Trois enveloppes, un été, et une décision irréversible
L'été dernier, trois réponses attendaient dans ma boîte mail. Pas des newsletters. Pas des notifications LinkedIn. Trois verdicts qui allaient déterminer si notre startup pouvait construire son infrastructure sur des fondations souveraines européennes, ou si nous serions contraints, comme tant d'autres, de capituler devant la facilité d'un hyperscaler américain.
Première enveloppe : OVHcloud Startup Program. Accepté. 10 000 euros de crédits cloud. Nos clusters Kubernetes et nos GPU y tournent déjà, hébergés dans des datacenters européens, soumis au droit européen, opérés par une entreprise française cotée en Bourse.
Deuxième enveloppe : LuxProvide Initiate. Accepté. Accès au supercalculateur MeluXina, la machine EuroHPC luxembourgeoise. Quand vos modèles d'IA ont besoin de puissance de calcul brute, vous n'êtes plus obligé de la louer à Nvidia via AWS. Elle existe en Europe. Elle est opérationnelle. Elle attend vos workloads.
Troisième enveloppe : Fit4Start #16. Recalé. Sur 495 candidatures, seules 4% ont été sélectionnées. Nous n'en faisions pas partie.
Ce troisième "non" aurait pu être le récit dominant de cet été. Dans la mythologie startup, on célèbre les acceptations et on cache les refus. Mais c'est précisément ce "non" qui rend les deux "oui" si significatifs. Parce qu'ils prouvent quelque chose d'essentiel : la souveraineté numérique européenne n'est plus un slogan. C'est une infrastructure fonctionnelle, accessible, et économiquement viable pour une startup.
Pourquoi le choix d'une infrastructure européenne est un acte stratégique
Le piège de la facilité américaine
Soyons honnêtes : le chemin de moindre résistance, pour un fondateur de startup, c'est AWS. Trois clics, une carte bancaire, et vous avez des GPU à l'autre bout du monde qui entraînent vos modèles. C'est rapide. C'est bien documenté. C'est aussi un piège dont vous ne mesurez pas la profondeur avant qu'il ne soit trop tard.
Le Cloud Act américain donne aux autorités fédérales le pouvoir d'accéder à vos données hébergées par un fournisseur américain, où qu'elles se trouvent physiquement. Votre serveur est à Francfort ? Peu importe. L'entreprise qui l'opère est incorporée dans le Delaware. Le juge de Virginie a juridiction. Ce n'est pas un risque théorique. C'est le cadre juridique en vigueur.
Pour une startup qui traite des données sensibles (conformité, santé, finance, données industrielles), cette dépendance est une bombe à retardement. Un changement de politique à Washington, une tension géopolitique, un décret présidentiel signé un dimanche soir, et vos conditions de service changent unilatéralement.
OVHcloud : la souveraineté sans le sacrifice
Le programme Startup d'OVHcloud n'est pas de la charité. C'est un investissement stratégique d'OVHcloud dans l'écosystème européen. Et du côté de la startup, c'est un choix délibéré de construire sur une fondation dont vous comprenez les règles.
Concrètement, nos clusters Kubernetes tournent sur des bare-metal OVHcloud. Les performances sont au rendez-vous. Le support technique est réactif. Et surtout, la chaîne de responsabilité juridique est limpide : droit français, droit européen, RGPD natif. Pas de clause en petits caractères renvoyant à une juridiction étrangère.
MeluXina : le supercalculateur européen n'est pas une vitrine
Pendant des années, l'argument massue contre la souveraineté européenne en matière de calcul haute performance était simple : "Vous n'avez pas les machines." Cet argument est désormais caduc.
MeluXina est un supercalculateur EuroHPC classé dans le top mondial, capable d'entraîner des modèles d'IA et de traiter des simulations massives. Et il est accessible aux startups via le programme Initiate, pas uniquement réservé aux grands groupes ou aux laboratoires de recherche.
L'Europe n'a pas seulement construit l'infrastructure. Elle a aussi construit les programmes d'accès qui permettent à des structures de toutes tailles de l'utiliser. Ce maillage entre infrastructure de pointe et accessibilité entrepreneuriale est exactement ce qui manquait il y a cinq ans.
Le cadre méthodique : comment construire souverain sans ralentir
L'audit de dépendance en trois couches
Avant de migrer quoi que ce soit, il faut cartographier. Voici la méthode que j'applique et que je recommande à tout CIO ou CTO qui veut reprendre le contrôle de son infrastructure.
Couche 1 : Compute et stockage. Où tournent vos workloads critiques ? Chez quel fournisseur ? Sous quelle juridiction ? Si la réponse inclut un hyperscaler américain pour des données sensibles, c'est un risque à quantifier et à traiter.
Couche 2 : Services managées. Quels services SaaS traversent vos données ? Votre pipeline CI/CD, votre monitoring, votre gestion d'identités : chacun de ces services est un point de dépendance potentiel. Nous avons fait ce travail chez etimtech et découvert que notre configuration Lighthouse envoyait des métriques vers Google Cloud. Un détail. Mais un détail qui viole un principe de souveraineté si vous l'avez posé comme contrainte.
Couche 3 : La chaîne de déploiement. GitHub Actions, Vercel, Netlify : des outils formidables, mais des entreprises américaines soumises au droit américain. Notre CI/CD tourne sur GitLab auto-hébergé et se déploie par SFTP vers OVH. C'est moins glamour qu'un "git push to production". C'est aussi infiniment plus maîtrisé.
Le pragmatisme avant le dogme
Il faut le dire clairement : la souveraineté absolue n'existe pas et n'est pas l'objectif. L'objectif est la maîtrise des risques. Si vous utilisez un CDN américain pour servir des assets statiques publics, le risque est négligeable. Si vous envoyez vos données de conformité NIS2 dans un bucket S3, le risque est existentiel.
La bonne approche est une matrice de criticité croisée avec une matrice de souveraineté. Données publiques, risque faible : prenez le meilleur outil disponible, quelle que soit sa nationalité. Données sensibles, risque élevé : exigez une chaîne de responsabilité européenne de bout en bout.
L'écosystème européen : plus profond qu'on ne le croit
Au-delà des crédits cloud
L'intégration à PULSE (Luxembourg Startups Association) complète le dispositif. L'écosystème startup luxembourgeois n'est pas le plus bruyant d'Europe, mais c'est l'un des plus structurés. Entre LuxInnovation, les programmes Fit4Start, les accélérateurs privés et les associations sectorielles, une startup trouve un réseau de soutien qui va bien au-delà du financement.
Ce tissu institutionnel est un avantage compétitif européen sous-estimé. Aux États-Unis, l'écosystème est dominé par le capital-risque et sa logique de "winner takes all". En Europe, le maillage est plus diversifié : fonds publics, crédits cloud, accès au calcul haute performance, accompagnement réglementaire. C'est moins spectaculaire qu'un chèque de Sequoia. C'est aussi plus résilient qu'une dépendance à un seul type de financeur.
Ce que Fit4Start m'a appris sur la résilience
Le refus de Fit4Start a un taux de sélection de 4%. C'est plus sélectif que la plupart des programmes de Y Combinator. On peut le vivre comme un échec. Ou on peut le vivre comme ce qu'il est : un data point dans un parcours itératif.
Quatre années passées chez KPMG Luxembourg m'ont enseigné une chose que les manuels de management n'expliquent jamais assez bien : la pression permanente des clients, de l'EXCO, des équipes, cette pression forge une résilience qui transforme chaque "non" en tremplin vers le prochain "oui". Ce n'est pas du développement personnel de pacotille. C'est une compétence opérationnelle qui distingue les entrepreneurs qui durent de ceux qui abandonnent au premier refus.
Le playbook concret pour les CIO et CTO
Si vous lisez cet article en vous demandant comment appliquer ces principes à votre organisation, voici cinq actions immédiates.
1. Cartographiez vos dépendances juridictionnelles. Pas vos dépendances techniques, vos dépendances juridiques. Pour chaque service critique, identifiez le droit applicable et les conditions dans lesquelles un tiers pourrait accéder à vos données.
2. Évaluez les alternatives européennes avec des critères objectifs. OVHcloud, Scaleway, Hetzner, Infomaniak : les options existent. Testez-les sur vos workloads réels, pas sur des benchmarks marketing.
3. Identifiez les programmes d'accélération souverains. OVHcloud Startup Program, LuxProvide Initiate, les programmes EuroHPC nationaux, les appels à projets France 2030 ou Digital Europe : les mécanismes de soutien sont nombreux et souvent sous-utilisés.
4. Adoptez une architecture hybride par défaut. Ne mettez pas tous vos oeufs dans le même panier, qu'il soit européen ou américain. La résilience vient de la diversification contrôlée, pas de la monoculture.
5. Faites de la souveraineté un critère d'appel d'offres, pas une note de bas de page. Intégrez les exigences de souveraineté dès le cahier des charges. Si vous attendez la phase de négociation contractuelle, il est déjà trop tard.
La souveraineté se construit, elle ne se décrète pas
L'été dernier m'a confirmé ce que je répétais depuis des mois à mes clients : la souveraineté numérique européenne n'est pas un luxe ni une posture politique. C'est une stratégie d'infrastructure qui se déploie concrètement, avec des outils existants, des programmes accessibles et des performances au rendez-vous.
L'Europe a les datacenters. L'Europe a les supercalculateurs. L'Europe a les programmes d'accompagnement. Ce qui manque, ce sont les décideurs qui choisissent de les utiliser.