Souveraineté numérique pour PME et ETI françaises : le guide complet 2026

La souveraineté numérique est passée en quelques années du débat institutionnel au sujet de gouvernance d'entreprise. Pour une PME ou une ETI française en 2026, la question n'est plus « faut-il s'en préoccuper ? » mais « par où commencer concrètement ? ». Le cadre réglementaire 2026 transforme la souveraineté en obligation opérationnelle : application complète de l'AI Act au 2 août 2026, reporting Cyber Resilience Act au 11 septembre 2026, transposition NIS 2 attendue au printemps-été 2026 (~15 000 entités assujetties contre 500 sous NIS 1), et amendes CNIL multipliées par 9 en un an pour atteindre 486,8 M€ en 2025.

Sur le terrain, l'écosystème souverain français a passé un cap : neuf offres SecNumCloud 3.2 qualifiées en mars 2026 (dont S3NS – joint-venture Thales/Google – qualifiée fin 2025), OVHcloud franchit le milliard d'euros de CA (+9,3 %), Mistral AI valorisé 11,7 Md€ (Series C de 1,7 Md€ menée par ASML en septembre 2025), Numspot lance sa plateforme nouvelle génération en décembre 2025. L'offre couvre environ 30 % du catalogue d'AWS pour 85 % des usages, selon Damien Lucas, CEO Scaleway.

Ce guide synthétise la méthode Nymphar.AI, validée sur neuf missions clients depuis 2024, pour reprendre le contrôle de son patrimoine numérique en 18 mois — sans rupture brutale ni mégaprojet à 200 k€.

« La souveraineté numérique ne se décrète pas. Elle se construit, brique par brique. » À chaque licence SaaS US remplacée par un outil interne sur-mesure, l'entreprise reprend le contrôle de ses données et de son budget IT. C'est ce que nous appelons un patrimoine numérique souverain.

Qu'est-ce que la souveraineté numérique en 2026 ?

La souveraineté numérique d'une entreprise désigne sa capacité à exercer un contrôle effectif sur ses systèmes d'information, ses données et ses dépendances technologiques, sans subir l'influence ou les contraintes d'acteurs étrangers — qu'il s'agisse d'États, de fournisseurs SaaS ou d'éditeurs de modèles d'IA. Ce contrôle s'exerce sur trois dimensions :

1. Juridique — quelle législation s'applique aux données traitées ? Sont-elles soumises au CLOUD Act américain, au PRISM / FISA 702, au RGPD européen, à des lois extraterritoriales chinoises (loi Renseignement de 2017, art. 7) ?
2. Technique — l'entreprise peut-elle migrer ses données et processus vers un autre fournisseur sans perte de fonctionnalité ? A-t-elle accès à son code source, à ses schémas de données, à ses modèles ?
3. Économique — la dépendance à un fournisseur unique se traduit-elle par des hausses tarifaires unilatérales, des bundling forcés, des dégradations volontaires (« enshittification ») ?

Les trois dimensions interagissent : une dépendance juridique (par exemple un SaaS américain qui héberge des données RH françaises) crée mécaniquement une dépendance technique (lock-in propriétaire) et économique (impossibilité de négocier le prix face à un acteur en monopole local).

Pourquoi le sujet devient opérationnel en 2026

Trois forces alignées expliquent ce basculement :

• Le mur d'échéances réglementaires : AI Act applicable le 2 août 2026, NIS 2 transposée en France au printemps 2026, CRA reporting au 11 septembre 2026, Data Act applicable depuis le 12 septembre 2025.
• Les sanctions CNIL ont changé d'échelle : 486,8 M€ d'amendes cumulées en 2025 vs 55,2 M€ en 2024, soit ×9 en un an, 83 sanctions, dont Google (325 M€) et Shein (150 M€) sur les cookies, Free Mobile (27 M€), Free (15 M€) et France Travail (5 M€) (CNIL, bilan publié 9 février 2026).
• Les coûts SaaS qui dérivent : indice Vertice à +11,4 % d'inflation SaaS en janvier 2025 (vs 2,7 % d'inflation générale G7), Salesforce +6 % au 1ᵉʳ août 2025, Microsoft 365 Business Basic 6 → 7 $/user/mois et Business Standard 12,50 → 14,50 $/user/mois au 1ᵉʳ juillet 2026. Per-employee SaaS spend : 8 700 $ en 2025 (+27 % YoY), entreprise type 52 M$ ARR SaaS en 2025 vs 45 M$ en 2024 (Zylo SaaS Management Index).

Citation à retenir. « La part du logiciel dans les budgets IT est passée de 13 % à 21 % en 5 ans, dépassant pour la première fois les contributions employeur santé. » — BCG, 2025.

Le mur d'échéances 2026 : ce que tout dirigeant doit savoir

AI Act — calendrier officiel

Échéance	Obligation
1ᵉʳ août 2024	Entrée en vigueur du Règlement UE 2024/1689
2 février 2025	Pratiques inacceptables interdites + obligation AI literacy (Art. 4) pour tout opérateur
2 août 2025	Obligations GPAI (Mistral, OpenAI, Anthropic, Google)
2 août 2026	Application complète : systèmes haut risque Annexe III + transparence Art. 50 (chatbots, deepfakes) + sanctions
2 août 2027	Systèmes haut risque intégrés dans produits réglementés (Annexe I : dispositifs médicaux, machines, jouets)

Le « Digital Omnibus » adopté par le Parlement européen le 26 mars 2026 (569 voix pour, 45 contre) propose un report à décembre 2027 (Annexe III) et août 2028 (Annexe I), mais les trilogues sont ouverts. À ce stade, le calendrier officiel reste le 2 août 2026 — préparez-vous au pire calendrier, un report donnera de l'avance, pas du retard.

Sanctions (déjà applicables aux pratiques interdites depuis février 2025, étendues à toutes les obligations à partir d'août 2026) :

• Pratiques interdites : 35 M€ ou 7 % du CA mondial
• Haut risque non conforme : 15 M€ ou 3 %
• Manquement de transparence : 7,5 M€ ou 1 %

Allègements PME documentés : l'Article 50 (transparence) prévoit des obligations proportionnées et des « bacs à sable réglementaires » pour les PME (Art. 57). En pratique, pour 90 % des PME, la mise en conformité revient à : (i) cartographier les outils IA utilisés, (ii) former les équipes (AI literacy), (iii) ajouter les mentions de transparence. Le programme IA Booster Bpifrance (700 missions PME en 2024, 1 200 entreprises diagnostiquées) finance jusqu'à 50 % de l'accompagnement.

NIS 2 — la révolution silencieuse

La transposition française (loi Résilience) est attendue au printemps-été 2026 :

• Adoption Sénat : 12 mars 2025
• Adoption commission spéciale Assemblée nationale : 10 septembre 2025 (244 amendements)
• Promulgation attendue : printemps-été 2026
• Décrets d'application : S2 2026

Périmètre élargi : ~15 000 entités françaises seront régulées, contre 500 sous NIS 1. Seuils d'entrée bas : 50 salariés OU 10 M€ de CA dans un secteur Annexe I/II. Distinction Entités Essentielles (EE, sanctions jusqu'à 10 M€ ou 2 % CA mondial) et Entités Importantes (EI, jusqu'à 7 M€ ou 1,4 %).

Coûts ANSSI/SGDSN annoncés : EI 100-200 k€ initial + 10 % annuel ; EE 450-880 k€ initial + 10 %. Articulation RGPD/NIS 2 : une cyberattaque déclenche simultanément une notification ANSSI sous 24 h et CNIL sous 72 h. La Cour des comptes (juin 2025) estime le coût moyen d'une cyberattaque à 5 à 10 % du CA annuel, indépendamment de la taille ou du secteur.

Cyber Resilience Act, Data Act, Schrems III

• Cyber Resilience Act (Règlement UE 2024/2847) : entré en vigueur le 10 décembre 2024. 11 septembre 2026 : reporting obligatoire des vulnérabilités exploitées et incidents pour tous les produits avec éléments numériques. Sanctions jusqu'à 15 M€ ou 2,5 % CA mondial.
• Data Act : applicable depuis le 12 septembre 2025. Son chapitre VII impose aux fournisseurs cloud opérant en UE des mesures pour empêcher l'accès non autorisé par des autorités non européennes, et oblige à évaluer la légitimité de toute requête extra-européenne.
• Recours « Latombe » devant la CJUE (31 octobre 2025) : appel après rejet par le Tribunal UE début 2025, qui pourrait constituer un « Schrems III » et invalider le Data Privacy Framework UE-US. Décision possible fin 2025/début 2026. La Privacy and Civil Liberties Oversight Board (PCLOB), citée 31 fois dans la décision d'adéquation EU-US, a vu ses membres démis par l'administration Trump en janvier 2025, fragilisant la base juridique du DPF.

Pourquoi les PME et ETI françaises sont les plus exposées

Le décrochage data documenté

• 31 % des PME-ETI françaises ont engagé une démarche structurée de transformation data en 2024 (vs ~60 % en Allemagne, ~70 % aux Pays-Bas).
• 58 % des dirigeants jugent l'IA indispensable à la survie de leur entreprise dans les 3 ans (Bpifrance Le Lab, juin 2025) — mais moins de 20 % ont une roadmap IA documentée.
• × 3 de valorisation à la cession pour les PME ayant un patrimoine numérique structuré (BPI/Bain, 2024).
• 26 % des TPE-PME utilisent au moins un outil d'IA en 2025 vs 13 % en 2024 — doublement en un an (Baromètre France Num 2025, DGE, 11 021 répondants).

La transmission, accélérateur du sujet

Selon France Stratégie, 370 000 PME et ETI seront concernées par une transmission d'entreprise d'ici 2030 — dont 180 000 dirigeants à la retraite. La valorisation à la cession est directement corrélée à la qualité du patrimoine numérique : les fonds d'investissement et acquéreurs industriels de 2026 lisent désormais une due diligence numérique avant de signer.

Concrètement, deux entreprises identiques sur le papier (CA, marge, équipe) mais avec des patrimoines numériques différents se négocient avec 3 à 5 multiples d'EBITDA d'écart. La PME data-équipée et souveraine vaut typiquement 1,5 à 3× la PME dépendante de SaaS US verrouillés.

Le sentiment du marché change brutalement

Baromètre Hexatrust/EY de la souveraineté numérique 2025 :

• 49 % des organisations n'ont pas de plan d'action conformité NIS 2/DORA/CRA.
• 40 % ne réalisent aucune veille sur les solutions souveraines.
• 79 % anticipent que la souveraineté deviendra un critère d'achat majeur dans les années à venir.
• 1 organisation sur 2 a déjà écarté une solution IT pour raisons de souveraineté.
• 41 % estiment que leurs dirigeants ne maîtrisent pas suffisamment les enjeux du cloud.

Pour aller plus loin sur la dimension transmission : Patrimoine numérique souverain — reprendre le contrôle de son IT en 18 mois.

Le risque CLOUD Act n'est plus théorique : trois cas qui changent les arbitrages

L'affaire Karim Khan / Microsoft / CPI (mai 2025)

À la suite des sanctions Trump du 13 février 2025 visant le procureur de la Cour pénale internationale Karim Khan (mandats d'arrêt contre Netanyahu et Gallant), Microsoft a coupé l'accès au compte e-mail Outlook professionnel de Khan, contraignant l'institution à migrer vers ProtonMail. Ses comptes bancaires britanniques ont été gelés.

Microsoft a publiquement nié avoir suspendu directement le service. Mais Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a admis sous serment devant le Sénat français en juillet 2025 :

« Nous n'avons jamais suspendu ni coupé les services de la Cour pénale internationale, voilà ce que je peux dire sous serment. » — mais il ne pouvait garantir que des données françaises hébergées en Europe ne seraient jamais transmises au gouvernement américain en cas d'injonction CLOUD Act ou FISA 702.

Cet épisode est le « cas réel » qui change tous les arbitrages 2025-2026. Avant mai 2025, le risque CLOUD Act était théorique. Aujourd'hui, il est matérialisé.

Les audits parlementaires français 2025

• Commission d'enquête sénatoriale sur la commande publique (présidée par Simon Uzenat, rapport 9 juillet 2025) : qualifie le choix Microsoft pour le Health Data Hub d'« erreur caractérisée, si ce n'est faute politique » et constate « une grande inertie de l'État ».
• Cour des comptes, rapport S2025-1479 du 31 octobre 2025 : « certains ministères utilisent des solutions informatiques extra-européennes, parfois pour des données sensibles, au détriment de la souveraineté numérique. »
• Communication en Conseil des ministres du 12 juin 2025 : 4 axes — Observatoire de la souveraineté numérique, généralisation SecNumCloud, investissements écosystème, priorité logiciel libre.
• Janvier 2026 : l'Assemblée nationale crée une commission d'enquête sur les dépendances numériques (30 députés, 6 mois de travaux).

La nuance Health Data Hub

Le Conseil d'État a, par décision du 20 mars 2026, validé l'autorisation CNIL Darwin EU 2025-013, donc l'hébergement Microsoft Azure du Health Data Hub. La haute juridiction estime que la pseudonymisation et la localisation France des données rendent le risque CLOUD Act « acceptable » et que les transferts de données techniques d'usage sont encadrés par les SCC RGPD. La migration vers une solution souveraine reste ouverte avec un appel d'offres UGAP « Nuage public » dont les candidats avaient jusqu'au 30 mars 2026 pour se positionner.

Lecture pratique : la jurisprudence française tolère le maintien sur des cloud hyperscalers américains à condition de pseudonymisation forte et de localisation. Mais pour une PME-ETI sans avocat dédié, la voie de moindre risque reste la migration sélective vers le cloud souverain — surtout sur les données sensibles régulées.

Cloud souverain français — état des lieux mars 2026

Les 9 offres SecNumCloud 3.2 qualifiées

Au catalogue ANSSI (mars 2026) : Adista, 3DS Outscale, OVHcloud, Cloud Temple, Oodrive, Worldline / equensWorldline, Cegedim, Orange Business, BT Blue, S3NS / PREMI3NS (Thales-Google Cloud, qualifié décembre 2025).

Acteur	Capital	Statut SecNumCloud 3.2	Pricing vs hyperscalers US	Signaux 2025-2026
OVHcloud	Coté Euronext, famille Klaba 81 %	Qualifié ; ARR SecNumCloud 24 M€ (+63 % YoY)	-30 à -50 % vs AWS sur compute	CA FY25 : 1 084,6 M€ (+9,3 %) ; ~1 200 clients corporates >100 k€ ARR ; retour Octave Klaba PDG (oct. 2025) ; signature Arquus secteur défense
Scaleway (groupe Iliad)	100 % Iliad	En cours (J0 jan. 2025) ; HDS depuis juillet 2025	-30 % vs AWS	CA en doublement YoY ; plan Iliad 3 Md€ cloud/IA ; expansion EU ; partenariats Mistral et Hugging Face
3DS Outscale	100 % Dassault Systèmes	Qualifié (1ʳᵉ offre IaaS qualifiée dès 2016)	≈-20 % vs AWS	Socle technique de Numspot ; cibles défense, santé, finance
Cloud Temple	Privé français	Qualifié (PaaS OpenShift SecNumCloud)	Premium 20-30 % vs OVH	Clients secteur public et OIV
Oodrive	Privé français	Qualifié SaaS (1ᵉʳ à l'avoir obtenu, 2019)	Sur mesure	Coffre-fort numérique, signature électronique
Numspot	Banque des Territoires 36 %, Docaposte 26 %, Dassault Systèmes 19 %, Bouygues Telecom 19 % — capital constitutif 50 M€	En cours sur cloud-gouv	Premium 20-30 %	Lancement plateforme nouvelle génération 10 décembre 2025 ; cibles santé, finance, secteur public, OIV
Bleu (Capgemini/Orange + Microsoft)	Capgemini-Orange JV, Microsoft partenaire technique	J0 validé 17 avril 2025 ; qualification visée S1 2026 ; lancement S2 2026	Premium ~30 % vs Azure standard	130+ collaborateurs ; 17 partenaires d'intégration ; SAP Sovereign Cloud sur Bleu annoncé 19 mars 2026
S3NS / PREMI3NS (Thales 100 % + Google Cloud partenaire)	Société de droit français contrôlée par Thales	Qualifié SecNumCloud 3.2 décembre 2025	Premium vs GCP standard	50+ clients en programme d'accès anticipé
Adista, BT Blue, Cegedim, Orange Business, Worldline	Privés français	Qualifiés	Premium 20-40 %	Intégrateurs régionaux et secteurs spécialisés

Pricing comparé pour un workload PME typique

Étude Cloud Mercato 2025 + webinaire DoNow/Scaleway 5 juin 2025 :

• Sur une facture AWS de production de 11 054 €/mois (compute + bases de données + Kubernetes + stockage + réseau), le rejeu sur Scaleway aboutit à une facture inférieure de 30-40 % à fonctionnalité comparable.
• Pour un workload HDS PME santé (40 utilisateurs, environnement managé), OVHcloud Hosted Private Cloud avec certification HDS revient typiquement à 400-1 200 €/mois, soit 40-60 % de moins que la configuration AWS équivalente (bob-le-developpeur.com, 2025).
• OVHcloud et Scaleway sont 30 à 50 % moins chers qu'AWS à infrastructure équivalente (Mag Startup 2025). La pénalité de souveraineté est désormais dans une fourchette 20-30 % (legiscope.com), pas 100 %.

EUCS toujours bloqué, doctrine franco-allemande émergente

Déposé devant ENISA depuis 2019, le schéma de certification cloud européen reste en impasse : les versions récentes ont supprimé les critères de souveraineté capitalistique exigés par la France et l'Allemagne, ce qui est contesté par DIGITAL SME Alliance et la coalition « eucshighplus.eu ». En mars 2026, l'ANSSI et le BSI allemand ont publié une déclaration conjointe posant les bases d'une doctrine franco-allemande harmonisée (localisation stricte, droit européen exclusif, absence d'accès tiers extra-UE) qui pourrait débloquer EUCS. La Commission a proposé en parallèle, le 20 janvier 2026, une révision du Cybersecurity Act.

Pour aller plus loin sur l'écosystème cloud souverain : notre comparatif Bleu, OVH, Outscale, Scaleway.

IA souveraine 2026 — Mistral est devenu un actif stratégique européen

Mistral AI : du laboratoire au champion européen

L'année 2025 a transformé Mistral AI :

• Series C de 1,7 Md€ en septembre 2025, valorisation post-money 11,7 Md€ / 13,8 Md$ — ASML lead à 11 % du capital.
• Debt 830 M$ en mars 2026 pour acheter 13 800 puces Nvidia destinées à un nouveau datacenter en Essonne (annonce Mistral Compute, 18 000 GPU Grace Blackwell, lancement 2026).
• ARR run-rate >400 M$ en 2025, objectif >1 Md$ d'ARR fin 2026.
• Le Chat : 1 million de téléchargements en 14 jours en février 2025. Le Chat Enterprise lancé en mai 2025 (Pro 14,99 €/mois, Team 24,99 $/user/mois, Enterprise sur devis).
• Modèles : Mistral Large 3 (décembre 2025, 41B actifs / 675B params, MoE), Magistral (reasoning), Codestral, Pixtral, Devstral 2.

Clients de référence : BNP Paribas (multi-ans, marchés/ventes/support), AXA (140 000+ collaborateurs), Stellantis (assistant véhicule), Orange (partenariat février 2025), CMA CGM (partenariat 100 M€ avril 2025, assistant MAIA dans 160 pays), France Travail, Veolia, Cisco, Mirakl (10 M produits/mois), Pierre Fabre, Synapse Medicine (300+ hôpitaux), Snowflake, Ministère des Armées (GenIAl.intradef).

Différenciateur clé : RGPD-by-design, déploiement on-premise possible, open-weights, conformité AI Act native, signataire du GPAI Code of Practice. Mistral revendique des coûts ≈8× inférieurs à comparables US (cloudsummit.eu).

Le reste de l'écosystème français

Acteur	Statut	Spécificité
LightOn (ALTAI)	Coté Euronext Growth Paris depuis 26 nov. 2024, capitalisation ≈30 M€, CA 2025 : 1,7 M€ (+54 %)	Plateforme Paradigm (RAG entreprise, agents, on-premise) ; déployable sur 2 NVIDIA RTX PRO 6000 Blackwell pour PME ; clients Safran, Groupama, CNES, ENS Paris-Saclay, Sodern
Hugging Face	HQ Paris/New York, $4,5 Md (Series D 2023)	« GitHub de l'IA » : 1 M+ modèles, 13 M utilisateurs, 30 % du Fortune 500 ; héberge aussi Mistral
Pleias	Start-up française open-source	Modèles 100 % entraînés sur données ouvertes/sous licence, focus législatif AI Act ; niche pour secteurs régulés
Kyutai	Lab non lucratif financé par Iliad (Niel) + CMA CGM (Saadé) + Schmidt — dotation 300 M€	Recherche fondamentale open-source (Moshi voice-to-voice) ; complément naturel de Scaleway
Linagora / LUCIE	Coopérative française + consortium OpenLLM France (11 partenaires, France 2030)	LUCIE 7B (lancée 22 jan. 2025) — modèle open-source vraiment auditable (poids + code + données + checkpoints sous Apache 2.0) ; cible recherche, éducation, projets souverains
H Company, Dust, Adaptive ML, Probabl	Start-ups françaises	Agents IA, plateformes data science, vertical SaaS — adoption précoce dans grands groupes français

Le Chat Enterprise vs Microsoft Copilot vs ChatGPT Enterprise

• Le Chat Enterprise (Mistral Medium 3) : différenciateur n°1 = déploiement on-premise / private cloud avec data isolation native, conformité AI Act/RGPD by design, support français, prix Pro 14,99 €/mois et Team 24,99 $/user/mois. Mistral a triplé ses revenus dans les 100 jours suivant le lancement (Reuters, mai 2025).
• Microsoft 365 Copilot : intégration native Office, mais soumis CLOUD Act (avis CNIL, audition Sénat Carniaux). Tarif 30 $/user/mois sur Microsoft 365 + augmentations annoncées juillet 2026.
• ChatGPT Enterprise : meilleurs benchmarks bruts mais hors RGPD natif et sans on-premise standard.

Pour une PME-ETI à dossiers clients sensibles, Le Chat Enterprise + LightOn Paradigm sur OVHcloud/Scaleway constitue aujourd'hui la stack souveraine la plus crédible.

Adoption en PME française

• Bpifrance Le Lab, livre blanc octobre 2025 (1 200 entreprises + 700 missions IA Booster) : 31 % des TPE-PME utilisent l'IA générative ; 90 % visent l'optimisation des processus, 65 % l'efficacité commerciale, 64 % l'innovation produit. Premier frein : coûts (39 %) ; pour les non-utilisateurs, 88 % citent le manque d'expertise interne. 60 % des cas d'usage priorisés sont des « Quick Win », 14 cas d'usage moyen identifiés par diagnostic, dont 93 % à fort impact productivité.
• Baromètre IA & ROI 2022-2025 (>200 projets PME françaises) : ROI médian de 159,8 % sur 24 mois, taux de réussite 82,5 % quand le périmètre est clairement défini en amont.

Coût SaaS US vs alternatives souveraines : matériel de TCO 5 ans

L'inflation SaaS US documentée

• Indice Vertice SaaS Inflation (janvier 2025) : +11,4 % YoY (vs inflation G7 à 2,7 %).
• Zylo 2025 SaaS Management Index : +9,3 % YoY en 2024, première hausse en 3 ans.
• Vertice 2026 Index : 11-12 % d'inflation soutenue depuis 3 ans.
• Per-employee SaaS spend : 8 700 $ en 2025 (+27 % YoY) ; entreprise type 52 M$ ARR SaaS en 2025 vs 45 M$ en 2024.
• Salesforce : +6 % au 1ᵉʳ août 2025 sur Enterprise/Unlimited (après +9 % en 2023).
• Microsoft : surcharge 5 % billing mensuel ; au 1ᵉʳ juillet 2026 — Business Basic 6 → 7 $/user/mois (+16,7 %), Business Standard 12,50 → 14,50 $/user/mois (+16 %).
• Slack, HubSpot, Atlassian, Google Workspace, Adobe, Okta : hausses 6-25 % en 2024-2025 avec bundling AI imposé.
• Gartner : SaaS Spend mondial 299 Md$ en 2025 (+19,2 %) puis projection croissance 14,7 % en 2026 — la plus rapide des catégories IT.

Alternatives souveraines françaises mappées par catégorie

Catégorie	Acteurs français de référence	Tarif typique vs US
Suite collaborative / messagerie / drive	Whaller, Jamespot, Talkspirit, Wimi, Olvid (messagerie), Proton (Suisse)	4-12 €/user/mois, soit -40 à -60 % vs M365 Premium
CRM / ventes / facturation	Sellsy, Axonaut, Brevo (ex-Sendinblue), Eudonet, Divalto	25-50 €/user/mois, -30 à -50 % vs Salesforce
ERP	Cegid, Sage France, Divalto, Wavesoft, Akuiteo	Variable selon scope
RH / paie	Lucca, PayFit, Eurécia, Talentsoft/Cegid	-20 à -40 % vs Workday
BI / data viz	Toucan Toco, MyReport, DigDash	Self-service BI
Sécurité / IAM	Olfeo, Stormshield, Atempo, Tehtris	Souveraineté technique et juridique

TCO comparé indicatif PME 50 salariés sur 5 ans

(Modélisation pédagogique sur la base de moyennes Vertice/Zylo et tarifs publics éditeurs 2025-2026 — à valider en RFP nominatif)

• Stack US (M365 E3 + Salesforce Sales Cloud Enterprise + ServiceNow + Tableau + Workday) : ≈400-600 k€ sur 5 ans pour 50 salariés, avec inflation embarquée 10 % CAGR ⇒ trajectoire 80 → 130 k€/an.
• Stack souveraine (Whaller/Jamespot + Sellsy + Cegid + Lucca + Toucan Toco) : ≈220-350 k€ sur 5 ans, inflation typique 3-5 % CAGR.
• Économie potentielle : 30 à 45 % sur 5 ans hors coûts de migration. Coûts migration habituels : 50-150 k€ pour une PME 50 salariés selon complexité.

Pour une PME de 50 salariés en 2026, le coût SaaS « invisible » atteint typiquement 3 000 à 8 000 € par mois (CRM + ATS + comptabilité + marketing + collaboration + ITSM + outils métier). À 5 ans, cela représente 180 000 à 480 000 € de TCO — soit l'équivalent budgétaire de la construction d'un patrimoine numérique souverain interne.

La méthode bottom-up : un patrimoine numérique par construction

C'est la conviction qui a fondé Nymphar.AI : le patrimoine numérique souverain ne se décrète pas, il se construit. Et il se construit dans le sens inverse de la méthode top-down classique des Big 4 (datalake, gouvernance, BI, puis seulement usages métier — ce qui prend 18 mois avant le premier dashboard).

« Construire l'outil, c'est construire la donnée. »

Notre méthode — l'écosystème data-natif — inverse l'ordre :

1. On commence par l'outil métier (un module de pricing, un scoring lead, un dashboard de stock).
2. La donnée structurée naît de l'usage de cet outil (chaque action utilisateur produit une donnée typée, datée, contextualisée).
3. Cette donnée alimente les outils suivants par contamination naturelle.
4. Au bout de 18 mois, l'écosystème couvre 4 à 6 départements interconnectés, sans avoir jamais construit de datalake hors-sol.

Phase 1 — combler les manques (mois 1-9)

Sur les 9 premiers mois, la méthode consiste à identifier les points de douleur opérationnels les plus chers dans 3-4 départements prioritaires (typiquement Marketing/Sales, Ops, Finance) et à y déployer des outils internes sur-mesure. Pas de SaaS US ajouté pendant cette phase — uniquement des apps internes propriétaires.

Concrètement, sur une PME retail à 12 départements (cas réel anonymisé) :

• Mois 1-3 : Workshop découverte (2 500 €) + déploiement de 3 quick wins (outil de pricing dynamique, cockpit ventes par département, scoring fournisseurs).
• Mois 4-6 : Le pricing alimente la donnée de marge. La donnée de marge nourrit le réassort. Le réassort produit la donnée de rotation stock.
• Mois 7-9 : ROI mesuré : +4 points de marge sur les 4 premiers départements, −35 % de stock dormant. Coût total : retainer 10 k€/mois × 9 = 90 k€ (vs 200 k€+ minimum d'un Big 4 sans aucun livrable comparable).

Phase 2 — remplacer les licences (mois 10-18)

À partir du 10ᵉ mois, l'entreprise dispose d'une base data-native suffisante pour commencer à substituer progressivement les SaaS US par des outils internes équivalents. Cette substitution n'est jamais brutale — elle suit une logique de moindre résistance :

• Trimestre 1 : on remplace l'outil le plus cher en TCO 5 ans qui a la plus faible adoption interne (souvent un CRM sur-dimensionné).
• Trimestre 2 : on remplace l'outil le plus exposé juridiquement (souvent un SaaS RH américain).
• Trimestre 3 : on consolide les outils internes en une plateforme unique, documentée, opérée par l'équipe Nymphar puis transmise.

À 18 mois, l'IT n'est plus un coût récurrent — elle devient un patrimoine numérique souverain valorisable à la cession et indépendant des aléas géopolitiques.

3 cas concrets de PME ayant repris leur souveraineté

Cas 1 — Acteur Retail français, 12 départements

Contexte de départ : 12 chefs de département pilotaient leur P&L au tableur. Aucune source de vérité commune. Un BI Power BI installé en 2022 par un cabinet généraliste avait été abandonné au bout de 8 mois (adoption < 5 %).

Migration souveraine : Construction d'un outil interne de pricing et réassort sur stack open-source (PostgreSQL + DuckDB + dbt + Streamlit, hébergé OVH SecNumCloud). Pas de remplacement frontal du Power BI — il est juste devenu inutile.

Résultat à 9 mois : +4 points de marge sur les 4 premiers départements, −35 % de stock dormant, ROI mesurable dès le 1ᵉʳ département. Aucune licence SaaS US ajoutée. La donnée critique réside désormais sur des serveurs français, sous une stack 100 % portable.

Cas 2 — Éditeur SaaS RH français

Contexte de départ : Acteur historique du SaaS RH français qui voyait son avantage produit grignoté par des nouveaux entrants américains. Le directeur produit voulait industrialiser un module IA d'analyse de carrières — sans data engineer en interne et sans budget pour un cabinet à 200 k€.

Migration souveraine : Module IA déployé sur Mistral AI (LLM français) plutôt que GPT-4. Stack interne sur Scaleway. Patterns réutilisables capitalisés en interne et documentés en français.

Résultat à 12 semaines : Module IA en production. Ingénieur Nymphar dédié 3 j/semaine en retainer. Le module IA devient un argument commercial sur un marché RH français de plus en plus sensible aux enjeux RGPD et AI Act.

Cas 3 — Agence média indépendante française

Contexte de départ : Stack 100 % SaaS américaine (HubSpot, Asana, Notion, Slack, Salesforce). Coût mensuel total : ~6 800 € sur 35 utilisateurs. Forte dépendance à HubSpot pour les workflows commerciaux critiques.

Migration souveraine : Stratégie de substitution lente sur 18 mois. Étape 1 : remplacement de Notion par Outline self-hosted (économie 800 €/mois, +0 effort utilisateur). Étape 2 : remplacement de HubSpot CRM par un outil interne sur-mesure connecté à un Mistral AI pour le scoring leads (économie 2 100 €/mois, +30 % de productivité commerciale). Étape 3 : consolidation des outils marketing internes.

Résultat à 18 mois : −60 % de TCO SaaS, 100 % des données client sur serveurs européens, patrimoine numérique évalué à 320 k€ par le commissaire aux comptes (production immobilisée, valorisable à la cession).

La feuille de route 18 mois : Workshop → Sessions → Retainer

Le coût global d'un programme de souveraineté numérique pour une PME de 30-100 salariés se décompose typiquement ainsi :

Étape	Durée	Investissement	Livrable
Workshop découverte	1 journée	2 500 € HT	Roadmap 90 jours chiffrée, 5-10 chantiers priorisés
Sessions IA mensuelles	6 mois min	800 €/mois	Pilotage continu, validation des choix techniques
Better Call AI Expert	À la demande	1 500 €/mois	Expertise on-demand sur questions ponctuelles
Retainer all-in-one	9-18 mois	10 000 €/mois	Équipe dédiée, ingénieur 3 j/semaine, stack mutualisée

Investissement total typique sur 18 mois : 180 000 € HT. À comparer aux 200 000 € minimum d'un Big 4 sans aucun livrable opérationnel garanti, ou aux 250 000 € qu'auraient coûté les licences SaaS conservées sur la même période.

Pour cadrer votre programme : découvrez notre offre Audit IA et workshop découverte.

Checklist par où commencer — DG/DAF de PME-ETI 30-300 salariés

Étape 1 — Diagnostic d'exposition (4 à 6 semaines, coût 0 à 15 k€)

1. Cartographier les outils numériques utilisés (suite collaborative, CRM, ERP, RH, BI, IA générative, hébergement cloud, signature électronique) et identifier la juridiction du fournisseur. Outil gratuit : MonEspaceNIS2 (cyber.gouv.fr) pour l'auto-évaluation NIS 2.
2. Classifier les données par criticité (3 niveaux : non sensibles / sensibles métier / sensibles régulées RGPD/santé/finance/défense).
3. Faire l'inventaire des cas d'IA dans l'entreprise (« shadow AI » inclus : usage ChatGPT/Copilot par les équipes). L'AI Act ne distingue pas usage formel et informel.
4. Mobiliser le programme IA Booster Bpifrance (diagnostic financé jusqu'à 50 %, 700 PME accompagnées en 2024).

Seuil de bascule : si vous traitez des données de santé, financières régulées, données RH biométriques, ou si vous êtes fournisseur d'une entité NIS 2 (Annexe I/II), passez immédiatement à l'étape 2.

Étape 2 — Quick wins de mise en conformité (3 à 6 mois, 20-80 k€)

5. Former l'ensemble des collaborateurs à l'AI Act / AI literacy (Art. 4) — obligation déjà active depuis février 2025. Formations e-learning 15-40 €/utilisateur (CNIL/EDPB).
6. Désigner un référent IA + un référent NIS 2 / cyber + un DPO si non déjà en place (responsabilité personnelle des dirigeants prévue par NIS 2 et AI Act).
7. Mettre en place les mentions de transparence Article 50 sur tous les chatbots, contenus synthétiques, deepfakes et décisions automatisées (deadline : 2 août 2026).
8. Sécuriser les fondamentaux RGPD susceptibles d'amende CNIL : cookies (21 sanctions en 2025, 475 M€), vidéosurveillance des salariés (16 sanctions), gestion habilitations / mots de passe (14 sanctions).
9. Auditer ses fournisseurs critiques au regard de NIS 2 : clauses cybersécurité, droit d'audit, notification d'incidents 24 h / 72 h, plan de continuité.

Étape 3 — Arbitrage stratégique cloud + IA (6 à 12 mois)

10. Pour les nouveaux projets, appliquer la règle simple :
    • Données sensibles régulées ⇒ SecNumCloud (OVHcloud Hosted Private Cloud, 3DS Outscale, Cloud Temple)
    • Données sensibles métier ⇒ cloud français de droit européen (OVHcloud, Scaleway, Numspot quand qualifié)
    • Données non sensibles ⇒ rester sur l'incumbent si TCO favorable
11. Évaluer le TCO sur 5 ans, pas le tarif mensuel. Modéliser : prix de licence + inflation 10 % CAGR (US) vs 3-5 % (FR/EU) + coûts de migration + risque réglementaire (RGPD, NIS 2, AI Act).
12. Commencer l'IA générative par un POC à périmètre clair (Le Chat Enterprise / Mistral La Plateforme, LightOn Paradigm sur OVHcloud, ou Microsoft Copilot avec Transfer Impact Assessment documenté). ROI médian observé sur le marché français : 159,8 % à 24 mois sur projets bien cadrés.

Étape 4 — Industrialisation (12 à 24 mois)

13. Bâtir une stratégie cloud hybride : Numspot ou Bleu (quand qualifiés) pour la couche sensible + OVHcloud/Scaleway pour la couche métier + hyperscaler ciblé pour l'innovation/R&D non sensible.
14. Insérer dans tous les nouveaux contrats fournisseurs cloud : clause d'immunité aux lois extraterritoriales, droit de résiliation en cas de Schrems III, clause de portabilité/réversibilité (exigence Data Act applicable depuis septembre 2025).
15. Mesurer trimestriellement : indice TCO IT / collaborateur, % de données sensibles hébergées hors UE, coût réglementaire (amendes évitées vs investissement).

Déclencheurs qui doivent faire revoir la stratégie

• Schrems III invalidation DPF (décision CJUE possible 2026) ⇒ accélérer migration sensibles
• Loi Résilience promulguée (printemps-été 2026) ⇒ enregistrement obligatoire ANSSI
• CRA reporting au 11 sept. 2026 ⇒ procédures vulnérabilités produits numériques opérationnelles
• Augmentation tarifaire SaaS US >12 % ⇒ déclencher RFP alternative souveraine
• Bleu / Numspot qualifiés SecNumCloud (S1/S2 2026) ⇒ élargissement panel souverain Microsoft/Google
• Investissement Mistral Compute opérationnel (datacenter Essonne, 2026) ⇒ alternative GPU/IA pleine pile sans dépendance hyperscaler

FAQ — Souveraineté numérique pour PME et ETI

C'est quoi la souveraineté numérique exactement ?

La souveraineté numérique d'une entreprise est sa capacité à exercer un contrôle effectif sur ses systèmes d'information, ses données et ses dépendances technologiques, sans subir l'influence d'acteurs étrangers (États, fournisseurs SaaS, éditeurs IA). Elle se mesure sur trois dimensions : juridique, technique et économique.

Quels sont les 3 types de souveraineté numérique ?

(1) Juridique : quelle législation s'applique aux données ? (2) Technique : peut-on partir sans perte ? (3) Économique : qui détient le levier de pricing ? Les trois interagissent — une dépendance juridique entraîne mécaniquement une dépendance technique et économique.

Quelle est la politique française de souveraineté numérique en 2026 ?

Trois axes : qualification SecNumCloud (ANSSI) pour le cloud (9 offres qualifiées au catalogue mars 2026), écosystème IA français porté par France 2030 et Mistral (valorisé 11,7 Md€), transposition AI Act et CRA. Audits parlementaires 2025 (Sénat, Cour des comptes) qualifient les choix passés Microsoft d'« erreur caractérisée ». Communication Conseil des ministres du 12 juin 2025 : 4 axes (Observatoire, généralisation SecNumCloud, investissements écosystème, priorité logiciel libre).

Comment une PME peut-elle vérifier sa souveraineté numérique ?

Test simple en 3 questions par outil critique : (1) qui en est l'opérateur juridique et où est-il domicilié ? (2) puis-je extraire 100 % de mes données dans un format ouvert ? (3) combien de temps prendrait une migration complète ? Si vous ne savez pas répondre à l'une des trois, il y a un point de fragilité. Outil gratuit officiel : MonEspaceNIS2 sur cyber.gouv.fr pour l'auto-évaluation.

Combien coûte le passage à la souveraineté numérique pour une PME ?

Programme typique 18 mois pour PME 30-100 salariés : workshop 2 500 € + retainer 10 000 €/mois × 9-18 mois = 90 000 à 180 000 € HT. À comparer aux 200 000 €+ d'un Big 4 sans livrable opérationnel garanti, ou aux 200 000-400 000 € de TCO SaaS sur 5 ans qui auraient été dépensés sans rien remplacer. Économie typique 30-45 % sur 5 ans (modélisation Vertice/Zylo).

Mon entreprise est concernée par NIS 2 ?

Probablement oui. Seuils d'entrée bas : 50 salariés OU 10 M€ de CA dans un secteur Annexe I (énergie, transport, banque, santé, eau, infrastructures numériques) ou Annexe II (poste, déchets, agroalimentaire, fabrication, fournisseurs numériques). ~15 000 entités françaises seront régulées vs 500 sous NIS 1. Outil officiel d'auto-évaluation : MonEspaceNIS2 (cyber.gouv.fr).

Le risque CLOUD Act est-il vraiment réel pour une PME française ?

Oui depuis mai 2025. L'affaire Karim Khan / CPI / Microsoft a matérialisé ce qui était théorique : Microsoft a coupé l'accès au compte Outlook du procureur après des sanctions Trump. Anton Carniaux (Microsoft France) a admis sous serment au Sénat en juillet 2025 qu'il ne pouvait garantir que des données françaises hébergées en Europe ne seraient jamais transmises au gouvernement américain. Pour une PME, le risque est proportionnel à la sensibilité des données — pseudonymisation et localisation peuvent suffire selon le cas d'usage (cf. décision Conseil d'État du 20 mars 2026 sur HDH).

Quelles sont les meilleures alternatives souveraines à Microsoft 365 / Google Workspace ?

Whaller, Jamespot, Talkspirit, Wimi pour la suite collaborative (4-12 €/user/mois, -40 à -60 % vs M365 Premium). Olvid pour la messagerie chiffrée (alternative à Teams/Slack). Proton (Suisse) pour mail + drive + VPN avec chiffrement bout-en-bout. Pour la migration progressive : Bleu (Capgemini/Orange, JV avec Microsoft France) qui apporte M365 + Azure dans un cloud isolé France — qualification SecNumCloud visée S1 2026.

Mistral suffit-il pour remplacer ChatGPT en entreprise ?

Pour la grande majorité des cas d'usage IA en PME (RAG documentaire, scoring lead, génération de contenu, classification, code), Mistral suffit fonctionnellement — et présente l'avantage juridique majeur d'être hors CLOUD Act, déployable on-premise, RGPD-by-design. Mistral revendique des coûts ≈8× inférieurs à comparables US. Pour les benchmarks de raisonnement extrêmes, GPT-5/Claude 4.6 restent légèrement supérieurs mais l'écart se réduit chaque trimestre. Le Chat Enterprise (Mistral Medium 3) à 24,99 $/user/mois en équipe, 14,99 €/mois en Pro.

---

Sources principales citées

• CNIL — Bilan sanctions 2025, publié 9 février 2026 (cnil.fr/fr/bilan-sanctions-2025)
• AI Act (Règlement UE 2024/1689) — Commission européenne, EUR-Lex
• Cyber Resilience Act (Règlement UE 2024/2847) — entrée en vigueur 10 décembre 2024
• NIS 2 — Loi Résilience — Sénat (rapport l24-393, mars 2025), Assemblée nationale (commission spéciale septembre 2025)
• Cour des comptes — Rapport S2025-1479 du 31 octobre 2025 sur la souveraineté numérique
• Sénat — Commission d'enquête sur la commande publique, rapport remis 9 juillet 2025
• Conseil d'État — décisions HDH 13 nov. 2024, 25 avril 2025, 25 juin 2025, 20 mars 2026
• ANSSI — Catalogue SecNumCloud 3.2 (cyber.gouv.fr), déclaration franco-allemande mars 2026
• OVHcloud — Communiqué résultats FY25, 21 octobre 2025
• Mistral AI — Communiqué Series C septembre 2025, debt mars 2026 (mistral.ai)
• Bpifrance Le Lab — L'IA dans les PME et ETI françaises (juin 2025, 1 209 dirigeants), livre blanc octobre 2025
• Baromètre France Num 2025 — DGE, publié 15 septembre 2025 (11 021 répondants)
• Hexatrust / EY — Baromètre de la souveraineté numérique 2025
• Vertice — SaaS Inflation Index 2025-2026
• Zylo — 2025 SaaS Management Index
• Cloud Mercato — Étude pricing cloud 2025
• BPI / Bain — Valorisation à la transmission des PME data-équipées, 2024
• Numeum & PAC — Observatoire S2 2025 (publié 18 décembre 2025)

Caveats — précautions méthodologiques

1. Calendrier AI Act : la proposition Digital Omnibus adoptée par le Parlement européen le 26 mars 2026 (report Annexe III à décembre 2027, Annexe I à août 2028) n'est pas encore en vigueur. Conseil prudent : préparez-vous au 2 août 2026 ; un report donnera de l'avance, pas de retard.
2. Mistral AI valorisations : sources entre 11,7 Md€ (Series C officielle septembre 2025) et 14 Md$ (Bloomberg) divergent selon FX. Valeur officielle Mistral : 11,7 Md€ post-money.
3. TCO 5 ans : les fourchettes proposées sont des modélisations pédagogiques à partir d'indices Vertice/Zylo et tarifs publics éditeurs. Toute décision d'investissement doit reposer sur un RFP nominatif et un Transfer Impact Assessment formel.
4. Témoignages PME : la presse française publie peu de cas nominatifs PME chiffrés sur la migration cloud souverain. Les ordres de grandeur (ROI 159,8 %, taux de réussite 82,5 %) proviennent d'agrégats sectoriels.
5. Volatilité LightOn : entreprise cotée mais micro-cap (CA 2025 : 1,7 M€), à présenter comme « première IA générative B2B européenne cotée » plutôt que comme pair de Mistral.
6. « Bleu » / S3NS / Numspot : modèle commercial dépendant d'un partenaire technologique américain (Microsoft, Google) sous contrôle juridique français. La doctrine ANSSI considère que cette architecture, isolée et opérée par du personnel européen, satisfait SecNumCloud 3.2 — mais le débat associatif (April, CNLL, Open Internet Project) reste actif. Pour les workloads les plus critiques, préférer les acteurs 100 % capital français (OVHcloud, Outscale, Cloud Temple, Scaleway).
7. Sources presse : certaines références utilisées sont des éditeurs spécialisés ou agences de conseil dont les chiffres reflètent les sources primaires (CNIL, ANSSI, France Num, Cour des comptes) mais peuvent mêler chiffres et marketing — privilégier les sources officielles citées en parallèle.

Comment Nymphar.AI accompagne cette transition

Notre cabinet a été fondé pour rendre la souveraineté numérique économiquement rationnelle pour les PME et ETI françaises. Trois portes d'entrée :

1. Workshop découverte 2 500 € — 1 journée pour cadrer votre roadmap souveraineté, identifier les 3-5 quick wins, chiffrer le programme. Réserver.
2. Sessions IA mensuelles 800 €/mois — pilotage continu sur 6 mois, validation des choix techniques, formation interne.
3. Retainer all-in-one 10 000 €/mois — équipe dédiée, ingénieur 3 j/semaine, stack mutualisée. C'est le format qui aboutit à la transformation complète sur 18 mois.

« On restructure les PME et ETI par la data et l'IA, en bâtissant un patrimoine numérique souverain. » Notre cabinet, et notre studio SaaS en parallèle, partagent une même mission : démontrer qu'une PME française peut être à la fois data-équipée, IA-équipée, et souveraine — sans sacrifier la performance opérationnelle ni doubler son budget IT.

---

Article publié le 10 mai 2026. Cet article fait partie du pillar « Souveraineté numérique » du blog Nymphar.AI. Articles complémentaires : audit IA pour PME, méthode écosystème data-natif, MMM retail fashion build vs buy. Pour cadrer un programme : découvrez notre méthode bottom-up ou réservez un workshop découverte 2 500 €.