Une nouvelle partition, pas seulement une nouvelle région
Lorsqu’AWS a rendu son European Sovereign Cloud généralement disponible le 14 janvier 2026, il n’a pas simplement ouvert un nouveau centre de données. Il a créé une partition cloud entièrement distincte — désignée aws-eusc, avec l’identifiant de région initial eusc-de-east-1 — physiquement et logiquement isolée de toutes les autres régions AWS sur la planète. Cette distinction est cruciale pour les architectes de conformité en entreprise qui ont passé des années à tenter de concilier les économies d’échelle du cloud hyperscale avec les exigences réglementaires de l’UE.
Le problème fondamental que cette offre résout est une tension qui persiste depuis l’entrée en vigueur du RGPD en 2018 : les entreprises européennes des secteurs réglementés — santé, finance, administration publique, défense — ont besoin des pleines capacités opérationnelles d’un cloud hyperscale, mais font face à des risques juridiques et de réputation si les données des utilisateurs, les métadonnées ou les journaux d’accès franchissent les frontières de l’UE. Les régions AWS standard, y compris les zones de disponibilité de Francfort et Paris, ne peuvent pas garantir que toutes les métadonnées (définitions de rôles, autorisations, étiquettes de ressources, configurations d’accès) restent au sein des frontières européennes. Le cloud souverain européen, lui, le garantit.
Selon l’annonce officielle de lancement d’AWS, la partition est « physiquement et logiquement séparée des autres régions AWS » et peut « fonctionner indéfiniment même sans communications externes ». Cette dernière formule constitue le fossé architectural : la souveraineté signifie ici une indépendance opérationnelle vis-à-vis du plan de contrôle global d’AWS, et non une simple promesse contractuelle sur l’emplacement de stockage des données.
Ce que « souverain » signifie réellement dans le modèle AWS
Quatre piliers techniques définissent la garantie de souveraineté, et les architectes d’entreprise doivent comprendre chacun d’eux avant de migrer des charges de travail.
La séparation physique et logique est appliquée au niveau de la partition. La partition aws-eusc dispose de son propre système IAM indépendant, de sa propre infrastructure de facturation, de ses propres serveurs DNS n’utilisant que des domaines de premier niveau européens, et de contrôles techniques qui, selon la documentation du Cadre de Référence Souverain d’AWS, « empêchent tout accès à l’AWS European Sovereign Cloud depuis l’extérieur de l’UE ». Un développeur disposant d’un compte AWS commercial en us-east-1 ne peut pas simplement assumer un rôle cross-account dans la partition souveraine — des comptes root distincts et des identités IAM séparées sont nécessaires.
L’isolation au niveau matériel est assurée par le système AWS Nitro, validé indépendamment par la société de sécurité NCC Group. Nitro empêche les opérateurs AWS d’accéder à la mémoire des clients — une distinction critique dans les environnements où la conformité aux menaces internes fait l’objet d’audits. L’European Sovereign Cloud associe cela à un Prestataire de Services de Confiance UE (EU-TSP) dédié, une autorité de certification européenne qui signe l’infrastructure critique sur le plan de la souveraineté et peut être vérifiée indépendamment par les régulateurs.
Les opérations par des résidents de l’UE vont plus loin que l’idée de « centres de données basés dans l’UE ». Le cloud est opéré « exclusivement par des résidents de l’UE situés dans l’UE », avec une structure de gouvernance ancrée dans une entité juridique allemande. Les deux Directeurs Généraux — Stéphane Israël (nommé en octobre 2025) et Stefan Hoechbauer (nommé en janvier 2026) — sont rejoints par un conseil consultatif composé exclusivement de citoyens de l’UE, plus deux représentants indépendants tiers. Lorsqu’un organisme de réglementation à Paris ou Berlin souhaite auditer la chaîne de contrôle opérationnel, il traite avec une entité d’entreprise européenne soumise au droit européen, et non une société mère américaine.
La résidence des métadonnées comble la lacune qui a piégé les multinationales dans les actions d’application du RGPD depuis 2021. Dans le modèle commercial standard d’AWS, les métadonnées opérationnelles — politiques IAM, journaux CloudTrail, balises de ressources, données de facturation — peuvent être traitées globalement. Dans la partition souveraine, la documentation du cadre d’AWS confirme que « les métadonnées créées par les clients (rôles, autorisations, étiquettes de ressources, configurations) restent dans l’UE ». Pour les responsables de la protection des données qui conseillent une banque ou un hôpital européen, cela comble le fossé entre les engagements contractuels et l’application technique.
Publicité
L’expansion des Local Zones : Belgique, Pays-Bas, Portugal
Le lancement à Brandenburg était la phase un. L’expansion vers des Local Zones en Belgique, aux Pays-Bas et au Portugal est le signal qu’AWS construit une densité de cloud souverain à travers l’UE, et ne plante pas simplement un seul drapeau de conformité en Allemagne.
Les Local Zones AWS constituent un modèle d’infrastructure différent des régions complètes. Une Local Zone étend les capacités de calcul, de stockage et de réseau d’une région AWS vers une zone métropolitaine sans répliquer l’architecture multi-AZ complète d’une région parente. Dans le contexte souverain, cela signifie que les charges de travail réglementées nécessitant une proximité géographique avec les utilisateurs finaux — traitement de données patients à faible latence à Bruxelles, règlement financier en temps réel à Amsterdam, gestion de documents du secteur public à Lisbonne — peuvent s’exécuter dans le périmètre de souveraineté aws-eusc sans payer la pénalité de latence liée au routage via Brandenburg.
La combinaison est importante pour les entreprises européennes multi-pays. Un réseau hospitalier belge, par exemple, peut désormais conserver les données des patients dans la partition souveraine tout en atteignant une latence inférieure à 10 ms vers les postes de travail cliniques à Bruxelles et Gand, un seuil de performance qui n’était auparavant réalisable qu’en exploitant du matériel sur site ou en acceptant un cloud non souverain. La même logique s’applique à une fintech néerlandaise traitant des données de transactions réglementées par MiFID II, ou à une municipalité portugaise exploitant des services numériques destinés aux citoyens dans le cadre des obligations NIS2.
L’annonce d’AWS a confirmé plus de 90 services disponibles au lancement dans la région allemande initiale, couvrant le calcul (EC2, Lambda), les conteneurs (EKS, ECS), les bases de données (Aurora, DynamoDB, RDS), le stockage (S3, EBS), la mise en réseau (VPC), la sécurité et la gestion des clés (KMS, Private CA), ainsi que les services d’IA (SageMaker, Bedrock). L’extension de ce catalogue de services aux Local Zones n’est pas encore entièrement spécifiée — les Local Zones proposent généralement un sous-ensemble des services de la région parente — mais le schéma architectural est clair : proximité de calcul souveraine, et pas seulement stockage de données souverain.
Les premiers utilisateurs confirmés au lancement comprennent EWE AG (une compagnie d’énergie régionale allemande), la Medizinische Universität Lausitz (une université médicale allemande) et Sanoma Learning (un éditeur éducatif européen). Chacun représente un secteur vertical — services publics, santé, éducation — où les régulateurs appliquent les interprétations les plus strictes en matière de résidence des données.
Ce que les architectes d’entreprise doivent faire dès maintenant
1. Auditer l’inventaire des charges de travail selon les critères de souveraineté
Toutes les charges de travail n’appartiennent pas à la partition souveraine, et le coût d’une migration inutile est réel. Commencez par classer les charges de travail en trois catégories : (a) les charges de travail pour lesquelles les droits des personnes concernées au titre du RGPD ou de la réglementation sectorielle exigent un traitement uniquement dans l’UE et un accès par des opérateurs résidents dans l’UE ; (b) les charges de travail pour lesquelles des engagements contractuels envers des clients ou des régulateurs imposent des conditions de résidence des données ; et (c) les charges de travail sans obligation de résidence contraignante.
Seules les catégories (a) et une partie de la catégorie (b) appartiennent à aws-eusc. La migration des charges de travail de la catégorie (c) ajoute une complexité opérationnelle — IAM séparé, facturation séparée, configurations SDK séparées — sans avantage de conformité. Le Cadre de Référence Souverain d’AWS se positionne explicitement comme « agnostique en termes de secteur et d’industrie », donc la décision de segmentation doit provenir de votre équipe juridique et de conformité, non du discours commercial d’AWS. Réalisez l’audit avant tout changement architectural.
2. Reconcevoir l’architecture multi-comptes pour les frontières de partition
La partition aws-eusc ne se fédère pas avec les partitions AWS commerciales. Les développeurs habitués aux hypothèses de rôles cross-account, aux politiques AWS Organizations et aux Service Control Policies (SCP) couvrant des comptes commerciaux et souverains découvriront que ces modèles échouent à la frontière de la partition. Vous avez besoin de comptes root AWS distincts, de fournisseurs d’identité IAM séparés et de configurations CLI/SDK séparées ciblant les points de terminaison aws-eusc.
Il ne s’agit pas d’une tâche de refactorisation mineure pour les grandes organisations. Les stratégies multi-comptes construites sur AWS Organizations nécessitent des structures parallèles : une hiérarchie d’unités organisationnelles souveraines, des SCP souverains et des pipelines de distribution de comptes souverains. Identifiez la capacité de votre équipe d’ingénierie de plateforme à absorber cette complexité avant de fixer un calendrier de migration. Les organisations qui traitent cela comme « juste ajouter une région » découvriront l’isolation de la partition lors d’un incident, et non avant.
3. Évaluer la couverture des services des Local Zones par rapport aux exigences des charges de travail
Avant de vous engager dans un déploiement de Local Zone en Belgique, aux Pays-Bas ou au Portugal, vérifiez quels services seront disponibles dans ces Local Zones par rapport à la région parente de Brandenburg. Les Local Zones AWS proposent historiquement un sous-ensemble des services de la région parente — le calcul et le stockage sont généralement disponibles, mais les services d’IA gérés, certains moteurs de bases de données et les services d’analyse spécialisés peuvent nécessiter un aller-retour vers la région parente, introduisant une latence et des lacunes potentielles de souveraineté dans votre flux de données.
Cartographiez chaque microservice et flux de données dans votre charge de travail cible aux services AWS spécifiques qu’il utilise. Lorsqu’un service n’est pas disponible dans la Local Zone, vous avez trois options : concevoir la charge de travail pour tolérer la latence de la région parente pour ce service, la reconcevoir pour utiliser une alternative disponible en Local Zone, ou différer la migration jusqu’à ce que la couverture des services s’étende. AWS comble historiquement les lacunes de services des Local Zones dans les 12 à 18 mois suivant le lancement d’une nouvelle Local Zone, mais les entreprises réglementées ne peuvent pas attendre une hypothèse de feuille de route.
4. Aligner les certifications de conformité sur votre calendrier réglementaire
L’AWS European Sovereign Cloud a été lancé avec les certifications ISO/IEC 27001, SOC 1/2/3 et l’attestation BSI C5 requise pour les marchés publics fédéraux allemands. Le rapport ESC-SRF SOC 2 — l’attestation spécialisée de contrôle de souveraineté — était en cours de validation par un tiers au moment du lancement et devrait être finalisé en 2026. Pour les entreprises soumises à des audits réglementaires sectoriels spécifiques (BaFin pour les banques allemandes, ANSSI pour les prestataires de sécurité nationale français, DORA pour les entités financières de l’UE d’ici janvier 2027), le calendrier de certification est plus important que la date de lancement.
Confirmez avec votre responsable de la conformité quels documents de certification votre régulateur acceptera pour le périmètre de charge de travail spécifique que vous migrez. Si le SOC 2 ESC-SRF est requis et pas encore finalisé pour votre cycle d’audit, intégrez cela dans votre calendrier de migration plutôt que de découvrir la lacune après qu’une charge de travail ait été déplacée.
La vue d’ensemble : la souveraineté comme infrastructure, pas comme politique
Le lancement de l’AWS European Sovereign Cloud représente un changement structurel dans la façon dont les fournisseurs de cloud hyperscale s’engagent avec les marchés réglementés. Durant la décennie précédente, la souveraineté était principalement une préoccupation contractuelle et de couche politique — accords de traitement des données, clauses contractuelles standard, règles d’entreprise contraignantes. Ce qui a changé en janvier 2026, c’est qu’AWS a intégré la souveraineté au niveau de l’infrastructure : partition distincte, plan d’identité séparé, opérateurs résidents dans l’UE, isolation appliquée matériellement.
Ce mouvement a des conséquences concurrentielles qui vont bien au-delà des cases à cocher de conformité. Microsoft Azure opère sa « frontière de données UE » depuis 2022 et s’étend avec des engagements d’opérateurs souverains UE. Google Cloud a annoncé son programme « Sovereign Controls by Partners » en 2024. Le schéma à travers les trois hyperscalers est une convergence : les entreprises européennes réglementées n’accepteront plus la souveraineté-comme-contrat. Elles exigent la souveraineté-comme-architecture.
Les Local Zones prévues en Belgique, aux Pays-Bas et au Portugal signalent qu’AWS investit dans la densité géographique au sein du périmètre souverain — la même stratégie qu’il a utilisée pour remporter l’adoption en entreprise dans sa partition commerciale entre 2014 et 2020, lorsque l’expansion des Local Zones et des Wavelength Zones a transformé les objections « le cloud est trop loin » en la réalité « le cloud est partout ».
Pour les architectes d’entreprise des secteurs réglementés — et pour les responsables informatiques dans des marchés comme l’Algérie, où la politique de données souveraines évolue vers des modèles de résidence nationale plus stricts — l’AWS European Sovereign Cloud est moins une annonce de produit qu’une preuve de concept : un cloud hyperscale à capacité complète peut être construit dans une architecture privilégiant la souveraineté sans sacrifier l’étendue des services ou l’agilité opérationnelle qui ont motivé l’adoption du cloud en entreprise en premier lieu. Cette preuve de concept accélérera des demandes similaires dans d’autres juridictions réglementaires au cours des 24 prochains mois.
Questions Fréquemment Posées
Qu’est-ce que l’AWS European Sovereign Cloud et en quoi diffère-t-il des régions AWS standard ?
L’AWS European Sovereign Cloud est une partition cloud distincte (aws-eusc) lancée le 14 janvier 2026, physiquement et logiquement isolée de toutes les autres régions AWS dans le monde. Contrairement aux régions AWS standard telles que Francfort ou Paris, il est opéré exclusivement par du personnel résidant dans l’UE sous une entité juridique allemande, applique la résidence des données pour le contenu des clients et les métadonnées (rôles, autorisations, configurations) au sein des frontières de l’UE, et maintient des contrôles techniques qui empêchent tout accès depuis l’extérieur de l’UE. Cela dépasse les engagements contractuels de souveraineté en intégrant les garanties de résidence au niveau de l’infrastructure et des opérations.
Quels pays recevront des Local Zones AWS dans le cadre de l’expansion de l’European Sovereign Cloud ?
AWS a annoncé des Local Zones souveraines pour la Belgique, les Pays-Bas et le Portugal, étendant le périmètre de souveraineté de la partition aws-eusc au-delà de la région initiale de Brandenburg, en Allemagne. Les Local Zones apportent une capacité de calcul et de stockage souveraine à proximité métropolitaine, permettant des charges de travail réglementées à faible latence — telles que le règlement financier à Amsterdam ou le traitement des données de santé à Bruxelles — sans routage via la région parente allemande. La disponibilité des services dans les Local Zones représente généralement un sous-ensemble du catalogue complet de la région parente, donc les architectes doivent vérifier la couverture de services spécifiques avant de planifier des migrations.
Quelles certifications de conformité détient l’AWS European Sovereign Cloud ?
Lors de sa disponibilité générale, l’AWS European Sovereign Cloud détient les certifications ISO/IEC 27001, SOC 1, SOC 2 et SOC 3, ainsi que l’attestation BSI C5 requise pour les marchés publics fédéraux allemands. Une attestation ESC-SRF SOC 2 spécialisée — fournissant une validation tierce spécifiquement du cadre de contrôle de souveraineté — était en cours d’audit indépendant lors du lancement de janvier 2026 et devrait être finalisée en 2026. Les entreprises soumises aux réglementations sectorielles de l’UE (DORA, NIS2, application du RGPD) doivent confirmer quels documents de certification leur régulateur exige avant de migrer des charges de travail.
Sources et lectures complémentaires
- Ouverture de l’AWS European Sovereign Cloud — AWS Blog
- AWS lance l’European Sovereign Cloud et annonce une expansion à travers l’Europe — Amazon Press
- Explorer le Cadre de Référence Souverain de l’AWS European Sovereign Cloud — AWS Security Blog
- AWS European Sovereign Cloud : Architecture Technique Approfondie — Towards the Cloud














