le compromis devient acceptable lorsque la conformité juridique et la maîtrise des risques prennent le dessus.
Un impact direct sur les architectures et les compétences
Ce désengagement progressif des clouds américains n’est pas neutre sur le plan technique. Il favorise des architectures hybrides ou multi-cloud plus complexes, dans lesquelles les données sensibles restent confinées sur des infrastructures européennes, tandis que des workloads moins critiques peuvent encore s’appuyer sur des services globaux.
Il entraîne également une redéfinition des compétences recherchées. La maîtrise fine des enjeux de conformité, de chiffrement, de gestion des clés et de localisation des données devient aussi stratégique que la capacité à déployer des pipelines CI/CD ou à optimiser des coûts cloud.
Pour les professionnels de l’informatique, cette évolution ouvre de nouvelles opportunités, mais impose aussi une montée en expertise sur des sujets longtemps relégués au second plan.
Un rééquilibrage durable du marché cloud européen
Il serait prématuré d’annoncer un retrait massif et définitif des fournisseurs américains du secteur public européen. Les interdépendances restent fortes et certaines administrations continuent de privilégier la richesse fonctionnelle des hyperscalers. Toutefois, la tendance est claire : l’option américaine n’est plus automatique.
Ce rééquilibrage, discret mais réel, marque peut-être le début d’une nouvelle phase pour le cloud en Europe. Une phase moins dominée par la seule logique technologique et davantage structurée par des considérations de droit, de souveraineté et de responsabilité publique.
Le cloud n’est plus seulement une question de performance et de coût. Il est devenu un choix politique au sens noble du terme, c’est-à-dire un arbitrage structurant pour l’avenir des systèmes d’information publics européens.
Sources : gouvernement français, Commission européenne, Australian Strategic Policy Institute, Open Innovation, Thales Group
Et vous ?
Quelle lecture faites-vous de cette décision ? La partagez-vous ?
La montée en puissance des clouds dits souverains marque-t-elle un véritable tournant stratégique pour l’Europe ou s’agit-il avant tout d’un mouvement défensif dicté par la crainte juridique plus que par une vision industrielle de long terme ?
Peut-on réellement garantir une souveraineté des données tant que les chaînes logicielles, matérielles et de maintenance restent en partie dépendantes d’acteurs non européens ?
Le retrait progressif des fournisseurs américains du secteur public européen risque-t-il de créer une fragmentation technologique coûteuse entre administrations, voire entre États membres ?
Les acteurs européens du cloud sont-ils prêts, en termes de fiabilité, de scalabilité et de sécurité, à absorber des charges critiques à l’échelle nationale ou continentale ?
La logique multi-cloud et hybride imposée par ces choix ne va-t-elle pas complexifier excessivement les architectures IT publiques, au détriment de la résilience opérationnelle ?
À terme, cette stratégie peut-elle réellement favoriser l’émergence de champions technologiques européens ou se limitera-t-elle à une redistribution marginale des marchés existants ?
https://cloud-computing.developpez.com/actu/378727/Cloud-donnees-et-souverainete-les-institutions-publiques-europeennes-abandonnent-discretement-les-fournisseurs-de-services-americains-mais-ne-sont-pas-a-l-abri-d-un-rachat-des-fournisseurs-locaux/