L'angle mort du cloud : quand l'infrastructure numérique dépend de l'eau et de l'air

La dépendance physique invisible : ce que le cloud ne dit pas sur lui-même

Les infrastructures numériques sont perçues dans le débat public comme des systèmes abstraits, immatériels par nature. Cette perception est structurellement inexacte : derrière chaque service cloud, chaque messagerie, chaque plateforme de paiement, se trouvent des bâtiments industriels qui consomment de l'électricité, de l'eau et produisent de la chaleur à dissiper. La résilience de ces infrastructures est directement conditionnée par la stabilité des ressources physiques qui les entourent.

En mars 2026, un webinaire de la Direction Générale des Entreprises (DGE) a mis en lumière une réalité sous-estimée : une vague de chaleur peut dégrader les systèmes de refroidissement d'un datacenter jusqu'à la défaillance, une sécheresse peut restreindre l'accès à l'eau nécessaire aux circuits de refroidissement, une tempête peut sectionner les réseaux d'alimentation ou les câbles de télécommunications. Ce n'est pas un risque théorique. L'été 2022 en a fourni la démonstration : des datacenters de Google et Oracle ont subi des défaillances au Royaume-Uni lors de la première canicule à plus de 40°C de l'histoire du pays.

Le cloud comme infrastructure industrielle : la réalité physique derrière l'abstraction

La métaphore du "cloud" — nuage, vapeur, immatériel — a contribué à effacer de la représentation collective la réalité physique des infrastructures numériques. Un datacenter est un bâtiment industriel de plusieurs milliers de mètres carrés, consommant autant d'électricité qu'une ville moyenne, requérant un approvisionnement en eau continu pour son refroidissement, et connecté au réseau global via des câbles physiques dont la continuité conditionne l'ensemble des services hébergés.

Le changement climatique introduit une perturbation systémique dans ce modèle. Les événements extrêmes — canicules, sécheresses, inondations, tempêtes — dont la fréquence et l'intensité augmentent selon les projections du GIEC, constituent des vecteurs de défaillance pour des infrastructures conçues sous des hypothèses climatiques désormais partiellement obsolètes. Les normes de construction des datacenters, notamment en matière de refroidissement, ont été établies dans des contextes thermiques qui ne correspondent plus aux projections à horizon 2030-2050.

Le webinaire DGE (mars 2026) : un signal institutionnel faible mais documenté

L'organisation par la Direction Générale des Entreprises d'un webinaire dédié à la vulnérabilité climatique des infrastructures numériques constitue un signal institutionnel à interpréter avec précision. Il ne s'agit pas d'une réglementation contraignante ni d'une alerte de crise immédiate, mais d'une reconnaissance formelle du sujet par une administration centrale. Dans le cycle habituel de la politique publique française, cette étape précède la formulation d'un cadre de référence, puis d'une consultation réglementaire.

L'été 2022 comme preuve de concept involontaire

La canicule britannique de juillet 2022 — avec des températures dépassant 40°C pour la première fois dans l'histoire du pays — a causé des défaillances documentées dans les datacenters londoniens de Google et Oracle. Ces incidents ont été traités comme des événements exceptionnels. Analytiquement, ils constituent davantage un prototype du risque structurel à venir qu'une anomalie isolée : les projections climatiques indiquent que ce type d'épisode deviendra significativement plus fréquent en Europe d'ici 2040.

Cinq vecteurs de vulnérabilité dans la chaîne physique du numérique

Force 1 — La dépendance thermique : le refroidissement comme maillon critique

Les serveurs génèrent de la chaleur proportionnelle à leur charge de calcul. Cette chaleur doit être dissipée en continu pour maintenir les composants dans leurs plages de fonctionnement. Le refroidissement représente en moyenne 30 à 40% de la consommation électrique totale d'un datacenter — une fraction mesurée par le PUE (Power Usage Effectiveness), dont la moyenne mondiale est estimée à 1,58. Les systèmes de refroidissement conventionnels reposent sur l'air ambiant ou sur l'eau. Lors d'une vague de chaleur, l'air ambiant devient insuffisamment froid, forçant les systèmes à fonctionner à capacité maximale ou à réduire les performances des serveurs pour limiter la génération thermique.

Force 2 — La consommation en eau : une ressource invisible en tension

Les grands hyperscalers recourent massivement à l'évaporation d'eau pour refroidir leurs infrastructures via des tours de refroidissement. Un datacenter hyperscale consomme plusieurs dizaines de millions de litres d'eau par an — un chiffre qui croît significativement lors des épisodes de chaleur, précisément quand les ressources en eau sont les plus contraintes. Dans des régions déjà soumises à des stress hydriques structurels (bassin méditerranéen, Californie, Texas), l'accès à l'eau pour le refroidissement numérique entre en concurrence directe avec les usages agricoles et domestiques. Des États américains ont déjà imposé des restrictions d'eau affectant des projets d'expansion de datacenters — un signal précurseur de tensions à venir en Europe méridionale.

Force 3 — La vulnérabilité des réseaux physiques de distribution

Les datacenters dépendent de deux réseaux physiques distincts et exposés :

Force 4 — La concentration géographique comme amplificateur de risque systémique

L'infrastructure cloud mondiale est géographiquement concentrée de manière qui génère des vulnérabilités systémiques. En Europe, l'Irlande, les Pays-Bas et le nord de la France hébergent une proportion disproportionnée de la capacité de calcul continentale — une concentration liée à l'énergie disponible, aux câbles sous-marins transatlantiques et à la fiscalité. Aux États-Unis, la zone de Northern Virginia (Ashburn, Loudoun County) concentre environ un quart de la capacité mondiale de datacenter dans une zone géographique unique. Un événement climatique ou une crise énergétique touchant ces zones restreintes peut dégrader des services numériques à l'échelle continentale ou mondiale.

Force 5 — L'asymétrie de perception entre risques logiques et risques physiques

Les discours institutionnels et stratégiques sur la souveraineté numérique se concentrent sur la couche logicielle et juridique : droit applicable aux données, nationalité des opérateurs, accès des États étrangers aux informations hébergées. La couche physique — résilience des infrastructures face aux aléas environnementaux — reste analytiquement sous-traitée. Cette asymétrie constitue un angle mort structurel dans la gouvernance du numérique : les États investissent dans la certification juridique de la souveraineté des données, sans exiger de garanties équivalentes sur la résilience physique des supports qui les hébergent.

Quatre signaux précoces à surveiller

Signal 1 — La DGE alerte sans contraindre (mars 2026)

L'organisation d'un webinaire par la Direction Générale des Entreprises sur ce thème précis constitue un signal institutionnel à interpréter dans sa temporalité : il documente une reconnaissance du risque, sans que des mesures réglementaires contraignantes n'aient encore été formalisées. Les opérateurs d'importance vitale (OIV) et les administrations publiques dépendant de services cloud pour des fonctions critiques pourraient être concernés par des exigences de résilience climatique à horizon deux à trois ans, dans le prolongement des cadres NIS2 et DORA déjà en vigueur dans le secteur financier.

Signal 2 — Les marchés d'assurance commencent à pricer le risque

Les marchés de l'assurance intègrent progressivement le risque climatique sur les actifs numériques. Les primes pour les datacenters situés dans des zones à exposition accrue (littoral atlantique, zones de sécheresse récurrente en Europe méridionale) auraient augmenté significativement ces deux dernières années. Certains assureurs ont restreint leur couverture pour des infrastructures situées en zones côtières basses. Ce mouvement suit le pattern observé dans l'immobilier résidentiel côtier : le marché price les risques en avance sur les régulateurs — ce qui constitue lui-même un signal d'anticipation.

Signal 3 — L'accélération du refroidissement liquide comme réponse technique implicite

Les grands opérateurs de datacenters accélèrent le déploiement de technologies de refroidissement liquide direct (immersion cooling, direct liquid cooling). Ces technologies réduisent la dépendance à l'air ambiant, mais impliquent des coûts de reconversion significatifs et une dépendance accrue à des fluides spécialisés. Il est possible que cette transition constitue un signal de reconnaissance implicite, par les opérateurs eux-mêmes, de l'insuffisance des systèmes de refroidissement air pour les conditions climatiques projetées. L'accélération de ces déploiements au cours des 24 derniers mois mérite d'être interprétée à cette lumière.

Signal 4 — Le cloud souverain français : résilience juridique sans résilience physique

Les projets de cloud souverain français — qualifications SecNumCloud, appels d'offres HDS (Hébergement de Données de Santé) — imposent des exigences de localisation des données et de contrôle juridique des opérateurs. Ces cahiers des charges n'intègrent pas, à ce stade, de critères explicites de résilience climatique : choix de zones géographiques moins exposées aux canicules, redondance multi-sites dans des régions climatiquement décorrélées, gestion du stress hydrique. Cette lacune constitue un angle mort potentiel dans l'architecture de la souveraineté numérique française.

Quatre trajectoires possibles à horizon 2028-2032

Scénario 1 — Réglementation progressive sur la résilience climatique des infrastructures critiques (~35%)

Le cadre réglementaire européen intègre progressivement des exigences de résilience climatique pour les opérateurs d'infrastructure numérique. À l'image des normes NIS2 (cybersécurité) ou DORA (secteur financier), une directive spécifique pourrait émerger, imposant des études d'impact climatique, des plans de continuité en cas d'événement extrême, et des exigences de redondance géographique. Ce scénario est cohérent avec la trajectoire réglementaire européenne sur les risques systémiques, mais son calendrier dépend de la fréquence et de la visibilité des incidents climatiques sur les infrastructures numériques dans les prochaines années.

Scénario 2 — Reconfiguration géographique de l'infrastructure cloud vers les zones climatiquement stables (~30%)

Les contraintes climatiques (chaleur, eau) et les coûts d'énergie croissants en zones tempérées conduisent les opérateurs à redistribuer leurs infrastructures vers des régions disposant d'énergie abondante, propre et de températures naturellement basses : pays nordiques (Suède, Norvège, Finlande — hydraulique et géothermie), Canada, régions de haute altitude. Cette tendance est déjà observable dans les stratégies d'expansion des hyperscalers. Elle pourrait s'accélérer, introduisant une nouvelle géographie de la puissance numérique et de potentielles dépendances stratégiques vis-à-vis de pays tiers.

Scénario 3 — Crise de continuité déclencheuse lors d'un épisode climatique majeur (~20%)

Un événement climatique extrême — canicule prolongée associée à une sécheresse affectant simultanément plusieurs grandes zones d'infrastructure — provoque une cascade de défaillances dans des services numériques critiques (paiement, logistique, administrations, hôpitaux). Cet incident fonctionne comme révélateur systémique, similaire au rôle qu'ont joué les pannes massives d'AWS (2017, 2021) dans la prise de conscience de la concentration cloud. Il conduit à une accélération réglementaire et à une réorientation stratégique plus rapide qu'en régime d'anticipation.

Scénario 4 — Déconnexion entre rapports de durabilité et réalité architecturale (~15%)

Les opérateurs publient des rapports de résilience climatique de plus en plus élaborés, sans que les architectures sous-jacentes ne soient fondamentalement reconfigurées. Le risque est géré à travers la communication et la conformité documentaire plutôt que par des investissements structurels. Dans ce scénario, la concentration géographique et les dépendances thermiques persistent, et le risque réel s'accumule silencieusement derrière une façade de conformité. Ce scénario est cohérent avec les dynamiques observées dans d'autres secteurs industriels (notation ESG, stress tests bancaires) et représente le chemin de moindre résistance à court terme.

Ce que cette analyse ne capte pas

• Opacité des données des opérateurs. Les grands cloud providers ne divulguent pas leur consommation d'eau par datacenter avec une granularité géographique précise. Les chiffres disponibles proviennent de rapports de développement durable dont les méthodologies sont hétérogènes et non auditées indépendamment, ce qui limite la précision de l'évaluation quantitative du risque.
• Complexité des graphes de dépendance. Les effets de cascade d'une défaillance d'infrastructure sur les services qui en dépendent sont difficiles à modéliser a priori. La concentration des dépendances dans les environnements cloud multi-couches (IaaS, PaaS, SaaS) crée des graphes opaques dont la résistance aux chocs n'est pas publiquement documentée.
• Biais de documentation géographique. L'incident Google/Oracle UK 2022 est précisément documenté parce qu'il s'est produit dans une juridiction transparente avec une presse technique active. Des défaillances climatiques d'infrastructures en Asie du Sud-Est ou en Amérique latine pourraient être structurellement sous-reportées.
• Incertitude sur les projections climatiques locales. Les modèles de projection à l'échelle locale — nécessaires pour évaluer les risques sur des zones géographiques précises où se concentrent les infrastructures — restent moins précis que les projections globales, ce qui complique la planification de la résilience à long terme.
• Horizon temporel incertain. La vitesse à laquelle ces risques se matérialiseront dépend de l'évolution climatique réelle, de l'adaptation technique des opérateurs et de la réponse réglementaire. L'analyse identifie des tendances structurelles, non des calendriers.

La résilience physique comme dimension manquante de la souveraineté numérique

La vulnérabilité climatique des infrastructures numériques constitue un angle mort structurel dans les stratégies de souveraineté numérique actuelles. Les cadres réglementaires existants — NIS2, SecNumCloud, DORA — traitent la cybersécurité, la localisation juridique des données et la continuité opérationnelle contre les cybermenaces. Ils n'intègrent pas, ou de manière marginale, la résilience physique face aux aléas environnementaux comme critère d'évaluation.

Cette lacune est cohérente avec la perception publique du numérique comme infrastructure immatérielle. Elle est cependant analytiquement incorrecte : la dépendance à l'eau, à l'air, à l'électricité et à des câbles physiques est aussi structurelle pour un service cloud que la dépendance aux matières premières pour une industrie manufacturière. La tendance de fond — intensification des événements climatiques extrêmes, concentration croissante de l'infrastructure cloud, dépendance accrue des organisations au numérique pour leurs fonctions critiques — dessine une augmentation de l'exposition au risque, indépendamment de l'évolution des postures réglementaires.

Le signal faible émis par le webinaire de la DGE (mars 2026) est précisément faible : il documente une reconnaissance, pas une réponse. Mais dans les systèmes complexes, la reconnaissance institutionnelle d'un risque systémique constitue elle-même un indicateur de la trajectoire à venir. La question pertinente n'est plus de savoir si ce risque sera traité — il le sera. Elle est de savoir si ce traitement interviendra avant ou après qu'un événement déclencheur en rende l'urgence irréfutable.