La souveraineté selon SAP : pragmatique, hybride, européenne

Après avoir esquissé un compromis avec Bleu en 2024, SAP change d’échelle. L’éditeur allemand dévoile une offre souveraine qu’il opère lui-même, adossée à un engagement financier de plus de 20 milliards d’euros sur la décennie. Le tout porté par Joule, son IA générative maison. L’ambition est claire : conjuguer innovation et contrôle local, sans se transformer en hyperscaler.

“La souveraineté numérique n’est plus optionnelle. Elle est essentielle à la liberté, à la prospérité, à la compétitivité numérique — et même à la démocratie », affirme Thomas Saueressig, membre du directoire de SAP en charge des services et de la relation client. Il souligne que les cyberattaques ont « doublé » depuis la pandémie, preuve que sécurité et souveraineté forment désormais un couple indissociable. Pour lui, la souveraineté ne se réduit pas à une autarcie technologique : « Elle ne signifie pas l’isolation. Elle concerne le contrôle que vous avez, la liberté de choix, et bien sûr la maîtrise de vos données. » Une logique que l’éditeur revendique comme complémentaire de l’innovation : « Nous avons besoin de technologies de pointe, notamment l’IA, mais elles doivent s’inscrire dans un contexte souverain. »

Une proposition cohérente

Trois offres concrètes viennent incarner ce virage. La première, SAP Cloud Infrastructure, consiste en une infrastructure opérée directement par SAP, bâtie sur des technologies open source, au sein de ses propres datacenters en Europe. Objectif : offrir une alternative crédible aux clients qui ne souhaitent pas — ou ne peuvent pas — dépendre d’un hyperscaler, tout en garantissant que toutes les données restent dans l’Union européenne. « Cela donne à nos clients une véritable sérénité sur la souveraineté des données », a souligné Martin Merz, President de SAP Sovereign Cloud, en citant Hensoldt comme premier client et rappelant que la Bundesagentur für Arbeit, la plus grande agence publique de l’emploi en Europe, avait déjà choisi cette infrastructure en Allemagne.

Deuxième brique : SAP Sovereign Cloud On-Site. Ici, l’infrastructure est installée dans le datacenter du client mais opérée intégralement par SAP. « Parce que nous parlons de cloud, et donc d’innovation continue », a expliqué Thomas Saueressig, « il est essentiel que SAP opère l’infrastructure, la plateforme et les opérations, même lorsque les serveurs se trouvent chez le client. » Cette option vise notamment les environnements les plus sensibles, en combinant le contrôle physique local et l’expertise opérationnelle de SAP.

Enfin, troisième déclinaison : Delos Cloud en Allemagne, filiale détenue à 100 % par SAP, focalisée sur le secteur public et certifiée par le BSI, l’autorité fédérale allemande de cybersécurité. Si la plateforme s’appuie sur la technologie Azure, la gouvernance, l’exploitation et le cloisonnement juridique restent intégralement allemands. « Nous possédons et opérons la plateforme, avec un contrôle complet. Rien n’est connecté vers l’extérieur. Microsoft est un fournisseur technologique, mais nous contrôlons chaque patch. Il n’y a pas de “kill switch” », insiste Thomas Saueressig.

Petit retour en arrière

C’est dans un contexte bien plus apaisé qu’à l’automne 2024, SAP avait annoncé vouloir confier ses offres souveraines en France à Bleu, la coentreprise Capgemini–Orange–Microsoft. « Nous allons pouvoir répondre aux réglementations… puisque nous avons annoncé notre intention de déployer le cloud souverain en France, hébergé chez Bleu », déclarait alors Olivier Nollent, directeur général de SAP France, à l’USF de Lille. Du côté des utilisateurs, l’inflexion était nette. « SAP a changé de message en deux ans. Ils cherchent désormais à comprendre la vision des clients sur le cloud souverain », constatait Gianmaria Perancin, président de l’USF. De nouveau interrogé, Gianmaria Perancin (voir encadré), ne voit que dans cette annonce que du bon à quelques nuances près : « À l’USF, on va regarder de près : maturité réelle des offres vs l’existant, et niveaux de prix. Nos adhérents veulent des réponses concrètes. Dans cinq ans, avec une machine modulaire et agile, je serai l’homme le plus heureux : je pourrai enfin consacrer mon budget à autre chose qu’à la dette technique. Le défi, c’est la chevauchée d’ici là. »

La souveraineté, une maîtrise à quatre dimensions

Pour éclairer ces modèles, SAP a détaillé ce qu’il entend par souveraineté : une maîtrise à quatre dimensions — données, opérationnelle, technique et juridique. « La souveraineté des données garantit que les informations restent dans des régions approuvées et protégées de tout accès non autorisé. La souveraineté opérationnelle signifie que les services sont gérés par des experts locaux. La souveraineté technique repose sur des architectures sécurisées et cloisonnées. Enfin, la souveraineté légale suppose que toutes les entités impliquées soient établies dans des pays approuvés, minimisant ainsi l’influence de juridictions étrangères », a précisé Martin Merz, président de l’entité SAP Sovereign Cloud.

Côté finances, la promesse est lourde : « Oui, c’est notre propre argent. Plus de 20 milliards d’euros entièrement dédiés à la souveraineté », indique Thomas Saueressig. L’investissement recouvre l’infrastructure, y compris les GPU nécessaires à l’IA, mais aussi la R&D (notamment le durcissement logiciel et la mise en place de plans de management locaux), les opérations et les équipes dédiées. « Offrir une exploitation 24/7 en Allemagne par des citoyens allemands coûte évidemment plus cher qu’une supervision européenne mutualisée », a reconnu le dirigeant, prévenant que les différents modèles de souveraineté auront des prix différenciés.

L’éditeur assume par ailleurs une souveraineté « pragmatique ». Tandis qu’il promet de protéger les données et opérations critiques dans des cadres sous contrôle européen, SAP revendique aussi son intégration avec les outils globaux que les entreprises utilisent déjà. Joule, son IA générative, illustre cette stratégie. Déployée dans S/4HANA Public Cloud, SuccessFactors, Ariba ou Concur, elle est désormais annoncée interopérable avec Microsoft 365 Copilot. Un paradoxe assumé : la souveraineté opérée par SAP n’exclut pas de composer avec l’écosystème bureautique le plus répandu, même soumis au droit américain.

« La souveraineté full-stack est disponible ici et maintenant », a lancé Thomas Saueressig en conclusion. SAP promet de concilier une innovation continue sur une base de code globale avec des déclinaisons locales opérées par ses propres équipes. Reste à voir si, au-delà des annonces, les régulateurs et les DSI jugeront que l’éditeur allemand, né en Europe mais organisé en multinationale, a véritablement franchi le pas d’une souveraineté assumée et crédible.

---

L’offre de SAP est-elle réellement « souveraine » ?

“Ni le chiffrement, ni la localisation, ni l’anonymisation des données ne rendent […] impossible la captation des données en vertu du droit applicable »¹, rappelait Vincent Strubel, directeur général de l’ANSSI, lors de son audition devant le Sénat le 26 mai 2025. Autrement dit, un référentiel, aussi exigeant soit-il comme SecNumCloud, ne saurait suffire à garantir la souveraineté. Pour Henri d’Agrain, délégué général du Cigref, même constat, avec une pointe de consternation : « La souveraineté ne veut plus rien dire. C’est un sujet politique. On n’a pas de bonnes solutions et toute solution fait mal. » Avant de trancher, comme un rappel à l’ordre : « la souveraineté, elle relève de l’État, et de l’État seul. »

La souveraineté numérique ne peut donc plus se réduire à des questions de tuyaux ou d’adresses IP. Elle se joue dans la maîtrise juridique, opérationnelle et économique.

Le retour de Donald Trump à la Maison-Blanche a ajouté une dose de réalisme brutal à ce constat. Sa rhétorique protectionniste, ses coups de menton contre les régulations européennes et la menace, désormais tangible, de voir un acteur américain couper un service critique par décision politique ont fini de convaincre les plus sceptiques. « La nouvelle politique économique menée par Donald Trump n’est pas qu’une guerre commerciale : c’est un test de résistance pour l’indépendance numérique de l’Europe »².

¹ Sénat, rapport n° 830 (tome I), audition du 26 mai 2025, p. 115.

² Martin Hager, fondateur/CEO de Retarus, « L’heure de vérité numérique en Europe », billet du 14 juillet 2025.

---

Gianmaria Perancin (USF) : “Si les décideurs n’investissent pas dans de vrais leaders technologiques européens, nous resterons dépendants”

Pour Gianmaria Perancin, président de l’USF, les annonces de SAP sur la souveraineté numérique s’inscrivent dans une continuité plus qu’elles ne constituent une rupture. « Ces offres existaient déjà sous une forme moins mûre », observe-t-il, en rappelant que la nouveauté tient surtout à l’élargissement à un réseau de 35 datacenters et à l’introduction d’options opérées directement par SAP.

Mais pour lui, la promesse de souveraineté reste fragile. « Tant que les données sont opérées, même de manière sécurisée, par SAP ou par un tiers, il n’y a pas d’indépendance totale », prévient-il. La possession des clés de chiffrement par les clients ne suffit pas : « Si demain l’accès aux ressources Microsoft est coupé, on voit bien les limites. ». D’ailleurs, Gianmaria Perancin préfère parler de cloud de confiance plutôt que de cloud souverain.

Parmi les propositions de SAP, l’option opérée directement chez le client retient son attention. « SAP reprend la main sur les mises à jour et l’infrastructure, mais dans tes murs. Techniquement, c’est intéressant, parce que tu sais où sont tes données. » Un modèle déjà mis en place au Portugal dans le secteur ferroviaire.

Quant aux ambitions de certification, il reste prudent : « Je vois plutôt SAP s’aligner sur le C5 en Allemagne ou sur l’EUCS. La France, elle, restera attachée au SecNumCloud 3.2, mais je doute qu’il perce au niveau européen. »

Enfin, il lit dans le discours de SAP une interpellation politique : « Les entreprises doivent avancer, elles ne peuvent pas attendre. Si les politiques n’investissent pas dans de vrais leaders technologiques européens, nous resterons dépendants. »

Mais au-delà de la critique, Gianmaria Perancin insiste sur la nécessité d’un réalisme lucide : « La migration n’est plus une option, mais elle prendra différentes formes, plus acceptables qu’avant. Cela suppose de renoncer aux codes spécifiques, de passer au standard et donc d’accepter des concessions. » Il pousse la comparaison jusqu’à l’immobilier : « C’est comme pour l’achat d’une maison : tu ne trouveras jamais celle qui coche toutes les cases. Tu finis par choisir celle qui répond le mieux à tes critères essentiels, en acceptant de faire des compromis. »

Une leçon qu’il applique directement aux systèmes d’information : « Abandonner du spécifique, c’est douloureux, mais cela libère des budgets et du temps pour créer de la valeur ailleurs que dans la maintenance technique. Avec le temps, on ne verra que les bénéfices. »