Présentation du Groupe

1.1L’histoire

La position d’OVHcloud en tant que premier fournisseur européen de cloud remonte à sa fondation en 1999 en tant que société d’hébergement Internet en France. Au cours des vingt-cinq dernières années, OVHcloud s’est considérablement développé, d’abord en accroissant son infrastructure et en élargissant sa présence en Europe, puis en diversifiant ses offres de cloud et en étendant ses activités à l’échelle mondiale.

Développements clés

1.2Le marché du cloud computing

1.2.1Le cloud computing

Le cloud computing consiste à fournir aux utilisateurs des ressources de stockage, de calcul et de réseau, à la demande. Les ressources du cloud sont situées dans des datacenters qui abritent des serveurs et des équipements utilisés pour traiter, stocker et transmettre des données. Les utilisateurs de services de cloud computing peuvent accéder aux données stockées et donner des instructions aux unités de traitement pour qu’elles exécutent des fonctions de calcul automatiquement, sans avoir besoin d’une interaction humaine, ce qui réduit au minimum les capacités de calcul et de stockage nécessaires sur leurs appareils (tels que les ordinateurs personnels, les tablettes et les téléphones mobiles). Où qu’ils se trouvent, tant qu’ils disposent d’une connexion Internet, les utilisateurs peuvent accéder aux services informatiques par le biais du cloud. 

Les entreprises peuvent créer et exploiter leurs propres datacenters en faisant appel à du personnel informatique interne, ou elles peuvent externaliser tout ou partie des fonctions à des fournisseurs de services de cloud computing tels qu’OVHcloud. Pour de nombreuses entreprises, le temps et l’investissement financier requis rendent le cloud computing propriétaire moins attrayant que l’externalisation, qui implique de ne payer que pour les ressources qu’elles utilisent réellement. En outre, il peut être difficile pour les entreprises qui ne sont pas spécialisées dans les services informatiques d’innover aux niveaux requis afin de garantir que leur infrastructure de cloud computing leur offre des services et des protections adéquats, tels que la sécurité des données. Les systèmes informatiques internes peuvent également ne pas être suffisamment évolutifs pour répondre aux demandes de charge de pointe (à moins que les entreprises ne maintiennent une capacité excédentaire coûteuse).

Les serveurs maintenus dans les datacenters peuvent être utilisés pour de multiples fonctions, chacune d’entre elles étant accessible par une « machine virtuelle » créée sur le serveur. Les machines virtuelles sont exploitées et séparées les unes des autres par une plateforme logicielle appelée « couche de virtualisation ». Chaque machine virtuelle peut avoir son propre système d’exploitation qui permet aux utilisateurs de développer et d’exécuter des applications. Grâce à une fonction appelée « hyperviseur », la capacité du serveur est allouée aux machines virtuelles en fonction des demandes des utilisateurs. Par ailleurs, des applications logicielles ont été écrites pour être regroupées dans des « conteneurs » qui s’exécutent directement sur le système d’exploitation du serveur lui‐même, coordonnés par des plateformes connues sous le nom de systèmes d’« orchestration », qui prennent généralement moins de place et peuvent offrir de meilleures performances que les piles de virtualisation basées sur un hyperviseur.  

La possibilité de créer plusieurs machines virtuelles dans chaque serveur ou de déployer des systèmes basés sur des conteneurs permet à un fournisseur de services cloud de répartir sa capacité entre plusieurs groupes d’utilisateurs ou clients de manière sécurisée. Les fournisseurs de services peuvent dédier un serveur à un seul client (un système de « cloud privé »), en répartissant la capacité du serveur entre les groupes d’utilisateurs autorisés par le client. Un serveur peut également être partagé entre plusieurs clients (un système de « cloud public »). Les clients du cloud privé paient généralement des frais mensuels pour une capacité dédiée, qu’ils utilisent ou non cette capacité. Les clients du cloud public paient généralement pour la capacité qu’ils utilisent réellement. 

Afin d’optimiser le coût des services cloud, de nombreuses entreprises déploient des stratégies de « cloud hybride », dans lesquelles elles combinent une capacité de cloud privé sur site ou externalisé, pour leurs fonctions et données les plus sensibles, avec une capacité de cloud public pour leurs besoins moins sensibles. Les clients déploient également des stratégies « multi‐cloud », en achetant des services de cloud auprès de plusieurs fournisseurs. Pour répondre à la demande croissante de services de cloud hybride et multi‐cloud, un fournisseur de cloud doit proposer des packages qui permettent aux différentes solutions de fonctionner comme un tout intégré. 

Le cloud computing englobe une gamme de services comprenant la fourniture d’un accès à l’infrastructure (Infrastructure-as-a-Service ou « IaaS »), la sélection et l’exploitation de plateformes telles que des systèmes d’exploitation, des piles de virtualisation et des systèmes de sécurité (Platform-as-a-Service ou « PaaS »), et l’offre d’applications développées et pouvant fonctionner sur des plateformes cloud (Software-as-a-Service ou « SaaS »). Le graphique suivant illustre ces caractéristiques :

Le marché des solutions cloud comprend également des services web destinés principalement aux particuliers et aux petites et moyennes entreprises. Le marché du Web cloud comprend essentiellement l’hébergement de sites web et de domaines, y compris la location de serveurs pour les sites web, la vente de services secondaires (tels que des progiciels) et les services d’enregistrement, de renouvellement et de transfert de noms de domaine.

1.2.2Un marché important et en forte croissance (1)

1.2.2.1Aperçu du marché du cloud

Taille du marché en 2024

OVHcloud détient des positions de leader en Europe, sur la base du chiffre d’affaires, dans les services de cloud privé. OVHcloud est également reconnu par IDC et Forrester pour la force de ses offres de cloud public et de cloud privé.

Les chiffres de marché et de la croissance potentielle estimée qui sont présentés ci‐dessous sont nécessairement sujets à des incertitudes, et la croissance réelle peut s’avérer différente (éventuellement de manière significative). 

En 2024, le marché mondial des offres de cloud IaaS et PaaS est estimé à environ 300‐330 milliards d’euros. Cela comprend un marché du IaaS estimé à 170‐190 milliards d’euros et un marché du PaaS estimé à 130‐140 milliards d’euros. 

Le marché IaaS comprend un montant estimé à 17,5-20,5 milliards d’euros en 2024 pour les services de cloud privé (y compris Bare Metal Cloud) et le reste pour le cloud public. 

Les segments liés aux services publics, à la santé, aux services financiers, aux services professionnels et les télécommunications sont particulièrement sensibles à la souveraineté des données. Cette thématique recouvre notamment l’importance d‘assurer aux clients la pleine maîtrise de la gestion et de la localisation de leurs données par les fournisseurs de cloud.

Le marché européen de la souveraineté de la donnée atteint près de 13 milliards d’euros en 2023, représente entre 20 et 25 % du marché total européen et est attendu en croissance de 29 % par an sur la période 2022-2027 (2).

Ainsi, depuis plusieurs années, OVHcloud développe une offre de confiance, conforme aux référentiels de sécurité des États membres de l’Union européenne. En France, depuis 2021, OVHcloud est qualifié SecNumCloud par l’ANSSI (le référentiel de cybersécurité français assurant une protection contre les lois extra‐européennes). Cette qualification a été renouvelée pour 3 ans en décembre 2023. OVHcloud a construit sur celle-ci son offre Hosted Private Cloud powered by VMware en 2021. De plus, la nouvelle offre Baremetal Pod (rack autonome de serveurs dédié à chaque client) est en cours de qualification SecNumCloud. En Europe, le Groupe a fait certifier plusieurs de ses produits sur des référentiels de confiance, en Italie (ACN), en Espagne (ENS) et en Allemagne (C5), par exemple. 

1.2.2.2Tendances du marché du cloud privé et public

OVHcloud estime que la tendance de forte croissance du marché du cloud devrait se poursuivre dans les années à venir car le marché bénéficie de leviers structurels robustes : 

• la dynamique de « Move to Cloud » pour la plupart des entreprises et des usagers ;
• l’essor du multi-cloud (avoir plusieurs fournisseurs cloud) et du cloud hybride (avoir plusieurs types de cloud) ;
• la forte demande autour de l’intelligence artificielle ;
• la montée en puissance de la souveraineté des données ;
• de plus en plus de clients à la recherche d’un cloud abordable.

Les marchés mondiaux de l’IaaS et du PaaS devraient ainsi connaître une croissance annuelle composée aux alentours de 23 % entre 2024 et 2027. 

OVHcloud estime que la croissance du marché a été tirée, et devrait continuer à l’être, par une augmentation constante des dépenses informatiques des entreprises, et une tendance continue à l’externalisation, notamment en ce qui concerne les dépenses informatiques consacrées au cloud. 

Ces tendances de forte croissance, confirmées à moyen terme, sont impactées en 2023 et 2024 par un contexte macro-économique qui incite la plupart des acteurs économiques à rationaliser leurs dépenses informatiques et notamment les dépenses cloud. Cela se traduit par le décalage de projets de migration ou l’optimisation des infrastructures cloud existantes.

Bien qu’OVHcloud s’attende à une croissance importante dans chacun des segments du marché, le taux de croissance peut varier significativement selon les segments, en fonction des usages spécifiques et des exigences des clients :

• le cloud public devrait être le segment le plus dynamique, avec une croissance annuelle supérieure à 20 % de 2024 à 2027 à l’échelle mondiale, grâce à une grande évolutivité et au large éventail d’utilisations potentielles des services de cloud public ; 
• le cloud privé devrait également connaître une croissance importante, car les entreprises cherchent à combiner les besoins d’externalisation et de confidentialité des données. OVHcloud prévoit une croissance mondiale annuelle aux alentours de 10 % de 2024 à 2027 pour les services de cloud privé. OVHcloud estime que cette croissance sera alimentée par une tendance continue à l’externalisation, le développement de solutions de cloud hybride et multi‐cloud, et un besoin croissant de solutions dédiées et sécurisées avec de solides protections de la confidentialité des données, qui sont plus difficiles à assurer sur le cloud public.

Le marché du PaaS devrait connaître une croissance de plus de 20 %, tirée par l’intelligence artificielle et la gestion des bases de données.

Le marché des services cloud évolue également rapidement, modifiant certains des principaux facteurs de croissance du marché, en particulier pour les clients professionnels. Alors que la croissance globale reflète un besoin de stocker et de traiter des quantités toujours plus importantes de données, OVHcloud pense que le marché met davantage l’accent sur des sujets tels que la souveraineté des données, la sécurité des données et l’impact environnemental de la gestion des datacenters.

1.2.2.3Le marché des services Web cloud

Le marché de l’hébergement de sites Internet et de domaines était estimé, en 2020, à environ 5 milliards d’euros au niveau mondial. OVHcloud opère sur le marché du Web cloud à travers l’hébergement de sites Internet et l’enregistrement de noms de domaine, ainsi qu’à travers la fourniture de services d’accès à Internet et de solutions de protocole voix sur Internet. 

Le marché du Web cloud en Europe est plus mature que le marché du cloud privé et public. OVHcloud s’attend à ce que le marché de l’hébergement de sites Internet et de domaines en Europe continue à croître au cours des prochaines années, bien que peut-être à un rythme légèrement plus lent que précédemment.

OVHcloud estime que la croissance future du marché sera stimulée par le fait qu’une présence sur le Web est considérée comme essentielle pour de nombreuses entreprises, ainsi que par les possibilités de vente croisée et de vente de services supplémentaires aux utilisateurs actuels du Web cloud.

1.2.3Une position de leader européen du cloud

Le marché mondial du cloud privé est fragmenté, les cinq premiers acteurs représentant moins de la moitié du marché. OVHcloud estime être l’un des deux principaux fournisseurs de services de cloud privé en Europe continentale, avec IBM Cloud. Les autres principaux fournisseurs de cloud privé en Europe continentale sont Hetzner (Allemagne) et Rackspace (États‐Unis/international). En 2020, IBM Cloud et Rackspace étaient les leaders aux États‐Unis et en Europe du Nord (y compris le Royaume‐Uni), où OVHcloud détient une part de marché significative, bien qu’inférieure à 5 % étant donné la fragmentation du marché. 

Le marché du cloud public est dominé par les « hyperscalers », Amazon Web Services, Microsoft Azure et Google Cloud Platform, qui représentaient ensemble près de 70 % du marché mondial du cloud public en mars 2024. 

Sur la base de retours clients, OVHcloud estime que les facteurs clés qui déterminent le choix d’un fournisseur de services cloud comprennent le rapport prix/performance, la continuité et la fiabilité du service, la performance technique, la sécurité/souveraineté des données et la localisation du datacenter. Le rapport prix/performance est le critère le plus significatif dans le segment du Bare Metal Cloud, tandis que la continuité et la fiabilité ont une importance à peu près égale au rapport prix/performance dans le segment de l’Hosted Private Cloud, et représentent le facteur le plus important dans le segment du cloud public. Dans ce dernier segment de marché sont également prises en compte, dans le choix du fournisseur, la réversibilité et la flexibilité apportées, respectivement, par l’utilisation de technologies open source et le modèle de paiement à l’usage.

OVHcloud propose actuellement des offres PaaS dans des domaines tels que la conteneurisation, la gestion de la data et l’intelligence artificielle intégrées à ses offres IaaS, et est en train d’étendre sa présence sur le marché du PaaS. Pour cette raison, OVHcloud ne dispose pas d’une part de marché significative dans les offres PaaS identifiées, un marché actuellement dominé par les hyperscalers et, dans une moindre mesure, des acteurs verticaux spécialisés. Dans le cadre de sa stratégie de croissance, OVHcloud prévoit de continuer à étendre les composantes PaaS de ses offres et de poursuivre son développement dans le domaine de l’intelligence artificielle. Grâce à la complémentarité de ces offres PaaS et son très large catalogue IaaS, OVHcloud offre une alternative attrayante à sa clientèle, cible composée de grandes entreprises et de sociétés technologiques. L’offre OVHcloud continue également à se différencier par différents modes de déploiement et certifications locales.

1.3L’activité

1.3.1Une offre complète de solutions

1.3.1.1Cloud privé

OVHcloud propose deux offres principales de cloud privé : le Bare Metal Cloud et le Hosted Private Cloud.

Bare Metal Cloud

Le service de Bare Metal Cloud d’OVHcloud fournit des serveurs physiques dédiés aux clients, qui ont un contrôle total sur le serveur, y compris le choix du système d’exploitation. Le Bare Metal Cloud leur permet d’avoir une expérience similaire à celle qu’ils auraient avec des solutions sur site gérées par leurs équipes internes, tout en profitant des avantages offerts par l’externalisation. 

L’offre principale de Bare Metal Cloud d’OVHcloud commercialise des serveurs haut de gamme et des offres de services de moyen à haut niveau. OVHcloud dispose également d’une offre à prix modeste commercialisée sous la gamme « Eco » utilisant des serveurs rénovés qui fournissent des services de qualité à un coût réduit, tout en améliorant l’efficacité environnementale. 

Les services de Bare Metal Cloud offrent aux entreprises clientes une puissance informatique de haut niveau et des accords de niveau de service stricts, dans un environnement sécurisé adapté aux applications sensibles. Le serveur peut être personnalisé pour répondre aux besoins du client, et peut être exploité sans qu’il soit nécessaire d’allouer la capacité du serveur à des machines virtuelles par le biais d’un hyperviseur, ce qui permet au client d’utiliser la pleine capacité du serveur. Toute capacité inutilisée peut être déployée en quelques minutes, bien que la capacité totale soit limitée par celle du serveur dédié. 

Les clients du Bare Metal Cloud paient des frais mensuels qui dépendent des niveaux de performance qu’ils sélectionnent. Ils peuvent également choisir des options (telles que la personnalisation du serveur ou la sauvegarde des données) moyennant des frais supplémentaires. 

Les principaux usages des services Bare Metal Cloud comprennent le calcul de données complexes, les opérations à faible latence, le streaming, les jeux en ligne, les applications d’entreprise critiques telles que les ERP et CRM. 

Hosted Private Cloud

OVHcloud propose des services de Hosted Private Cloud à ses clients professionnels, fournissant des serveurs entièrement gérés par OVHcloud, y compris le système d’exploitation et la couche de virtualisation, en partenariat avec les offres de VMware ou Nutanix. 

 1. VM : Machine Virtuelle.

Les services de Hosted Private Cloud d’OVHcloud fournissent aux clients un accès privé à des serveurs, à niveaux élevés de performance, qui peuvent être personnalisés pour satisfaire les exigences spécifiques du client. Ils répondent aux besoins des clients qui recherchent l’isolement et la sécurité, des ressources évolutives et la résilience.

Les principaux usages des services de Hosted Private Cloud comprennent le déploiement dans le cadre de stratégies de cloud hybride, l’encodage de médias, l’analyse de big data, la reprise après sinistre, ainsi que le stockage et le traitement de données sensibles dans des secteurs clés tels que la santé, la finance et le secteur public.

Depuis 2021, OVHcloud propose des offres Hosted Private Cloud qualifiées SecNumCloud. La qualification SecNumCloud apporte aux clients l’assurance de choisir des solutions qui respectent les plus hauts standards de sécurité de l’ANSSI, ainsi que la garantie de recourir à des solutions adaptées aux données sensibles des administrations et des entreprises.

1.3.1.2Cloud public

OVHcloud propose des solutions de cloud public basées sur des technologies open source telles qu’OpenStack (une plateforme qui permet de déployer des ressources de traitement, de stockage et de mise en réseau) et Kubernetes (une plateforme d’orchestration de conteneurs, devenue un standard de marché). L’utilisation de ces plateformes standard offre aux clients une capacité de transfert de données facile et un accès volontairement transparent au code source, facilitant la réversibilité et éliminant le « verrouillage par le fournisseur ». Cette caractéristique de l’offre OVHcloud est particulièrement attrayante pour les clients qui cherchent à déployer des stratégies de multi‐cloud. 

Les solutions de cloud public offrent aux utilisateurs une capacité de calcul pratiquement illimitée, la seule contrainte étant la capacité totale installée du fournisseur de cloud. Il est possible de déployer de nouvelles instances de cloud public automatiquement et en quelques secondes. Comme le service de cloud public est basé sur des serveurs partagés, les options de personnalisation sont définies par OVHcloud. Les niveaux de service sont élevés étant donné la flexibilité de l’architecture matérielle. 

Les clients du cloud public paient des frais d’utilisation pour la capacité qu’ils utilisent réellement. Le modèle d’OVHcloud offre beaucoup plus de prévisibilité que les modèles utilisés par les hyperscalers et de nombreux autres concurrents. En particulier, contrairement aux hyperscalers, OVHcloud ne facture pas de frais supplémentaires pour les transferts de données sortants ou les appels API, sauf pour les stockages block et archive, et pour les services localisés en Asie‐Pacifique. 

L’offre de cloud public du Groupe fournit trois services de cloud computing de base : la performance informatique (le compute), le stockage et les capacités réseau. 

Les clients des solutions de cloud public OVHcloud peuvent choisir des services de cloud public entièrement évolutifs sur des machines virtuelles qui sont hébergées sur des serveurs et des réseaux partagés. 

Le service de cloud public d’OVHcloud est intéressant pour les clients qui recherchent des ressources hautement évolutives, avec des demandes de gestion de pics importants sur plusieurs sites d’accès, et un degré élevé de résilience. Ce service est utilisé pour les applications à forte demande et les services qui utilisent de grands volumes de données, comme le streaming vidéo et musical. 

Les clients du cloud public d’OVHcloud peuvent également choisir parmi un certain nombre de logiciels à la demande (SaaS) fonctionnant sur les serveurs du cloud public d’OVHcloud. En particulier, OVHcloud propose à ses clients des accès aux solutions de messagerie et de calendrier Microsoft Exchange, aux solutions de stockage et de gestion des données SharePoint et à la suite logicielle professionnelle Office365.

1. VM : Machine Virtuelle.

Serveur privé virtuel 

OVHcloud offre également une option de serveur privé virtuel, fournissant des capacités informatiques situées sur des serveurs partagés, mais avec des machines virtuelles isolées par l’utilisation de réseaux privés virtuels. 

L’option de serveur privé virtuel est intéressante pour les clients qui recherchent des ressources sur mesure, en particulier pour les opérations de courte durée avec des charges de travail et une demande de serveur volatiles. Les solutions de serveurs privés virtuels sont principalement utilisées pour les tests d’applications et autres projets ponctuels, la gestion des pics de charge de courte durée et les fonctions de sauvegarde. 

 1. VM : Machine Virtuelle.

Platform-as-a-Service (PaaS)

Dans le cadre de sa stratégie de croissance, OVHcloud est en train de développer et de mettre en œuvre une offre PaaS complète, superposée aux produits IaaS de cloud privé et de cloud public. En plus de développer des produits en interne, OVHcloud a annoncé plusieurs partenariats et acquisitions, dans le but d’accélérer son plan de développement, ce qui lui permet de proposer plus de 80 solutions IaaS et PaaS à ses clients à la fin de l’exercice 2024, principalement dans les domaines suivants :

• Storage. OVHcloud propose aujourd’hui à ses clients un portefeuille complet d’offres de stockage telles qu’Object Storage S3 (High Performance et Standard), Block Storage, File Storage, Snapshot & Backup et Archive ; 
• Database‐as‐a‐Service. Les logiciels de gestion des données permettent aux utilisateurs de gérer leurs bases de données afin de permettre les requêtes et les mises à jour. Ils comprennent des programmes qui exécutent des requêtes sur les données et fournissent une représentation visuelle des données dans des formats tels que les feuilles de calcul, permettant aux utilisateurs de construire des applications plus rapidement et d’automatiser la gestion des bases de données. OVHcloud a annoncé un partenariat en avril 2021 avec MongoDB, et en juillet 2021 avec Aiven pour rendre disponibles plusieurs types de base de données sur l’infrastructure d’OVHcloud ;
• AI, Machine Learning & Analytics. Les solutions d’intelligence artificielle et d’analytique comprennent des outils et des services soutenant l’analyse et la présentation des données. OVHcloud est particulièrement avancé dans les solutions de calcul haute performance pour l’intelligence artificielle et le machine learning, et entend poursuivre son développement dans ce domaine. En avril 2022, OVHcloud a annoncé l’acquisition de ForePaaS, une société spécialisée dans le domaine de l’analytics. Depuis deux ans, OVHcloud a renforcé son offre de produits liés à l’intelligence artificielle, comme AI Notebook, AI Deploy, AI Training, AI App Builder ou encore AI Endpoint ;
• Security & Encryption. OVHcloud élargit son offre de solutions de gestion de l’accès aux identités et de chiffrement, y compris le chiffrement de bout en bout qui sécurise les données des clients dans tous les états. En juillet 2021, OVHcloud a annoncé l’acquisition de BuyDRM, une société américaine spécialisée dans ce domaine ; 
• Application platforms. Les plateformes d’applications sont des solutions logicielles de serveur back‐end fournissant aux développeurs un environnement d’exécution et de développement.

1.3.1.3Web cloud et autres

OVHcloud propose des services de Web cloud depuis sa création en 1999. Avec sa position de leader sur le marché français et de fortes positions ailleurs en Europe, l’offre Web cloud assure une base de revenus stable et récurrente et une croissance régulière.

OVHcloud offre trois solutions principales aux clients du Web cloud :

• Web hosting et noms de domaine. Cela comprend la location de capacité d’hébergement sur des serveurs, permettant aux clients de connecter leurs sites web à Internet, ainsi que l’enregistrement, le renouvellement et le transfert de noms de domaine. Les clients peuvent choisir des forfaits de base offrant un ou quelques sites web seulement, ou des forfaits destinés aux professionnels et aux développeurs qui souhaitent héberger plusieurs sites web, ainsi que des adresses électroniques et des options de stockage. OVHcloud propose à ses clients des services supplémentaires, tels que les certificats SSL (Secure Socket Layer), qui permettent des connexions sécurisées entre un serveur web et un navigateur ; 
• Téléphonie et connectivité. Les clients peuvent acheter des systèmes de VoIP (Voice over IP) leur permettant des utilisations telles que les standards téléphoniques et les systèmes de réponse vocale interactive. OVHcloud offre également à ses clients un accès à Internet via les réseaux ADSL et fibre optique, avec des forfaits de base et professionnels ;
• Support et services. OVHcloud propose à ses clients des niveaux supplémentaires de support et de services, qui regroupent un ensemble de solutions d’assistance, d’expertises et de services en ligne. Les offres de support peuvent être Business, qui correspond au niveau adapté aux environnements de production ou Enterprise, qui propose une expérience grand compte pour les environnements de production critique. Les services additionnels sont proposés dans l’offre de Professional Services, qui donne accès à du support technique et des conseils lors de projets de migration d’infrastructure ou de modification d’architecture IT.

Les principaux clients d’OVHcloud dans le segment du Web cloud sont les petites et moyennes entreprises, ainsi que certains particuliers et entrepreneurs. Les clients du Web cloud sont généralement à la recherche de services web et de communication sécurisés et fiables, pour établir leur présence sur le web, et pour numériser les fonctions de l’entreprise.

1.3.2La segmentation client

OVHcloud sert environ 1,6 million de clients, dont des grandes entreprises, des entités publiques, des petites et moyennes entreprises, et un large éventail de clients particuliers. 

La clientèle est très diversifiée, les 50 premiers clients représentant environ 10 % du chiffre d’affaires de l’exercice 2024, et les 500 premiers clients représentant environ 25 % du chiffre d’affaires de l’exercice 2024. 

Afin de comprendre et de répondre au mieux aux demandes de cette clientèle, la stratégie commerciale d’OVHcloud s’articule autour de deux canaux de ventes, chacun ayant sa propre stratégie de vente : le canal Digital, et le canal Entreprise.

Le canal Digital

OVHcloud a historiquement occupé une position forte auprès des petites et moyennes entreprises, qu’elles soient ou non spécialisées dans la technologie. Pour adresser au mieux ces entreprises, OVHcloud a mis en place le canal de ventes Digital en vue de leur proposer des solutions cloud et/ou web au meilleur rapport performance-prix, rapides et flexibles grâce à un parcours 100 % numérique, sans contact humain direct.

Ces clients du secteur technologique s’abonnent aux produits et services d’OVHcloud par le biais de canaux de marketing numérique, attirés par un accès rapide aux services et la possibilité de choisir parmi une large gamme de solutions qui peuvent être personnalisées sur le site Internet d’OVHcloud pour répondre à leurs besoins. Le parcours du client sur le site est soigneusement structuré et après la vente, les clients à fort potentiel sont identifiés pour capitaliser sur les opportunités de vente additionnelle (up-sell) et de vente transversale (cross-sell).

La stratégie de vente pour ce canal est particulièrement efficace pour pénétrer de nouvelles zones géographiques, car il permet à OVHcloud de débuter progressivement sur des nouveaux marchés, avec un engagement financier limité, avant de se développer avec des équipes commerciales physiques locales. 

Le canal Digital représente environ 44 % du chiffre d’affaires de 2024 et a connu un taux de croissance annuel composé (CAGR) de 11,5 % de son activité au cours des trois dernières années.

Le canal Entreprise composé de « Corporate & Partners » et « Tech »

Le canal Entreprise représente la stratégie de ventes directe et indirecte d’OVHcloud pour adresser sa clientèle composée de grandes entreprises, de PME, et d’entités publiques, qui est en train de migrer massivement vers le cloud. Ce canal de ventes englobe deux sous-canaux : le canal Corporate & Partners et le canal Tech.

Le canal Corporate & Partners, qui est principalement constitué de ventes indirectes, s’appuie sur le solide et vaste réseau de plus de 1 300 partenaires intégrateurs informatiques d’OVHcloud qui inclut des sociétés de conseil de renommée mondiale telles qu’Accenture et Capgemini. Ce canal cible principalement les moyennes et grandes entreprises traditionnelles, qui ne sont pas, par nature, des entreprises du numérique. Bien qu’elles soient à la recherche de performances élevées dans un environnement sécurisé, ces entreprises sont généralement de grandes sociétés en cours de transformation numérique et à la recherche d’un niveau élevé d’assistance.

Sur le terrain, les ventes sont facilitées par ces partenaires intégrateurs informatiques, et les étapes suivantes du parcours du client sont gérées en interne par les équipes gestionnaires de comptes techniques, de services professionnels et gestionnaires de comptes clés.

Cette stratégie de vente indirecte est particulièrement efficace lorsqu’il s’agit de s’adresser aux gouvernements et aux secteurs publics, comme le secteur de la santé qui est l’un des secteurs générant le plus de données. En tant que champion européen de la souveraineté des données, doté des normes et des certifications les plus élevées, OVHcloud est en effet intrinsèquement adapté pour répondre aux exigences rigoureuses de ces entreprises. Pour le secteur public, OVHcloud propose des offres qualifiées SecNumCloud qui respectent les plus hauts standards de sécurité de l’ANSSI. Pour le secteur de la santé, OVHcloud détient les certifications les plus élevées pour le traitement des données médicales en France avec la norme Hébergeurs de Données de Santé (HDS) et aux États-Unis avec la norme Health Insurance Portability and Accountability Act (HIPAA).

Le second sous-canal, le canal Tech, est constitué principalement de ventes directes qui se réalisent via les forces de ventes internes d’OVHcloud. Les clients du canal Tech sont généralement des entreprises du numérique par essence, à la recherche de solutions ultra-performantes dans un environnement sécurisé. Compte tenu de leur propension à innover et du haut niveau technique de leurs demandes, OVHcloud met à disposition de ses clients des équipes d’experts dédiés (commerciaux, développeurs et gestionnaires de comptes) en contact direct tout au long de leur parcours. Pour soutenir davantage ces clients technophiles dans leurs efforts d’innovation, OVHcloud déploie également des programmes spécialisés comme un programme dédié aux start-ups et le programme Open Trusted Cloud.

Au global, avec ces deux sous-canaux, le canal Entreprise représente environ 56 % du chiffre d’affaires de 2024 et a connu un taux de croissance annuel composé (CAGR) de 16,9 % de son activité au cours des trois dernières années.

1.3.3Empreinte géographique

OVHcloud a développé une empreinte mondiale avec une forte base de clients en Europe, aux États‐Unis et en Asie. L’expansion géographique est un élément important de la stratégie de croissance d’OVHcloud. 

Pendant l’exercice 2024, OVHcloud a réalisé 48,6 % de son chiffre d’affaires auprès de clients situés en France, 29,1 % auprès de clients situés ailleurs en Europe et 22,3 % auprès de clients situés dans le reste du monde. 

Dans le cadre de sa stratégie d’expansion géographique, OVHcloud a établi des regroupements géographiques en pôles basés sur des caractéristiques communes telles que les langues et les tendances d’utilisation du cloud. Les pôles sont illustrés par le graphique suivant :

Les pôles de vente fonctionnent sur la base d’une stratégie qui combine efficacité mondiale et service local. Dans ses pôles, OVHcloud offre des services tels que des sites de vente digitale et un support en langue locale, des programmes dédiés aux partenaires et aux start‐ups, ainsi que des équipes commerciales locales à l’écoute des tendances des marchés qu’elles servent.

1.4Stratégie et objectifs

1.4.1Une stratégie développée autour de 4 piliers

Depuis 2021 et son introduction en bourse, OVHcloud a déployé sa feuille de route stratégique. Le Groupe a en effet réussi à :

• développer des segments clés de clientèle avec une progression de l’ARPAC (3) moyen de + 48 % entre 2021 et 2024 ; 
• adresser un marché plus large en proposant aujourd’hui à ses clients plus de 40 produits Public cloud ;
• étendre son empreinte géographique avec l’ouverture de plus de 10 nouveaux datacenters depuis 2021 pour atteindre 43 datacenters à la fin de l’exercice 2024 ;
• investir dans le développement interne avec un montant de capex de croissance cumulé de près de 900 millions d’euros entre 2021 et 2024 et les opportunités de croissance externe avec 3 acquisitions depuis 2021 (BuyDRM, dans la sécurité, ForePaaS, dans la gestion des données, et gridscale, pour ouvrir des Local Zones avec une intensité capitalistique minimale).

À la suite de ces investissements significatifs, OVHcloud a présenté un nouveau plan, développé autour de 4 piliers stratégiques : (i) Être la référence pour la souveraineté des données, (ii) Innover pour les prochaines révolutions technologiques, (iii) Croître de manière profitable et durable, ainsi que (iv) Maximiser la génération de trésorerie.

Être la référence pour la souveraineté des données

OVHcloud bénéficie déjà d’un différenciant structurel en étant immunisé aux lois extraterritoriales et a développé une stratégie de certifications auprès des régulateurs nationaux ou internationaux qui porte ses fruits.

Dans les prochaines années, le Groupe va continuer à étendre son offre de produits certifiés, notamment avec les projets d’extension de la qualification SecNumCloud en France à ses services de cloud public et de Bare Metal cloud dès 2024-2025. En outre, OVHcloud a inauguré fin 2023 un troisième datacenter certifié SecNumCloud en France. 

Par ailleurs, des services spécifiques sont actuellement en développement afin de répondre de manière encore plus précise aux besoins de certaines verticales, notamment le secteur public et la santé.

Innover pour les prochaines révolutions technologiques 

L’innovation est au cœur de la proposition de valeur d’OVHcloud et le Groupe continuera d’investir pour innover et préparer les prochaines révolutions technologiques, telles que l’intelligence artificielle, déjà en cours, ou l’informatique quantique dans un horizon moyen-terme.

Concernant l’intelligence artificielle, le Groupe continue à renforcer son offre, notamment en développant des solutions d’IA qui garantissent la confidentialité et la souveraineté des données des clients. En effet, OVHcloud met à disposition de ses clients une gamme complète de GPUs NVIDIA Tensor Core (H100, A100, L4, L40S) accessible dans le Cloud Public et de modèles IA de pointe avec l’intégration des derniers LLMs open-source, tels que Mistral 8x22B ou Llama3, qui sont notamment disponibles sur étagère via la solution serverless OVHcloud AI Endpoints. L’IA ouvre des nouveaux usages et est au cœur d’une révolution, qui créée des enjeux extrêmement forts notamment en matière de propriété intellectuelle et de confidentialité des données.

OVHcloud est également en avance de phase sur l’informatique quantique, qui constituera l’une des prochaines révolutions technologiques du 21ème siècle. OVHcloud est le seul fournisseur cloud européen à proposer à ses clients 5 notebooks quantiques et 1 émulateur quantique. Par ailleurs le Groupe accompagne 14 start-ups leaders sur le quantique et possède 1 ordinateur photonique de Quandela.

Croître de manière profitable et durable et Maximiser la génération de trésorerie  

Depuis 2021, OVHcloud a ouvert 10 nouveaux datacenter, a investi significativement dans le développement de nouveaux produits et a notamment mis en place un programme visant à améliorer la résilience de ses infrastructures. 

Pour les prochaines années, OVHcloud prévoit d’optimiser le taux d’utilisation de ses datacenters, qui est légèrement supérieur à 60 % en 2024, d’améliorer la gestion des stocks et de stabiliser, en valeur absolue, les investissements dans les nouveaux produits.

Enfin, le Groupe prévoit une réduction des investissements exceptionnels (Plan d’hyper-résilience, achats d’IPv4 ou amélioration des stocks liés aux tensions sur les chaînes d’approvisionnement) d’ici 2026.

OVHcloud vise une amélioration de son Unlevered Free Cash-flow sur l’année 2025 comparé à celui de l’exercice 2024 et une génération de Free Cash-flow dès 2026.

1.4.2Un plan qui se matérialise par 3 axes de croissance

Le plan de développement se matérialise par 3 axes de croissance : 

1. les Produits : 
   • adresser un marché plus important, en développant notamment une gamme de produits PaaS toujours plus large,
   • proposer des solutions d’intelligence artificielle qui respectent la confidentialité des données des clients,
   • étendre les produits certifiés pour la souveraineté des données ;
2. les Clients : 
   • continuer à étendre la base de clients d’OVHcloud, notamment en ciblant des verticales précises (secteur public ou santé),
   • renforcer le canal de vente via les partenaires,
   • animer l’acquisition de nouveaux clients avec des investissements marketing ;
3. les Géographies : 
   • améliorer le taux d’occupation des datacenters déjà ouverts à travers le monde,
   • déployer de nouveaux emplacements avec une intensité capitalistique réduite.

1.4.3Objectifs financiers 2025 et 2026

Pour l’exercice 2025, OVHcloud vise les objectifs financiers suivants :

• La croissance organique du chiffre d’affaires devrait être comprise entre 9 et 11 % par rapport à l’année 2024 ;
• La marge d’EBITDA ajusté devrait se situer aux alentours de 40 %;
• Les capex récurrents et de croissance devraient être respectivement compris entre 11 à 13 %, et 19 à 21 % du chiffre d’affaires ;
• Le Unlevered Free Cash-flow devrait être en croissance par rapport à l’année 2024 positif.

Après une période d’investissements majeurs, OVHcloud débute une nouvelle phase de développement avec de nouveaux objectifs financiers au-delà de l’exercice 2025

• Une croissance solide et durable d’environ 10 % ;
• Une marge d’EBITDA ajusté structurellement supérieure à 40 % ;
• Un Levered Free Cash Flow positif dès FY2026.
•  

1.5Les atouts concurrentiels d’OVHcloud

1.5.1Le champion de la souveraineté des données avec une présence mondiale

OVHcloud est le leader européen du cloud et seul acteur non américain ou non chinois parmi les 10 plus grands fournisseurs mondiaux de services cloud (4). OVHcloud est le seul acteur de taille à ne pas être soumis à des lois extraterritoriales.

En plus de son différenciant structurel, OVHcloud a développé un très grand nombre de certifications à travers le monde afin de répondre aux différentes réglementations nationales ou internationales.

Source : Au 31 août 2024, Société.

(1) Un point de présence est un point où le réseau établit une connexion à Internet.

(2) Tera bits par seconde.

1.5.2Un prix prédictible et transparent

OVHcloud propose des prix prédictibles et transparents, c’est-à-dire sans frais cachés et faciles à comprendre et ne pratique pas de lock-in économique (pas d’Egress Fees) ni technologique. Enfin, le prix affiché pour les clients intègre les coûts liés aux réseaux, souvent l’une des principales surprises dans les factures mensuelles des clients.

1.5.3Un modèle industriel intégré qui démontre son efficacité économique

OVHcloud a développé un modèle industriel entièrement intégré qui lui permet d’être plus efficient économiquement. Le Groupe acquiert des composants électroniques, assemble les serveurs, exploite les datacenters et développe sa technologie de cloud (en interne ou open source). Ce modèle intégré permet une optimisation tout au long de la chaîne et limite les marges d’intermédiaires, tout en permettant la mise en place de technologies d’avant-garde notamment le refroidissement à eau (water-cooling). 

Par ailleurs, grâce à ce modèle durable, OVHcloud peut recycler ses serveurs, leur offrant ainsi une deuxième et une troisième vie commerciale avec un retrofit. Le modèle permet également de proposer une customisation aux clients et donc une profondeur d’offre particulièrement importante.

OVHcloud dispose de deux sites de production dédiés – en France et au Canada – pour assembler les différents composants matériels en serveurs. Une fois les différents composants assemblés, ils sont transportés vers le datacenter et personnalisés si nécessaire avant d’être livrés au client.

Comme OVHcloud fabrique ses serveurs en interne, le Groupe ne dépend pas d’un fabricant tiers, ce qui réduit le risque de rupture de la chaîne d’approvisionnement.

En outre, en étant propriétaire et exploitant de ses datacenters, OVHcloud a davantage de contrôle sur chaque étape du processus de production, ce qui, à son tour, offre à ses clients davantage de possibilités de personnalisation. Avec des datacenters répartis sur 18 sites dans 9 pays à travers le monde, OVHcloud est en mesure de livrer des serveurs à ses clients dans des délais courts : dans les sites européens et nord‐américains d’OVHcloud, il faut environ 14 jours entre la production des serveurs et leur livraison. Les datacenters d’OVHcloud sont généralement hébergés dans d’anciens bâtiments industriels, ce qui lui a procuré un avantage en termes de coûts et a permis de réduire son impact environnemental en réutilisant les ressources existantes.

Utilisée depuis plus de 20 ans, la technologie de refroidissement à l’eau d’OVHcloud combine des serveurs refroidis à l’eau avec des datacenters refroidis à l’air, supprimant ainsi le besoin de climatisation, ce qui présente des avantages significatifs en termes de coûts et d’impact environnemental. Elle utilise le refroidissement direct par eau pour éliminer la chaleur des processeurs (CPU), et l’air – qui est ensuite refroidi à l’intérieur du rack en utilisant de l’eau à travers un échangeur de chaleur – pour éliminer la chaleur des autres composants. L’eau chauffée est ensuite refroidie à l’aide de tours de refroidissement sèches. En plus d’être très efficace en termes d’énergie et d’eau, la technologie de refroidissement par eau d’OVHcloud a également des coûts de maintenance relativement faibles.

1.5.4Un des meilleurs rapports performance-prix de l’industrie

Grâce à son modèle intégré, OVHcloud est capable d’afficher l’un des meilleurs rapport performance-prix de l’industrie du cloud. C’est notamment le cas sur les dernières cartes graphiques (GPU) NVIDIA A100 où OVHcloud ressort comme l’un des prestataires les plus abordables à service comparable (5).

1.5.5Un cloud durable par design

Le contrôle complet de la chaîne de valeur permet à OVHcloud d’être, de par sa conception, un pionner du cloud durable. Sa technologie de water-cooling, lui permet de consommer moins d’électricité et moins d’eau. En plus de l’avantage économique induit, le Groupe affiche parmi les meilleurs ratios environnementaux (audités) de l’industrie avec un PUE (Power Usage Effectiveness) de 1,26 et un WUE (Water Usage Effectiveness) de 0,37 L/kWh en 2024.

Brevets 

Afin de soutenir ses initiatives de recherche et développement, OVHcloud est proactif dans la recherche des brevets nécessaires à la protection de sa propriété intellectuelle. Au 31 août 2024, OVHcloud détenait 189 familles de brevets, qui peuvent être largement regroupées dans les catégories suivantes :

• Logiciel (software). Les brevets logiciels couvrent les technologies liées aux logiciels utilisés dans le contexte de l’installation, du déploiement, de la configuration, de l’exploitation, de la surveillance et de la maintenance des serveurs et des équipements exploités dans les datacenters. Ces technologies liées aux logiciels couvrent une grande variété de domaines, tels que l’orchestration de réseaux, la configuration et la gestion du stockage, la gestion de l’alimentation électrique, la surveillance de l’état de santé, les techniques d’intelligence artificielle utilisées dans le contexte de l’exploitation des datacenters et les applications logicielles de niveau supérieur, telles que les applications web. Ils constituent le plus grand pourcentage du portefeuille d’OVHcloud : au 31 août 2024, ils représentaient environ 35 % du portefeuille de brevets d’OVHcloud ; 
• Refroidissement. Les brevets sur le refroidissement couvrent les technologies relatives aux systèmes et méthodes d’extraction de la chaleur des composants électroniques, en particulier des serveurs fonctionnant dans des racks empilés dans des datacenters. Les technologies couvertes vont de l’extraction de l’énergie thermique des composants électroniques au rejet de l’énergie thermique extraite dans un environnement extérieur. Cette catégorie comprend le refroidissement par air, le refroidissement par liquide et le refroidissement immersif. Au 31 août 2024, ces brevets représentaient environ 37 % du portefeuille de brevets d’OVHcloud ; 
• Électronique. Les brevets électroniques couvrent les technologies relatives aux composants électroniques facilitant le déploiement et le fonctionnement des serveurs dans les datacenters. Ces composants électroniques fournissent des fonctionnalités telles que des interfaces d’échange de données, une alimentation électrique et/ou un contrôle du refroidissement. Ces brevets représentaient environ 14 % du portefeuille de brevets d’OVHcloud au 31 août 2024 ; 
• Mécanique. Ces brevets, qui représentaient environ 14 % du portefeuille de brevets d’OVHcloud au 31 août 2024, couvrent des technologies relatives à la conception structurelle des racks, au support des racks, aux outils à utiliser dans le cadre de l’installation des racks et aux composants structurels des échangeurs de chaleur.

1.5.6Des valeurs qui favorisent une culture de collaboration et d’entreprise

OVHcloud a été fondé en 1999 par M. Octave Klaba, son actuel Président, qui a développé l’entreprise depuis ses origines en tant que groupe d’hébergement de sites Internet jusqu’à sa position actuelle de fournisseur de cloud de premier plan. Les membres de l’équipe de direction ont une expérience significative dans certaines des entreprises de croissance les plus dynamiques, offrant au Groupe une équipe de direction solide et expérimentée qui est bien placée pour conduire la réalisation du plan de croissance stratégique d’OVHcloud. Depuis le 23 octobre 2024, cette équipe est dirigée par M. Benjamin Revcolevschi qui a été nommé Directeur Général d’OVHcloud. Dirigeant chevronné des secteurs des télécommunications et de l’informatique, Benjamin Revcolevschi a rejoint OVHcloud le 6 mai 2024 en qualité de Directeur Général Adjoint où il a pris en charge l’ensemble des opérations du Groupe tant en France qu’à l’international. Benjamin Revcolevschi a débuté sa carrière au Boston Consulting Group, a occupé des postes de direction opérationnelle et business chez Neuf Cegetel/SFR puis a pris la direction générale de Fujitsu en France et la direction de DXC Technology en France et au Benelux. 

Le Groupe compte à fin août 2024 près de 3 000 collaborateurs, répartis dans 15 pays différents, et représentant plus de 60 nationalités. Les enquêtes d’opinion menées auprès des collaborateurs montrent un taux d’engagement qui demeure très fort avec un résultat à 7,2. Le taux de départ volontaire s’établit quant à lui à 9,2 % pour l’exercice 2024.

1.6Environnement législatif et réglementaire

1.6.1Législation et réglementation dans l’Union européenne

En tant que fournisseur de services cloud français, OVHcloud est soumis aux réglementations européennes dans un grand nombre de domaines, notamment les services informatiques (« IT »), la cybersécurité, la modération des contenus en ligne et la protection des données. OVHcloud peut également être soumis à des régimes réglementaires sectoriels applicables à certains clients et à des réglementations généralement applicables telles que le droit des contrats et les règles de protection des consommateurs.

1.6.1.1Cybersécurité

OVHcloud est soumise à la réglementation européenne visant à renforcer la cybersécurité dans l’ensemble de l’Union européenne (l’« UE »). Transposée en droit français le 26 février 2018, la directive (UE) 2016/1148 du 9 juillet 2016 a établi des exigences pour les fournisseurs de services cloud en matière de sécurité des réseaux et des systèmes d’information. Selon la loi française (6) transposant la directive (UE) 2016/1148, les fournisseurs de services cloud sont classés comme des fournisseurs de services numériques. En tant que prestataire de services numériques, OVHcloud doit garantir un niveau de sécurité des informations adapté aux risques pertinents et adopter des mesures organisationnelles et techniques appropriées. En cas d’incident de sécurité ayant un impact significatif sur la prestation de services, une déclaration doit être faite auprès de l’Agence nationale de la sécurité des systèmes d’information (« ANSSI »). Le Premier ministre français peut également ouvrir des enquêtes à la réception d’informations faisant état d’un manquement du prestataire de services numériques aux obligations de sécurité. Les amendes pour non‐respect des obligations de sécurité vont de 50 000 à 100 000 euros. 

L’ANSSI a adopté des normes de sécurité pour les fournisseurs de services cloud (7). Les entreprises du cloud doivent notamment mettre en place une politique de sécurité pour les informations relatives au service et procéder à une évaluation des risques couvrant l’ensemble du service. Si les normes de sécurité applicables sont respectées, l’ANSSI délivre une qualification appelée « SecNumCloud » certifiant un niveau de sécurité renforcé pour le stockage d’informations sensibles. En octobre 2022, l’ANSSI a prolongé un visa de sécurité à OVHcloud pour la qualification « SecNumCloud » pour son Hosted Private Cloud, valable jusqu’en décembre 2023. Pour la protection des systèmes d’information critiques, l’ANSSI recommande aux opérateurs de services essentiels (par exemple, les sociétés d’approvisionnement en gaz, les transporteurs aériens, les établissements de santé, les banques) d’utiliser des produits et services de sécurité disposant d’un visa de sécurité de l’ANSSI. 

Le rôle de l’Agence de l’Union européenne pour la cybersécurité (l’« ENISA ») a été renforcé par le règlement (UE) 2019/881 du 17 avril 2019 (la « loi sur la cybersécurité »). L’ENISA est chargée d’établir et de maintenir un système de certification de cybersécurité à l’échelle européenne applicable aux fournisseurs de services cloud, y compris un ensemble complet de règles, d’exigences techniques, de normes et de procédures. En juillet 2020, l’ENISA a publié une proposition qui permettrait aux fournisseurs de services cloud d’obtenir des certifications à travers l’UE attestant du niveau de sécurité de leurs services. 

La Commission européenne a dévoilé en septembre 2022 sa proposition de Cyber Resilience Act (« CRA »). Cette proposition fixe une série d’exigences générales et organisationnelles en matière de cybersécurité pour les produits contenant des éléments numériques (par exemple : logiciels, produits matériels, solutions de traitement de données). Il vise à adopter un socle commun au sein de l’Union européenne pour limiter les cyberattaques. Le CRA s’applique de manière différenciée aux acteurs de la chaîne d’approvisionnement : fabricants, importateurs ou distributeurs. Le texte doit encore être examiné par le Parlement européen puis par le Conseil de l’Union européenne ; lors de cette procédure, qui peut prendre jusqu’à deux ans, le texte actuel sera très probablement amené à évoluer. Il est donc encore prématuré de se prononcer sur les impacts potentiels de ce texte sur OVHcloud. 

1.6.1.2Protection des données

En tant que fournisseur de services de cloud et de télécommunications, OVHcloud traite, stocke et transfère une quantité substantielle de données personnelles. En conséquence, OVHcloud doit se conformer à un ensemble de réglementations européennes et de lois nationales relatives à la protection des données personnelles. 

Union européenne - Le Règlement général sur la protection des données (RGPD)

Pierre angulaire de la protection des données personnelles dans l’Union européenne depuis son entrée en vigueur en mai 2018, le RGPD poursuit trois objectifs principaux : (i) établir des règles relatives à la protection des personnes dans le cadre du traitement de leurs données personnelles ainsi que des règles relatives à la libre circulation de ces données, (ii) renforcer l’application de la réglementation grâce à un cadre juridique unifié pour les organisations traitant des données personnelles, et enfin (iii) renforcer la responsabilité des acteurs traitant des données à caractère personnel (responsables de traitements et sous-traitants) en imposant une obligation de documentation des traitements et des outils/applications utilisés.

Le RGPD soumet les organisations à des obligations strictes en termes d’information et de transparence sur les traitements réalisés sur les données personnelles, qu’elles traitent pour leur propre compte ou le compte d’autrui. 

Il confère également plusieurs droits aux personnes concernées sur le traitement de leurs données personnelles tels que le droit d’accès, le droit à la modification ou le droit à l’effacement (« droit à l’oubli ») permettant à celles-ci de bénéficier d’un contrôle accru sur l’utilisation de leurs données personnelles.

En outre, le RGPD impose aux organisations, dès la conception d’un nouveau produit ou service, la mise en place de mesures de sécurité techniques et organisationnelles adéquates aux traitements de données personnelles, afin de garantir la sécurité et la confidentialité adaptées aux données personnelles traitées (« Privacy by design »).

Enfin, le RGPD oblige les organisations responsables de traitement, lorsqu’elles constatent une violation de données personnelles, à notifier à l’autorité de contrôle toute violation susceptible d’entraîner un risque pour les droits et libertés des personnes physiques et des personnes concernées.

Canada, Province de Québec - Loi modernisant des dispositions législatives en matière de protection des renseignements personnels

Adoptée le 22 septembre 2021, la loi modernisant des dispositions législatives en matière de protection des renseignements personnels, dite « Loi 25 », apporte des modifications importantes à la loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP ») visant à offrir un meilleur contrôle aux citoyens sur leurs données personnelles et de responsabiliser davantage les organisations quant à leur gestion de ces renseignements. Cette loi établit de nouvelles obligations et règles de transparence pour les entreprises québécoises telles que la désignation d’un Responsable de la Protection des Renseignements Personnels, afin d’établir des politiques et des pratiques encadrant la gouvernance des données personnelles, réaliser des évaluations des facteurs relatifs à la vie privée (EFVP), respecter les nouveaux droits accordés aux personnes sur leurs données personnelles et notamment droit à la cessation de la diffusion, à la ré-indexation ou à la désindexation (droit à l’oubli) avant de communiquer des données personnelles en dehors du Québec ou encore prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public. 

Les nouvelles responsabilités et obligations applicables aux organisations traitant des données personnelles entrent en vigueur progressivement en septembre 2022, 2023 et 2024.

Outils de conformité 

Afin d’assurer la conformité avec les réglementations applicables en matière de protection des données, OVHcloud a mis en place un système de gestion des données personnelles basé sur la norme ISO 27701. 

OVHcloud s’appuie également sur le Code de conduite Cloud Infrastructure Service Providers in Europe (CISPE), en étant certifié sur ses offres Bare Metal Cloud et Hosted Private Cloud powered by VMWare, pour garantir et démontrer la conformité de ses activités IaaS.

1.6.1.3Libre circulation des données non personnelles

Le règlement (UE) 2018/1807 du 14 novembre 2018 (le « Règlement sur le libre flux des données à caractère non personnel ») vise à assurer la libre circulation des données non personnelles entre les États membres de l’UE (les « États membres ») et les systèmes informatiques dans l’UE. Les données non personnelles sont soit (i) des données non liées à des personnes physiques identifiées ou identifiables, soit (ii) des données personnelles anonymisées. Ce règlement permet le stockage et le traitement de données non personnelles partout dans l’UE, interdit la localisation des données et garantit la disponibilité des données pour les contrôles réglementaires.

Le Règlement sur le libre flux des données à caractère non personnel prévoit également que la Commission européenne doit encourager le développement de codes de conduite autorégulateurs pour faciliter la portabilité entre les prestataires. À cette fin, OVHcloud a participé à la rédaction de deux codes de conduite volontaires sur le changement de fournisseur de service cloud et la portabilité des données par le biais du groupe de travail sur le changement de prestataire de cloud et le portage des données (« SWIPO »). Publiés en juillet 2020, les Codes de conduite relatifs à l’Infrastructure‐as‐a‐Service (IaaS) et au Software‐as‐a‐Service (SaaS) offrent des conseils aux fournisseurs de services cloud et aux clients sur le changement de fournisseur de services cloud et le portage des données non personnelles. L’adoption de ces Codes de conduite vise à réduire les risques de verrouillage envers un fournisseur (c’est-à-dire les situations où les clients sont dépendants d’un prestataire particulier en raison de coûts de changement importants) par les fournisseurs de services cloud. Ils fournissent également des conseils aux clients sur le transfert des données non personnelles.

1.6.1.4Lutte contre les contenus illicites en ligne

En tant que fournisseur de services d’hébergement, OVHcloud doit se conformer à de nombreuses législations en matière de lutte contre les contenus illicites, notamment celles qui concernent les infractions aux droits de propriété intellectuelle, la diffusion de contenus terroristes et les abus sexuels sur les mineurs. 

Législation européenne sur les services numériques (Digital Services Act, « DSA ») 

Le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (« Règlement sur les services numériques ») est entré en vigueur le 18 novembre 2022. Ce nouveau cadre a pour objectif d’harmoniser les règles applicables dans les différents États membres de l’Union européenne et remplace celui adopté en l’an 2000 en matière de responsabilité des intermédiaires vis-à-vis des contenus illicites tout en maintenant les principes fondamentaux de liberté d’expression et de libre prestation de services. 

Le règlement établit également de nouvelles obligations de diligence et de transparence pour les services d’hébergement tels qu’OVHcloud, tant vis-à-vis des autorités que des utilisateurs, en particulier sur le traitement des signalements de contenus illicites. Il renforce par ailleurs le niveau des sanctions pouvant être infligées en cas de manquement aux obligations établies par le règlement, avec des amendes pouvant représenter jusqu’à 6 % du chiffre d’affaires mondial annuel du fournisseur de services intermédiaires. Un certain nombre de mesures sont applicables de manière différée au cours des deux prochaines années et impliquent l’adoption de textes au niveau national. OVHcloud suivra avec attention leur publication afin de se conformer à ses obligations.

1.6.1.5Lutte contre les pratiques anticoncurrentielles sur les marchés numériques

Législation européenne sur les marchés numériques (Digital Markets Act, « DMA ») 

Le règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (« Règlement sur les marchés numériques ») vise à rendre le secteur numérique plus équitable et plus compétitif, en instaurant des mesures préventives pour les grandes entreprises numériques en position de contrôleurs d’accès sur le marché européen. Le règlement prévoit notamment plusieurs obligations et interdictions à l’égard des plateformes en ligne en position de contrôleurs d’accès et renforce les pouvoirs de sanction de la Commission européenne, laquelle sera assistée d’un comité consultatif et d’un groupe de haut niveau. Ainsi, par exemple, les contrôleurs d’accès devront permettre aux utilisateurs de désinstaller facilement sur leurs appareils des logiciels préinstallés et de se désabonner facilement d’un service de plateforme essentiel tel qu’un service de cloud. Les contrôleurs d’accès ne pourront plus imposer des logiciels tels que des navigateurs internet ou des moteurs de recherche par défaut, réutiliser les données personnelles d’un utilisateur à des fins de publicité ciblée sans son consentement explicite. 

Applicable à partir du 2 mai 2023, les entreprises concernées devront se signaler à la Commission européenne et se mettre en conformité au plus tard en mars 2024. La législation confère à la Commission le pouvoir exclusif de contrôler le respect de leurs obligations, et de nouvelles sanctions, notamment une amende pouvant atteindre jusqu’à 10 % du chiffre d’affaires total mondial réalisé par l’entreprise au cours de l’exercice précédent. 

L’adoption de cette nouvelle législation est une avancée positive pour réguler les pratiques des acteurs dominants du numérique sur le marché européen, mais son efficacité dépendra des moyens que la Commission européenne consacrera au service du respect de celle‐ci. OVHcloud suivra avec une attention particulière les précisions attendues sur les effectifs qui seront dédiés au contrôle des obligations des contrôleurs d’accès.

1.6.1.6Autres règlements et initiatives applicables

Secteur des télécommunications 

Les entités OVHcloud sont des opérateurs de télécommunications dans quatre (4) États membres : la Belgique, la France, l’Allemagne et l’Espagne. OVHcloud est soumis à des obligations spécifiques lorsque le Groupe fournit des services de télécommunication. Parce que l’UE et ses États membres réglementent le secteur des télécommunications depuis de nombreuses années, il existe une variété de mesures d’application, de directives et d’autorités différentes à travers l’UE. Les entités d’OVHcloud sont également des opérateurs de télécommunications au Royaume‐Uni et en Suisse, qui possèdent leur propre réglementation en matière de télécommunications. Le Royaume‐Uni a transposé les exigences du Code des communications électroniques européen dans son cadre réglementaire national avant le Brexit. 

La directive (UE) 2018/1972 du 11 décembre 2018 a établi le Code des communications électroniques européen. Bien que cette directive n’ait pas encore été transposée dans tous les États membres où OVHcloud agit en tant qu’opérateur, plusieurs autres directives applicables dans les secteurs des télécommunications, telles que les directives 2002/19/CE, 2002/20/CE, 2002/21/CE et 2002/22/CE du Parlement européen et du Conseil, ont été substantiellement modifiées. La directive 2018/1972 a été transposée en droit français en mai 2021 (8). L’objectif clé de ce Code européen des communications électroniques est de créer un ensemble complet de règles actualisées pour réglementer les communications électroniques et protéger les citoyens de l’UE lorsqu’ils communiquent par le biais de services traditionnels ou sur le web, d’encourager la concurrence entre les opérateurs de télécommunications et de garantir que les autorités réglementaires nationales sont protégées contre les interventions extérieures ou les pressions politiques.

Secteur de la santé 

En tant que fournisseur de services cloud, OVHcloud est soumis à des obligations lorsque le Groupe fournit des services à des organisations du secteur de la santé. Par exemple, la loi française impose aux hébergeurs de données de santé (c’est-à-dire toute personne hébergeant des données de santé à caractère personnel collectées dans le cadre d’activités de prévention, de diagnostic, de soins ou de suivi social et médical pour le compte de personnes physiques ou morales ayant produit ou collecté ces données ou pour le compte des patients eux‐mêmes) de respecter des obligations spécifiques. Ces obligations incluent l’obtention d’une certification appropriée ou d’un accord préalable des autorités publiques conformément au Code de la santé publique français, et la conclusion d’une convention avec les clients du secteur de la santé, fixant les dispositions obligatoires prescrites par l’article L. 1111‐8 du Code de la santé publique. OVHcloud est également soumis aux exigences des autres juridictions dans lesquelles il opère, telles que l’Italie, la Pologne, l’Allemagne et le Royaume‐Uni. 

En 2016, OVHcloud a bénéficié de l’agrément « Hébergeur de données de santé » et, depuis 2018, le Groupe exploite un système de gestion permettant à plusieurs de ses offres cloud de se conformer aux exigences de cet agrément. En 2019, OVHcloud a obtenu la certification française HDS (Hébergeur de données de santé) pour son offre de Hosted Private Cloud. En 2020, cette certification a été étendue aux serveurs dédiés d’OVHcloud, puis à l’offre de cloud public d’OVHcloud et à Trusted Exchange en 2021. 

Secteur financier 

Les entreprises du secteur financier (y compris les établissements de crédit et les entreprises d’investissement) peuvent également être soumises à des obligations spécifiques au secteur qui peuvent se refléter sur OVHcloud dans le cadre de la fourniture de ses services. Notamment, en 2019, l’Autorité bancaire européenne (« ABE ») a publié des « Recommandations sur l’externalisation vers des fournisseurs de services cloud » applicables aux accords d’externalisation. Ces recommandations créent des obligations en matière de sécurité des systèmes d’information et de droits d’audit au profit des banques externalisatrices, qu’elles doivent imposer à leurs fournisseurs de services en cloud lorsqu’elles utilisent leurs services. OVHcloud s’efforce de proposer des conditions contractuelles applicables aux opérateurs de services financiers qui garantissent que les clients sont en mesure de mettre en œuvre une politique d’externalisation conforme aux recommandations de l’ABE et aux réglementations locales européennes. 

Les opérateurs de services financiers peuvent également exiger d’OVHcloud de se conformer à la réglementation nationale spécifique. Par exemple, OVHcloud peut avoir à se conformer aux réglementations françaises telles que celle de l’Autorité de contrôle prudentiel et de résolution (« ACPR ») sur les services essentiels externalisés comme les opérations bancaires. Les entreprises qui externalisent des services essentiels doivent s’assurer que les prestataires garantissent la protection des informations confidentielles, mettent en place des mécanismes de secours en cas de difficultés importantes affectant la continuité du service et permettent à l’ACPR, dans l’exercice de ses missions, d’accéder aux informations essentielles externalisées. En ce qui concerne les procédures internes de gestion de la sécurité des systèmes d’information, l’American Institute of Certified Public Accountants (« AICPA ») a délivré à OVHcloud les certifications SOC I‐II type 2. 

En ce qui concerne l’hébergement des données bancaires et la réduction de la fraude à la carte bancaire, la plus importante offre de l’Hosted Private Cloud d’OVHcloud est conforme à la norme de sécurité des données de l’industrie des cartes de paiement (« PCI DSS »). Les datacenters d’OVHcloud en France, au Canada, au Royaume‐Uni, en Allemagne et en Pologne sont conformes à la norme PCI‐DSS.

Le 27 novembre 2022, le Conseil de l’Union européenne a adopté le règlement sur la résilience opérationnelle numérique du secteur financier (« DORA »). Ce texte faisant suite à une proposition de la Commission européenne de 2020 impose un certain nombre d’exigences aux accords d’externalisation vers des fournisseurs de services cloud dans le secteur financier. Le règlement proposé couvre un large éventail d’entités financières réglementées, notamment les établissements de crédit (tels que les banques), les dépositaires centraux de titres, les compagnies d’assurance et certains gestionnaires de fonds, entre autres. Il impose à ces entités financières un certain nombre d’exigences en matière de gestion des risques liés aux technologies de l’information et des communications, dont certaines s’appliquent directement aux activités cloud externalisées. 

En particulier, les entités du secteur financier couvertes par le règlement proposé sont tenues de prendre un certain nombre de mesures pour faire face aux risques dans leurs relations avec des tiers, tels que les fournisseurs de services cloud, notamment en s’assurant que leurs contrats de services cloud fournissent une description complète des services proposés avec des objectifs de performance qualitatifs et quantitatifs, et comprennent des dispositions régissant l’intégrité, la sécurité, la protection des données personnelles, la récupération en cas de défaillance, les droits d’inspection et d’audit, et des dispositions de résiliation avec des stratégies de sortie claires. Le règlement envisage l’approbation de clauses contractuelles types par la Commission européenne. 

En outre, le règlement impose un nouveau cadre de surveillance aux prestataires de services tiers critiques (y compris les fournisseurs de services cloud), les soumettant à des plans de surveillance individuels adoptés par les organismes européens de réglementation financière chargés de la surveillance des banques, des marchés des valeurs mobilières ou des compagnies d’assurance, selon le secteur qui utilise principalement les services du prestataire concerné. La détermination des services critiques dépend de leur impact systémique potentiel, de la dépendance des entités financières à leur égard pour des fonctions critiques et de l’existence d’alternatives. Le plan de surveillance peut imposer des exigences dans des domaines tels que la sécurité et la qualité, les conditions contractuelles et la sous‐traitance, avec des sanctions financières en cas de non‐respect, pouvant aller jusqu’à 1 % du chiffre d’affaires mondial du prestataire au cours de l’année la plus récente. Les organismes de surveillance disposent de droits d’inspection et d’audit et de pouvoirs d’enquête étendus. Le règlement adopté interdit également aux entités financières de faire appel à un prestataire d’un pays situé en dehors de l’UE pour les fonctions critiques du cloud. 

Risques environnementaux et industriels 

Plusieurs des datacenters d’OVHcloud sont situés dans d’anciens bâtiments industriels, dont certains sont classés comme présentant des risques environnementaux ou autres en vertu de la législation française applicable. Les datacenters d’OVHcloud situés hors de France peuvent également être classés comme présentant des risques environnementaux en vertu des réglementations locales. Afin de se conformer aux réglementations applicables, OVHcloud est parfois tenu de soumettre des demandes et d’obtenir des autorisations d’exploitation. Dans le cadre du processus de demande, OVHcloud peut être tenu de prendre certaines mesures correctives. 

En outre, des permis d’exploitation sont requis dans la plupart des pays où OVHcloud exploite ses datacenters. Ces réglementations concernent principalement les émissions atmosphériques, la gestion des déchets industriels, la gestion de l’eau et des effluents, la gestion des risques d’incendie et la gestion du bruit.

1.6.2Législation et réglementation aux États‐Unis

OVHcloud possède une filiale implantée aux États-Unis dont les activités sont totalement séparées de celles des autres filiales du groupe OVHcloud.

Cette filiale est également soumise aux réglementations américaines applicables aux prestataires de cloud au niveau local, étatique et fédéral. Ces réglementations comprennent celles qui visent à renforcer la confidentialité et la sécurité des données, ainsi que celles qui accordent des droits d’accès aux données à des fins de sécurité nationale. En plus des lois étatiques à travers les États‐Unis qui exigent une notification aux clients en cas de violation de données dans le cadre de laquelle leurs informations de données personnelles ont été divulguées, les deux principales réglementations américaines applicables à la filiale américaine d’OVHcloud sont le Cloud Act (tel que défini ci‐dessous), qui s’applique au niveau fédéral, et la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), qui s’applique au niveau de l’État de Californie. 

La ségrégation des activités de la filiale américaine d’OVHcloud par la mise en place d’une véritable « muraille de Chine » entre celle-ci et les autres entités du groupe évite l’opposabilité de ces textes à ces dernières. 

Le Cloud Act 

La loi américaine clarifiant l’usage légal des données hébergées à l’étranger (le Cloud Act) est une loi fédérale américaine, en vigueur depuis mars 2018, qui a modifié le Stored Communications Act de 1986 pour permettre aux forces de l’ordre américaines d’accéder aux informations électroniques détenues par des entreprises relevant de la compétence des États‐Unis à raison des personnes, y compris les fournisseurs de services cloud, dans le cadre d’une enquête pénale. Les forces de l’ordre américaines peuvent accéder à ces informations électroniques, qu’elles soient stockées à l’intérieur ou à l’extérieur des États‐Unis. 

Le Cloud Act permet également au gouvernement américain de conclure des accords d’accès aux données avec des États étrangers, grâce auxquels les forces de l’ordre des États participants peuvent demander des informations détenues par des entreprises soumises à la juridiction du pays partenaire. À la date du présent document d’enregistrement universel, le gouvernement américain a conclu des accords bilatéraux avec le Royaume‐Uni et l’Australie en vertu desquels les autorités policières américaines peuvent obtenir des informations électroniques stockées par des entreprises de cloud computing relevant de la compétence du Royaume‐Uni et de l’Australie. Les autorités policières britanniques et australiennes peuvent également obtenir des informations électroniques stockées par des entreprises de cloud computing relevant de la compétence des États‐Unis, telles que la filiale américaine d’OVHcloud. Il est à noter qu’au moment de la rédaction du présent document d’enregistrement universel aucune date d’entrée en vigueur de l’accord bilatéral entre les États-Unis et l’Australie n’a été rendue publique.

OVHcloud suit toute nouvelle potentielle décision de la Commission européenne relative à l’accord bilatéral entre les États‐Unis et le Royaume‐Uni et entend mettre en œuvre toute mesure technique et organisationnelle qui pourrait s’avérer nécessaire. En outre, OVHcloud n’héberge actuellement aucune donnée de clients au Royaume‐Uni, sauf si le client choisit expressément un service situé dans le datacenter d’OVHcloud au Royaume‐Uni. Par ailleurs, les possibilités pour l’équipe d’OVHcloud située au Royaume‐Uni d’accéder aux données hébergées par des clients européens dans des datacenters européens sont restreintes et contrôlées. 

Le gouvernement américain pourrait conclure des accords avec d’autres pays similaires à l’accord bilatéral entre le Royaume‐Uni et les États‐Unis, ce qui pourrait permettre aux forces de l’ordre américaines d’accéder aux informations électroniques détenues par les filiales du Groupe qui relèvent de la juridiction de cet État partenaire, et au gouvernement de l’État partenaire d’accéder aux informations électroniques détenues par la filiale américaine d’OVHcloud. En particulier, depuis le 25 septembre 2019, l’Union européenne et les États‐Unis ont entamé des négociations sur un futur traité visant à faciliter l’accès aux preuves numériques. 

Le California Consumer Privacy Act 

Depuis le 1er janvier 2020, la loi californienne sur la protection de la vie privée des consommateurs (le « CCPA ») exige que les entreprises qui traitent les données personnelles des résidents californiens notifient les résidents californiens de leurs pratiques de confidentialité. Le CCPA accorde également aux clients résidents de la Californie le droit d’accéder à ou de supprimer certaines données personnelles collectées par la filiale américaine d’OVHcloud et leur donne plus de contrôle sur l’utilisation et la vente de leurs données personnelles. Les résidents californiens qui pensent que certains types de données personnelles ont été utilisés en violation de la CCPA auraient le droit d’intenter une action en justice contre la filiale américaine d’OVHcloud.

Le 1er juillet 2023, le CCPA a été modifié par l’entrée en vigueur du California Privacy Rights Act (le « CPRA ») qui élargit notamment les droits des clients concernant certaines de leurs données personnelles sensibles et crée une agence d’État pour la mise en œuvre et l’application du CCPA et du CPRA.

Le Virginia Consumer Data Privacy Act 

Entrée en vigueur le 1er janvier 2023, la loi sur la confidentialité des données des consommateurs de Virginie (Virginia Consumer Data Privacy Act) (le « CDPA ») accorde aux résidents de Virginie un contrôle supplémentaire sur leurs données personnelles, dont le droit de supprimer certaines données personnelles collectées par des entreprises, telles que la filiale américaine d’OVHcloud. Ils auront également le droit de refuser que leurs données personnelles fassent l’objet de certains types de traitement de données.

1.7Organisation du Groupe

1.7.1Organigramme simplifié 

Organigramme simplifié à la date du présent document d’enregistrement universel 

L’organigramme simplifié ci‐après présente l’organisation juridique de la Société et de ses filiales consolidées à la date du présent document d’enregistrement universel. Les pourcentages indiqués ci‐dessous représentent les pourcentages du capital social. Il n’y a pas eu de variation significative de détention du capital depuis la clôture de l’exercice le 31 août 2024.

1.7.2Filiales et participations 

Principales filiales 

À la date du présent document d’enregistrement universel, les principales filiales directes et indirectes de la Société sont décrites ci‐après :

• OVH SAS est une société par actions simplifiée de droit français dont le siège social est situé au 2, rue Kellermann, 59100 Roubaix, France, et immatriculée au Registre du commerce et des sociétés de Lille Métropole sous le numéro 424 761 419. La Société détient directement 100 % du capital et des droits de vote d’OVH SAS. Les principales activités d’OVH SAS comprennent les activités d’hébergement de datacenters, la fourniture de services cloud, la fabrication d’ordinateurs et de périphériques, les activités de marketing ainsi que la recherche et le développement ; 
• OVH Infrastructures Canada Inc. est une société par actions de droit canadien dont le siège social est situé au 50, rue de l’Aluminerie, Beauharnois Québec J6N0C2, Canada, et enregistrée auprès des registres des entreprises du Canada sous le numéro 1167756403. La Société détient indirectement 100 % du capital et des droits de vote d’OVH Infrastructures Canada Inc. par l’intermédiaire de sa société holding OVH Canada Inc. L’activité principale d’OVH Infrastructures Canada Inc. est l’hébergement de datacenters ;
• OVH Holding US Inc. est une société par actions de droit américain, immatriculée sous le n° 5103215, dont le siège social est situé au 2915 Ogletown Road, Newark, DE, 19713, États-Unis. La Société détient 100 % du capital et des droits de vote des sociétés OVH US LLC, Datacenter Vint Hill LLC, Datacenter West Coast LLC et OVH Data US LLC dont l’activité principale de ces sociétés est l’hébergement de datacenters.

Acquisitions au cours des derniers exercices

ForePaaS 

Le 21 avril 2022, OVHcloud a annoncé l’acquisition de ForePaaS, la plateforme française unifiée spécialiste des projets de « data analytics », « machine learning » et d’intelligence artificielle au service des entreprises. Les 23 collaborateurs des équipes ForePaaS ainsi que ses fondateurs ont rejoint les effectifs du Groupe pour construire ensemble une famille de solutions, qui contribuera activement au déploiement de la stratégie d’accélération de croissance d’OVHcloud grâce à l’enrichissement de son offre Platform-as-a-Service (PaaS). 

gridscale

Le 4 septembre 2023, sur l’année fiscale 2024, OVHcloud a annoncé l’acquisition de 100 % de la société allemande gridscale, spécialisée dans les infrastructures hyperconvergées. Cette acquisition marque une étape stratégique pour l’accélération de l’expansion géographique du Groupe en permettant de pénétrer le marché en forte croissance de l’Edge Computing.

Réorganisations 

La société ForePaaS SAS a fait l’objet d’une fusion-absorption en date du 1er avril 2024 au profit d’OVH SAS.

La société ForePaaS Inc., filiale de ForePaaS SAS, a été dissoute en date du 30 août 2023. 

La société BuyDRM a fait l’objet d’une fusion-absorption au profit de NFA Group Inc. effective au 6 octobre 2022.

Facteurs de risque 
et contrôle interne

Au cœur du mécanisme de gouvernance, le dispositif de gestion des risques d’OVHcloud contribue à l’atteinte des objectifs stratégiques du Groupe et participe à la préservation de ses actifs et de sa réputation. Il permet également de mobiliser les collaborateurs autour d’une approche commune des risques. OVHcloud s’est engagé à évaluer régulièrement les risques et à mettre en place un contrôle interne et des plans d’action visant à leur atténuation.

2.1Facteurs de risque /RFA/

2.1.1Dispositif de gestion des risques

Dispositif de gestion des risques

Le dispositif de gestion des risques vise à identifier, analyser et piloter les principaux risques auxquels est exposé le Groupe. Il contribue à la maîtrise et à la sécurisation des activités, à l’efficacité des opérations et à l’utilisation efficiente des ressources.

Ce dispositif comprend un ensemble de processus, dont l’objectif est d’identifier les risques, de les évaluer et de les prioriser, de les prévenir et de les maîtriser, de diffuser la culture de la gestion des risques et de suivre les plans d’action permettant de les limiter. Il s’appuie sur les collaborateurs du Groupe, en particulier l’audit interne et la conformité, et au besoin sur des expertises externes. 

Pour les risques liés aux aspects RSE, se référer au chapitre 3 « Déclaration de performance extra-financière » du présent document d’enregistrement universel.

Cartographie des risques

Le Groupe a établi dès 2020 une cartographie des risques, qui a été mise à jour en 2022 et 2023.

Le processus d’élaboration de la cartographie des risques, mené avec l’ensemble des composantes de l’entreprise, et en impliquant le top management de toutes les activités du Groupe, a permis d’identifier les principaux risques auxquels le Groupe est exposé et d’apprécier pour chacun d’eux leur impact potentiel, prenant en compte leur criticité et leur probabilité d’occurrence. La cartographie des risques du Groupe est également nourrie par des cartographies de risques spécifiques, telles que les cartographies cybersécurité ou anticorruption, et par un travail de veille sur les risques opérationnels et les risques émergents. 

Les risques les plus significatifs ont été rassemblés en différentes familles (stratégie et marchés, opérationnels, ressources humaines, financiers, réglementaires et juridiques, systèmes d’information) et font l’objet d’une description de leurs causes et impacts potentiels, ainsi que des actions déployées pour gérer les risques.

Gouvernance de suivi des risques

La direction du Groupe, le Conseil d’administration et le comité d’audit suivent avec attention la gestion des risques et en définissent la stratégie la plus appropriée. 

Pour chaque risque, un ou plusieurs responsables sont nommés. Ils ont pour rôle de compléter l’analyse du risque, d’identifier les actions et moyens nécessaires à sa réduction, et de piloter les plans d’action correspondants.

La pertinence et l’avancement des plans d’action sont suivis par des membres du comité exécutif du Groupe, dont le directeur général, le directeur financier et le directeur juridique, qui les revoient à un rythme trimestriel. La cartographie des risques et les plans d’action font l’objet d’une présentation annuelle au comité d’audit du Groupe, complétée sur demande de présentations ponctuelles.

2.1.2Principaux risques identifiés

Tableau de synthèse des principaux risques

Les facteurs de risque décrits dans cette section sont, à la date du présent document d’enregistrement universel, ceux que le Groupe considère comme susceptibles d’avoir un effet défavorable significatif sur OVHcloud, son activité, sa situation financière, ses résultats ou ses perspectives. La liste des risques présentée dans le présent chapitre n’est pas exhaustive, d’autres risques inconnus ou qu’OVHcloud ne juge pas être significatifs à ce jour pourraient avoir un tel effet défavorable. 

2.1.2.1Risques liés à la stratégie et aux marchés d’OVHcloud

Risques liés au développement international

Description du risque

Dans le cadre de sa stratégie de croissance, OVHcloud cherche à développer ses revenus provenant d’autres régions, notamment en Europe (hors France), aux États-Unis et en Asie (voir chapitre 1 « Présentation du Groupe » qui détaille la répartition actuelle des activités et les axes de développement). 

OVHcloud peut être confronté à des défis importants dans ses efforts pour développer ses revenus internationaux. En dehors de son marché domestique français, OVHcloud dispose d’une moindre notoriété de marque, et ne bénéficie pas du leadership historique du marché de l’hébergement de sites Internet dont il jouit en France, ce qui réduit les opportunités de synergies commerciales. Les dynamiques de marché et les préférences des clients sur les marchés internationaux sont susceptibles d’être différentes de celles des marchés traditionnels d’OVHcloud et les politiques locales de patriotisme économique peuvent rendre difficile l’accès à de nouveaux territoires. Certains marchés qu’OVHcloud vise (par exemple les États-Unis) sont dominés par les hyperscalers, et l’expansion d’OVHcloud sur ces marchés dépendra de sa capacité à commercialiser des produits adaptés auprès de segments de clientèle prioritaires. 

Même si OVHcloud est en mesure de se développer à l’international, la gestion des opérations internationales nécessite une organisation plus structurée et des ressources plus importantes que la gestion des activités sur le marché national d’OVHcloud, ce qui pourrait augmenter les frais de fonctionnement d’OVHcloud, même s’il n’y a pas d’augmentation correspondante des revenus générés par ces nouveaux marchés. 

L’ouverture d‘infrastructures physiques et d’opérations internationales nécessite également une adaptation aux règles locales pour la conformité des opérations, ainsi qu’une adaptation de certains process internes, qui peuvent parfois ralentir l’expansion ou dégrader la profitabilité des opérations locales. 

Enfin, OVHcloud pourrait être confronté à des tensions géopolitiques dans certains pays ou certaines régions qui viendraient limiter sa capacité à développer son offre commerciale localement. Par conséquent, OVHcloud pourrait ne pas réaliser ses objectifs d’expansion internationale, et même si le Groupe le fait, il ne peut être assuré que la rentabilité de ses nouvelles activités internationales sera satisfaisante.

Gestion du risque

La stratégie du Groupe de développement à l’international lui permet de diluer le risque lié à un pays. Pour améliorer la capacité d’OVHcloud à se développer dans de nouvelles géographies, le Groupe a développé plusieurs programmes et initiatives afin de limiter les risques liés à son expansion internationale. 

La création de clusters commerciaux permet à OVHcloud d’avoir des équipes locales, expertes de leurs géographies et ayant connaissance des spécificités locales, afin de procéder à la définition des offres commerciales ou produits les plus en ligne avec les attentes des clients locaux. Cette organisation permet également de maîtriser et d’anticiper les éventuelles évolutions de marchés, tant par le client final que par les pouvoirs publics locaux. 

Le Groupe a également mis en place un programme dédié à l’évaluation et au suivi des projets d’ouverture de nouveaux centres de données (« GEOS program »). Ce programme implique toutes les équipes concernées par un projet d’ouverture de centre de données afin d’anticiper les éventuels freins opérationnels et réglementaires. OVHcloud a ainsi ouvert un centre de données en Inde en mars 2023. En 2024, OVHcloud a lancé le programme Local Zone pour accélérer son expansion internationale, en structurant un processus d’industrialisation de l’ouverture de ces Local Zones.  

Afin d’assurer un niveau de performance des opérations internationales, OVHcloud poursuit également le déploiement de SAP et du contrôle interne, afin d’harmoniser ses process et de centraliser des opérations critiques.

Risques liés aux opérations d’acquisitions

Description du risque

OVHcloud a l’ambition de réaliser des acquisitions afin d’élargir son portefeuille d’offres de services, en particulier dans le domaine des services de plateforme logicielle, et son empreinte géographique. 

Lorsqu’OVHcloud procède à des acquisitions, le Groupe s’expose au risque qu’elles ne concourent pas à la mise en œuvre de la stratégie, ou qu’OVHcloud en retire un rendement insatisfaisant. Il existe aussi le risque qu’OVHcloud ait des difficultés à intégrer et à conserver de nouveaux employés, de nouveaux systèmes commerciaux et de nouvelles technologies, ou que l’acquisition détourne l’attention de la direction des autres activités d’OVHcloud. Il se peut aussi qu’il faille plus de temps que prévu pour réaliser tous les bénéfices attendus de ces opérations, tels que l’augmentation du chiffre d’affaires ou l’atteinte de synergies, ou que les avantages soient finalement moins importants que ce qu’OVHcloud avait prévu. Ces événements sont susceptibles d’avoir un impact défavorable sur l’activité, la situation financière et les résultats d’exploitation d’OVHcloud.

Gestion du risque

OVHcloud a renforcé les équipes financières dédiées aux acquisitions afin d’améliorer la recherche d’acquisitions potentielles et de structurer les processus internes de validation des cibles, comme ce fut le cas dernièrement lors du processus d’acquisition de Gridscale. Afin de limiter le risque lié à l’intégration des acquisitions, des équipes dédiées de plusieurs départements sont impliquées tout au long du processus d’acquisition afin d’anticiper et de suivre les évolutions des projets. Une revue régulière est maintenue après l’acquisition afin de s’assurer du bon fonctionnement du processus d’intégration. OVHcloud a procédé à plusieurs acquisitions ces dernières années, ce qui a permis de renforcer les processus tout en améliorant l’expertise des équipes pour procéder à la sélection puis à l’intégration des sociétés et actifs acquis. Par exemple, l’intégration réussie de ForePaaS, acquise en avril 2022, permet à ForePaaS et OVHcloud de délivrer comme prévu le développement produit.

Risques liés à l’offre produits ou services dans un marché concurrentiel

Description du risque

Les marchés sur lesquels OVHcloud opère évoluent rapidement et sont hautement concurrentiels. Afin d’être compétitif sur ces marchés, OVHcloud doit continuellement innover et adapter ses offres à l’évolution des besoins des clients (voir chapitre 1 « Présentation du Groupe » qui détaille la stratégie et le marché).

OVHcloud estime que le rythme de l’innovation en matière de produits et services cloud devrait continuer à s’accélérer. En effet, les clients fondent de plus en plus leurs achats d’offres de cloud sur leurs besoins en matière de fonctionnalités nouvelles et améliorées qui devraient représenter une part importante de la croissance future du marché. Le succès futur d’OVHcloud dépend de sa capacité à continuer à innover en réponse à ces demandes (ce qui implique de continuer à investir dans les technologies, les services et les partenariats) et à accroître l’adoption par les clients de ses offres de cloud. 

En outre, la concurrence s’intensifie sur les marchés sur lesquels OVHcloud opère. De nombreux concurrents d’OVHcloud sont des entreprises de cloud internationales, y compris les opérateurs dits « hyperscalers » (Amazon Web Services, Google Cloud Platform et Microsoft Azure), ainsi que d’autres prestataires de cloud établis tels qu’IBM Cloud et, en Asie, Alibaba Cloud. En Europe, OVHcloud est également en concurrence avec des spécialistes du cloud tels que Hetzner, Leaseweb et iomart, et d’autres prestataires de cloud émergents. À mesure qu’OVHcloud élargira son offre de plateformes logicielles, le Groupe sera en outre davantage en concurrence avec d’autres sociétés présentes sur ces marchés, comme Salesforce, Oracle, IBM et SAP. Il est probable que de nouveaux concurrents continueront à entrer sur le marché à mesure qu’il évolue.

De nombreux concurrents d’OVHcloud, en particulier en dehors de l’Europe et dans l’espace du cloud public, ont une plus grande notoriété de marque, des bases de clientèle plus étendues, des pratiques commerciales extrêmement agressives et de plus grandes ressources, notamment financières, humaines ou techniques. Ces mêmes concurrents sont susceptibles de pouvoir répondre plus rapidement qu’OVHcloud aux nouveautés et évolutions en matière de technologies, de normes, d’exigences des clients et de pratiques d’achat. Les hyperscalers, en particulier, comptent parmi les entreprises de technologie de l’information les plus importantes et les plus connues au monde, avec des relations établies à l’échelle mondiale, régionale et locale, et une notoriété de marque importante. Le marché du cloud public, qui est dominé par les hyperscalers, devrait être le segment du marché du cloud à la croissance la plus rapide. Si OVHcloud n’est pas en mesure de concurrencer de manière différenciante les hyperscalers, ses perspectives de croissance pourraient en pâtir.

Par ailleurs, si OVHcloud n’est pas en mesure d’améliorer ses offres de cloud pour suivre le rythme des évolutions du marché, ou si des concurrents émergents sont capables de fournir des offres compétitives à des prix plus bas, de manière plus efficace, plus pratique ou plus sûre que les services cloud d’OVHcloud, l’activité, la situation financière et les résultats d’exploitation d’OVHcloud pourraient être affectés de manière défavorable.

Gestion du risque

OVHcloud se positionne par rapport à ses concurrents sur la base de divers facteurs, notamment : le prix, la performance, les tendances du multi-cloud et du cloud hybride, l’expérience et le support clients, l’extensibilité (scalabilité), la fiabilité, la souveraineté des données, la sécurité, le développement durable, la sobriété énergétique et la conformité avec les normes existantes. 

OVHcloud maintient une veille active des évolutions du marché et des pratiques clients. Le Groupe cherche ainsi à se développer sur des nouveaux segments de marché en élargissant son offre selon les besoins clients, par exemple sur l’intelligence artificielle, le quantique, le stockage froid ou encore sur le stockage des données de santé. 

Afin de continuer à proposer de nouvelles solutions et de maintenir son positionnement, OVHcloud a une stratégie de développement ouverte. Le Groupe peut par exemple s’appuyer sur des logiciels open source, acquérir de nouvelles briques technologiques en faisant l’acquisition de sociétés telles que ForePaaS en 2022 ou Gridscale en 2023. OVHcloud dispose également d’équipes en interne pour développer sa feuille de route produits et le Groupe peut nouer des partenariats avec des acteurs reconnus dans leurs domaines, si elle considère que les produits sont des standards attendus par ses clients. Lors de l’exercice 2024, OVHcloud a par exemple investi 152 millions d’euros en recherche et développement, comme détaillé en note 4.10 du chapitre 5 du présent document d’enregistrement universel, et le Groupe a renforcé sa structure de pilotage de sa feuille de route. 

OVHcloud dispose également de facteurs différenciants comme un outil de production industrielle intégré et d’équipes dédiées à la recherche et au développement qui lui permettent d’adapter rapidement ses besoins de fabrication et d’approvisionnement pour accompagner les évolutions de ses produits.

Risques liés aux implications du changement climatique

Description du risque

De par son secteur d’activité et son étendue géographique, le Groupe pourrait être exposé au changement climatique au travers de différentes causes :

• survenue de catastrophes naturelles extrêmes telles que des inondations, séismes, sécheresses extrêmes, feux « géants », glissements de terrain, cyclones ou tsunamis ;
• renforcement des règlementations sur la gestion de l’énergie (électrique), l’utilisation d’eau ou les normes d’éco-conception des produits ou de construction de bâtiments ;
• survenue de pénuries occasionnelles ou permanentes (eau, électricité…).

Ce risque est exacerbé par l’accélération des dérèglements climatiques. Des catastrophes naturelles de très grande ampleur ou répétitives pourraient conduire à des situations exceptionnelles de désorganisation des infrastructures physiques extérieures et des moyens de communication dont dépend OVHcloud pour exercer son activité, ou provoquer l’endommagement des infrastructures du Groupe. OVHcloud pourrait ainsi temporairement ne pas être en mesure de mettre en œuvre ses services selon les conditions définies par les contrats, avec de possibles compensations financières ou surcoûts de fonctionnement. Par exemple, la multiplication des événements de canicule pourrait renchérir le coût de fonctionnement des systèmes de refroidissement du Groupe.

Le changement climatique pourrait également occasionner des pénuries de matières premières, et ainsi renchérir l’accès à ces matières premières.

Le contexte de changement climatique engendre également un environnement réglementaire se complexifiant en termes de normes environnementales et de reporting lié à la responsabilité sociale et environnementale.

Ces risques sont décrits plus en détail dans le chapitre 3 relatif à la performance extra-financière.

Gestion du risque

OVHcloud a renforcé ses équipes RSE, au sein du département stratégie et dans les directions opérationnelles, afin de piloter les risques liés au changement climatique. Le Groupe a également renforcé ses équipes liées au reporting environnemental pour se préparer aux nouvelles obligations, notamment la CSRD. OVHcloud se conforme aux obligations de reporting lié à l’environnement, comme détaillé dans le chapitre 3. 

OVHcloud investit continuellement dans sa recherche et développement afin de développer des innovations écologiques (réduction de la consommation d’énergie ou réduction des besoins en ressources naturelles comme l’eau) permettant d’avoir les meilleurs résultats du secteur en matière d’efficacité de l’utilisation de l’énergie (PUE) et s’est engagé à augmenter l’utilisation d’énergies renouvelables.

Les risques liés aux catastrophes naturelles sont intégrés aux travaux relatifs aux plans de continuité d’activité. Les audits de sites, ainsi que les dispositifs d’assurance complètent les mesures de gestion de ce type de risque. Ainsi, des études externes ont été menées en 2024 pour cartographier le niveau d’exposition aux risques naturels de chacun des sites du Groupe. La synthèse de ces travaux a été présentée à la gouvernance de suivi des risques et des plans d’action par site ont été définis. OVHcloud continue d’intégrer les éléments suivants dans son exploitation, au travers du programme « hyper résilience » (voir risque lié à un incident sur les infrastructures physiques).

2.1.2.2Risques liés aux opérations d’OVHcloud

Risques liés à un incident sur les infrastructures physiques d’OVHcloud

Description du risque

L’activité de production et d’exploitation des datacenters est génératrice de risques liés aux infrastructures physiques, comme toute activité industrielle. OVHcloud est par exemple exposé à des risques électriques, incendie ou liés à la sécurité physique des bâtiments, pouvant impacter le service offert aux clients, et les coûts opérationnels. 

OVHcloud a une stratégie de réutilisation du parc industriel existant sur le territoire en réadaptant ces derniers à son activité. Cette stratégie permet de maîtriser les coûts de construction tout en réduisant son empreinte écologique. Selon l’âge de ces bâtiments, le secteur d’activité de l’ancien occupant et les secteurs d’activité des installations voisines, certains de ses centres et usines pourraient présenter des défauts structurels et environnementaux existants susceptibles de présenter des risques en matière de sécurité et de conformité ou obliger OVHcloud à dépenser des sommes importantes pour y remédier. 

OVHcloud est tenu d’obtenir des autorisations d’exploitation des autorités gouvernementales compétentes locales afin d’opérer ses activités. Ce processus administratif nécessite un suivi important et dans la durée pouvant entraîner des demandes complémentaires de prévention et protection par rapport à la législation applicable initialement. À date, le Groupe n’a fait l’objet d’aucune sanction administrative entraînant la mise à l’arrêt de ses datacenters. 

Les datacenters d’OVHcloud pourraient également être atteints par des événements naturels destructeurs qui impacteraient les activités du Groupe (voir risque lié au changement climatique).

OVHcloud dépend de l’accès à un approvisionnement suffisant et fiable en électricité, en eau, à Internet, et aux réseaux de télécommunications et de fibre optique pour mener à bien ses activités. En outre, le système exclusif de refroidissement par eau des serveurs d’OVHcloud nécessite qu’OVHcloud ait accès à d’importants volumes d’eau dans ses datacenters. Toute interruption de ces services pourrait avoir pour conséquence qu’OVHcloud ne soit pas en mesure de fournir aux clients ses offres de cloud à des niveaux de performance adéquats, voire pas du tout. Par ailleurs, OVHcloud pourrait être exposé dans certains pays à un risque de délestage électrique pouvant entraîner une interruption temporaire de ses services. Toute interruption de ces services pourrait avoir pour conséquence qu’OVHcloud ne soit pas en mesure de fournir aux clients ses offres de cloud à des niveaux de performance adéquats. 

Enfin, OVHcloud a connu, et pourrait connaître à l’avenir, des litiges relatifs à l’état de ses installations ou aux nuisances (telles que le bruit et la chaleur) générées par ces installations, et ainsi devoir engager des coûts additionnels. 

Bien qu’OVHcloud ait pour politique de chercher à remédier à tout risque identifié, la mise en œuvre de cette politique pourrait s’avérer coûteuse et longue, l’éventuelle inexécution des réparations nécessaires ou le fait de ne pas achever les travaux requis pourrait nuire à la réputation d’OVHcloud, et ainsi exposer sa responsabilité exposée et perturber ses activités.

Gestion du risque

OVHcloud missionne des audits environnementaux et de sécurité sur ses sites existants, et avant d’acquérir des sites pour des datacenters. Plus généralement, OVHcloud réalise avec ses assureurs des revues des installations afin de prévenir en amont les potentiels risques. En 2024, OVHcloud a par ailleurs initié la démarche de cartographie des risques par site. 

À la suite de l’incendie de Strasbourg, OVHcloud a mis en place un plan « hyper résilience » afin, entre autres, d’apporter un renforcement du niveau de sécurité dans ses datacenters sur les bases de standards de référence du marché et au-dessus des standards réglementaires et des recommandations des assureurs.

Le Groupe a développé des procédures d’exploitation et de sécurité pour tous ses sites, et développe des mécanismes d’évaluation et d’amélioration de ces règles. Les datacenters ont par exemple une sécurité physique 24/7, une politique d’accès fortement encadrée et contrôlée, et possèdent des systèmes anti-intrusion dédiés. 

Le Groupe construit également des plans de continuité de l’activité afin de pouvoir maintenir l’exploitation. OVHcloud prévoit par exemple plusieurs mesures de redondance en cas de coupures électriques, avec par exemple la mise en place de plusieurs points de livraison d’électricité dans ses datacenters ou avec la présence de groupes électrogènes sur site, activables en cas de coupure. Notamment grâce à son modèle de refroidissement à eau, OVHcloud essaye de réduire en permanence sa consommation en électricité ainsi qu’en eau. De la même manière, le refroidissement à eau s’effectuant en circuit fermé, OVHcloud consomme ainsi beaucoup moins d’eau pour l’exploitation de ses datacenters comparé à un datacenter classique refroidi par un système de refroidissement de l’air par climatisation. Le système de refroidissement des sites est également redondé.

Enfin, OVHcloud développe des relations avec les autorités locales, le voisinage, les forces de sécurité, afin de prendre en compte l’environnement extérieur de ses sites. OVHcloud avait ainsi fermé en 2023 son datacenter parisien et migré les services sur un autre site, afin de limiter les risques de litige avec le voisinage et de renforcer la sécurisation de ses opérations. 

Risques liés aux chaînes d’approvisionnement

Description du risque

OVHcloud pourrait être exposé à la défaillance d’un fournisseur clé ou à des difficultés à se fournir en composants clés. Les serveurs d’OVHcloud utilisent des composants provenant de grands fabricants, sur un marché mondial qui connaît des pénuries et des retards, bien que le risque ait diminué par rapport à 2022 et 2023.

Le Groupe pourrait subir des perturbations de ses chaînes d’approvisionnement, par exemple liées à la reprise de la pandémie de COVID-19, à l’inflation ou à des tensions géopolitiques ou climatiques qui impacteraient la production de serveurs et l’exploitation des datacenters. Malgré des contacts réguliers et de haut niveau, la taille d’OVHcloud sur le marché mondial limite sa capacité à signer des accords généralisés de livraison.

Le risque d’approvisionnement d’OVHcloud concerne également la capacité du Groupe à avoir accès aux solutions logicielles les plus performantes sur le marché et au moins équivalentes à celles de ses principaux concurrents, notamment les hyperscalers. Les solutions d’OVHcloud reposent sur des logiciels tiers. S’il existe des failles dans ce logiciel sous-jacent, ou si le logiciel cesse d’être disponible pour OVHcloud, le Groupe pourrait voir ses clients se tourner vers des offres concurrentes.

Gestion du risque

Grâce à son modèle verticalement intégré, OVHcloud peut maîtriser l’intégralité de la chaîne de valeur. OVHcloud constitue des stocks de précaution et peut avoir recours à plusieurs circuits de distribution, afin de pouvoir encaisser des perturbations temporaires, et dispose d’une organisation des achats efficiente. Par ailleurs, OVHcloud dispose d’une politique de recyclage qui s’appuie sur une chaîne logistique permettant la réutilisation des composants et équipements. Dans ce cadre, OVHcloud récupère les composants sur des équipements considérés en fin de vie, les soumet à des tests puis réutilise ceux qu’il estime pouvoir être assemblés sur une autre gamme de produits répondant à des critères de performance généralement moins exigeants.

Le modèle d’OVHcloud lui permet également de planifier et d’anticiper certaines commandes et lui garantit une flexibilité. Enfin, les équipes achats continuent de développer les relations commerciales avec les fournisseurs d’OVHcloud afin de négocier au niveau mondial des contrats d’approvisionnement. C’est en particulier le cas sur les composants permettant à OVHcloud de générer de la croissance sur des marchés à fort potentiel comme l’intelligence artificielle. 

En 2024, OVHcloud a ainsi défini une liste de fournisseurs stratégiques sur lesquels des analyses de risques ont été menées, tant sur la localisation des usines de production des fournisseurs, que sur les risques contractuels. Le Groupe effectue une analyse de la santé financière de ses principaux fournisseurs et du risque de dépendance économique pour prévenir d’éventuels déséquilibres. En 2024, ces processus de contrôles économiques et environnementaux des fournisseurs ont été outillés. 

Risques liés à la qualité de services rendus aux clients

Description du risque

OVHcloud travaille continuellement pour proposer une offre de services large, la meilleure expérience clients, ainsi qu’un support clients avec une qualité optimale.

OVHcloud s’engage généralement envers ses clients dans ses contrats à ce que sa plateforme maintienne un niveau minimum de disponibilité. Par exemple, OVHcloud s’engage pour les offres Premier du segment Hosted Private Cloud de maintenir un niveau de service de 99,9 % de disponibilité. Dans les offres de cloud public d’OVHcloud, OVHcloud s’engage à des temps de récupération maximaux en cas de pannes. Si ces pannes sont causées par un événement en dehors du contrôle d’OVHcloud, il pourrait être difficile pour OVHcloud de respecter ses engagements en matière de niveau de service. Bien qu’OVHcloud considère avoir mis en place des mesures de sauvegarde adéquates en fonction des services souscrits, celles-ci pourraient s’avérer insuffisantes pour empêcher une interruption de service.

En outre, OVHcloud pourrait devoir faire face à des coûts liés à la réparation de cette interruption de service ou à la rétention de clients. Toutes les conséquences ci-dessus sont susceptibles d’avoir un impact défavorable sur l’activité, la situation financière et les résultats d’exploitation d’OVHcloud.

Gestion du risque

OVHcloud améliore continuellement la qualité des services rendus à ses clients et met au cœur de sa politique la satisfaction de ces derniers. Cette stratégie porte ses fruits et permet à OVHcloud d’afficher un taux de rétention net de 107 % sur l’année 2024.

OVHcloud évalue l’expérience fournie à ses clients à travers des enquêtes de satisfaction.

En outre, OVHcloud renforce continuellement ses processus qualité et, dans une démarche d’amélioration continue, réalise systématiquement des analyses suite aux incidents significatifs rencontrés.

Afin de pouvoir intervenir au plus vite en cas de panne ou de requêtes exprimées par les clients, OVHcloud a organisé son support technique pour être disponible 24 heures sur 24, et 7 jours sur 7.

Dans les datacenters, des équipes opérationnelles sont organisées et formées pour réaliser en continu les opérations d’installation et de maintenance des serveurs. Les équipes « Tour de Contrôle » et « NOC (Network Operating Center) » assurent la surveillance centralisée des services proposés et coordonnent le traitement des incidents. Enfin, le Groupe a structuré également ses plans de continuité et de gestion de crise afin de pouvoir mobiliser les ressources critiques en interne.

2.1.2.3Risques liés aux ressources humaines

Risques liés aux recrutements, à l’intégration, au développement et à la rétention des ressources humaines

Description du risque

Il est important pour l’activité d’OVHcloud d’attirer un personnel hautement qualifié et international, en particulier des ingénieurs ayant une expertise dans le développement de logiciels, le codage et d’autres fonctions informatiques hautement spécialisées. Le marché est très concurrentiel et le personnel informatique qualifié est très demandé, ce qui peut rendre les efforts de recrutement et d’intégration à OVHcloud difficiles.

OVHcloud emploie près de 3 000 collaborateurs à fin août 2024, et pourrait être confronté à des départs de ressources clés pour son organisation, ou à un déficit de compétences techniques pointues pour répondre aux évolutions du marché.

Si la culture d’entreprise d’OVHcloud change ou est perçue négativement, ou si OVHcloud n’est pas en mesure de développer sa marque employeur ou ses compétences internes, le Groupe pourrait faire face à des difficultés pour attirer, intégrer et retenir le personnel. Le cas échéant, OVHcloud pourrait ne pas être en mesure d’atteindre ses objectifs commerciaux, et son activité, ses revenus et ses résultats financiers pourraient en pâtir.

Gestion du risque

OVHcloud, par son positionnement de leader européen du cloud, de défenseur de la souveraineté européenne et par son profil de croissance, offre une proposition de valeur unique pour de nombreuses recrues. De plus, le développement international continu du Groupe lui permet d’élargir le vivier de talents susceptibles de le rejoindre.

Afin de limiter les difficultés de recrutement, OVHcloud dispose d’une marque employeur forte, qui se développe en France et à l’international, et d’un cabinet de recrutement interne permettant de sourcer les candidats et candidates avec les bonnes compétences au bon moment. OVHcloud a mis en place un processus d’intégration qui permet de créer du lien entre les nouvelles recrues dès leurs premiers jours chez OVHcloud et d’engager les nouvelles recrues dans la culture d’OVHcloud.

OVHcloud est particulièrement vigilant sur l’adaptation des conditions de travail, la fidélisation des salariés, ainsi que les formations proposées. Des processus de ressources humaines sont en place afin d’accompagner les personnes au sein de l’entreprise, avec des suivis sur l’engagement des salariés, les évolutions de carrière et des programmes de formation continue. Plusieurs leviers de fidélisation sont en place chez OVHcloud, notamment des mesures de condition de vie au travail ou de rétention des ressources clés.

Concernant les compétences les plus à risque, une cartographie des tensions de ressources humaines est en place et permet de suivre au plus près les évolutions des personnes clés.

Risques liés à la sécurité physique ou psychique

Description du risque

OVHcloud est exposé à des risques liés à la sécurité des collaborateurs dans ses installations industrielles ou ses bureaux. Le Groupe fait face à des situations à risques de type :

• physiques qui pourraient engendrer des accidents du travail au sein de ses bureaux ou de ses sites opérationnels ; 
• psychosociaux par exemple à la suite d’une charge de travail trop conséquente ou une situation particulièrement stressante.

Gestion du risque

Le Groupe a créé une équipe « Quality, Environmental, Health and Safety » (« QEHS ») dédiée à ces sujets. En plus de proposer des équipements de protection individuels dans ses datacenters et de renforcer ses référentiels et les contrôles internes, le Groupe réalise une analyse des risques au poste de travail sur la majorité de ses sites dans le but de mettre en place des standards de travail sécuritaires pour ses employés. Le Groupe renforce continuellement ses référentiels en termes de sécurité afin d’apporter un cadre pour l’ensemble de ses sites. Des audits, internes et externes, sont menés pour vérifier le respect de ces référentiels. 

L’analyse de risques prend également en compte les risques psychosociaux, et a mis en place plusieurs mesures telles qu’un audit psychosocial permettant de cartographier les risques associés ou encore l’existence d’un outil d’alerte. Des sondages sont réalisés régulièrement auprès des salariés afin de travailler sur les éventuels signaux faibles.

2.1.2.4Risques financiers

Risques de liquidité

Description du risque

Le risque de liquidité est le risque qu’OVHcloud ne dispose pas des fonds nécessaires pour faire face aux engagements à leur échéance. Dans une situation de tension sur le marché du crédit, le Groupe pourrait ne pas être en capacité d’obtenir les financements ou refinancements nécessaires pour mettre en œuvre son plan de croissance et cela pourrait avoir un effet négatif sur les activités, les résultats d’exploitation, les perspectives et/ou la situation financière d’OVHcloud.

Gestion du risque

En 2021, le Groupe a signé un nouveau contrat de crédits senior non sécurisés d’un montant total de 920 millions d’euros (500 millions d’euros de Term Loan et 420 millions d’euros de Revovling Credit Facility, novembre 2022, le Groupe a encore amélioré sa liquidité avec l’obtention d’un prêt de 200 millions d’euros auprès de la Banque européenne d’investissements (BEI). Au 31 août 2024, le montant cumulé des liquidités et du Revolving Credit Facility s’élève à 461 millions d’euros.

Ainsi, après ces opérations et à la fin de son année fiscale 2024, le levier d’endettement net d’OVHcloud atteint 1,8x son EBITDA ajusté. Ce niveau est largement inférieur aux covenants existants dans les contrats de crédits du Groupe.

Risques liés à l’inflation, aux taux de change et taux d’intérêt

Description du risque

La profitabilité d’OVHcloud pourrait être affectée par plusieurs facteurs exogènes, notamment l’inflation et l’évolution des taux de change et d’intérêt.

Dans un contexte économique d’inflation, OVHcloud pourrait subir des effets directs négatifs sur son profil financier et dégrader ses marges. OVHcloud est notamment exposé à la poursuite de l’augmentation des coûts d’électricité ou des composants. Le Groupe pourrait ne pas réussir à passer des hausses de prix assez significatives à ses clients pour couvrir la hausse généralisée de sa base de coûts.

Les états financiers d’OVHcloud sont présentés en euros, alors qu’une partie de ses revenus, dépenses, actifs et passifs sont libellés dans d’autres devises, ce qui expose les résultats d’exploitation et la situation financière d’OVHcloud au risque de change. Au cours de l’exercice 2024, environ 29 % du chiffre d’affaires d’OVHcloud a été réalisé dans des devises autres que l’euro, principalement en dollar canadien et en dollar américain, et dans une moindre mesure en livre sterling et en zloty polonais. Par ailleurs, une part importante des dépenses d’investissement d’OVHcloud (principalement pour les composants de serveurs) est engagée en dollar américain. Une évolution défavorable des taux de change aurait néanmoins un impact défavorable sur le résultat opérationnel d’OVHcloud. Par exemple, une variation défavorable de 10 % des taux de change aurait un impact défavorable d’environ 28 millions d’euros sur le chiffre d’affaires d’OVHcloud, sans mécanisme de couverture.

Enfin, les crédits contractés par le Groupe portent intérêt à un taux variable, ce qui expose OVHcloud au risque de dégradation de son résultat d’exploitation si le taux d’intérêt venait à augmenter, sans qu’OVHcloud n’ait été en mesure de se couvrir avec succès.

Gestion du risque

Afin de limiter les risques que représentent les variations de taux de change et d’intérêt, OVHcloud utilise des instruments de couverture simples et non structurés. Des achats à terme de dollars américains sont régulièrement effectués afin de couvrir les dépenses à venir dans cette devise au cours des 12 prochains mois.

Par ailleurs, au 31 août 2024, près de 95 % de la dette du Groupe est couverte à taux fixe afin de limiter les risques liés aux variations des taux d’intérêt.

Afin de se prémunir des risques d’inflation, le Groupe continue d’améliorer sa politique d’achat et sa stratégie logistique de manière à compenser des hausses potentielles, par exemple en cherchant à diversifier et anticiper ses approvisionnements (voir Risques liés aux chaînes d’approvisionnement). OVHcloud a également une stratégie active concernant ses coûts d’électricité, ce qui lui permet d’afficher un taux de couverture de près de 95 % pour l’année calendaire 2025.

Enfin, pour refléter les hausses de certains coûts structurels, le Groupe a réalisé en 2024 des augmentations de prix de vente progressives et modérées, en ligne avec l’industrie du cloud.

Risques liés à la fraude

Description du risque

OVHcloud pourrait être victime d’une fraude externe ou interne qui serait susceptible d’avoir un impact négatif sur les résultats financiers de l’entreprise, la qualité de services et la réputation du Groupe. Cette potentielle fraude pourrait être un acte volontaire, une utilisation inappropriée des biens du Groupe ou le non-respect de lois ou réglementations, par un collaborateur ou des relations d’affaires ou des clients.

Gestion du risque

OVHcloud met en place des procédures de contrôle interne, revues par des auditeurs externes. Des circuits de validation ont été mis en place pour contrôler et suivre la réalisation de transactions pouvant présenter des risques (paiements, avoirs, notes de frais, gestion des stocks…). L’audit interne intègre systématiquement le risque de fraude dans ses missions et s’assure de la mise en place des recommandations en cas de risque de fraude. Une équipe est également responsable du suivi et de l’anticipation des potentielles fraudes de paiement clients.

Par ailleurs, OVHcloud a mis en place une procédure de signalement interne qui permet à tout collaborateur du Groupe de remonter, anonymement s’il le souhaite, tout comportement inapproprié ou illicite, y compris des comportements constitutifs de fraude ou tentative de fraude.

Risques liés à la fiscalité

Description du risque

Du fait de son activité internationale et de son expansion, le Groupe est soumis à une législation fiscale complexe et évolutive. Le Groupe détermine le montant des impôts qu’il est tenu de payer en fonction de son interprétation des traités, lois et réglementations applicables dans les pays dans lesquels il opère et qui peut faire l’objet d’une interprétation différente dans les différents pays où il opère (notamment en matière de prix de transfert, de taxes sur les ventes, de TVA et de taxes similaires). Les régimes fiscaux et de sécurité sociale appliqués aux activités commerciales du Groupe et aux réorganisations passées ou futures sont ou peuvent être interprétés par les autorités françaises ou étrangères compétentes d’une manière différente des hypothèses utilisées par le Groupe pour structurer ces activités et opérations. Le Groupe n’est dès lors pas en mesure de garantir que les autorités fiscales concernées seront en accord avec son interprétation de la législation applicable sur leurs territoires. En outre, les lois et réglementations fiscales ou autres prélèvements obligatoires, ainsi que leur interprétation et leur application par les pays ou administrations concernés peuvent changer, notamment dans le cadre d’initiatives communes prises à l’échelle internationale ou communautaire, ce qui pourrait faire évoluer la charge fiscale du Groupe.

En outre, plusieurs pays ont mis en œuvre une taxe sur les services numériques démontrant la tendance au niveau mondial d’évolutions rapides et imprévisibles de la législation fiscale (ou à une interprétation plus large du droit existant) applicable à certaines activités du Groupe. Le champ d’application de ces taxes diffère selon les pays et par conséquent le Groupe n’est pas concerné par l’ensemble de ces taxes. Des réglementations nouvelles ou modifiées pourraient soumettre le Groupe ou ses clients à des taxes supplémentaires sur les ventes, les revenus ou d’autres taxes. OVHcloud ne peut pas prédire l’effet de telles initiatives. Également, des nouvelles taxes ou des modifications de taxes existantes pourraient augmenter le coût des activités et les coûts internes du Groupe.

L’un ou l’autre des événements susmentionnés pourrait avoir un effet négatif sur les activités, les résultats d’exploitation, les perspectives et/ou la situation financière du Groupe.

Gestion du risque

OVHcloud et ses équipes fiscales juridiques veillent à être en conformité avec les législations fiscales où le Groupe opère. OVHcloud peut être accompagné par un cabinet d’expertise externe lorsque nécessaire.

Politique fiscale

La politique fiscale du groupe OVHcloud prévoit que le Groupe s’engage à appliquer les lois, réglementations et conventions fiscales en vigueur dans tous les pays dans lesquels il exerce ses activités.

Les valeurs et principes éthiques du Groupe, ainsi que ses exigences en matière de responsabilité sociétale l’amènent à :

• conduire ses opérations en conformité avec leur réalité économique ;
• refuser toute planification fiscale agressive ainsi que l’utilisation de structures artificielles localisées dans des « paradis fiscaux » ;
• coopérer avec les administrations fiscales locales à l’occasion de contrôles fiscaux.

Aucune des opérations réalisées par le groupe OVHcloud n’a pour objectif d’éluder le paiement de l’impôt. Le Groupe est en train de compiler l’ensemble de ces actions et dispositions en une politique fiscale formalisée.

2.1.2.5Risques juridiques et de conformité

Risques liés à la non-conformité à certaines lois et réglementations et à leur évolution

État des lieux de la réglementation applicable au Groupe

Les activités du Groupe sont soumises à diverses réglementations dans les pays où il exerce ses activités. Le Groupe est ainsi soumis à des législations qui s’appliquent à toute société (règles commerciales, droit de la propriété intellectuelle, protection des données personnelles, règles fiscales, etc.), mais également à des réglementations plus spécifiques à sa stature et son activité (droit boursier, loi Sapin 2, communications électroniques, cybersécurité, responsabilité des intermédiaires techniques, souveraineté des données, obligations de coopération avec les autorités, etc.). Certaines de ces réglementations ont un impact sur les ambitions stratégiques du Groupe, notamment en matière de souveraineté digitale.

Ces réglementations peuvent aussi être soumises à des évolutions. En particulier, le secteur numérique, dans lequel le Groupe exerce son activité, connaît depuis plusieurs années une restructuration et un enrichissement importants de son cadre réglementaire.

À titre d’exemple est présentée ci-dessous une liste non exhaustive de textes européens ou internationaux, dont les dispositions sont susceptibles d’avoir un impact sur les activités d’OVHcloud :

• réglementation dans le domaine de la sécurité et de la lutte contre le terrorisme :
  • directive européenne de 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne (« UE ») (directive UE/2016/1148), transposée en droit français le 26 février 2018, et imposant des obligations en matière de protection de la cybersécurité,
  • règlement européen sur la résilience opérationnelle numérique pour le secteur financier (« DORA »), qui encadre les accords d’externalisation de cloud dans le secteur financier,
  • sanctions économiques internationales prononcées par l’ONU ou l’Union européenne, pouvant interdire au Groupe toute relation économique avec des personnes sanctionnées ;
• réglementation dans le domaine des communications électroniques :
  • projet de règlement « CSAM » (Child sexual abuse material) deposé par la Commission européenne en mai 2022, qui vise à mieux lutter contre la pédopornographie en ligne, et pourrait soumettre OVHcloud à de nouvelles obligations dans ce domaine (étant précisé qu’OVHcloud est déjà soumis à la loi française pour la confiance dans l’économie numérique de 2004),
  • règlement relatif à un marché intérieur des services numériques (communément appelé « Digital Service Act » ou DSA), adopté le 4 octobre 2022, qui renforce les obligations en matière de traitement des contenus illégaux ou dangereux ;
• réglementation visant à améliorer la concurrence dans le domaine numérique :
  • le règlement européen communément appelé « Digital Market Act » (DMA), adopté le 14 septembre 2022, qui fixe un cadre contraignant en faveur de l’innovation européenne, à travers notamment des règles de concurrence et d’interopérabilité pour les grandes plateformes considérées comme des « Gate keepers » ; OVHcloud n’est pas, à ce jour, un « Gate keeper », mais pourrait l’être dans le futur,
  • le règlement européen sur les données (« Data Act »), adopté le 11 janvier 2024, qui vise à renforcer le marché unique de la donnée, en améliorant la concurrence sur le marché du cloud ; plusieurs dispositions de ce règlement ont été reprises dans la loi française visant à sécuriser et réguler l’espace numérique (SREN) adoptée le 21 mai 2024 ;
• réglementation dans le domaine des données :
  • le règlement européen dénommé « Data Gouvernance Act » (DGA) adopté en juillet 2022 et qui encadre notamment l’utilisation de données détenues par les administrations publiques. Ces administrations étant clientes d’OVHcloud, cette dernière pourra être soumise à des effets indirects,
  • le règlement général européen sur la protection des données (« RGPD ») du 27 avril 2016, qui encadre le traitement des données personnelles des résidents de l’UE. Le RGPD a des effets tant sur OVHcloud que sur ses clients. Dans ce cadre, les transferts de données personnelles en dehors de l’UE et notamment vers les États-Unis d’Amérique, sont particulièrement sensibles. Après plusieurs années pendant lesquelles ces transferts étaient interdits, la Commission européenne a adopté le 10 juillet 2023 une nouvelle décision d’adéquation les autorisant à nouveau ; cette décision est suivie de près par OVHcloud (cette décision, qui tire les conséquences de l’évolution de la législation américaine, à la suite de l’arrêt du 16 juillet 2020 de la Cour de justice européenne, qui avait jugé que le Privacy Shield américain n’offrait pas un niveau de protection suffisant, affirme que les États-Unis d’Amérique offrent un niveau de protection des données à caractère personnel équivalent à celui proposé par le RGPD).

Description du risque

Le Groupe doit identifier les règles qui lui sont applicables et s’adapter, afin de s’y conformer et de poursuivre le développement de ses activités. Il doit aussi détecter les éventuelles non-conformités afin d’y remédier rapidement. Le Groupe doit de même anticiper les évolutions de ces règles pour s’y adapter au mieux.

Une connaissance insuffisante des réglementations locales, ou un défaut de méthodologie de suivi des évolutions de celles-ci, aurait un effet important sur le Groupe. Cela pourrait remettre en cause sa capacité à se conformer à la loi, ce qui l’exposerait à des risques opérationnels et financiers. Cela pourrait aussi affaiblir sa position concurrentielle et nuire à son image.

Par ailleurs, certaines réglementations non européennes à portée extraterritoriale sont susceptibles d’entrer en conflit avec des législations européennes s’appliquant au Groupe, en particulier celles protégeant les données à caractère personnel. À titre d’illustration, la loi américaine dénommée « Cloud Act », promulguée en mars 2018, permet aux autorités américaines d’accéder aux informations détenues ou contrôlées par les fournisseurs de services de cloud relevant de la compétence américaine, même si ces informations sont situées en dehors des États-Unis.

Gestion du risque

OVHcloud dispose d’une organisation interne qui lui permet de connaître les réglementations applicables, et leurs évolutions, et ainsi d’anticiper et d’atténuer les risques liés à la non-conformité. Cette organisation repose notamment sur la direction juridique, le délégué à la protection des données (DPO) ainsi que les équipes en charge de la conformité juridique, qui s’entourent le cas échéant d’experts locaux et procèdent à une veille juridique active. Elle s’appuie également sur l’équipe en charge des affaires publiques, qui identifie en amont les processus législatifs pouvant affecter le Groupe et s’efforce de faire connaître les contraintes du Groupe afin qu’elles soient prises en compte dans ces processus. D’autre part, le Groupe fait réaliser des audits externes pour s’assurer de sa conformité.

OVHcloud s’assure par ailleurs de rester hors d’atteinte de réglementations non européennes à portée extraterritoriale lorsqu’elles sont susceptibles d’entrer en conflit avec la législation européenne, en particulier celle applicable en matière de protection des données à caractère personnel. À cette fin, OVHcloud s’est doté de différentes procédures. À titre d’exemple, les données hébergées sur des datacenters européens d’OVHcloud ne sont pas accessibles par des collaborateurs basés en dehors de l’Union européenne ou employés par sa filiale américaine.

En complément, les contrats conclus entre OVHcloud et ses clients comportent des stipulations contractuelles prévoyant que les clients sont responsables de la conformité réglementaire de leurs données et de leur activité. OVHcloud n’a en effet pas à connaître des données qui lui sont confiées par ses clients, à l’exception des cas limités dans lesquels la loi l’y oblige pour lutter contre les contenus illicites.

En outre, OVHcloud a des procédures internes de contrôle de l’identité de ses clients et fournisseurs, afin d’éviter de nouer des relations d’affaires avec des personnes sous le coup de sanctions internationales.

Cependant, OVHcloud ne peut être certain que ses procédures ou ses protections contractuelles seront pleinement efficaces, de sorte qu’il pourrait violer involontairement certaines réglementations ou identifier trop tardivement des évolutions législatives. De même, le Groupe ne peut pas garantir que de nouvelles lois ou réglementations ne viendraient pas mettre en danger ses opérations. Une telle violation pourrait donner lieu à des sanctions pécuniaires pouvant avoir un impact significatif sur la situation financière du Groupe. En outre, toute violation réelle ou alléguée d’une réglementation est susceptible d’avoir un impact sur la réputation d’OVHcloud.

Focus spécifique sur le domaine de la souveraineté des données

OVHcloud considère que, en tant que prestataire européen de services cloud et grâce à l’organisation qu’il a mise en place, il peut offrir à ses clients européens l’assurance que les données qui lui sont confiées ne sont pas accessibles par les autorités étrangères et en particulier américaines. En particulier, OVHcloud estime que les données stockées sur ses serveurs (autres que ceux de sa filiale américaine) ne peuvent être obtenues par les autorités américaines en vertu du Cloud Act, contrairement aux données stockées sur des serveurs contrôlés directement ou indirectement par des concurrents qui sont soumis à la compétence des autorités américaines. Cette garantie permet aux clients de limiter leur risque de conformité en matière de protection des données et de la vie privée.

Les enquêtes réalisées par OVHcloud ont montré que l’importance de la souveraineté des données est en augmentation pour les décideurs chez ses clients, mais que ce facteur demeure moins prioritaire que d’autres facteurs tels que la performance et le prix. En outre, les concurrents du Groupe pourraient structurer leurs activités de manière à être en mesure de fournir des garanties concernant la protection des données, auquel cas l’avantage concurrentiel d’OVHcloud pourrait être moins significatif que prévu. Par exemple, Microsoft et Orange ont annoncé un partenariat, qui vise à proposer une solution de cloud dit « souverain » de données qui, en cas de succès, pourrait accroître la pression concurrentielle sur OVHcloud.

Afin de limiter le risque lié au Cloud Act, OVHcloud a procédé à une séparation stricte de ses activités américaines par rapport au reste du Groupe, avec des organisations juridiques et techniques différenciées. Les employés américains n’ayant par exemple pas accès aux données des clients localisés en dehors des centres de données basés aux États-Unis.

Par ailleurs, les clients d’OVHcloud pourraient également être soumis à de nouvelles obligations. Si les clients d’OVHcloud ne sont pas en mesure de se conformer à ces réglementations ou s’ils déterminent que la conformité est trop coûteuse, leurs activités et leur situation financière pourraient être affectées de manière défavorable, et ils pourraient choisir de réduire ou d’éliminer les activités qui dépendent des services d’OVHcloud.

Risques liés à la propriété intellectuelle

Description du risque

Pour sécuriser ses activités, OVHcloud doit protéger sa technologie et son image, notamment par le biais de marques, de noms de domaine, de secrets d’affaires, de brevets, de droits d’auteur, de restrictions contractuelles et d’autres droits de propriété intellectuelle et procédures de confidentialité. Malgré les efforts d’OVHcloud pour mettre en œuvre de telles protections, celles-ci pourraient ne pas suffisamment protéger son activité ou ne pas lui procurer un avantage concurrentiel pour diverses raisons, notamment :

• une incapacité d’OVHcloud à obtenir des brevets et autres droits de propriété intellectuelle pour des innovations importantes ou à maintenir une confidentialité appropriée ou autres mesures de protection pour établir et conserver ses secrets d’affaires ;

• l’incertitude et l’évolution des normes juridiques relatives à la validité, au caractère exécutoire et à l’étendue de la protection des droits de propriété intellectuelle ;
• l’invalidation potentielle des droits de propriété intellectuelle d’OVHcloud du fait de processus administratifs ou de litiges ;
• des stratégies commerciales de tiers consistant à déclencher des contentieux infondés, mais très coûteux ;
• toute incapacité d’OVHcloud à détecter d’éventuelles violations, infractions ou autres utilisations illicites de ses droits de propriété intellectuelle par des tiers ; et
• d’autres limitations pratiques, de ressources ou commerciales à sa capacité à faire valoir ses droits.

En outre, les lois de certains pays peuvent ne pas fournir le même niveau de protection que la loi française en matière de données et droits de propriété exclusifs des entreprises, tels que la propriété intellectuelle, les secrets d’affaires, le savoir-faire. OVHcloud peut également être exposé à des risques importants d’utilisation ou d’appropriation illicites ou de « rétro-ingénierie » non autorisée de ses données ou autres éléments de propriété intellectuelle. Par ailleurs, si OVHcloud n’est pas en mesure d’empêcher la divulgation de ses secrets d’affaires à des tiers, ou si ses concurrents développent indépendamment l’un de ses secrets d’affaires, le Groupe pourrait ne pas être en mesure d’établir ou de maintenir un avantage concurrentiel sur le marché, ce qui pourrait sérieusement affecter son activité.

Un contentieux peut être nécessaire pour faire valoir la propriété intellectuelle ou les droits de propriété d’OVHcloud, protéger ses secrets d’affaires ou déterminer la validité et la portée des droits de propriété qui peuvent être revendiqués par des tiers. Tout litige, qu’il soit ou non tranché en faveur d’OVHcloud, pourrait entraîner des dépenses importantes pour OVHcloud, détourner les efforts des équipes (techniques et administratives) et donner lieu à d’éventuelles demandes de tiers alléguant d’une violation de droits de propriété intellectuelle par OVHcloud.

Gestion du risque

OVHcloud dispose d’une organisation interne qui permet d’atténuer les risques liés à la protection de ses droits de propriété intellectuelle ou à l’atteinte portée à ces droits.

Dans ce cadre, elle dispose d’une équipe juridique dédiée à la protection de son patrimoine immatériel, qui s’appuie sur des cabinets d’avocats spécialisés à travers le monde. En outre, OVHcloud a mis en œuvre une stratégie de dépôt de brevets ambitieuse à l’échelle du Groupe et sur plusieurs territoires, à des fins aussi bien défensives qu’offensives, et détient 189 familles de brevets au 31 août 2024. Pour sécuriser l’exploitation sereine de ses brevets, le Groupe a aussi conclu, indirectement via des associations ou directement, des accords d’immunité avec des détenteurs d’autres brevets ; au terme de ces accords, les détenteurs de brevets s’engagent à préserver OVHcloud contre toute réclamation de tiers qui viendraient à acquérir leurs brevets, et ce pour toute la durée de ces brevets ; cela permet de ne pas exposer le Groupe à des recours de tiers de mauvaise foi qui acquerraient à faible coût des brevets en fin de vie dans le but d’initier des actions contentieuses contestables. Le Groupe utilise aussi des prestataires et des outils de détection d’usages non autorisés de ses signes distinctifs (marques, noms de domaine) et de ses brevets, dans plusieurs pays. Par ailleurs, OVHcloud appuie la plupart de ses développements informatiques sur des licences open source afin de limiter les revendications de tiers, comme détaillé au chapitre 1 section 1.5.6 du présent document d’enregistrement universel.

Risques liés à la gouvernance et aux parties liées

Description du risque

De par la croissance rapide et continue d’OVHcloud, tant en termes de chiffre d’affaires que d’expansion géographique, la gestion des opérations et de la gouvernance du Groupe se complexifie. Dans ce contexte, le Groupe pourrait ne pas avoir mis en place les éléments clés de gouvernance et de contrôle permettant de maîtriser ses opérations et d’éviter la survenue de potentiels conflits d’intérêts.

Gestion du risque

OVHcloud a formalisé ses éléments clés de gouvernance d’entreprise (voir chapitre 4 « Gouvernement d’entreprise »). 

Par ailleurs, un comité ad hoc a été constitué à l’été 2024 sur proposition de l’administrateur référent, dans le cadre de ses prérogatives, afin d’élaborer des recommandations en matière d’amélioration de la gouvernance d’OVHcloud, portant principalement sur la gestion des conflits d’intérêts et les activités liées. À l’issue des travaux de ce comité ad hoc, il a donc été constitué en juillet 2024 un nouveau comité dénommé « comité des parties liées ». Ce nouveau comité est composé du Président du Conseil et d’au moins trois administrateurs indépendants (dont l’administrateur référent), et le directeur général peut être invité à assister à ses réunions. Le comité des parties liées peut être saisi par le Président, l’administrateur référent ou le directeur général, en vue de formuler un avis consultatif sur des situations de conflits d’intérêts potentiels pour des activités liées. Les modalités de fonctionnement de ce comité figurent au règlement intérieur du Conseil d’administration (voir chapitre 4 « Gouvernement d’entreprise »).

OVHcloud a aussi mis en place des revues régulières des éléments clés de gouvernance de ses filiales, en parallèle de la structuration du contrôle interne du Groupe qui concourt à l’harmonisation des pratiques et à la clarification de la gouvernance opérationnelle des activités.

OVHcloud a conclu, et peut continuer à conclure, certaines conventions avec des parties liées

Certains dirigeants et/ou actionnaires peuvent détenir des intérêts dans des sociétés qui sont par ailleurs des partenaires commerciaux d’OVHcloud, et pouvant dès lors être considérées comme des parties liées. En particulier, OVHcloud a conclu diverses conventions avec des sociétés contrôlées par M. Octave Klaba, fondateur du Groupe et actuel Président du Conseil d’administration, et des membres de la famille de M. Octave Klaba qui sont des actionnaires directs ou indirects du Groupe. La famille Klaba contrôle actuellement le Groupe.

Ainsi, OVHcloud s’approvisionne en composants métalliques pour la fabrication de ses serveurs auprès de la société AixMétal dans les domaines de la recherche et développement (comme le lancement de prototypes), la production de masse comme la fabrication en série pour les besoins de la production de serveurs et la fabrication de produits finis ou semi-finis pour les datacenters. AixMétal est contrôlée par des membres de la famille Klaba. De même, les murs de l’usine de production de serveurs, du centre de données et du siège social d’OVHcloud situés à Roubaix, en France, appartiennent à des sociétés contrôlées par la famille Klaba et sont loués à OVHcloud.

Bien qu’OVHcloud estime que tous ces accords ont été conclus pour les besoins de son activité courante, à des conditions de marché et selon des termes commercialement raisonnables, le Groupe n’a pas obtenu de proposition pour ces accords auprès de parties non liées. En outre, la flexibilité opérationnelle d’OVHcloud pour modifier ou mettre en œuvre des changements à l’égard de la description ou du prix de services fournis par des parties liées est susceptible d’être limitée : si un accord avec une partie liée est résilié, des perturbations pourraient s’ensuivre lors de la transition, et il ne peut être assuré qu’OVHcloud sera en mesure d’obtenir les mêmes produits au même coût ou à un coût inférieur. En particulier, si OVHcloud rencontre des difficultés avec les composants métalliques fournis par AixMétal, la recherche d’un autre fournisseur capable de produire des composants similaires à des conditions équivalentes pourrait être longue et complexe. Une telle situation pourrait engendrer un impact sur la capacité d’OVHcloud à fabriquer et déployer de nouveaux serveurs aussi rapidement qu’elle a été historiquement capable de le faire, impactant potentiellement la capacité d’OVHcloud à répondre aux besoins de ses clients.

Par ailleurs, OVHcloud est le fournisseur de services cloud principal des sociétés Shadow (représentant environ 2,3 % du chiffre d’affaires 2024 d’OVHcloud) et Qwant (représentant environ 0,1 % du chiffre d’affaires 2024 d’OVHcloud), contrôlées par des membres de la famille Klaba. Le chiffre d’affaires issu des contrats conclus avec les sociétés Shadow et Qwant est important pour OVHcloud et, comme pour l’ensemble de ses clients, OVHcloud ne peut garantir que ce chiffre d’affaires soit acquis de manière permanente au-delà des engagements contractuels en vigueur. De la même façon, les dépenses d’investissement engendrés par ces contrats sont significatives, et leur interruption prématurée affecterait le retour sur investissement attendu.

Les conventions avec les parties liées sont formalisées avec l’aide de la direction juridique et de la direction financière du Groupe, et de la direction des achats, qui s’efforcent de vérifier que le prix, les prestations et les conditions contractuelles objet des conventions sont comparables à ceux pratiqués sur le marché pour des volumes d’affaires équivalents.

OVHcloud apprécie la notion d’opération courante au regard de la conformité à l’objet social de la société en cause et de la nature de l’opération. La répétition et/ou l’habitude constituent une présomption du caractère courant mais ne sont pas à elles seules déterminantes. C’est dans ce cadre qu’OVHcloud a établi une charte sur les conventions courantes et réglementées afin d’apporter des précisions quant à la méthodologie appliquée en interne pour qualifier les différentes conventions conclues entre le groupe OVHcloud et ses parties liées. Cette charte détaille notamment la procédure permettant d’évaluer régulièrement les conventions courantes.

Ces conventions sont donc soumises aux règles d’approbation prévues par le droit français applicable, ainsi qu’aux règles internes de validation d’OVHcloud (approbation par le comité des « parties liées », le comité exécutif et le cas échéant, par le Conseil d’administration). Les conventions avec les parties liées font en outre l’objet d’une revue semestrielle en comité d’audit.

Toutefois, il ne peut être assuré que, individuellement ou dans leur ensemble, ces conventions seraient conclues à des conditions similaires à celles qu’OVHcloud pourrait obtenir de parties non liées.

2.1.2.6Risques liés aux systèmes d’information

Risques liés à l’interruption d’un outil ou système informatique interne

Description du risque

OVHcloud peut être confronté à différentes causes d’interruption des services offerts aux clients ou pour son fonctionnement interne, du fait notamment d’un acte malveillant, un problème d’infrastructure ou applicatif, un niveau de sécurité insuffisant ou la perte de connexion au réseau. 

OVHcloud pourrait ainsi ne pas être en mesure d’opérer son système d’informations interne du fait de limites dans la performance de son infrastructure ou de son réseau, ce qui occasionnerait une interruption partielle ou totale des services offerts aux clients. Les plans de continuité et de reprise d’activité pourraient ne pas être suffisants pour permettre d’assurer le niveau de service attendu pour les clients et le fonctionnement interne. 

Malgré les tests des produits et des plateformes auxquels procède OVHcloud, les offres de cloud ainsi que les systèmes internes pourraient contenir des erreurs de codage ou de configuration susceptibles d’avoir un impact sur les fonctionnalités, la performance et la sécurité de ses solutions et entraîner des conséquences défavorables. La détection et la correction de toute erreur peuvent prendre du temps et être coûteuses. Les erreurs sont susceptibles d’affecter leur capacité à fonctionner de manière appropriée, à s’intégrer ou à opérer correctement. Elles sont également susceptibles d’engendrer des failles internes de sécurité dans les logiciels ou les plateformes d’OVHcloud et peuvent affecter défavorablement la pénétration sur le marché de ses offres de cloud.

Gestion du risque

OVHcloud a mis en place une revue régulière de son code et de ses infrastructures par une équipe d’auditeurs IT, qui réalise notamment des tests d’accès et de pénétration de ses systèmes. Le Groupe suit également des processus rigoureux d’évolution de ses applications pour anticiper les risques lors des développements. 

Concernant les systèmes IT internes à OVHcloud, le Groupe a mis en place des plans de continuité et de reprise d’activité intégrant une redondance de ses systèmes critiques. OVHcloud dispose d’une redondance de son réseau et réalise des sauvegardes régulières. Les mesures liées à la cybersécurité sont détaillées dans le risque afférent. 

Bien qu’OVHcloud considère avoir mis en place des mesures de gestion des risques, celles-ci pourraient néanmoins s’avérer insuffisantes pour empêcher une interruption de service.

Risques liés à la cybersécurité

Description du risque

OVHcloud est fortement exposé, en tant qu’entreprise digitale, à des risques d’interruptions de service liées à des cyberattaques.

La survenance d’un incident à grande échelle de cybersécurité pourrait affecter les systèmes internes d’OVHcloud ou le fonctionnement des serveurs et provoquer des arrêts ou des indisponibilités du service.

Comme les techniques utilisées pour obtenir un accès non autorisé aux systèmes informatiques ou pour les saboter changent fréquemment, deviennent plus complexes au fil du temps et ne sont souvent pas reconnues avant d’être lancées contre une cible, OVHcloud pourrait s’avérer incapable à anticiper ou à mettre en œuvre des mesures adéquates pour se prémunir contre ces techniques. OVHcloud pourrait également ne pas découvrir immédiatement une violation de sécurité et une perte d’informations.

Après la découverte, OVHcloud pourrait avoir besoin de fermer les systèmes et de limiter l’accès des clients à ses services, ce qui pourrait avoir un impact défavorable sur les revenus et les coûts de fonctionnement du Groupe.

OVHcloud pourrait également subir des dommages importants sur sa marque et sa réputation si une cyberattaque ou un autre incident de sécurité permettait l’accès non autorisé ou la modification des données de ses clients, d’autres données externes ou de ses propres données ou systèmes informatiques, ou si les services que le Groupe fournit à ses clients étaient interrompus, ou si les serveurs d’OVHcloud étaient signalés comme ayant, ou perçus comme ayant, des failles de sécurité.

Au-delà de ses opérations internes, OVHcloud ne contrôle pas directement le pilotage de la cybersécurité de ses clients et pourrait être indirectement impacté par une attaque chez un de ses clients.

Par ailleurs, OVHcloud utilise des logiciels sous licence de tiers pour opérer ses serveurs et protéger ses systèmes informatiques. Bien qu’OVHcloud analyse le niveau de cybersécurité offert par ces logiciels tiers, le Groupe ne maîtrise pas totalement les mécanismes utilisés pour maintenir la sécurité de ces logiciels tiers. Si les systèmes de sécurité fournis par un tiers ne parvenaient pas à protéger adéquatement les systèmes d’OVHcloud ou les données ou systèmes de ses clients, OVHcloud pourrait subir des cyberattaques qui auraient un impact sur ses revenus et sa réputation commerciale, comme indiqué ci-dessus. En outre, si un autre client d’un fournisseur de solutions de sécurité devait subir un incident de cybersécurité, même s’il n’est pas lié aux activités d’OVHcloud, la confiance des clients d’OVHcloud pourrait être affectée.

Gestion du risque

OVHcloud a mis en place plusieurs mesures afin de limiter les risques liés à la cybersécurité, en cartographiant ses risques informatiques et en les pilotant dans une démarche d’amélioration continue par la direction cybersécurité.

OVHcloud a défini une stratégie cybersécurité et a développé un ensemble d’outils et de politiques pour assurer un niveau maximum de protection et de détection. L’architecture et les processus d’OVHcloud sont conçus pour limiter l’exposition en termes de systèmes.

Cela se traduit par plusieurs certifications comme ISO 27001, SOC 1, SOC 2, SecNumCloud ou PCI DSS. De plus, le Groupe a des contacts réguliers avec l’ANSSI (Agence nationale de la sécurité des systèmes d’information) afin d’anticiper de nouvelles attaques ou d’améliorer ses processus existants. En outre, OVHcloud réalise régulièrement des campagnes de simulations d’attaque cyber et des actions de sensibilisation auprès de ses collaborateurs et de ses dirigeants. Le résultat de ces tests est détaillé au chapitre 3 du présent document d’enregistrement universel.

Bien qu’OVHcloud s’attache à prendre des précautions pour se prémunir contre les incidents de cybersécurité, ces précautions pourraient s’avérer inefficaces ou ne pas réussir à empêcher des violations de sécurité significatives. En outre, OVHcloud peut être vulnérable à de nouvelles failles de sécurité qui n’ont pas encore été identifiées.

En tout état de cause, OVHcloud a également souscrit une police d’assurance cyber auprès d’un assureur de premier plan pour couvrir les effets d’un éventuel incident de cybersécurité. La mise en place de cette assurance a été conditionnée au respect par OVHcloud d’un cahier des charges contraignant imposé par l’assureur.

Risques liés à la protection, à la perte ou au vol de données

Description du risque

De nombreuses réglementations en matière de protection des données et de la vie privée imposent des exigences strictes aux clients d’OVHcloud, qui doivent assurer la protection des données de leurs propres clients, y compris les informations stockées sur les serveurs d’OVHcloud, ainsi que la protection des données OVHcloud. 

En cas d’incident lié à la perte ou au vol de données, OVHcloud pourrait voir sa réputation ainsi que ses revenus fortement impactés.

De plus, des projets de réglementation toujours plus stricts émergent et sont susceptibles d’avoir un impact significatif sur les entreprises technologiques qui représentent une part importante de la clientèle d’OVHcloud. De nouvelles réglementations pourraient impacter le fonctionnement d’OVHcloud et ses coûts.

Gestion du risque

OVHcloud suit en permanence les enjeux liés à la protection des données (voir risque lié à la non-conformité à certaines lois et réglementations et à leur évolution).

OVHcloud a déployé une gouvernance interne permettant de s’assurer que les enjeux de protection des données sont systématiquement pris en compte dans ses projets.

Le Groupe a procédé au classement de ses données par niveau de risque afin de déterminer les mesures nécessaires pour limiter les pertes ou vols de ces données. Les processus de gestion des accès informatiques permettent de limiter la capacité à accéder aux données en fonction d’habilitations.

Les mesures de réduction du risque cybersécurité, détaillées dans le risque cybersécurité, contribuent à la réduction du risque lié à la perte de données, notamment grâce aux outils de monitoring à disposition, ou par exemple aux tests cybersécurité menés en interne et par des prestataires externes.

2.2Assurance et couverture des risques

2.2.1Politique d’assurance et organisation

Le service juridique du Groupe négocie l’ensemble des contrats d’assurance de façon centralisée pour l’ensemble du Groupe à l’exclusion des filiales implantées aux États-Unis. Les filiales américaines du Groupe déterminent elles-mêmes leur politique assurantielle et souscrivent pour leur propre compte leurs polices d’assurance.

Les contrats d’assurance sont soit souscrits par le Groupe, pour son propre compte et pour le compte de ses filiales, soit directement souscrits par les filiales, par l’intermédiaire de courtiers mandatés pour négocier auprès des principales compagnies d’assurance la mise en place ou le renouvellement des garanties les plus adaptées aux besoins de couverture des risques.

Les compagnies d’assurance sont sélectionnées sur le fondement de critères tels que le montant des cotisations, l’étendue des garanties proposées, la capacité à mettre en place des programmes intégrés de type polices masters, la durée de l’engagement, leur disponibilité pour assurer les risques considérés au vu de l’ensemble de leurs autres engagements sur le secteur et le marché considéré ou la faculté à proposer un accompagnement qualitatif afin d’appréhender au mieux la gestion des risques.

La politique du Groupe en matière d’assurance vise à :

• adapter chaque année lors du renouvellement de ses polices sa couverture assurantielle en fonction de l’évolution des risques liés à la croissance de ses activités habituelles et de l’augmentation constante de ses capitaux. Pour cela, le Groupe fait appel à un cabinet externe pour expertiser les capitaux de ses sites les plus importants ;
• poursuivre une politique active de prévention et de protection de ses sites industriels notamment avec son plan de prévention HYR, visant à les protéger contre les risques accidentels d’incendie. Le Groupe fait auditer annuellement la majorité de ses sites industriels par les ingénieurs préventistes de ses courtiers et assureurs ;
• communiquer au marché de l’assurance et de la réassurance, lors de roadshows organisés par le Groupe, des informations détaillées sur le plan de prévention HYR ;
• mettre en place des sessions de sensibilisation du risque incendie avec une approche technique et assurantielle auprès d’un panel large d’opérationnels ;
• développer la prévention des risques tels que les expositions aux catastrophes naturelles ou environnementales afin d’étoffer la couverture assurantielle existante.

L’ensemble des contrats d’assurance ont été renouvelés au 1er janvier 2024, à l’exception de quelques contrats dont les échéances demeurent en cours d’année.

Le Groupe privilégie la souscription de polices masters afin de pouvoir mutualiser les garanties au sein du Groupe. Pour des raisons réglementaires ou factuelles telles que la taille d’une filiale ou la nécessité d’obtenir des garanties, le Groupe a recours à des polices locales ou standalone souscrites directement par ses filiales.

Le Groupe dispose également de polices d’assurance souscrites directement par le Groupe ou par l’intermédiaire de ses filiales, couvrant la responsabilité civile des mandataires sociaux, les risques relatifs à l’ensemble de ses bureaux, à sa flotte automobile, aux déplacements de ses salariés utilisant leur propre véhicule pour des déplacements professionnels, aux missions professionnelles, aux salariés expatriés, aux travaux de construction, d’installation d’équipement ou d’aménagement dans ses centres de données ou bureaux, au transport de marchandises, habitations louées et mises à disposition du personnel lors de déplacements professionnels ponctuels au siège social, mais aussi du cabinet médical du médecin exerçant aussi pour le compte d’OVHcloud.

Le Groupe dispose également par l’intermédiaire de ses filiales de nombreuses polices d’assurance couvrant les dommages matériels, la responsabilité civile et employeur et l’indemnisation des salariés, de ses bureaux et centres de données internationaux.

2.2.2Dommages aux biens

Le Groupe bénéficie d’assurances de dommages aux biens couvrant ses sites, installations et équipements qu’il possède en propre ou qui lui sont confiés.

Depuis l’incendie de Strasbourg en mars 2021, la négociation et le placement sur le marché du contrat d’assurance souscrit en France s’était avéré extrêmement difficile et avait fait l’objet de nombreuses conditions lors de son renouvellement du 1er septembre 2021, qui ont perduré lors des deux extensions du contrat des 1er septembre 2022 et 1er janvier 2023.

La réalisation en cours du plan de prévention établi par le Groupe pour ses datacenters et sites associés selon les délais prévus, a permis de conforter les attentes des assureurs sur le niveau de prévention attendu et de lever les conditions contractuelles spécifiques qui avaient été imposées à la suite de l’incendie.

Le Groupe a souscrit au 1er juillet 2023 pour dix-huit mois un nouveau programme d’assurance dommages aux biens et frais supplémentaires d’exploitation composé de deux contrats d’assurance appelés « lignes » permettant d’obtenir des garanties suffisantes et d’assurer l’ensemble des capitaux des datacenters du Groupe situés en France, en Allemagne, en Belgique et au Royaume-Uni.

Le contrat de 1re ligne a été souscrit auprès du même apériteur AXA France IARD auquel s’est ajouté un second apériteur RSA Luxembourg SA pour un total de 64 % des parts du risque et six coassureurs se partageant 36 % du risque restant.

Le contrat de 2de ligne a été souscrit auprès de Zurich en tant qu’apériteur avec un total de 50 % de parts du risque et sept coassureurs se partageant 50 % du risque restant.

Ce programme assure en particulier les risques incendie, foudres, explosion, électrique, dégâts des eaux, vol, événements naturels, concernant les dommages matériels directs des biens garantis d’origine accidentelle, dont les bâtiments, mobiliers, matériel et/ou risques locatifs mobiliers/matériels, les frais et pertes divers consécutifs aux dommages matériels garantis, les conséquences pécuniaires de la responsabilité civile ainsi que les frais supplémentaires d’exploitation.

La limite de garantie totale du programme a été relevée à 400 millions d’euros par sinistre et la franchise de base a été ramenée à 3 millions d’euros avec des franchises plus basses adaptées aux sites de valeurs assurées inférieures.

2.2.3Responsabilité civile et cyber

Ce programme mondial combiné « responsabilité civile et cyber entreprise risk management pour les technologies de l’information et de la communication », souscrit pour toutes les filiales du Groupe à l’exception des filiales américaines, comprend notamment une couverture responsabilité civile exploitation, du fait des produits, professionnelle ainsi que les conséquences pécuniaires liées aux risques cyber.

Le contrat couvre les conséquences pécuniaires de la responsabilité exploitation, produits et professionnelle.

Ce programme master se décompose en quatre contrats d’assurance appelés « lignes » permettant d’obtenir des garanties suffisantes en couverture « responsabilité civile et cyber entreprise risk management », et souscrits respectivement chez CNA, Chubb, AIG et Ergo. Il a été renouvelé auprès des mêmes assureurs et bénéficie d’une ligne supplémentaire souscrite chez AIG, le 1er janvier 2024 pour une période de trois années soumises à tacite reconduction.

Les montants maximaux d’indemnisation des principaux risques, au titre de ce programme, ont été augmentés et s’élèvent dorénavant à 25 millions d’euros par période d’assurance pour la responsabilité civile d’exploitation, à 20 millions d’euros par période d’assurance pour la responsabilité civile professionnelle et responsabilité civile du fait des produits et à 15 millions d’euros par période d’assurance pour les pertes pécuniaires liées à un risque cyber.

2.3Dispositif de contrôle interne

2.3.1Cadre général du contrôle interne

2.3.1.1Définition et objectifs du dispositif de contrôle interne

En s’appuyant sur le cadre de référence de l’AMF, OVHcloud met en place un dispositif de contrôle interne comprenant un ensemble de moyens, de politiques, de comportements, de procédures et d’actions adaptées, visant à s’assurer :

• de l’application des instructions et des orientations fixées par la direction ;
• du fonctionnement des processus internes permettant l’efficacité et la maîtrise des activités ;
• de la fiabilité des informations comptables et financières ;
• de la conformité aux lois et règlements ;
• de la maîtrise des risques.

2.3.1.2Gouvernance du contrôle interne

Un ensemble d’acteurs intervient dans le dispositif de contrôle interne :  

Conseil d’administration et comité d’audit

Par délégation du Conseil d’administration, il incombe au comité d’audit de suivre le processus d’élaboration de l’information financière et de suivre l’efficacité des systèmes de contrôle interne et de gestion des risques et d’audit interne.

Le Conseil d’administration est informé par les membres du comité d’audit sur ces aspects.

Les missions détaillées du Conseil d’administration et du comité d’audit sont décrites dans la partie 4 « Gouvernement d’entreprise ».

Direction générale

La direction générale est responsable du déploiement du dispositif de contrôle interne et du pilotage de la cartographie des risques. Pour ce faire, la direction générale s’appuie sur la direction financière et la direction de l’audit, contrôle interne et risques.

Contrôles de 1er niveau

La 1re ligne de maîtrise est constituée par les opérations qui formalisent et mettent en œuvre des processus opérationnels pour assurer la maîtrise des opérations au quotidien et leur contrôle interne.

Contrôles de 2e niveau

Le contrôle interne est intégré à la mission de chaque direction opérationnelle. Ainsi, le management des directions opérationnelles est chargé de vérifier la bonne application des procédures et contrôles de 1er niveau en réalisant des contrôles de 2e niveau, par exemple par des échantillonnages, par la mise en place de contrôles applicatifs, de circuits de validation. La fonction contrôle de gestion peut également être en charge de la réalisation de contrôles de 2e niveau.

Enfin, les directions fonctionnelles se chargent de définir des référentiels et contrôles applicables par toutes les entités commerciales et industrielles et de piloter les risques opérationnels sur leur périmètre respectif : par exemple, les directions juridiques, qualité, normes, sécurité et environnement de travail, cybersécurité, ressources humaines, finance, assurances. Ces directions fonctionnelles peuvent également être amenées à vérifier la bonne application des règles de 1er niveau par des campagnes de contrôles de 2e niveau.

Dans une optique de renforcement de son contrôle interne et de coordination, OVHcloud a créé une direction de l’audit, contrôle interne et risques, rattachée à la direction financière du Groupe. Cette direction assiste les directions opérationnelles et fonctionnelles dans la construction de leurs dispositifs de contrôles de 1er et 2e niveaux. La direction de l’audit, contrôle interne et risques réalise également des campagnes de contrôles internes basées sur l’autoévaluation par les directions opérationnelles de la bonne application des contrôles. Le comité d’audit suit le déploiement du dispositif de contrôle interne.

Contrôles de 3e niveau

La 3e ligne de maîtrise est constituée par la direction de l’audit, contrôle interne et risques. Sur la base d’un plan d’audits annuels, validé par la direction générale et par le comité d’audit, des missions d’audit sont réalisées en toute indépendance et font l’objet d’un rapport de mission qui identifie les risques éventuels et les plans d’action nécessaires à la réduction du risque.

Les conclusions des missions d’audit interne sont restituées aux directions opérationnelles, ainsi qu’à la direction générale et au comité d’audit pour les principaux constats afin de donner une assurance raisonnable sur l’efficacité du dispositif de contrôle interne et de gestion des risques. 

Le suivi des plans d’action est présenté au comité exécutif ainsi qu’au comité d’audit, deux fois par an. Par ailleurs, l’audit interne dispose de toute l’indépendance pour effectuer, si cela devait s’avérer nécessaire, des alertes auprès de la direction générale et des administrateurs.

2.3.2Dispositif et environnement de contrôle interne

2.3.2.1Environnement de contrôle

L’objectif d’un environnement de contrôle est de créer un cadre de sécurisation pour OVHcloud, les collaborateurs et l’ensemble des parties prenantes. L’environnement de contrôle interne repose sur un cadre de valeurs régissant le comportement et l’éthique des collaborateurs et des tiers au Groupe. Afin de diffuser ces valeurs, le Groupe a mis en place les chartes et Code de conduite suivants :

• code éthique et anticorruption régissant les règles de comportement des collaborateurs mais aussi des partenaires/fournisseurs ;
• plateforme de signalement permettant de signaler les comportements contraires au référentiel éthique et toute situation ou fait grave constatés dans l’entreprise ou chez nos partenaires/fournisseurs en toute confiance et confidentialité ;
• valeurs d’OVHcloud partagées par l’ensemble des collaborateurs, dont notamment l’obligation d’agir responsablement, éthiquement. Ces valeurs fondatrices contribuent à la diffusion d’une culture d’entreprise respectueuse ;
• chartes informatique, communication et sécurité comprenant l’ensemble des règles et bonnes pratiques en matière de sécurité physique et logique des moyens informatiques du Groupe par les usagers ;
• charte de déontologie boursière, mise en place en 2021, conforme aux instructions de l’AMF, définissant les obligations incombant aux personnes détentrices d’informations privilégiées.

Le contrôle interne s’appuie particulièrement sur :

• la direction juridique Groupe qui conseille et assiste les directions opérationnelles et les filiales, sur les affaires juridiques significatives ;
• la direction fiscale Groupe qui conseille et assiste les directions opérationnelles et les filiales, sur les affaires fiscales significatives ;
• la direction des opérations financières Groupe qui s’assure de la mise en œuvre et du respect des procédures de reporting et d’établissement des comptes consolidés ;
• la direction des ressources humaines Groupe qui conseille et veille à la conformité des pratiques internes aux lois et aux réglementations relevant du droit social ;
• la direction des opérations du Groupe qui procède à des analyses spécifiques de risques et propose des plans d’action en matière de sécurité, de sûreté et de continuité d’exploitation ;
• la direction de l’audit, contrôle interne et risques qui constitue le référentiel de contrôle interne et pilote la cartographie des risques.

Enfin, les commissaires aux comptes prennent connaissance du dispositif de contrôle interne et des risques identifiés par le Groupe dans l’évaluation.

2.3.2.2Référentiels de contrôle

Éthique et conformité

Le Groupe porte une attention stricte à la conformité de ses procédures et des pratiques de ses salariés aux réglementations applicables. Le Groupe a ainsi déployé des codes éthique et anticorruption avec des formations associées. Par ailleurs, le Groupe sensibilise ses collaborateurs concernant le whistleblowing, dans le cadre notamment des mesures mises en place conformément à la loi du 9 décembre 2016 relative à la transparence, la lutte contre la corruption et le trafic d’influence et la modernisation de la vie économique (loi dite « Sapin 2 »). Une plateforme accessible à tout moment a été mise en place sur laquelle les collaborateurs et tous tiers externes (partenaires, fournisseurs, clients…) peuvent déclarer tout acte observé violant le code éthique du Groupe : « ROGER » (Respect OVHcloud Guidelines and Ethical Rules). Le dispositif lié à l’éthique et la conduite des affaires est décrit dans la partie 3 de ce présent document. 

Protection des données

Sous la supervision de son délégué à la protection des données (DPO), le Groupe met en œuvre une politique rigoureuse de protection des données personnelles. Une politique d’utilisation des données à caractère personnel a été établie qui décrit précisément les traitements qu’OVHcloud peut être amené à réaliser sur les données concernant les clients, fournisseurs et partenaires, ainsi que les conditions de leur réalisation.

Sécurité des systèmes d’information

La sécurité de l’information fait l’objet d’un programme et d’engagements développés au sein de la politique de sécurité des systèmes d’information d’OVHcloud (« ISSP »). Cette politique met en avant des principes d’application dont les principaux sont les suivants :

• déployer une approche industrielle, à grande échelle, de la sécurité ;
• adapter les dispositifs de sécurité aux différents types de clients d’OVHcloud ;
• fournir les moyens et technologies pour que chaque client gère ses risques propres ;
• assurer la sécurité du système d’information en support des services durant toutes les phases de son cycle de vie ;
• mettre en place des systèmes de management de la sécurité (ISMS) et de la vie privée (PIMS) ;
• piloter la sécurité avec une approche par les risques ;
• démontrer le niveau de la sécurité via la certification, le contrôle interne et l’audit externe ;
• apporter une réponse unifiée aux incidents de sécurité et aux violations de données à caractère personnel ;
• intégrer les enjeux de sécurité et de protection de la vie privée dans l’évolution des produits ; et
• évaluer la sécurité et mettre en place un processus d’amélioration continue.

La politique de sécurité des systèmes d’information (« PSSI »), sous la responsabilité du directeur de la sécurité des systèmes d’information (« CISO »), est revue par le comité exécutif qui vérifie l’adéquation de son contenu avec les objectifs stratégiques du Groupe. Elle est révisée une fois par an. La PSSI s’applique à l’ensemble des sociétés du Groupe, aux salariés, aux fournisseurs, aux prestataires, aux sous-traitants et aux utilisateurs du système d’information, quel que soit leur statut.

Sous la responsabilité du directeur de la sécurité des systèmes d’information (« CISO »), l’équipe sécurité d’OVHcloud est elle-même composée de quatre équipes :

• « outils de sécurité », en charge de développer et d’opérer les outils support de la politique de sécurité ;
• « sécurité des opération », en charge de veiller à la mise en œuvre de bonnes pratiques de sécurité au sein des opérations et à la mise en œuvre de processus formels de gestion de la sécurité, d’apporter son soutien à l’intégration des outils de sécurité et à l’alignement des dispositifs de sécurité au sein de l’entreprise ;
• « CERT », en charge de surveiller les sources de menaces, d’identifier les outils de cyberattaque et les méthodes pour les anticiper, et de gérer les incidents de sécurité ; et
• « sécurité client », en charge d’accompagner les équipes au contact des clients (support, commerce, etc.) pour gérer les sujets de sécurité dans la relation.

OVHcloud veille à la sensibilisation des employés aux enjeux de la sécurité informatique et, plus particulièrement, aux enjeux de la cybersécurité. Dans cette optique, le Groupe mène régulièrement des campagnes de simulations d’attaque cyber (phishing) conçues sur la base de scénarios sophistiqués et réalise des audits externes. 

Qualité, santé, environnement

Au travers de sa politique santé et sécurité, OVHcloud encadre la mise en œuvre des mesures visant à offrir des espaces de travail sûrs et sains pour tous ses employés et parties prenantes, ses sites et ses produits. La politique de gestion des risques industriels du Groupe s’articule autour de deux axes : (i) la prévention par des audits réalisés par des organismes extérieurs sur chacun des sites qui donnent lieu à l’élaboration de rapports avec des recommandations tant humaines que matérielles et (ii) la protection par l’élaboration de plans de réduction des risques, intégrant des investissements à court et moyen termes ainsi que des actions d’organisation ou de management.

Recueil de règles et de contrôles

La direction de l’audit, contrôle interne et risques constitue, au fur et à mesure de leur création, un recueil de procédures. 

Un recueil des contrôles de 2e niveau est construit dans l’objectif de déployer un processus d’autoévaluation pour les directions opérationnelles et de suivi des actions d’amélioration continue.

2.3.2.3Procédures de contrôle interne relatives à l’élaboration et au traitement de l’information financière et comptable

Le pilotage de la fonction comptable et financière d’OVHcloud est assuré par la direction financière du Groupe, qui rend compte directement à la direction générale.

Les attributions de la direction financière Groupe recouvrent principalement la production des comptes, le contrôle de gestion, la fiscalité, les financements et la trésorerie, la participation à la communication financière, aux achats, le contrôle interne, l’audit interne et la gestion des risques.

Les IFRS, règles et méthodes comptables en vigueur au sein du Groupe, sont présentées dans les notes aux comptes consolidés du présent document. Le comité d’audit s’assure à chaque arrêté comptable de leur permanence auprès de la direction financière et des commissaires aux comptes.

Chaque semestre, après examen par le comité d’audit, le Conseil d’administration arrête les comptes semestriels et annuels sur lesquels les commissaires aux comptes sont appelés à se prononcer.

Les systèmes d’information

Les systèmes d’information comptables et financiers déployés au sein du Groupe ont pour objectif de satisfaire aux exigences de conformité, de sécurité, de fiabilité, de disponibilité et de traçabilité de l’information.

OVHcloud déploie progressivement SAP pour qu’il devienne le seul système d’information et de gestion des données de gestion financière et de comptabilité. Ainsi, après le déploiement en France et au Canada, le Groupe a finalisé le déploiement de SAP en 2024 dans toutes ses filiales. L’utilisation d’un outil unique permet de garantir une cohérence pour le traitement, la comparaison et le contrôle des informations comptables et financières. Par ailleurs, OVHcloud a déployé en 2024 l’outil HFM pour la consolidation des données financières.

Afin de renforcer le contrôle interne des systèmes, la direction organisation et systèmes d’information a renforcé le dispositif de séparation des tâches et a amélioré les contrôles des droits d’accès, notamment dans les systèmes critiques tels que SAP, à travers une revue annuelle formalisée sur tout le périmètre du Groupe.

La communication financière

La direction de la communication financière et des relations investisseurs, placée sous la supervision du directeur financier, gère la communication financière du Groupe.

Le Groupe diffuse l’information financière par différents moyens et notamment :

• les communiqués de presse ;
• le document d’enregistrement universel ;
• la présentation des résultats semestriels et annuels.

Le site Internet du Groupe a une rubrique dédiée Investisseurs qui regroupe les éléments précédemment cités, ainsi que d’autres éléments à caractère réglementaire ou d’information.

Les commissaires aux comptes

Dans le cadre de leur mission de certification des comptes, les commissaires aux comptes formulent des remarques. Au moment qu’ils jugent approprié, les commissaires aux comptes communiquent à la direction, au niveau de responsabilité approprié, les faiblesses du contrôle interne identifiées au cours de l’audit qu’ils estiment d’une importance suffisante pour mériter son attention. Les commissaires aux comptes communiquent les faiblesses significatives du contrôle interne aux organes mentionnés à l’article L. 823-16 du Code de commerce, au moment qu’ils jugent approprié, par écrit.

Dans le cadre de leur mission permanente, les commissaires aux comptes auditent les comptes et états, annuels et semestriels, des entités consolidées. L’établissement des comptes consolidés annuels du Groupe est réalisé par la direction des opérations financières sous la responsabilité du directeur financier du Groupe. Le directeur général et le directeur financier du Groupe certifient la régularité, la sincérité et l’image fidèle des comptes consolidés en signant une lettre d’affirmation adressée aux commissaires aux comptes.

Déclaration 
de performance 
extra-financière /DPEF/ /RFA/

Modèle d’affaires

Le modèle d’affaires d’OVHcloud est détaillé en introduction du présent document d’enregistrement universel.

Démarche RSE

OVHcloud a structuré sa démarche RSE au cours de l’exercice 2022. Avec près de 3 000 collaborateurs au 31 août 2024 et une empreinte industrielle et commerciale mondiale, le Groupe a pleinement conscience de sa responsabilité dans un monde où les données ont un impact majeur sur les vies privées, sociales et professionnelles, sur les plans économique, géopolitique, éthique et environnemental. Elles impactent les relations entre les personnes et leur utilisation traduit une vision du monde et le type de société dans lequel chacun souhaite vivre. Porté par son ambition : Leading the data revolution for a responsible future (Conduire la révolution des données pour un avenir responsable), OVHcloud s’est donné pour mission de construire un cloud ouvert et de confiance, permettant aux entreprises et à la société de tirer le meilleur parti de la révolution des données tout en minimisant ses impacts environnementaux.

Cette vision et la mission qui lui est associée se traduisent par une politique RSE, étroitement intégrée à la stratégie du Groupe. Cette politique s’articule autour de trois piliers d’engagement qui se déclinent chacun à leur tour en trois axes d’actions :

• Garantir la liberté et la souveraineté des données

OVHcloud est au cœur de la révolution numérique, qui ouvre la voie à une multitude d’opportunités en matière d’applications et de technologie. Dans ce contexte, le Groupe propose à ses clients des solutions cloud couvrant l’ensemble de leurs usages, qu’il s’agisse de les accompagner dans leur transformation numérique, de leur permettre d’innover en construisant des applications cloud native ou de les aider à tirer parti de la puissance de la donnée. Dans l’accomplissement de cette mission, le Groupe offre à ses clients la liberté de construire leurs projets les plus ambitieux, dans un environnement cloud sécurisé, conforme et durable, suivant trois axes d’actions :

• défendre la souveraineté des données, la sécurité et la confidentialité ;
• garantir la liberté de choix et la réversibilité ;
• offrir un prix prévisible et transparent.

• Être pionnier du cloud durable

À l’avant-garde du cloud durable, OVHcloud intègre la durabilité au cœur de son modèle d’affaires depuis sa création, visant à minimiser son impact environnemental à chaque étape. L’action environnementale d’OVHcloud s’articule autour de trois axes :

• inscrire l’innovation au cœur de son modèle industriel ;
• aligner OVHcloud avec l’Accord de Paris, dont un des objectifs majeurs consiste à poursuivre les efforts pour limiter l’augmentation de la température moyenne mondiale à 1,5 °C au-dessus des niveaux pré-industriels ;
• sensibiliser les parties prenantes à l’ensemble des impacts du cloud, afin d’enclencher une démarche collective de réduction de l’empreinte environnementale.

• Faire progresser collectivement le cloud au bénéfice de la société

Chez OVHcloud, tout commence par l’humain. Les femmes et les hommes font sa richesse : ce sont les talents qui assurent sa réussite. Le « travailler ensemble » est l’une des valeurs fondamentales du Groupe. Cette dimension collective trouve son prolongement dans son écosystème, et dans la volonté de faire grandir toute la filière du cloud européen. Ce troisième pilier d’engagement se décline en trois voies d’action :

• attirer et faire grandir les talents dans une aventure collective au sein d’une entreprise diverse et inclusive ;
• collaborer et développer des coalitions avec les parties prenantes de l’écosystème du cloud européen ;
• favoriser l’ancrage local et l’engagement sociétal en œuvrant à l’insertion par le numérique.

Gouvernance RSE

Pour piloter ses ambitions en matière de responsabilité sociétale d’entreprise (RSE), OVHcloud a mis en place une gouvernance dédiée, étroitement associée au pilotage de la stratégie globale du Groupe.

Le Conseil d’administration s’attache à promouvoir la création de valeur à long terme par la Société en considérant les enjeux sociaux et environnementaux de ses activités. Il examine régulièrement, en lien avec la stratégie qu’il a définie, les opportunités et les risques tels que les risques financiers, juridiques, opérationnels, sociaux et environnementaux, y compris le risque climatique, ainsi que les mesures prises en conséquence. Les priorités et objectifs à moyen terme en matière de responsabilité sociétale d’entreprise ont été approuvés par le Conseil d’administration en 2022 et sont revus chaque année par les mêmes instances. Leur suivi est assuré en s’appuyant sur les travaux de ses comités. En mai 2024, un séminaire stratégique extraordinaire en présence des administrateurs indépendants a été organisé : de nombreux sujets de gouvernance et de pilotage furent abordés dont la politique RSE, son application et l’avancement des travaux liés. 

Instauré dès l’introduction en bourse du Groupe en 2021, le comité stratégique et RSE a la mission de préparer le travail et de faciliter le processus de décision du Conseil d’administration sur les enjeux stratégiques et RSE. En matière de RSE, il a notamment la charge :

• de s’assurer de la prise en compte des sujets relevant de la responsabilité sociale et environnementale (telles que les politiques de diversité et de non-discrimination et les politiques de conformité et d’éthique) dans la stratégie du Groupe et dans sa mise en œuvre ;
• d’examiner la déclaration de performance extra-financière en matière sociale et environnementale prévue à l’article L. 22-10-36 du Code de commerce ;
• d’examiner les avis émis par les investisseurs, analystes et autres tiers et, le cas échéant, le potentiel plan d’action établi par la Société aux fins d’améliorer les points soulevés en matière sociale et environnementale ;
• d’examiner et d’évaluer la pertinence des engagements et des orientations stratégiques du Groupe en matière sociale et environnementale, au regard des enjeux propres à son activité et à ses objectifs, et de suivre leur mise en œuvre.

Le comité d’audit s’assure de l’efficacité du dispositif de suivi des risques et de contrôle interne, incluant les risques en matière de RSE, y compris le risque climatique, ainsi que de l’examen et du suivi des dispositifs et procédures en place pour garantir la diffusion et l’application des politiques et règles de bonnes pratiques en matière d’éthique, de fraude et de corruption et plus globalement de conformité aux réglementations en vigueur.

Enfin, le comité des nominations, des rémunérations et de la gouvernance se charge, entre autres missions, de la revue annuelle de la politique de diversité du Conseil d’administration ainsi que du suivi du taux de parité, de l’âge et de la diversité des compétences.

Le rôle et les travaux du Conseil d’administration et de ses comités sont détaillés dans les sections 4.1.5 et 4.1.6 du présent document d’enregistrement universel.

La direction de la stratégie et de la RSE, rattachée au directeur général, a la charge de l’implémentation des grandes orientations stratégiques du Groupe, qu’elle contribue à définir, ainsi que du développement et de la coordination de la politique RSE, avec pour objectif d’engager l’entreprise dans une démarche d’amélioration continue, de valoriser ses engagements et de mesurer les effets du programme RSE. La direction de la stratégie et de la RSE rend régulièrement compte au comité exécutif des avancées du programme RSE, de ses principales initiatives et de leurs mises à jour.

Les engagements du programme RSE sont élaborés et suivis par le comité de pilotage RSE. Coordonné par la direction de la stratégie et de la RSE, il est composé d’une équipe RSE centrale et de représentants des directions opérationnelles associées à l’implémentation du plan d’action RSE. Le comité se réunit à un rythme hebdomadaire afin de définir, suivre et ajuster les plans d’action RSE.

Des échanges ouverts et réguliers avec les parties prenantes

Analyse de matérialité et évaluation des risques RSE

OVHcloud a mis au point une cartographie des risques Groupe en 2020. Celle-ci a été mise à jour à deux reprises, une première fois en 2022 et une seconde fois en 2023 (se référer au chapitre 2 du présent document d’enregistrement universel pour une description des facteurs de risque Groupe). Par ailleurs, le Groupe a construit sa première matrice de matérialité en 2022, mettant l’accent sur les enjeux RSE. Sa revue en 2024 n’a pas nécessité de mise à jour. 

Analyse de matérialité

En 2022, OVHcloud a construit sa première matrice de matérialité en interrogeant ses parties prenantes externes et internes, en vue de déterminer les enjeux RSE les plus matériels pour le Groupe, c’est-à-dire ceux qui ont ou pourraient avoir une incidence sur la capacité du Groupe à créer ou protéger de la valeur financière et extra-financière, pour lui-même et ses parties prenantes.

Cet exercice s’est déroulé en quatre étapes : identification des enjeux RSE potentiels, confrontation de ces enjeux avec les parties prenantes externes et internes, consolidation des résultats et enfin principaux enseignements tirés de l’analyse de ces résultats.

Identification des enjeux

OVHcloud a défini une liste de 24 enjeux RSE potentiels, subdivisés en trois catégories : environnement, conduite des affaires et social/sociétal.

Entretiens avec les parties prenantes

OVHcloud a confronté cette liste d’enjeux potentiels à ses parties prenantes internes et externes au cours d’entretiens, menés notamment auprès de ses clients, fournisseurs, investisseurs, représentants de son écosystème (associations, ONG, partenaires…) ainsi que les directeurs et responsables du Groupe, dont le comité exécutif, afin de récolter leur point de vue et leurs attentes vis-à-vis de chacun des enjeux. Les entretiens ont été conduits par les équipes d’OVHcloud, à l’exception des investisseurs, consultés par le biais d’une étude de perception réalisée par un prestataire externe. OVHcloud a par ailleurs consulté ses collaborateurs (hors comité exécutif et autres responsables) à travers un sondage en ligne.

Un guide d’entretien a été construit pour encadrer les différents entretiens. Ce guide a servi de base pour établir l’outil de sondage en ligne.

La question centrale portait sur la notation des enjeux en fonction du niveau d’attente pour chacun d’eux, selon la grille suivante :

• 0 : pas d’attente. OVHcloud n’a pas à s’engager particulièrement sur cet enjeu ;
• 1 : limité. Enjeu pour lequel OVHcloud peut mettre en place quelques actions, sans pour autant les intégrer à sa stratégie ;
• 2 : important. OVHcloud devrait adopter une politique, des objectifs et un plan d’action concernant cet enjeu ;
• 3 : prioritaire. Cet enjeu doit constituer une priorité stratégique majeure pour OVHcloud.

Au total, 231 personnes ont été consultées dont :

• management (représenté sur l’axe des abscisses de la matrice) :
  • le Président du Conseil d’administration,
  • 18 représentants de la direction dont le directeur général et l’ensemble du comité exécutif ainsi que les principaux directeurs de zone ;
• parties prenantes (représentées sur l’axe des ordonnées de la matrice) :
  • 34 représentants des parties prenantes externes : clients, fournisseurs, pouvoirs publics, investisseurs, membres de l’écosystème d’OVHcloud (associations, partenaires, ONG…),
  • 178 salariés consultés par sondage.

Biais méthodologiques

La voix des pouvoirs publics a été exprimée par la personne responsable des affaires publiques chez OVHcloud.

Concernant les investisseurs, la notation a été faite en transposant l’étude de perception « Investisseurs ESG » 2022 réalisée par un prestataire externe sur une grille de notation similaire et une liste d’enjeux un peu plus restreinte.

Consolidation des résultats et formalisation de la matrice

L’analyse des données quantitatives et qualitatives a été réalisée avec l’appui d’un cabinet de conseil en RSE, selon la méthodologie suivante :

• consolidation des résultats : concernant les parties prenantes internes et externes, la notation moyenne des enjeux a été établie sur la base d’une équi-pondération des résultats au sein de chaque catégorie de parties prenantes, puis entre les catégories. Pour le management, les notations attribuées par le Président et le directeur général ont fait l’objet d’une surpondération par rapport aux réponses des représentants de la direction ;
• formalisation de la matrice : les notations ainsi obtenues ont permis de placer chaque enjeu sur l’axe des abscisses (moyenne attribuée par le management) et sur l’axe des ordonnées (moyenne attribuée par les parties prenantes internes et externes) ;
• analyse des résultats : les enseignements clés sont tirés de la compilation de l’analyse (corrélations, dispersions, classements des enjeux, comparaison selon les parties prenantes) des résultats.

Un fort alignement entre le management et les parties prenantes

* Pour le libellé détaillé des enjeux, se reporter au tableau dans la section consacrée à l’identification des enjeux ci-dessus.

Principaux enseignements

• Les parties prenantes internes et externes sont globalement alignées sur les enjeux les plus matériels, notamment ceux liés au cœur de métier du Groupe, signe d’une bonne compréhension entre OVHcloud et son écosystème. Il s’agit des enjeux relatifs à la souveraineté des données, la trajectoire bas carbone, la gestion efficiente de l’énergie, la cybersécurité et la protection des données, l’affichage environnemental et la transparence carbone, la sécurisation des approvisionnements stratégiques.
• Trois enjeux majeurs se distinguent plus particulièrement, cohérents avec la vision et les orientations stratégiques du Groupe :
  • souveraineté des données ;
  • trajectoire bas carbone ;
  • gestion efficiente de l’énergie.
• Sur les enjeux importants, un alignement est également constaté sur des enjeux plus génériques mais fondamentaux pour le fonctionnement de l’entreprise : chaîne d’approvisionnement responsable, éco-design, éthique des affaires, gestion responsable de l’eau, attractivité et fidélisation des talents, fiabilité et confiance du client, santé, sécurité au travail et bien-être des employés, diversité et inclusion, innovation et R&D pour green IT.
• Concernant les écarts (qui restent limités), on constate que le management accorde une importance particulière à l’attraction des talents et à la confiance client, tandis que les parties prenantes ont plutôt des attentes fortes concernant la continuité de service – en matière de cybersécurité et de résilience au changement climatique – et l’affichage environnemental.
• OVHcloud est clairement reconnu sur les enjeux de différenciation de l’offre, liés à sa proposition de valeur : la transparence des prix, l’éco-conception, la démarche responsable de gestion des ressources et surtout la souveraineté des données. Les attentes sont néanmoins très fortes sur ces enjeux, qui figurent parmi les plus matériels.
• À la question des enjeux sur lesquels OVHcloud dispose de marges de progrès, les parties prenantes se sont généralement moins exprimées que le management. Les enjeux les plus cités ont été : cybersécurité et protection des données, affichage environnemental, diversité et inclusion, attraction et fidélisation des talents, contribution à la transition numérique et accessibilité du numérique.

• Les interactions avec les diverses parties prenantes du Groupe au cours de l’exercice 2024 confortent les principaux enseignements tirés de l’analyse menée en 2022.

Évaluation des risques RSE

Les travaux de cartographie des risques Groupe et d’analyse de matérialité ont permis d’affiner la liste de risques RSE du Groupe, ainsi que de conforter les piliers d’engagement de sa politique RSE. La liste définitive des risques RSE, présentée dans le tableau ci-dessous, a été revue et validée par le comité exécutif.

Récapitulatif des indicateurs de performance

3.1Garantir la liberté et la souveraineté des données

Leader européen du cloud, OVHcloud est au cœur de la révolution numérique, qui ouvre la voie à une multitude d’opportunités en matière d’applications et de technologie. Dans ce contexte, le Groupe propose à ses clients des solutions cloud couvrant l’ensemble de leurs usages, qu’il s’agisse de les accompagner dans leur transformation numérique, de leur permettre d’innover en construisant des applications cloud native ou de les aider à tirer parti de la puissance de la donnée. Dans l’accomplissement de cette mission, le Groupe offre à ses clients la liberté de construire leurs projets les plus ambitieux, dans un environnement cloud sécurisé, conforme et durable. Pour OVHcloud, chacun doit pouvoir garder le contrôle de ses données et avoir la garantie qu’elles sont en sécurité. Le libre choix et l’ouverture, en matière de services et d’innovation, constituent le socle de la relation de confiance établie avec ses clients et partenaires. Celle-ci passe également par une offre de services proposant le meilleur rapport prix-performance et des tarifs transparents et prévisibles.

3.1.1Défendre la souveraineté des données, la sécurité et la confidentialité

Les activités d’OVHcloud s’articulent autour de la capacité de calcul, du stockage, du traitement et du transfert de données de ses clients, dont des données personnelles, ainsi que des données critiques pour l’entreprise. La souveraineté, la sécurité et la confidentialité des données constituent le socle de la proposition de valeur du Groupe et le fondement de la relation de confiance qui l’unit à ses clients. OVHcloud assure le plus haut niveau de protection des données. Ce niveau d’excellence est soutenu par un système de gouvernance de la donnée efficace. Le Groupe milite également pour un cloud européen, garant de l’indépendance technologique de l’Europe et de la souveraineté de ses données.

3.1.1.1Le plus haut niveau de protection des données

Une priorité absolue : assurer la sécurité dans le cloud

OVHcloud met en œuvre des mesures de sécurité dans tous ses datacenters et processus afin de protéger ses clients à travers le monde.

Cybersécurité

OVHcloud considère la cybersécurité comme l’un des piliers support de sa stratégie de développement. La capacité du Groupe à protéger les données et charges de traitements de ses clients conditionne en effet la confiance qu’ils lui accordent. La politique de sécurité des systèmes d’information (PSSI (1)) fournit le cadre de référence en matière de cybersécurité pour OVHcloud. Elle décrit le contexte de sa mise en œuvre ainsi que ses fondements, au nombre de trois :

• déployer une approche industrielle à grande échelle de la sécurité. La sécurité est intégrée dans le cycle de développement des produits. L’équipe de sécurité est constamment impliquée pour accompagner les décisions quant aux mesures de sécurité à adopter pour en prévenir et réduire les risques. Cette démarche s’appuie sur des mesures de sécurité normalisées, sur des architectures sécurisées dès leur conception et sur des processus formels, éprouvés, fortement automatisés. Les mesures de sécurité normalisées sont assorties de mesures complémentaires pour tenir compte des spécificités de chaque projet. Enfin, OVHcloud opère un dispositif d’analyse permanent des menaces reposant sur la surveillance continuelle des systèmes, lui permettant d’adapter systématiquement ses pratiques opérationnelles aux risques immédiats et de réagir efficacement aux incidents de sécurité ;
• positionner OVHcloud comme un acteur de confiance au sein de l’écosystème. En tant que fournisseur mondial de cloud, OVHcloud a une grande responsabilité dans la lutte contre les menaces de sécurité. Le Groupe déploie des outils de protection à grande échelle et automatise la protection des systèmes de ses clients contre ces menaces. L’équipe sécurité et les experts techniques d’OVHcloud entretiennent des relations opérationnelles solides avec les communautés d’experts en sécurité, les autorités, les éditeurs de logiciels et les fabricants de matériel. De cette manière, le Groupe est en mesure d’anticiper les nouvelles menaces et vulnérabilités, et de réduire ainsi les risques associés. Par ailleurs, OVHcloud partage ses innovations et ses connaissances avec la communauté de la sécurité et promeut la divulgation responsable. Enfin, les dispositifs de sécurité du Groupe sont régulièrement évalués par des tiers de confiance sur la base de référentiels d’audit reconnus ;
• opérer un cloud de confiance pour tous. OVHcloud propose ses solutions à tout type de client dans tous les domaines d’activité : start-up, PME, grande entreprise, administration, multinationale. Chaque client d’OVHcloud a une approche de la sécurité qui lui est propre, en fonction de son métier et/ou de ses besoins de souveraineté. OVHcloud assure la sécurité des services fournis et des infrastructures sous-jacentes et offre à ses clients un haut niveau de transparence sur les mesures de sécurité implémentées pour les accompagner. OVHcloud s’engage également sur la protection des données à caractère personnel, en tant que responsable de traitement pour les données relatives à ses clients et en tant que sous-traitant de données à caractère personnel dans le cas où ses clients sont eux-mêmes responsables de traitement. La politique de sécurité des systèmes d’information porte notamment cet engagement par la définition, la mise en œuvre et l’amélioration des dispositifs de sécurité assurant la protection des données à caractère personnel hébergées.

L’organisation de la gestion de la sécurité est basée sur des normes internationales reconnues qui mettent en évidence ces principes. Le Groupe a obtenu de nombreuses certifications nationales (SecNumCloud, ACN, ENS, C5) (2), internationales (ISO 27001, ISO 27701, PCI DSS, SOC 2 type 2) et spécifiques à certains secteurs (HDS, HIPAA et HITECH pour la santé, EBA et ACPR PSEE pour les services financiers), qui répondent aux plus hauts standards français, européens et internationaux en termes de protection des données. 

Par ailleurs, OVHcloud dispose de procédures internes en matière de sécurité des systèmes d’information et sensibilise en permanence ses collaborateurs au risque d’attaque informatique, notamment en réalisant des campagnes de simulations d’attaques cyber. Le Groupe organise jusqu’à trois campagnes par semaine, construites à partir de scénarios sophistiqués inspirés de cas réels, testés sur des populations choisies arbitrairement. Plusieurs indicateurs sont observés dont la part des effectifs testés, le taux de signalement et le taux de compromission (part des effectifs sur lesquels le phishing a fonctionné) et son inverse, le taux de succès des campagnes de simulations. C’est ce dernier indicateur qui constitue l’indicateur de performance de référence. En 2024, le taux de succès des campagnes de simulations d’attaques cyber s’est établi à 87 %, en très léger recul comparé à 2023, du fait du durcissement des campagnes de test afin de préparer les équipes à des scenarii plus réalistes. Le calcul de cet indicateur clé ne prend pas en compte la complexité des campagnes, et ne reflète donc pas parfaitement la réalité de la sensibilisation des utilisateurs en données comparables d’une année sur l’autre.

Protection physique des sites

Le cloud s’appuyant sur des infrastructures physiques, la sécurité des données passe aussi par la sécurisation des sites d’OVHcloud, avec une attention particulière portée à ses datacenters qui abritent les serveurs sur lesquels sont stockées ou transitent les données. Ces sites sont particulièrement importants pour garantir la continuité de l’activité des clients. OVHcloud met donc en place une multitude d’actions pour protéger ses sites, dont :

• du gardiennage et une surveillance 24/7 ;
• un système anti-intrusion ;
• un contrôle des accès strict ;
• des contacts réguliers avec les autorités.

Dans la nuit du 9 au 10 mars 2021, un incendie s’est déclaré dans l’un des quatre datacenters du site OVHcloud de Strasbourg. Dès lors, le Groupe a deployé un plan Hyper Résilience, visant, entre autres, à apporter des normes de sécurité au-dessus des standards réglementaires et des recommandations des assureurs.

L’inauguration du nouveau datacenter de Strasbourg, SBG5, en septembre 2022, a permis de montrer la première concrétisation du plan Hyper Résilience. Fruit d’un investissement de 30 millions d’euros lancé en avril 2021, le site est le premier d’une nouvelle génération de datacenters hyper résilients et plus durables. D’une superficie de 1 700 m2, SBG5 totalise 19 salles isolées bénéficiant de maçonneries compartimentant les différents segments pour offrir une résistance de deux heures au feu.

Communiqué de presse : https://corporate.ovhcloud.com/fr/newsroom/news/sbg5-opening/

Conformément à ses engagements, le Groupe a lancé un nouveau datacenter dédié aux sauvegardes de données brutes (snapshots) et distant des sites d’exploitation des services. Déployé dans un premier temps pour les clients français, le Groupe prévoit de généraliser ce service afin de l’étendre à l’ensemble de ses solutions et de ses localisations.

Protection des données personnelles et souveraineté des données

OVHcloud traite quotidiennement une quantité très importante de données personnelles tant pour le compte de ses clients, au travers de ses offres de produits et services de cloud, que pour son propre compte.

La sécurité des données, l’usage transparent et proportionné des informations relatives aux clients du Groupe ainsi que la protection des données qu’ils lui confient contre les lois étrangères de portées extraterritoriales, sont au cœur des priorités d’OVHcloud.

Afin de garantir à ses clients la sécurité de leurs données et de garantir le respect du RGPD et de toutes les législations nationales qui lui sont opposables, telles que le Data Protection Act britannique, le Data Protection Act australien ou la loi 25 québécoise, OVHcloud a adopté une politique de traitement des données personnelles se conformant aux réglementations les plus strictes et qui s’applique à l’ensemble de ses entités et de ses salariés. Cette politique est mise en œuvre sous la supervision du délégué à la protection des données (DPO), dont le rôle est décrit dans le chapitre 2 du présent document d’enregistrement universel.

Principaux traits de la politique de traitement des données personnelles d’OVHcloud

• Gouvernance de la donnée

Des comités et ateliers de travail dédiés à la protection des données se tiennent de manière régulière afin de veiller au respect des législations applicables et au suivi des actions qui en découlent :

• comité de revue des projets internes dont l’objectif est de vérifier la pertinence d’un projet et le respect du principe de Privacy by design par la prise en compte des prérequis techniques, de sécurité informatique et de traitement des données personnelles (50 projets étudiés au cours de l’exercice 2024) ;
• comités ad hoc de gestion des projets de nouveaux outils ou services à destination des clients ;
• comités mensuels de suivi entre le DPO et les acteurs clés de la protection de la donnée tels que le RSSI (responsable de la sécurité des systèmes d’information), le service client, ou divers représentants de la direction des systèmes d’information.
• Formations et sensibilisation des équipes

Dès leur arrivée chez OVHcloud, quelle que soit la filiale du Groupe à laquelle ils sont rattachés, les salariés du Groupe sont obligatoirement formés à la protection des données.

Cette formation s’effectue en deux temps, (i) au travers de la semaine d’intégration à laquelle tout nouveau salarié, y compris les membres du comité exécutif, assiste, puis (ii) au travers de l’e-learning obligatoire accessible depuis la plateforme d’e-learning du Groupe.

• Documentation de la conformité et procédures

OVHcloud procède à la documentation de sa conformité au travers de son registre de traitements et d’analyses d’impacts.

Afin de faciliter la gestion de cette documentation, OVHcloud a investi dans un outil de gouvernance de la donnée, permettant de centraliser l’ensemble des informations clés de la protection des données.

En outre, OVHcloud dispose d’un ensemble de procédures visant à assurer le respect des principes de protection de la donnée :

• une politique de traitement des demandes d’exercice de droits ;
• une politique de conservation des données personnelles ;
• une politique de gestion des incidents de sécurité (violation de données) ;
• une politique de gestion des demandes d’extraction de données ;
• une politique de gestion des autorisations de déplacement avec des équipements OVHcloud en dehors de l’Union européenne. 

• Droit des personnes

OVHcloud a mis en place un formulaire de demande d’exercice de droits en ligne, accessible directement sur son site Internet. Ce formulaire permet d’assurer la traçabilité des demandes et le respect des délais de réponse.

Les demandes sont ensuite traitées par une équipe dédiée du service client du Groupe composée de cinq personnes répondant quotidiennement aux demandes des clients.

• Violation des données

La sécurité des données est un enjeu central dans les activités d’OVHcloud qui a mis en place un ensemble de mesures afin de prévenir les violations de données.

De plus, il existe une collaboration étroite entre les équipes DPO et les équipes responsables de la sécurité des systèmes d’information (RSSI) qui permet d’assurer la bonne prise en compte d’incidents informatiques et de prévenir d’éventuelles violations de données personnelles.

OVHcloud dispose également d’un registre des incidents et violations de données conformément au RGPD, et aux législations locales telles que la loi 25 québécoise.

• Protection contre les ingérences étrangères

OVHcloud met en œuvre des mesures techniques et organisationnelles visant à protéger les données hébergées par ses clients européens au sein de l’Union européenne, contre l’ingérence d’autorités non européennes. Techniquement, aucune entité OVHcloud ou tiers partenaire d’OVHcloud localisé dans un pays tiers n’assurant pas un niveau de protection des données conforme à celui en vigueur au sein de l’Union européenne, n’a la possibilité d’accéder aux infrastructures d’hébergement desdites données ni aux données personnelles relatives aux clients.

Ainsi, les entités américaines du groupe OVHcloud n’interviennent pas dans le cadre des services fournis aux clients européens d’OVHcloud et n’ont pas la possibilité technique d’accéder aux données hébergées par ces derniers dans les datacenters européens d’OVHcloud. Dès lors, lesdites entités américaines n’ont pas le contrôle des données stockées dans ces datacenters et ne peuvent répondre favorablement à des demandes d’autorités américaines visant à obtenir communication desdites données.

Seules des entités localisées au sein de l’Union européenne ou dans des pays dont le niveau de protection a fait l’objet d’une décision d’adéquation de la Commission européenne, en particulier le Canada, peuvent, dans les conditions de service en vigueur, prendre part à l’exécution des services fournis aux clients européens d’OVHcloud et intervenir techniquement sur les infrastructures sur lesquelles ces derniers hébergent leurs données.

3.1.1.2Traitement éthique de la donnée

Le traitement éthique de la donnée est depuis toujours au cœur du modèle d’affaires d’OVHcloud, il implique un traitement approprié des données de ses utilisateurs afin de garantir le respect de leur vie privée. Il est formalisé par quatre engagements :

Afin de porter ces différents chantiers et engagements, OVHcloud s’est doté de plusieurs instances permettant une gouvernance fédérée de la donnée :

• le comité de coordination des données garantit un contrôle strict de la qualité de la donnée et sa cohérence en renforçant les standards des normes ISO 27001 et ISO 27701 ;
• le groupe de travail souveraineté réunit les différents acteurs d’OVHcloud afin de garantir la protection des données de ses clients vis-à-vis des acteurs internationaux.

3.1.1.3Militer pour un cloud européen

OVHcloud défend un modèle européen du cloud ouvert, qui garantit la protection des données des citoyens et des organisations, et qui assure la souveraineté numérique, un des leviers constitutifs de l’indépendance stratégique de l’Europe. À cette fin, OVHcloud partage sa vision et ses propositions auprès des acteurs politiques et institutionnels impliqués dans l’élaboration de la décision publique, directement auprès de ces acteurs ou en lien avec des associations représentatives ; son écosystème de partenaires ou encore dans le cadre d’événements publics.

Interventions d’OVHcloud

OVHcloud entend pleinement assumer son rôle de leader du cloud européen et milite proactivement pour le développement d’un écosystème de fournisseurs de cloud européen en mesure de répondre aux besoins des utilisateurs, à travers des initiatives propres déployées à l’échelle française, européenne et internationale.

La souveraineté numérique et l’équilibre concurrentiel sur le marché du cloud en Europe constituent des enjeux fondamentaux pour permettre de garantir la liberté de choix des utilisateurs de services de cloud. Afin de sensibiliser aux problématiques que soulèvent par exemple le traitement des données – et l’importance que revêt, pour les organisations, la maîtrise de leurs données les plus sensibles – ainsi que la garantie d’un cloud interopérable, OVHcloud se mobilise de plusieurs façons : participation à des salons, tables rondes, débats, keynotes, échanges avec les représentants d’institutions nationales, européennes et internationales, organisation d’événements ad hoc.

Actions d’OVHcloud au sein de son écosystème

Le modèle européen du cloud valorisé par le Groupe implique une vision européenne de la protection des données personnelles et par conséquent un engagement à l’échelle de l’écosystème, européen comme national.

• Préfiguration du comité stratégique de filière (CSF) Numérique de confiance (4)

En octobre 2022, Michel Paulin qui était alors le directeur général d’OVHcloud a été missionné par le gouvernement français pour structurer et consolider la filière française du numérique de confiance au sein de laquelle le cloud occupe une place centrale.

• Membre fondateur de Gaia-X

OVHcloud a participé à la création de Gaia-X (5), une initiative européenne lancée en 2020 dont l’objectif est de construire un écosystème numérique fédéré, ouvert, sécurisé et transparent. Elle vise à permettre aux utilisateurs de bénéficier de services de cloud répondant à leurs besoins tant sur le plan technique que juridique et leur offrant des garanties adaptées en termes, notamment, de protection des données, d’interopérabilité, de sécurité ou d’immunité aux lois extraterritoriales. Au sein de Gaia-X, OVHcloud cherche à promouvoir la mise en place d’un label permettant aux utilisateurs d’identifier les services de cloud leur garantissant le niveau approprié de protection des données. En 2023, OVHcloud a été réélu au Board of Directors de Gaia-X pour 2 ans.

• Membre Fondateur de l’European Alliance for Industrial Data, Edge, and Cloud

OVHcloud est également membre fondateur de l’European Alliance for Industrial Data, Edge, and Cloud (6), une initiative lancée par la Commission européenne et qui regroupe 57 acteurs industriels européens mobilisés pour renforcer la capacité de l’Europe à développer sa propre technologie cloud et edge, en tenant notamment compte des enjeux de souveraineté et de développement durable. OVHcloud participe aux assemblées générales et contribue aux livrables de l’Alliance Européenne pour les Données Industrielles, Edge et Cloud.

Fort de tous ces engagements, le Groupe soutient, aux côtés de son écosystème, les projets législatifs et initiatives à même de soutenir la souveraineté numérique européenne et l’établissement de règles du jeu équitables pour le marché du cloud comme en France avec la loi visant à sécuriser et à réguler l’espace numérique et en Europe comme le Digital Markets Act (DMA), le Data Act, l’élaboration d’un schéma européen de cybersécurité pour la certification des services de cloud, dit EUCS mais aussi les travaux en cours dans plusieurs pays du monde concernant les pratiques préjudiciables à l’œuvre sur le marché du cloud, récemment relevées par l’Autorité de la concurrence en France et de nombreuses autres dans le monde (ex. : Pays-Bas, Espagne, Royaume-Uni).

3.1.2Garantir la liberté de choix et la réversibilité

En matière de cloud, il existe une multitude de facteurs qui peuvent entraver, ou au contraire favoriser, la liberté de créer et d’entreprendre des clients. Le meilleur atout d’OVHcloud réside dans son approche ouverte, basée sur la co-construction et au fondement de la relation de confiance établie avec ses clients. Cette ouverture se définit par plusieurs engagements : proposer la réversibilité et l’interopérabilité, œuvrer et militer pour des technologies ouvertes, ainsi que pour une approche collective au service de l’innovation.

3.1.2.1Réversibilité et interopérabilité

OVHcloud offre à ses clients la possibilité de déployer leurs technologies et leurs services n’importe où, sans « verrouillage » (lock in) technologique et sans frais liés au trafic sortant pour le rapatriement des données (egress fees) qui pourraient entraver la liberté de résiliation d’un client à un service. OVHcloud propose à ses clients une réversibilité et une flexibilité complète, permettant de profiter des services qui correspondent au mieux à leurs besoins. La réversibilité est l’un des engagements Cloud SMART (cf. section 3.1.2.3 du présent document d’enregistrement universel) d’OVHcloud, et suit les principes suivants : offrir un environnement ouvert et standard, dans lequel les clients disposent d’un contrôle très étendu sur leurs systèmes et leurs données, et une documentation détaillée pour faciliter au mieux la migration entrante et sortante.

Le Groupe œuvre aussi pour que ses technologies soient interopérables, c’est-à-dire en mesure de fonctionner avec les technologies d’autres fournisseurs cloud, maximisant ainsi l’agilité et l’efficience pour ses clients.

3.1.2.2Œuvrer pour l’open source

Afin de pérenniser ces engagements et de ne limiter ni ses futures orientations, ni celles de ses clients, OVHcloud s’assure continuellement que ses innovations soient ouvertes, en plus d’être réversibles et interopérables. Pour le Groupe, il est essentiel que l’ensemble de la filière progresse, ce qui se concrétise par le partage et le transfert de connaissances ainsi que la capitalisation sur les développements passés.

OVHcloud a développé de nombreuses technologies en open source, telles que les solutions CDS ou Bastion, avec mise à disposition du code sur des plateformes collaboratives ouvertes comme GitHub. Afin de démocratiser les technologies open source, le Groupe propose nombre d’entre elles en tant que service OVHcloud. Le fait de disposer d’un code source accessible, donc modifiable et intégrable par d’autres développeurs, favorise l’amélioration continue et l’innovation, dans une logique d’innovation collaborative, et permet par ailleurs d’augmenter la sécurité des logiciels concernés.

OVHcloud est membre de l’Open Innovation Network (OIN (7)), afin de regrouper avec d’autres acteurs technologiques les brevets Linux. L’objectif est de protéger ce système d’exploitation open source contre toute action en justice. OVHcloud accorde des licences sur ses brevets, sans frais, au même titre que chacun des autres membres. En partageant l’ensemble de ses brevets logiciels, au travers de son Patent Pledge, OVHcloud défend encore davantage les valeurs de l’open source et la protection d’un patrimoine commun.

Le Groupe mène aussi des actions de sponsoring vers des structures telles qu’OpenInfra, le Cloud Native Computing Foundation (CNCF), ou encore LetsEncrypt. OVHcloud encourage par ailleurs ses salariés à contribuer aux solutions open source, tant dans l’écriture du code que dans la promotion de celles-ci, et à les privilégier quand elles sont matures.

Pour son service de stockage de fichier managé, appelé NAS-HA, OVHcloud a retenu, conformément à ses engagements pour un cloud réversible et sans vendor lock-in des composants open source. 

La mise en open source ne concerne pas que les logiciels. Dans le cadre de l’édition 2024 de l’Open Compute Project EMEA Regional Summit, OVHcloud a publié deux livres blancs : l’un concernant une valve de contrôle manuel, l’autre un débitmètre à trois billes. Ainsi, OVHcloud partage largement ses développements open sourcés contribuant à l’efficacité énergétique dans le datacenter.

3.1.2.3Innovation & co-construction

Reflétant ses valeurs d’ouverture et de transparence, l’innovation chez OVHcloud s’inscrit dans une démarche de co-construction au sein d’un écosystème de partenaires, s’appuyant sur une vision du cloud « S.M.A.R.T  » : Simple, Multilocal, Accessible, Réversible et Transparent.

Cette approche collaborative de l’innovation s’est concrétisée au travers de plusieurs partenariats :

• OVHcloud, Davidson consulting, l’Inria (Institut national de recherche en sciences et technologies du numérique) et Orange se sont associés pour le programme de recherche « DISTILLER » (recommenDer servIce for SusTaInabLe cLoud nativE softwaRe) afin de réduire l’impact environnemental des applications cloud. Ce projet vise à apporter des réponses à des questions telles que : Comment développer un nouveau logiciel cloud native dans une optique de durabilité et de sobriété ? Quels langages de programmation, bibliothèques, frameworks et infrastructures cloud prendre en considération pour chaque projet ? ;
• un partenariat technologique entre l’AP-HP et OVHcloud autour des entrepôts de données de santé (EDS) qui a pour objectif d’accélérer le développement de l’EDS de l’AP-HP, lancé en 2016 afin de permettre des études et des recherches à partir des données de santé ;
• HFactory et OVHcloud ont poursuivi leur partenariat pour faire progresser les compétences en science des données et en intelligence artificielle ;
• un partenariat avec Speechbrain et le Mila a été conclu pour accélérer la recherche en traitement neuronal de la parole.

Le Groupe a également développé en 2015 un programme de start-up qui aide les futurs entrepreneurs dans la création de leur entreprise, avec un objectif de soutenir 1 000 projets de start-up chaque année à partir de 2023. Le programme offre à la fois un financement en crédits public cloud et un accompagnement sur une période de 12 mois.

Depuis 2021, OVHcloud a aussi assuré via sa branche R&D et son startup program le lancement d’un soutien envers l’écosytème naissant du quantique :

• au cours de l’exercice 2021, démarrage d’un startup program dédié aux start-up du quantique ;
• en 2022, partenariat avec Atos dans le domaine de l’informatique quantique en faisant l’acquisition d’un émulateur quantique QLM d’Atos et de le rendre disponible as a service à travers les offres OVHcloud. De plus, OVHcloud co-fonde avec Startup Inside l’événement France Quantum, finance le Lab quantique et met à disposition un premier émulateur logiciel au format notebook avec Quandela, nommé «  Perceval » ;
• en 2023, OVHcloud achète de sa première machine quantique, l’ordinateur MosaiQ conçu par la société française Quandela, pour soutenir ses efforts de recherche et de développement en matière d’informatique quantique. L’objectif du Groupe est de fournir à son département de recherche et développement les outils nécessaires pour expérimenter une machine basée sur une unité de traitement quantique (QPU) pour différents cas d’usage ;
• mise à disposition d’un nouvel émulateur, l’émulateur quantique Callisto de la start-up C12, qui est le troisième émulateur quantique accessible via un notebook avec MyQLM d’Atos et Perceval de Quandela pour faciliter l’informatique quantique ;
• inauguration le 20 octobre 2023, avec les acteurs de l’écosystème quantique français et Le Lab Quantique, de la première Maison du Quantique en France ;
• en 2024, OVHcloud met en ligne 3 émulateurs logiciels quantiques supplémentaires : Pulser de Pasqal, Felice d’Alice & Bob et Qiskit d’iBM, portant l’offre à 6 émulateurs au format notebook ;

3.1.3Donner accès au meilleur du cloud au plus grand nombre, en toute transparence

OVHcloud est convaincu que le cloud peut être une opportunité pour les entreprises d’atteindre une meilleure performance technologique tout en conservant une structure de coût performante. De plus, les services d’OVHCloud ont l’avantage d’être disponibles avec l’une des meilleures performances de l’industrie en matière d’empreinte carbone.

Offrir un service pour accélérer la performance digitale en présentant le meilleur rapport prix-performance, une empreinte carbone des plus réduites et des tarifs prévisibles a été au cœur de la proposition de valeur du Groupe dès sa création.

3.1.3.1Meilleur rapport prix/performance

OVHcloud offre l’un des meilleurs rapports prix/performance du marché. Depuis son origine, le Groupe a eu pour principe de faire bénéficier ses clients des gains retirés de son modèle verticalement intégré et de ses innovations comme le watercooling, l’objectif étant de leur procurer les avantages de la flexibilité du cloud tout en maîtrisant leurs dépenses. La combinaison de hautes performances et de prix attractifs a été reconnue par les clients comme un facteur clé de différenciation (cf. section 1.5.4 du présent document d’enregistrement universel pour une description détaillée de ce facteur de différenciation).

3.1.3.2Prédictibilité et transparence des prix

La migration des entreprises vers le cloud est motivée par de multiples avantages : agilité et scalabilité accrues, investissements informatiques optimisés. Les produits et services de cloud sont devenus aujourd’hui une ligne budgétaire majeure que les entreprises cherchent à mieux contrôler. À cette fin, il est donc particulièrement important de comprendre la structure des coûts liés à l’usage du cloud et de pouvoir les anticiper.

Dans une logique d’ouverture, OVHcloud prône la transparence et défend un modèle de tarification du cloud prévisible et « tout compris » afin de simplifier la budgétisation des coûts du cloud pour les utilisateurs. Ceci se traduit notamment par :

• l’inclusion du transfert de données entrantes et sortantes, ce qui facilite la budgétisation du trafic sortant ;
• un prix fixe pour le stockage et la bande passante, quels que soient le volume et la fréquence d’accès ;
• pas de frais supplémentaires pour les appels API (interface de programmation d’application).

3.2Être pionnier du cloud durable

À l’avant-garde du cloud durable, OVHcloud intègre la durabilité au cœur de son modèle d’affaires depuis sa création en développant des innovations industrielles lui permettant de limiter son impact environnemental. Durant l'exercice 2024, OVHcloud a poursuivi sa trajectoire de performance en matière de climat en affinant ses objectifs environnementaux existants. À cet égard, le Groupe présente cette année ses objectifs quantifiés qui reflètent son engagement continu en faveur de pratiques durables et responsables.

L’action environnementale d’OVHcloud s’articule autour de trois piliers :

• l’innovation, au cœur de son modèle industriel ;
• la mise en application de l’Accord de Paris ;
• la communication et la sensibilisation à l’ensemble des impacts du cloud, afin de guider les choix en matière de consommation.
• L’Accord de Paris, adopté en 2015, vise à limiter le réchauffement climatique à 1,5 °C au-dessus des niveaux préindustriels. Il engage les pays signataires à réduire leurs émissions de gaz à effet de serre et à renforcer leur résilience face aux impacts climatiques. Dans ce cadre, OVHcloud s’est engagé depuis 2023 dans sa démarche auprès de la Science Based Target Initiative (SBTi), référentiel international permettant aux organisations d’aligner leur stratégie de décarbonation sur la trajectoire définie par l’Accord de Paris. 

Indicateurs de performance environnementaux et chiffres clés

Pour mesurer sa performance énergétique et environnementale, OVHcloud suit quatre indicateurs principaux :

• le PUE (Power Usage Effectiveness) mesure l’efficience énergétique des datacenters du Groupe : c’est le rapport entre l’énergie totale utilisée et l’électricité utilisée pour alimenter les serveurs ;
• le WUE (Water Usage Effectiveness) mesure l’efficacité de l’utilisation de l’eau : c’est le rapport entre la consommation d’eau des systèmes de refroidissement en litres et l’électricité utilisée pour alimenter les serveurs ;
• le CUE (Carbon Usage Effectiveness) mesure l’intensité carbone des datacenters et prend ainsi en compte les caractéristiques de la source d’énergie : c’est le rapport entre les émissions de gaz à effet de serre des scopes 1 & 2 et l’électricité utilisée pour alimenter les serveurs ;
• le REF (Renewable Energy Factor) mesure la part d’énergie renouvelable consommée par les datacenters par rapport à leur consommation totale.
• Les émissions de GHG (Green House Gas ou gaz à effet de serre) sont mesurées en kilogrammes ou tonnes de dioxyde de carbone équivalent (8). OVHcloud a modifié la méthodologie de mesure de ses émissions de gaz à effet de serre pour adopter le GHG Protocol, dans l’optique de sa préparation à la démarche Science Based Target Initiative (SBTi). Deux comptabilités sont effectuées en parallèle : la location-based prenant en compte l’intensité moyenne des émissions de la grille électrique locale où se situe l’entité consommatrice d’énergie. Et la market-based prenant en compte les choix d’approvisionnement énergétique choisi par l’entreprise incluant les Energy Attributes Certificates (instruments officiels et traçables pour certifier l’origine renouvelable d’une quantité déterminée d’électricité, désignés EAC dans la suite du document). 
• En 2023, le périmètre de mesure du PUE et WUE avait évolué par rapport à 2022. Il est resté constant en 2024. Par ailleurs, dans une démarche de transparence continue, le Groupe a élargi la liste des indicateurs suivis.
•  

3.2.1Inscrire l’innovation au cœur du modèle industriel d’OVHcloud

OVHcloud est un fournisseur mondial d’infrastructures numériques, qui opère ses datacenters et conçoit et assemble ses propres serveurs. Ce modèle verticalement intégré permet au Groupe d’optimiser son processus industriel en y intégrant des innovations at scale depuis 20 ans, comme la technologie propriétaire Watercooling de refroidissement par eau dans ses datacenters, ou encore en appliquant les principes de circularité et de frugalité des ressources. Il permet ainsi de mieux gérer l’impact environnemental à chaque niveau de la chaîne de valeur. OVHcloud a la volonté de continuer à innover et de faire évoluer son modèle industriel au profit de la durabilité.

3.2.1.1Adopter une approche circulaire grâce à un modèle unique intégré

La démarche circulaire d’OVHcloud s’incarne pleinement dans son modèle industriel intégré, par lequel le Groupe opère ses propres datacenters et fabrique ses serveurs, une approche unique sur le marché. Depuis ses débuts, OVHcloud s’engage à réduire son impact environnemental à chaque étape du cycle de vie des serveurs, notamment par la conception et la construction de ses datacenters et serveurs, le recyclage des composants et l’allongement de la durée de vie de son matériel.

Illustration du modèle industriel intégré d’OVHcloud.

Un processus complet pour optimiser la durée de vie des composants

Dans cette optique d’optimisation de la gestion du cycle de vie de ses serveurs, OVHcloud a mis en place depuis 2009 une chaîne d’approvisionnement inversée (reverse supply chain) permettant d’optimiser la durée de vie des serveurs.

• Conception. OVHcloud conçoit et fabrique ses propres serveurs sur ses deux sites de Croix (France) et Beauharnois (Canada). Ceux-ci sont pensés pour être entièrement démontables. Ils sont dotés de composants dédiés, choisis pour être facilement réutilisés, recyclés et réparés.
• Réutilisation. Le Groupe parvient à prolonger la durée de vie de ses infrastructures et de ses serveurs et composants en les réutilisant. 100 % des serveurs sont ainsi désassemblés après utilisation et leurs composants sont rigoureusement testés pour leur donner une seconde vie, en circuit ou par recyclage et valorisation externes. L’utilisation de composants remis à neuf dans les serveurs du Groupe permet de prolonger leur durée de vie à près de cinq ans en moyenne (et pouvant aller jusqu’à neuf ans). De cette façon, une partie des émissions de carbone provenant de leur fabrication est évitée. En 2024, le taux de réutilisation des composants a été de 27 %, contre 36 % en 2023 et 25 % en 2022. L’exercice 2024 fut marqué en effet par le lancement de nouvelles gammes, pour lesquelles l’achat de composants neufs est inéluctable, faisant diminuer le taux de réutilisation des composants.

Cette approche circulaire se prolonge dans le choix et l’emplacement des datacenters, en favorisant la réhabilitation d’anciennes friches industrielles plutôt que la construction de nouveaux bâtiments. Au 31 août 2024, sur 30 datacenters pour lesquels OVHcloud est opérateur avec un contrôle total, 26 sont des bâtiments réhabilités. Ces sites, équipés de l’infrastructure propre à OVHcloud sont également conçus pour avoir une durée de vie allongée.

Un processus de gestion des déchets uniformisé et standardisé

Dans le prolongement de l’objectif zéro déchet en décharge depuis les centres de production, OVHcloud a terminé son action d’uniformisation et de standardisation de sa méthode de comptabilité de déchets au cours de l’exercice 2024. Cette méthodologie, désormais appliquée sur 100 % des sites du Groupe, permet de caractériser avec exhaustivité et précision les typologies de déchets (carton, plastique, bois, DEEE, DIB, etc.) et leur destination (filière de recyclage, filière de revalorisation énergétique, décharge).

En 2024, la quantité de déchets produits a représenté une masse de 846 tonnes métriques, dont 12 % ont été acheminés en décharge. 

Afin de diminuer significativement cette part, OVHcloud agit sur plusieurs axes :

• alignement de l’ensemble des sites du Groupe sur les meilleures pratiques en matière de tri, notamment par la mise en place d’options de tri sur tous les sites ;
• pilotage ou changement des prestataires afin d’optimiser le traitement des déchets ;
• partenariat avec une entreprise spécialisée dans le recyclage des DEEE (TN Industrie), en vue de revaloriser les cartes électroniques non réparables et non réutilisables, et, in fine, pour assurer la récupération de métaux précieux ou stratégiques ;
• prise en compte de la recyclabilité dans les travaux de remise en état des sites existants. À ce titre, la remise en état du site de P19 à Paris a été réalisée bien au-delà de l’état de l’art, le taux de valorisation des déchets ayant atteint 95,3 % (la réglementation française imposant un taux de 70 %). 

Les efforts consentis ont permis de diminuer de presque la moitié le taux de mise en décharge, celui-ci passant de 20 % en 2023 à 12 % en 2024. Il est à noter que sur les 12 % de mise en décharge du Groupe, 8 % proviennent du site de Beauharnois. La recherche de filières locales de revalorisation s’y poursuivra durant l’année 2025 afin de pouvoir atteindre l’objectif du Groupe.

OVHcloud encourage également ses fournisseurs, au travers de son Code de conduite fournisseurs, à réduire leurs déchets et à recourir davantage au recyclage et à la réutilisation. 

Le modèle industriel intégré, facteur d’autonomie et de résilience

Les chocs tels que la pandémie de COVID-19 ou le conflit russo-ukrainien ont mis en évidence les vulnérabilités des chaînes d’approvisionnement et les dépendances en matière d’accès aux ressources. Face à ces externalités, le modèle industriel intégré d’OVHcloud est un atout. Il permet un contrôle optimal de sa chaîne d’approvisionnement, et renforce ainsi son autonomie et sa capacité de résilience, tout en offrant des garanties incomparables à ses clients en termes de continuité de service. Le Groupe est en mesure de choisir et vérifier l’ensemble de ses composants, et donc d’en garantir la qualité jusqu’aux plus petits d’entre eux, tout en réalisant des économies d’échelle. L’approche circulaire confère une agilité dans le design des serveurs et offre des possibilités de s’ajuster aux éventuelles situations de tension d’approvisionnement, en adaptant les nomenclatures produits selon la disponibilité des composants chez les fournisseurs mais également en interne (réutilisation de composants remis à neuf).

3.2.1.2Innover dans une optique de frugalité des ressources

OVHcloud innove industriellement depuis 20 ans en développant des solutions propriétaires dans une optique de frugalité des ressources. Le Groupe place l’optimisation de la gestion des ressources, notamment de l’énergie et de l’eau, au cœur de sa stratégie. Cette conviction s’est développée très en amont, bien avant les crises actuelles (crise énergétique en Europe, augmentation des zones en situation de stress hydrique…).

Innover en continu pour des performances environnementales de pointe

OVHcloud est un pionnier en matière d’optimisation de la consommation en eau des datacenters. En 2023, le Groupe a célébré 20 années d’innovations dans ses datacenters grâce à la technologie propriétaire Watercooling de refroidissement par eau des serveurs. OVHcloud utilise cette technologie à grande échelle, qui supprime le besoin de climatisation dans les salles serveurs, ce qui présente des avantages significatifs en termes de coûts et de réduction des impacts environnementaux. Le refroidissement direct par eau élimine la chaleur des composants les plus énergivores que sont les processeurs (CPU, GPU) et l’air (qui est ensuite refroidi à l’intérieur du rack en utilisant de l’eau à travers un échangeur de chaleur) élimine la chaleur des autres composants. L’eau réchauffée est ensuite refroidie à l’aide de tours de refroidissement sèches. OVHcloud se distingue par son système en circuit fermé limitant la déperdition de liquides, mais également par l’utilisation de refroidisseurs à sec et l’absence d’air conditionné dans les salles serveurs. Outre son efficacité en termes de consommation d’eau et d’énergie, la technologie Watercooling d’OVHcloud présente des coûts de maintenance relativement faibles.

Au cours de l’exercice 2023, OVHcloud a franchi une nouvelle étape en termes d’innovation avec la présentation d’une nouvelle génération de technologie de refroidissement liquide, l’« Hybrid Immersion Liquid Cooling ». Comme son nom l’indique, il s’agit d’une solution hybride, réunissant le meilleur de la technologie Watercooling (refroidissement par eau) et de l’Immersion Cooling (immersion complète du serveur dans un fluide diélectrique). Elle est composée d’un système de refroidissement par eau directement sur la puce et d’un système de refroidissement par immersion naturel passif monophasé :

• Watercooling : refroidissement d’un dissipateur thermique par des blocs d’eau disposés sur les processeurs (CPU, GPU) avec la même solution que celle utilisée dans tous les serveurs OVHcloud et un serpentin de convection propriétaire relié à une sous-station de pompage (PSS) et à un dry cooler pour évacuer la chaleur à l’extérieur du DC ;
• Immersion Cooling : le fluide est contenu dans un réservoir et refroidit l’ensemble des équipements informatiques dans le serveur, et pas uniquement les processeurs ; ce fluide remplace l’air circulant dans les serveurs OVHcloud et améliore ainsi l’efficacité de tout composant non refroidi par les systèmes de refroidissement à eau d’OVHcloud.

Ce design hybride, qui a donné lieu au dépôt de 16 demandes de brevets, diffère des solutions d’Immersion Cooling pures et présente plusieurs avantages en termes de consommation et d’efficacité énergétiques :

• nouvelle conception passive des racks, sans pompe ni ventilateur, impliquant une consommation électrique de refroidissement nulle au niveau du rack ;
• capacité à faire fonctionner des racks haute puissance avec une température d’entrée du datacenter jusqu’à 45 °C, permettant de faire varier les charges de refroidissement en fonction des conditions climatiques ;
• consommation électrique de l’infrastructure de refroidissement minime au niveau du DC encore moindre que pour les serveurs refroidis par eau ;
• amélioration de la capacité de recapture de la chaleur fatale, ouvrant des opportunités de valorisation de la chaleur.

Au total, cette technologie permettra d’améliorer les indicateurs d’efficacité énergétique du Groupe.

Une attention constante portée à la préservation de l’eau

Depuis le développement de sa technologie unique de refroidissement des serveurs à l’eau, OVHcloud a porté un soin tout particulier à la préservation de cette ressource naturelle.

• Les circuits qui collectent la chaleur émise par les équipements informatiques sont en boucles fermées.
• L’état physico-chimique de l’eau qui circule (son pH, sa dureté, sa pureté, l’absence de micro-organismes) est maintenu dans le temps par des systèmes de mesure et, le cas échéant, de traitement ponctuel.
• La chaleur collectée est transportée à l’extérieur des bâtiments pour être dissipée dans l’air ambiant via des échangeurs eau/air « secs ».

Lorsque les températures extérieures sont élevées (> 27 °C), il est nécessaire d’abaisser la température de l’air afin d’assurer le bon fonctionnement du transfert thermique. Le dispositif utilisé est un circuit d’eau ouvert de brumisation (brouillard d’eau) au droit des échangeurs. Ce procédé provoque l’évaporation naturelle de gouttelettes d’eau qui induit un abaissement de la température de l’air qui circule à travers les échangeurs. La performance de l’usage de l’eau est mesurée via un indicateur normalisé, le WUE, tel que détaillé dans les indicateurs de performance environnementaux.

Malgré une consommation modérée d’eau, OVHcloud est conscient de l’enjeu relatif au stress hydrique et continue ses efforts de développement pour en limiter la consommation. Deux axes sont privilégiés :

• la mise en place de médias humides avec bac de recyclage d’eau sur les échangeurs secs pour réutiliser l’eau de brumisation non évaporée et ainsi limiter la consommation d’eau. Ce dispositif, aujourd’hui complètement installé sur le datacenter SBG5 (Strasbourg) et partiellement sur les datacenters GRA3 (Gravelines) et SBG3 (Strasbourg), est désormais déployé en série ;
• la refonte des systèmes de refroidissement (5e génération) avec augmentation de la température des boucles d’eau et diminution du débit d’air dans les échangeurs afin de réduire les plages de fonctionnement de la brumisation mais également le volume d’eau nécessaire. 

À la suite des retours d’expérience positifs sur l’exploitation des systèmes de refroidissement de dernière génération déployés à Strasbourg 5 notamment, OVHcloud s’est fixé pour objectif d’atteindre 0,32 l/kWh IT de WUE Groupe en 2025 en accélérant le retrofit des équipements des systèmes les plus consommateurs en eau dans les datacenters du Groupe.

Transparence et certification des indicateurs de performance énergétique et environnementale

En tant que concepteur et opérateur de datacenters, le Groupe compte l’énergie comme l’un de ses principaux postes de dépenses et d’impact environnemental. OVHcloud a fait de la performance énergétique une priorité. 

Cet engagement est matérialisé par un système de gestion de l’énergie, conforme à la norme ISO 50001, qui vise à optimiser la gestion de l’énergie pour les datacenters. OVHcloud a obtenu la certification ISO 50001 pour ses datacenters en France en 2021, laquelle a été confirmée par suite des audits réalisés durant l’exercice 2023. Durant l’exercice 2024, OVHcloud a étendu le système de management de l’énergie et la certification à tous ses datacenters européens. Par ailleurs, courant 2024 OVHcloud a obtenu une certification ISO 14 001 couvrant son datacenter de Gravelines. Cette certification est en cours d’extension pour les datacenters français.

Aussi, OVHcloud a officialisé sa participation au Code de conduite pour l’efficacité énergétique dans les datacenters de la Commission européenne pour l’ensemble de ses datacenters européens (Gravelines, Strasbourg, Roubaix, Limburg, Erith, Varsovie). Ce Code de conduite est une initiative de la Commission européenne créée en réponse à l’augmentation de la consommation d’énergie dans les datacenters et à la nécessité de diminuer les incidences sur l’environnement, l’économie et la sécurité de l’approvisionnement en énergie. L’objectif est de réduire la consommation d’énergie de manière efficace, sans entraver la fonction critique des datacenters. Il s’agit d’un référentiel synthétique comprenant plus de 100 bonnes pratiques que les fournisseurs de services de cloud s’engagent à respecter, mis à jour et communiqué chaque année. Conformément aux dispositions du Règlement Taxonomie, la mise en œuvre de ces pratiques a fait l’objet d’un audit par un tiers indépendant qui a délivré une attestation de conformité le 13 octobre 2023 (se reporter à la section 3.4 du présent document d’enregistrement universel pour la note Taxonomie détaillée).

Il convient de noter que le Groupe a intégré ses datacenters nord-américains (Beauharnois, Vint Hill, Hillsboro) à ce Code de conduite. 

Synthèse des quatres indicateurs de performance environnementale

• Le PUE pour l’exercice 2024 s’établit à 1,26, grâce à la croissance de l’activité dans les datacenters les plus récents et efficients du Groupe.
• Le WUE pour l’exercice 2024 s’établit à 0,37 l/kWh IT (9), en augmentation par rapport à 2023, traduisant le recours plus important au refroidissement évaporatif en conséquence des conditions climatiques prévalant au cours de l’été. Il est important de souligner que le WUE aujourd’hui mesuré selon la norme ISO 30134-9 en catégorie 1 surestime la réalité. En effet, cette mesure ne déduit pas la quantité d’eau qui retourne dans le milieu naturel de la consommation d’eau prise en amont. 
• Le CUE atteint 0,16 tCO2e/MWh IT en 2024, en amélioration par rapport à 2023, grâce à une diminution des émissions induites par le scope 2 au regard des consommations d’énergie.
• Le REF progresse de 1 point à 92 %, traduisant l’inclusion de l’énergie renouvelable à laquelle OVHcloud a recours à Hillsboro (Oregon).

Dans un effort continu d’amélioration de sa transparence, OVHcloud met désormais à disposition les résultats complets par site pour chacun de ces indicateurs.

3.2.2Aligner OVHcloud avec l’Accord de Paris

Le Groupe s’engage à une échelle collective, à maîtriser ses émissions de GES (10).

3.2.2.1Stratégie climatique

OVHcloud met la neutralité carbone au cœur de ses ambitions, au travers de trois axes de travail :

• axe 1 : réduction des émissions compressibles à leur maximum d’ici 2030 (cf. section 3.2.2.3 du présent document d’enregistrement) ;
• axe 2 : implication de l’écosystème : partenaires, clients, fournisseurs, collaboratrices et collaborateurs dans une démarche de réduction de leur empreinte carbone ;
• axe 3 : contribution à l’augmentation des puits de carbone pour l’ensemble des émissions résiduelles.

3.2.2.2Bilan carbone

Afin de piloter sa stratégie climatique (en définissant précisément ses objectifs et leur progression), OVHcloud réalise son bilan carbone sur les scopes 1, 2 et 3 depuis 2017. 

OVHcloud a modifié la méthodologie de mesure de ses émissions de GES en adoptant  le GHG Protocol, dans l’optique d’une préparation à la démarche SBTi (Science Based Traget Initiative). Le résultat de l’évaluation par SBTi de l’objectif de réduction des émissions est intervenue en octobre 2024. Des modifications à effet rétroactif ont été appliquées dans les bilans carbone des exercices précédents :

• allocation des émissions passées dues à l’infrastructure de gridscale acquise par le Groupe en 2023 ;
• réallocation des émissions dues aux consommations d’énergie des datacenters de collocation dans le scope 2 du Groupe ;
• allocation des émissions dues à l’activité telecom (VoIP, Xdsl, Fiber) ;
• suppression de la notion d’amortissement imputée aux bâtiments construits. Les émissions associées à la construction sont désormais comptabilisées l’année de leur construction ;
• prise en considération d’émissions diverses (repas des employés, transports en commun, eau destinée aux usages tertiaires) ;
• prise en considération des Energy Attributes Certificates (EAC) pour le calcul des émissions en market-based à compter de 2023 pour les sites suivants : Roubaix, Gravelines, Strasbourg, Limburg, Varsovie, Erith et Beauharnois. Ces Energy Attributes Certificates peuvent prendre la forme de garanties d’origine (GO), de REC (Renewable Energy Credits/Certificates), de CER (certificats d’énergie renouvelable), de REGO (Renewable Energy Guarantees of Origin).

Bilan carbone complet pour 2024

Remarques sur le bilan carbone

Scope 1

Le Groupe a comptabilisé davantage d’émissions relatives aux fuites de HFCs (HydroFluoroCarbures). 

Les autres catégories restent relativement stables.

Scope 2

• En location-based : malgré la croissance de consommation d’énergie du Groupe, l’amélioration du facteur d’émission du mix électrique français permet une faible diminution des émissions.
• En market-based : au contraire du location-based, les émissions market-based augmentent. Elles augmentent en raison de la hausse de la consommation d’énergie au sein du Groupe, plus particulièrement dans les zones où l’entreprise ne dispose pas encore de sources d’électricité renouvelables. 

Scope 3

• Catégorie 2 (Biens immobilisés) : l’année 2023 avait été marquée par une relative faible quantité de nouveaux composants hardware achetés, et d’une réutilisation accrue des composants, diminuant grandement l’empreinte carbone de la catégorie 2 du scope 3 par rapport à 2022. En 2024, les achats de composants sont revenus à un niveau plus classique, entraînant un regain des émissions comptabilisées dans cette même catégorie.
• Catégorie 3 (Activités associées à l’énergie et aux combustibles) : pour les émissions liées à l’énergie hors émissions directes pour sa production, la dynamique est à la hausse du fait de la croissance de la consommation d’énergie du Groupe. Il est à noter que la comptabilisation des émissions de cycle de vie sont supérieures en market-based, principalement du fait qu’OVHcloud a une activité énergétique importante en France, et que les émissions françaises location-based sont tirées vers le bas par l’empreinte carbone extrêmement faible du nucléaire. De plus, un pourcentage négligeable de biomasse, pour laquelle l’empreinte carbone sur le cycle de vie n’est pas anecdotique, a été comptabilisé en market-based.
• Catégorie 4 (Transport et distribution amont) : pour les émissions liées aux transports, OVHcloud s’est attelé à obtenir en 2024 des données primaires auprès de ses transitaires. Il apparaît que les méthodes de calcul utilisées jusqu’à présent (comptabilisation des masses et distances parcourues, selon modalité de transport et facteurs d’émissions associées) étaient surévaluées par rapport aux données primaires directement obtenues de nos transporteurs cette année.
• Catégorie 8 (Actifs en leasing amont) : une augmentation notable est visible, correspondant notamment aux quantifications des émissions dues au backbone d’OVHcloud. L’expansion des capacités du réseau, en particulier à l’étranger, est à l’origine de cette tendance. En effet, une part importante des émissions liées au transit réseau est attribuable à la production d’énergie qui alimente le réseau et dont l’intensité carbone est élevée.

Les autres catégories restent relativement stables.

3.2.2.3Feuille de route climatique

Maîtrise des émissions de carbone à horizon très court terme – 2025

OVHcloud a progressivement débuté la réduction de ses émissions de scopes 1 et 2, en faisant l’acquisition d’énergie renouvelable, et bas carbone dès 2022.

À ce titre, le Renewable Energy Factor (REF) du Groupe s’établit à 92 %. Seul Vint Hill, son datacenter localisé en Virginie n’est pas alimenté en énergie bas carbone en 2024. Il le sera en 2025 pour satisfaire aux objectifs de très court terme.

L’achat d’électricité renouvelable et bas carbone permettra d’atteindre l’objectif de réduction de 73,4 % des émissions de GES de scopes 1 et 2 à horizon 2025 par rapport à 2022, en ligne avec la stratégie de court terme décrite ci-après.

Maîtrise des émissions de carbone à horizon court terme – 2030

En 2024, OVHcloud a formalisé sa stratégie de court terme de maîtrise des émissions de GES, à horizon 2030. Cette formalisation s’est traduite par :

• l’engagement écrit de la direction (commitment letter SBTi) à quantifier et soumettre un objectif de court terme (2030) ;

• la réalisation d’un plan de maîtrise des émissions de GES, consistant en :
  • la modélisation de la trajectoire des émissions jusqu’à 2030,
  • la qualification et la quantification des leviers de décarbonation à mettre en place,
  • la vérification de la faisabilité technico-économique du plan et son adéquation avec le standard SBTi ;
• la soumission du plan de maîtrise des émissions de GES à SBTi ;
• l’évaluation par SBTi de la conformité de ce plan.

Engagement à l’initiative Science Based Target (SBTi) 

• Objectif 1 : OVHcloud s’engage à réduire ses émissions de GES des scopes 1 et 2 de 73,4 % d’ici l’exercice 2030 par rapport à l’année de référence 2022.
• Objectif 2 : OVHcloud s’engage à réduire ses émissions de GES du scope 3 de 52 % par million d’euros de valeur ajoutée dans le même délai.

L’équipe de validation des objectifs de l’initiative SBT a classé l’ambition des objectifs de scopes 1 et 2 d’OVHcloud et a déterminé qu’elles sont conformes à une trajectoire de 1,5 °C. L’initiative SBT salue l’objectif ambitieux aligné sur 1,5 °C, actuellement l’objectif le plus ambitieux disponible via le processus SBTi.

Plan d’action pour l’objectif 1 

• Sur le scope 1
  • la réduction de la quantité de fluides frigorigènes installée, en mettant davantage de systèmes de Watercooling au-delà même des salles serveurs (locaux énergie, équipements réseau) ou en utilisant des fluides HFC (HydroFluoroCarbures) plus vertueux, dont les PRG (Pouvoirs de réchauffement global) sont moindres  ;
  • la valorisation de la chaleur fatale, permettant d’éviter le recours à une chaudière pour le confort des bureaux du datacenter de Limburg ;
  • la substitution progressive du fioul domestique (issu de combustible fossile) par du HVO (Hydrotreated Vegetable Oil) issu de résidus de biomasse.
• Sur le scope 2
  • la mise en œuvre d’un programme de réduction des consommations d’énergie (par le biais de systèmes de refroidissement plus efficaces, de chasse au gaspillage et de rationalisation des infrastructures virtualisées) ayant conduit en 2023 à une économie d’énergie de 5,2 GWh en année pleine ;
  • la mise en œuvre d’un plan de performance énergétique avec la DREAL (11) sur le site de Gravelines ;
  • l’augmentation de la part des énergies renouvelables dans les achats d’énergie Groupe.

OVHcloud continue également d’innover dans la conception intégrée de ses serveurs et des systèmes de refroidissement associés. Ainsi, les systèmes de refroidissement plus efficaces en termes d’énergie et de consommation d’eau sont désormais déployés (4e et 5e générations de Watercooling).

Par ailleurs, L’un des axes de travail qui permettra d’améliorer significativement les émissions de GES dans les années à venir est l’optimisation du mix énergétique d’OVHcloud. Le Groupe mise, entre autres, sur des contrats d’achats d’énergie renouvelable tels que les Corporate Power Purchase Agreements (CPPA), contribuant à atteindre l’objectif du Groupe de 100 % d’énergies bas carbone d’ici 2025 (renouvelable, nucléaire et hydroélectrique).

Le Groupe a ainsi mis en place deux contrats dont la date d’entrée en vigueur est le 1er janvier 2025 :

• en France, un contrat de CPPA couvrant environ 40 GWh de consommation par an ;
• en Allemagne, un contrat de CPPA solaire couvrant environ 30 GWh de consommation par an. 

Plan d’action pour l’objectif 2

Le poste principal d’émissions de carbone concerne la fabrication des composants des serveurs, avec deux principaux leviers d’action pour OVHcloud : la réutilisation des composants, grâce à son approche circulaire de la chaîne de production, et la mise en œuvre d’une chaîne d’approvisionnement durable avec les fournisseurs (amélioration de l’empreinte carbone des composants neufs).

OVHcloud travaille également à l’optimisation de son fret pour réduire ses émissions dans le cadre de l’initiative Fret 21. Cette initiative a pour objectif d’inciter les entreprises agissant en qualité de donneurs d’ordre des transporteurs à mieux intégrer l’impact environnemental des transports dans leur stratégie de développement durable. Chaque entreprise volontaire signe un accord avec l’ADEME dans lequel elle précise un objectif de réduction des émissions de CO2 et s’engage à mettre des actions en place pour y parvenir. L’objectif est d’atteindre - 28 % d’émissions de CO2 pour le secteur du transport à horizon 2030. Les chantiers correspondants chez OVHcloud ont trait à :

• l’anticipation des besoins de sa chaîne logistique ;
• l’optimisation des réseaux logistiques ;
• la sélection des fournisseurs de fret selon leurs objectifs environnementaux ;
• l’arbitrage du fret d’urgence en fonction de l’impact carbone.

Les autres postes du scope 3 sont également impactés : circularité appliquée aux bâtiments, avec la réutilisation de bâtiments existants plutôt que la construction de nouveaux datacenters, initiatives Green IT et travail sur la mobilité des collaborateurs. Concernant le Green IT, plusieurs actions ont été menées au cours de l’exercice 2023, notamment l’amélioration des appels d’offres avec l’inclusion systématique de critères environnementaux pour sélectionner les fournisseurs IT, la mise en place d’un Cleaning Day permettant d’allonger la durée de vie des ordinateurs de six mois, ainsi que des actions de sensibilisation des employés (semaine Green IT).

Quantification des émissions évitées avec le move to cloud 

OVHcloud participe activement à l’initiative NZI for IT (Net Zero Initiative for IT) avec la partenaire Carbone 4, dans le but de préciser la méthodologie relative au calcul des émissions évitées, grâce au move to cloud.

Participation active à des projets d’évitement et de séquestration carbone

Afin d’anticiper l’après 2030, et le chemin de long terme à horizon 2050, OVHcloud a soutenu des projets de compensation carbone avec Terraterre : mise en œuvre de projets labellisés « bas carbone » au titre du décret n° 2018-1043 et de l’arrêté du 28 novembre 2018, en milieu agricole. L’accord s’étend sur des projets au sein de huit fermes sur le territoire français, pour honorer une réduction de 1 848 tonnes équivalent CO2.

OVHcloud a également soutenu des projets de reboisement avec STOCKCO2, dans différentes régions de France. La quantité de carbone compensée à terme, via ces projets, est estimée à 3 580 tonnes équivalent CO2.

Économie circulaire et gestion des déchets

Des initiatives dédiées sont également mises en œuvre sur le sujet des déchets, permettant d’assurer l’atteinte de l’objectif de zéro déchet en décharge depuis les centres de production d’ici 2025, sur les déchets issus des processus OVHcloud. Cet engagement sur la gestion responsable des déchets a été aussi intégrée dans son code de conduite fournisseurs. Au-delà de cette partie amont de la chaîne, OVHcloud contribue proactivement à réduire ses déchets : traçabilité des déchets en interne, réutilisation et limitation des emballages, participation à des projets de l’écosystème comme le CEDaCI (Circular Economy for the DataCenter Industry), un réseau multidisciplinaire d’acteurs qui œuvre pour l’économie circulaire dans le secteur des datacenters. OVHcloud s’efforcera également d’appliquer cet engagement pour ses futures implantations, en fonction des possibilités avec les filières de retraitement des déchets locales.

Pour formaliser les objectifs de sa stratégie environnementale, OVHcloud a défini une feuille de route, synthétisée dans les tableaux ci-après :

Diminuer de 73,4 % ses émissions de scopes 1 et 2 à horizon 2025 (par rapport à 2022)

Maintenir 73,4 % de réduction des émissions de scopes 1 et 2 à horizon 2030 (par rapport à 2022)

Diminuer de 52 % ses émissions de scope 3 par unité de valeur ajoutée à horizon 2030 (par rapport à 2022)

100 % d’énergies bas carbone d’ici 2025

Aucun déchet mis en décharge d’ici 2025 (1)

3.2.3Communiquer et sensibiliser sur l’impact total du cloud pour guider les choix en matière de consommation

Le Groupe entend mobiliser ses parties prenantes afin d’apporter une réponse collective au défi de l’impact environnemental des technologies du cloud. OVHcloud mise sur le développement d’un nouvel outil d’affichage environnemental pour aider ses clients à minimiser leurs impacts par leurs choix de consommation. Le Groupe capitalise également sur la pédagogie et engage des actions collectives pour influer sur les usages et favoriser les bonnes pratiques.

3.2.3.1L’affichage environnemental, levier de la transformation des usages

L’affichage environnemental est un outil puissant permettant aux utilisateurs de mesurer l’ampleur de l’impact des produits et services qu’ils consomment. C’est avec le souci d’offrir aux clients une meilleure compréhension de l’empreinte carbone de leur infrastructure cloud et de les aider ainsi dans leur transition environnementale et dans leur choix en matière de consommation, qu’OVHcloud a développé sa « calculatrice carbone ». Cet outil est le fruit d’un processus rigoureux d’élaboration d’une méthodologie fiable, robuste et exhaustive ainsi que d’un développement informatique rapide. La méthodologie, qui a été auditée et certifiée par une société de conseil indépendante spécialisée dans le numérique responsable, est fondée sur les principes de l’analyse de cycle de vie (ACV), des bases de données de référence pour les facteurs d’impact environnementaux, telles que la Base IMPACTS® 3.0 de l’ADEME, et les premières recommandations du Product Category Rules dédié aux services numériques de l’ADEME. Pour fiabiliser les résultats de l’affichage environnemental de ses solutions, OVHcloud a travaillé en collaboration avec ses fournisseurs les plus importants, le monde universitaire (INRIA) et associatif (Boavizta) afin d’affiner la connaissance de l’empreinte carbone de leurs activités. Le Groupe dispose désormais de données plus précises concernant la fourniture d’accès à l’énergie, permettant un affichage en location-based et en market-based et une part significative de ses composants en prenant en compte le reconditionnement de ceux-ci.

OVHcloud a lancé une première version de sa calculatrice carbone en juillet 2023 pour la gamme Bare metal, permettant ainsi d’estimer l’impact carbone de plus de 300 000 serveurs. Un premier enrichissement pour les clients de la gamme Hosted Private Cloud a eu lieu au cours du premier trimestre de l’exercice 2024. Un trimestre à peine après la mise à disposition auprès des clients, OVHcloud a reçu le Trophée Green pour sa calculatrice carbone lors du forum The Big Green, événement dédié à la RSE. Ce trophée récompense le haut niveau de technicité de la méthodologie de la calculatrice et son exhaustivité, OVHcloud étant le premier à rendre disponible des informations environnementales aussi complètes à ses clients. Depuis l’outil s’est enrichi d’éléments de calcul plus précis grâce au double affichage des émissions liées à la phase d’usage (market-based et location-based) mais également concernant la phase de fabrication grâce à la prise en compte du reconditionnement des composants.

Accessible aux clients directement depuis leur espace OVHcloud, l’outil intègre la consommation électrique estimée des serveurs à partir de la surveillance des datacenters d’OVHcloud. Il établit ensuite une correspondance avec leur équivalent en émissions de carbone, en prenant en compte les systèmes de refroidissement et de réseau ainsi que le transport, la fabrication, la fin de vie et la gestion des déchets, afin de fournir un tableau complet de l’empreinte carbone actuelle. Les résultats liés aux usages cloud, que chaque utilisateur peut télécharger, sont découpés selon trois postes d’émission :

• la phase de fabrication : les émissions de gaz à effet de serre amont liées à l’achat et l’assemblage des composants ;
• la phase d’utilisation : les émissions liées à l’électricité ;
• les émissions annexes : les autres émissions indirectes comme le fret, l’impact induit par les employés – appelées « opérations ».

Depuis sa mise en ligne, l’outil génère plus de 500 téléchargements par mois et permet à plus de 5 500 clients de suivre leurs émissions de gaz à effet de serre.

L’approche d’OVHcloud pourrait avoir un effet doublement vertueux, en instaurant de bonnes pratiques au sein de la chaîne d’approvisionnement par capillarité.

3.2.3.2Sensibilisation aux impacts environnementaux : de la pédagogie à l’action collective

Actions menées en interne par le Groupe

OVHcloud met en place auprès de ses employés des initiatives permettant de les sensibiliser sur les enjeux environnementaux :

• la participation à la fresque du climat en interne. La fresque, dispensée par l’équipe environnementale d’OVHcloud, permet aux employés de l’entreprise de mieux appréhender les enjeux liés aux changements climatiques. En 2024, plus de 280 collaborateurs ont suivi la formation ;
• une formation de sensibilisation à l’ISO 50001 sur le management de l’énergie qui a été suivie par plus de 250 employés des datacenters. L’objectif d’ici la fin d’année civile 2024 est d’avoir formé 80 % des employés des datacenters. 

Actions collectives avec l’écosystème 

OVHcloud est moteur au sein de son écosystème et multiplie les actions de pédagogie et de sensibilisation autour des enjeux environnementaux de la filière. Le Groupe entend répondre aux sollicitations de ses parties prenantes et communiquer sur ces enjeux de manière transparente, pédagogique et responsable. 

À ce titre, OVHcloud a notamment participé aux événements suivants :

• la cérémonie de parrainage de la promotion 2026 de Telecom Paris avec la présentation des enjeux environnementaux du numérique, la politique environnementale d’OVHcloud et ses résultats ;
• The Big Green avec la présentation de la calculatrice carbone pour laquelle le trophée Green 2023 a été obtenu ;
• le Green Tech Forum en novembre 2023 avec une table ronde sur les leviers de réduction de l’empreinte environnementale des centres de données avec Christian Dior, APL Data Center et le CEA ;
• la journée de conférences sur les sciences informatiques écoresponsables du CNRS avec la présentation des leviers technologiques mis en œuvre par OVHcloud pour réduire l’impact environnemental des services de cloud ;
• l’atelier ARCEP en novembre 2023 avec la participation à la revue du référentiel d’éco-conception des services numériques ;
• le TechArena Stockholm en février 2024 avec la table ronde sur des témoignages croisés concernant l’approche environnementale avec Coca-Cola, Polestar, The Swedish Export Credit Agency ;
• « Intelligence Artificielle et Environnement » organisé par Numeum, l’Institut G9 et Planet Tech care en mars 2024 avec présentation de l’impact environnemental de l’intelligence artificielle constaté par OVHcloud et la place des datacenters dans la crise énergétique ;
• ChangeNow en mars 2024 avec la participation à la table ronde avec Sopra Steria et EDF sur l’impact environnemental et sociétal du numérique et les leviers pour le minimiser ; 
• intervention à l’EDHEC en avril 2024 dans le cadre de la formation « Stratégie RSE » pour les dirigeants sur la gouvernance RSE du Groupe, sa feuille de route climatique et ses actions concrètes ;
• BankTech Day en juin 2024 avec la table ronde sur les leviers de réduction de l’empreinte environnementale des centres de données.

En outre, les actions partenariales suivantes demeurent d’actualité :

• un partenariat de recherche de quatre ans démarré en 2021 avec l’Inria pour améliorer l’évaluation de l’impact environnemental des infrastructures du Groupe (thèse de recherche menée dans le datacenter expérimental OVHcloud, dont l’objectif est de faire évoluer le hPUE et le vPUE) et proposer aux utilisateurs finaux les meilleures pratiques pour réduire leur empreinte écologique ;
• le co-développement avec Davidson Consulting, l’Inria et Orange du programme de recherche DISTILLER, lancé en mars 2022 et visant à réduire l’impact environnemental des applications en cloud. Au terme de ce projet de trois ans, le système de recommandation de DISTILLER pourra délivrer aux Product Owners, ingénieurs ou développeurs, toutes les indications nécessaires à la conception, à la production et à la configuration d’applications cloud plus durables, tout en prenant en compte l’ensemble des contraintes propres à ce type de projet (performances, flexibilité, confidentialité). Pour atteindre cet objectif ambitieux, DISTILLER prévoit l’étude des applications cloud-natives et de leur configuration afin d’extraire toutes les variations existantes pour définir empiriquement, sur la base des mesures en production, un indicateur de durabilité sur lequel se basera le système de recommandations de composants logiciels durables ; 
• la collaboration au projet « Net Zero Initiative » porté par Carbone 4 dans sa dimension NZI4IT (Net Zero Initiative for IT), qui cherche à estimer les émissions évitées par le secteur du numérique, pour laquelle OVHcloud est la référence « Cloud Provider ».

OVHcloud participe au Code de conduite européen pour l’efficacité énergétique pour tous les datacenters opérés par le Groupe. Il s’investit également aux côtés des pouvoirs publics du monde entier afin de pouvoir partager son expertise concernant les manières de réduire l’empreinte environnementale des datacenters. Le Groupe répond notamment aux sollicitations des autorités de régulation et acteurs impliqués dans l’élaboration des politiques publiques pour expliquer son modèle via des rendez-vous, des visites de site. Ces actions s’inscrivent dans le cadre de réglementations en cours d’élaboration comme la révision de la directive européenne sur l’efficacité énergétique.

OVHcloud s’engage également via son action au sein de certaines associations représentatives du secteur et réunissant d’autres fournisseurs de cloud. C’est le cas en France avec son implication au sein de France Datacenter et Numeum, en Allemagne avec le Bitkom et au niveau européen via le Climate Neutral Data Centre Pact, dont le Groupe est signataire et membre fondateur (2021). 

3.3Faire progresser collectivement le cloud au bénéfice de la société

Chez OVHcloud tout commence par l’humain. Les femmes et les hommes font sa richesse : ce sont les talents qui assurent sa réussite. Le « travailler ensemble » est l’une des valeurs fondamentales du Groupe. Cette dimension collective trouve son prolongement dans son écosystème, et dans la volonté de faire grandir toute la filière du cloud européen. Conscient de son impact, et de sa responsabilité, OVHcloud entend faire du numérique un levier du développement socio-économique.

Afin de préserver la fiabilité et la comparabilité des indicateurs déclinés ci‑dessous, le Groupe raisonne sans Gridscale, acquis le 4 septembre 2023, et dont l’intégration dans les systèmes de reporting social est en cours. Le Groupe travaille à cette intégration, en vue de garantir l’exhaustivité de sa démarche de responsabilité sociale.

3.3.1Attirer et faire grandir les talents dans une aventure collective au sein d’une entreprise diverse et inclusive

Effectifs (1), emploi et engagement – Indicateurs de performance et chiffres clés

Dans un contexte international tendu mais toujours en forte concurrence pour les talents, attirer et faire grandir de nouvelles compétences est resté une priorité pour OVHcloud.

Le Groupe a en effet continué de recruter au cours de l’exercice fiscal 2024. 437 personnes ont ainsi rejoint l’aventure OVHcloud, réalisant de ce fait une croissance nette des effectifs de plus de 1 % sur cette dernière année, principalement portée par l’international et renforçant la part des contrats à durée indéterminée dans l’effectif. En deux ans, l’effectif total du Groupe a progressé de plus de 4 %.

Au-delà du recrutement, la fidélisation des talents constitue un second enjeu clé, afin de capitaliser sur les savoirs et de permettre la montée en compétence globale des équipes. L’indicateur de performance de référence pour en assurer le suivi est le loyalty rate, qui mesure le taux de collaborateurs présents dans le Groupe un an après leur arrivée. Ce taux a continué de s’améliorer pour atteindre 81 % en 2024. 

Le Groupe suit également le taux de départs volontaires, qui permet de mesurer le rythme de renouvellement de l’effectif. En 2024, ce taux s’élève à 9,20 %, en amélioration de 1 point par rapport à celui de 2023 (lui-même en amélioration annuelle de plus de 4 points). L’objectif est de maintenir un taux de départs volontaires inférieur ou égal à 15 % (taux considéré comme le taux moyen du marché). De plus, l’ancienneté moyenne des départs volontaires s’est stabilisée à plus de 3 ans depuis 2021 (3,4 années en 2024).

Enfin, OVHcloud mesure régulièrement le niveau d’engagement de ses collaborateurs à partir des résultats d’enquêtes internes menées chaque année via un logiciel de sondage (Peakon). Les scores d’engagement pour l’année fiscale 2024 ont été de 7,2/10 lors de l’enquête de décembre et de 7,3/10 lors de l’enquête de juin. Les taux de participation ont été respectivement de 84 % et de 86 % (niveaux similaires à l’an passé), témoignant également du niveau d’engagement des collaborateurs. Le score d’engagement des collaborateurs est un indicateur clé de performance qui entre dans la composition de la rémunération variable annuelle des dirigeants mandataires sociaux (à hauteur de 15 %) et des membres du comité exécutif (à hauteur de 9 %) en 2024.

3.3.1.1La passion et l’engagement au cœur de la culture d’entreprise

OVHcloud se distingue par les engagements phares qu’il porte, en faveur de la souveraineté des données notamment, et par une culture d’entreprise forte, soutenue par des valeurs communes qui guident chacune des actions du Groupe :

• la confiance : elle engage OVHcloud auprès de son écosystème et permet à ses collaborateurs d’exprimer leur talent ;
• travailler ensemble : OVHcloud a la conviction profonde qu’il n’y a de réussite individuelle qu’au service de la réussite collective. La dimension collective est essentielle pour explorer et construire le cloud de demain. Pour cela, chacun est important et contribue à son échelle ;
• la passion : la passion de la technologie et de l’aventure est cardinale chez OVHcloud. Elle favorise l’innovation et le dépassement de soi ;
• la disruption : OVHcloud cherche sans cesse à simplifier ses processus et ses organisations pour être plus performant et réduire les coûts. Réfléchir autrement est encouragé par le Groupe pour créer toujours plus de valeur pour les clients et l’écosystème ;
• la responsabilité : OVHcloud prend ses responsabilités. Le Groupe est conscient que chaque innovation peut être positive ou négative en fonction de l’usage qui en est fait.

3.3.1.2Construire un environnement de travail propice au développement des talents

La marque employeur d’OVHcloud constitue le cœur de sa proposition de valeur pour les employés et a pour objectif d’attirer et de fidéliser les talents.

Une marque employeur reposant sur quatre piliers

La marque employeur d’OVHcloud est construite autour de quatre piliers qui font écho aux valeurs du Groupe :

• « Chez nous tout commence par l’humain » : l’humain est au cœur de l’ADN du Groupe, c’est pourquoi OVHcloud a développé des services et des avantages pour améliorer la qualité de vie au travail de tous. De la conciergerie à la crèche d’entreprise, du télétravail contractualisé à des espaces pensés pour le collaboratif, tout est fait pour que chacun trouve sa place, à son rythme et dans le respect de ses valeurs ;
• « Innover en toute liberté » : un expert OVHcloud, c’est celui qui a acquis des compétences pointues tout en gardant l’envie d’explorer, de défricher et d’innover. OVHcloud recrute des gens passionnés et passionnants qui ont envie de faire et de transmettre. Penser le cloud de demain, c’est une question de disruption. À cette fin, le Groupe mise sur la collaboration de tous ;
• « Grandir et se réaliser » : avancer au rythme des technologies et sortir des sentiers battus, c’est ce qui caractérise OVHcloud. Changement de poste ou de métier, il n’y a pas de trajectoire toute faite chez OVHcloud. L’objectif est d’offrir à chacun la possibilité de s’intéresser à un nouveau domaine, pour étendre ses compétences et penser sa nouvelle expertise au prisme de son expérience ;
• « Construire ensemble le monde de demain » : en tant qu’acteur majeur du cloud, le Groupe estime que toutes et tous ont un rôle à jouer dans la transformation industrielle du secteur, et plus largement dans les changements qui impactent notre monde. Proposer un cloud humain, ouvert et durable, c’est travailler main dans la main pour un progrès collectif.

Une marque employeur qui s’étoffe grâce à son nouveau programme Ambassadeurs

Avec toutes les unités opérationnelles représentées et presque 30 % de profils féminins en 2024, le programme ambassadeurs participe au rayonnement d’OVHcloud, grâce au dynamisme de sa communauté. Nos ambassadeurs ont en effet pris part à plus de 35 événements physiques (conférences, environnement scolaire, salons professionnels, événements tech et salons de l’emploi).

Le site Carrière, dont la première version a été mise en ligne en 2022 a fait l’objet d’une refonte en 2024 avec l’ajout d’une page dédiée à la diversité, équité et inclusion. S’il a permis de mettre en valeur et de promouvoir la marque employeur OVHcloud, il se modernisera en 2025 et proposera davantage de contenu en phase avec les attentes des talents.

Un investissement continu dans le développement des compétences

Formation – Chiffres clés

Conscient de l’importance de cultiver son capital humain, OVHcloud a formé 75 % de ses effectifs en 2024. 2 200 collaborateurs ont ainsi suivi au moins une action de formation au cours de l’exercice 2024, soit environ 250 collaborateurs formés en plus par rapport à l’exercice précédent.

OVHcloud continue non seulement de renforcer les compétences clés permettant de soutenir la croissance de l’entreprise comme le management, la sécurité et les compétences techniques mais le Groupe a également proposé en 2024 plus de formations transverses (Autres) pour favoriser les parcours de carrière et respecter ses engagements sur les enjeux liés à la conformité en passant ainsi de 3 à 18 % des personnes formées.

OVHcloud confirme son souhait de favoriser le développement de toutes les compétences et de devenir une entreprise apprenante. C’est pourquoi l’entreprise continue d’investir sur les domaines jugés essentiels à l’accomplissement de ses ambitions stratégiques :

• accompagner nos managers dans leur rôle, en s’appuyant sur un programme ambitieux destiné à tous les managers et personnalisé en fonction du positionnement au sein de l’organigramme du Groupe. L’objectif est de former 100 % des nouveaux managers, 70 % des managers intermédiaires et 100 % des managers avancés, en 2 ans selon le leadership modèle d’OVHcloud. Plus de 400 managers ont ainsi suivi au moins une action de formation au cours de l’exercice 2024 ;
• renforcer l’acquisition de compétences transverses pour développer son employabilité et respecter nos engagements liés à la conformité. Par exemple près de 300 collaborateurs ont été sensibilisés à la fresque du climat, soit environ 10 % de l’effectif ;
• continuer d’investir massivement sur les compétences techniques pour soutenir la croissance grâce aux formations produits, technologiques ou opérationnelles en offrant la possibilité de certifier ses compétences ;
• développer une forte culture sécurité et résilience pour soutenir l’ouverture de nouveaux datacenters dans le monde ;
• les formations en langues pour accroître son positionnement à l’international.

Pour accompagner la politique de formation et se renforcer dans sa vocation d’entreprise apprenante, OVHcloud a opéré un changement majeur de LMS (Learning Management System) et dispose d’une solution dédiée au développement des compétences permettant d’accélérer le déploiement des actions de formation. Avec près de 86 % des collaborateurs connectés au moins une fois à ce nouveau LMS et plus de 115 000 visites en 2024, OVHcloud facilite l’accès à la formation de ses collaborateurs.

OVHcloud souhaite également acculturer ses collaborateurs aux défis de demain en proposant tout au long de l’année des webinaires de sensibilisation sur différents domaines comme l’intelligence artificielle, les softskills, la cybersécurité. Les webinaires proposés sur l’Intelligence Artificielle ont, par exemple, comptabilisé plus de 600 participants.

Santé, sécurité et bien-être au travail au cœur des priorités

La sécurité au travail pour OVHcloud constitue une priorité centrale et est un indicateur clé de performance de la politique RSE. Afin de favoriser la prévention des risques en matière de santé et de sécurité, le Groupe a défini trois lignes directrices majeures :

• diminuer le nombre des accidents au travail ;
• se conformer aux exigences légales en matière de santé sécurité environnement (SSE) et aux autres exigences applicables dans tous les pays ;
• mettre en œuvre toutes les mesures satisfaisantes pour préserver la santé et l’intégrité physique des collaborateurs, des clients et communautés riveraines des activités du Groupe et protéger l’environnement.

Pour ce faire, les mesures de mise en œuvre ont été les suivantes : 

• impliquer toute la ligne managériale dans l’engagement de sa politique de santé prévention des risques et environnement ;
• anticiper les risques en amont dans la phase de design des produits ; 
• responsabiliser tous les salariés à maintenir un lieu de travail sain et sécuritaire ;
• déployer auprès de tous les collaborateurs la culture du professionnalisme, de la rigueur et du respect des règles ;
• assurer le déploiement du programme Santé Sécurité « Be Smart, Be Safe ! ».

Sécurité au travail – Chiffres clés

Au cours de l’exercice 2024, le nombre total d’accidents a encore baissé tant sur le nombre d’accidents que sur leur gravité. 

Ceci a été rendu possible grâce à différentes actions menées durant l’exercice 2024 :

• la révision d’OVHcloud d’une partie de ses règles d’or en matière de sécurité s’inscrivant dans sa démarche #StaySafe. Ces règles d’or traitent de : 
  • l’environnement de travail,
  • le permis de travail,
  • la prévention et l’évacuation incendie ; et
•  la continuité du respect de ses autres règles d’or :
  • vigilance partagée et coactivité,
  • circulation de piétons,
  • circulation d’engins,
  • équipements de protection individuelle et collective,
  • travail en hauteur,
  • énergies et consignation,
  • gestes et postures.

La démarche #StaySafe incarne un état d’esprit à adopter pour repérer et éviter les dangers. Elle suit quatre étapes :

• scruter l’environnement de travail et repérer les dangers ;
• analyser les conséquences des dangers et anticiper les mesures de protection individuelle et/ou collective nécessaires ;
• fiabiliser en mettant en place les mesures de prévention avec l’aide du département santé sécurité, les donneurs d’ordre ou les managers ;
• exécuter le travail une fois toutes les conditions de sécurité réunies.

Au cours de l’exercice 2024, le Groupe a continué à investir dans la formation des équipes techniques dans le but de renforcer sa culture sécurité. La formation des managers sur site a été déployée sur une partie des effectifs. En 2024, les champions de la sécurité (Safety champions) ont mené des actions visant à améliorer la sécurité sur leurs sites respectifs. Au nombre d’un à trois par site, ce sont des collaborateurs volontaires qui jouent un rôle de relais au sein des équipes techniques pour améliorer la culture sécurité. Enfin, le Groupe a organisé des événements internes de sensibilisation comme la « World Safety Week », qui se tient chaque année sur tous les sites OVHcloud et à laquelle sont conviés tous les employés et les contractuels permanents. 

Par ailleurs, OVHcloud s’engage en matière de santé des collaborateurs et investit notamment dans la prévention.

• Le site de Roubaix dispose depuis 2016 d’un centre médical dédié rassemblant divers professionnels de santé (médecin généraliste, ostéopathe, diététicien, kinésithérapeute, opticien, etc.) à disposition des collaborateurs.
• Des conférences de sensibilisation animées par des spécialistes de santé et ouvertes à tous les collaborateurs sont régulièrement organisées sur des sujets divers (conférences sur les risques psychosociaux). 

OVHcloud poursuivra ses engagements en matière de prévention sur l’année 2025. Les priorités retenues sont les suivantes : 

• le mois d’octobre 2024 est consacré à la lutte contre les cancers féminins : dans le cadre d’Octobre Rose, OVHcloud va continuer de sensibiliser sur les cancers du sein en proposant à ses collaborateurs en France des ateliers animés par des sages-femmes ou infirmières et une conférence de sensibilisation pour tous les collaborateurs en France et à l’international ;
• le mois de novembre 2024 est consacré à la lutte contre les cancers masculins : dans le cadre de Movember, le Groupe va proposer à ses collaborateurs en France des ateliers animés par des urologues et une conférence de sensibilisation pour tous les collaborateurs en France et à l’international ;
• la prévention des troubles musculo-squelettiques (TMS) : le Groupe va proposer des ateliers en France afin de prévenir les risques professionnels sur les gestes et postures ainsi qu’une conférence sur l’aménagement des postes de télétravail et des métiers manuels pour tous les collaborateurs en France et à l’international ;
• prévention du mélanome : le Groupe va organiser des journées de dépistage dermatologique sur les sites en France.

Le Groupe met également en œuvre diverses actions :

• téléconsultation médicale avec Angel en France et Dialogue au Canada ;
• actions en faveur d’une pratique sportive régulière (salles de sport, animations des coaches, accompagnements bilans sportifs) ;
• assistance psychologique, sociale et juridique avec Qualisocial et Dialogue au Canada.

Afin de favoriser la qualité de vie au travail, OVHcloud s’engage également en faveur de la parentalité. Ainsi un poste de référent parentalité en charge de soutenir, conseiller, et orienter l’ensemble des parents ou futurs parents a-t-il été créé. Au-delà d’une crèche d’entreprise (depuis dix ans à Roubaix), d’un partenariat national avec Babilou (12), et d’un guide de la parentalité chez OVHcloud, un accompagnement spécifique à l’arrivée d’un enfant est mis en place (soutien à l’annonce, préparation du départ en congé maternité, adoption ou parental ; accompagnement du retour en entreprise avec un process de réonboarding dédié ; accompagnement dans leur recherche de moyen de garde…). Des conférences et ateliers sont aussi régulièrement proposés.

Une politique de ressources humaines reconnue

Plusieurs prix sont venus récompenser les efforts menés par le Groupe ces dernières années :

• le Trophée Compensation & Benefits décerné par le club ORAS (13) en décembre 2021, pour le programme sur le bien-être des collaborateurs du Groupe ;
• le prix d’or aux Victoires des leaders du capital humain sur le thème de la qualité de vie au travail en mai 2022 ;
• la qualité de vie au travail a également été reconnue en Pologne, où le Groupe a reçu en 2021 et en 2022 le « Wellbeing Leader Certificate » de l’Institut polonais du bien-être.

Au cours du dernier exercice fiscal, de nouvelles distinctions ont été obtenues :

• le label HappyIndex®Trainees & HappyIndex®Trainees Alternance 2023-2024, qui récompense les entreprises prenant soin de leurs stagiaires et alternants, reçu pour la quatrième année consécutive ;
• en Allemagne, OVHcloud a été reconnu Top Company 2023 par Kununu pour la seconde année consécutive ;
• 2e du classement 2024 Top Companies de LinkedIn (dans la catégorie entreprises de taille intermédiaire entre 250 et 5 000 salariés) ;
• le trophée de l’Actionnariat Salarié International a été décerné par le club ORAS en décembre 2023.

3.3.1.3Proposer un environnement de travail divers et inclusif

Diversité et inclusion – Indicateurs de performance et chiffres clés

Convaincu que chacun a un rôle à jouer pour relever les grands défis sociétaux de notre époque, OVHcloud souhaite accompagner ses collaborateurs dans leur parcours de vie, afin que chacun puisse s’épanouir dans un environnement bienveillant. Dans cet esprit, le Groupe s’est engagé à lutter contre toutes les formes de discrimination et à proposer un environnement de travail respectueux des différences permettant à chacun d’exprimer pleinement ses talents. OVHcloud a structuré sa politique de diversité, équité et inclusion en 2022 et entend la renforcer au cours de l’exercice 2024-2025. Une charte interne vient illustrer cette politique. Elle est relayée via son intranet et disponible pour tous les collaborateurs du Groupe.

• La diversité et l’intelligence collective sont des moteurs clés pour innover et atteindre l’excellence. L’internationalisation des équipes en est une composante. En 2024, plus de 60 nationalités sont représentées au sein du Groupe. 
• La féminisation des équipes, qui constitue un enjeu majeur pour les métiers de la Tech, est une priorité forte et un indicateur de performance pour la politique RSE du Groupe. Un plan d’action Égalité Hommes Femmes est établi et revu régulièrement avec les représentants du personnel en France. Ce plan traite des sujets de recrutement, d’évolution professionnelle, de rémunération et d’équilibre entre vie professionnelle et personnelle. Au cours des dernières années, la proportion de femmes dans l’effectif du Groupe a régulièrement progressé. Sur l’exercice 2024, la part des femmes dans l’effectif total gagne 1 point pour atteindre 23 %. La part des femmes dans le management quant à elle s’améliore de 3 points depuis 2022 à 23 %. Concernant le comité exécutif, le taux reste à peu près stable au cours de l’exercice 2024 avec 33 %.
• Tout au long de l’année, plusieurs initiatives ont été mises en place pour sensibiliser les équipes internes aux enjeux de la diversité et de l’inclusion. En janvier 2024, OVHcloud a notamment adhéré à l’initiative #StOpE, qui vise à lutter durablement contre le sexisme ordinaire. Cette adhésion a également marqué le début d’une série d’actions pour promouvoir les enjeux et les avantages d’une « entreprise inclusive », en déconstruisant stéréotypes, préjugés et biais inconscients. L’objectif de ces actions était de fournir une meilleure compréhension des principales formes de discrimination tout en offrant des stratégies concrètes pour déconstruire les stéréotypes au quotidien.
• Faciliter l’accès à l’emploi des personnes en situation de handicap et la collaboration avec le secteur du travail protégé et adapté est un second axe important des initiatives menées en faveur de la diversité et de l’inclusion. Par une politique handicap mondiale, OVHcloud a mis à disposition des ressources et des moyens nécessaires pour garantir une organisation inclusive, avec des référents handicap désignés qui mettent en œuvre la politique localement. 100 % des recruteurs sont formés aux questions de diversité et les employés ont été sensibilisés à ces enjeux et publient nos offres d’emploi sur le site de l’AGEFIPH.

3.3.1.4Maintenir un dialogue social de qualité dans la durée

OVHcloud attache une grande importance au dialogue social, gage d’implication et de performance collective, et entretient des relations de grande qualité avec ses collaborateurs et leurs représentants. Il comprend la négociation, la concertation, la consultation ou l’échange d’informations entre la direction, les salariés et leurs représentants. Les thèmes couverts par le dialogue social sont l’hygiène et la sécurité, la durée du travail, les rémunérations, la formation et la qualité de vie au travail.

Dans le monde,

• la part des effectifs disposant d’une représentation syndicale ou de représentants du personnel en 2024 est de 69,60 % ;
• la part des effectifs couverts par une convention collective en 2024 est de 74,94 %.

En France, la représentation des salariés est organisée au sein d’une unité économique et sociale regroupant les sociétés françaises. La composition du comité social et économique (CSE d’UES) a été renouvelée fin 2023 et comprend désormais 43 membres (titulaires et suppléants confondus). 3 organisations syndicales représentatives ont désigné des délégués syndicaux, ouvrant la voie à la négociation d’accords collectifs. 

Ainsi, en 2024, deux accords collectifs ont été conclus, l’un portant sur les salaires, l’autre sur le dialogue social. Ce dernier accord démontre l’engagement de l’entreprise à travers les moyens dévolus aux représentants du personnel (crédits supplémentaires d’heures de délégation, création d’une commission dédiée aux enjeux environnementaux et aux orientations stratégiques, mise en place d’une enveloppe dédiée à la formation et aux déplacements des représentants du personnel, déploiement de représentants de proximité sur l’ensemble des sites…). En ce qui concerne la représentation du personnel dans les instances dirigeantes, deux administrateurs représentant les salariés siègent au sein du Conseil d’administration depuis 2022.

Enfin, comme mentionné précédemment, en tant qu’entreprise à l’écoute de ses collaborateurs, OVHcloud mène depuis 2019 des enquêtes d’opinion interne (OVHcloud Spirit) auprès de tous ses collaborateurs dans le monde. La fréquence est semestrielle et permet de recueillir avis et attentes concernant l’entreprise sur différentes thématiques (engagement, diversité et inclusion, développement des talents, conditions de travail, reconnaissance…).

3.3.1.5Associer les collaborateurs aux résultats de l’entreprise

Actionnariat salarié

Pour OVHcloud, le « travailler ensemble » passe également par le fait d’associer le plus possible les collaborateurs aux résultats de l’entreprise. À l’occasion de son introduction en bourse sur Euronext Paris le 15 octobre 2021, le Groupe a mis en place son premier plan collectif d’actionnariat salarié, ouvert à plus de 2 000 collaborateurs en France et à l’étranger. 97,8 % des salariés éligibles à cette date sont ainsi devenus actionnaires d’OVHcloud (77,6 % ayant investi volontairement). Le Groupe a été récompensé en 2021 par le Grand prix FAS (14), qui met à l’honneur les entreprises développant les meilleures pratiques en matière d’actionnariat salarié.

En 2022, le Groupe a permis, sans augmenter son capital, à l’ensemble de ses collaborateurs d’investir tout ou partie de leur intéressement en actions OVHcloud (via le FCPE ou en actionnariat direct selon les pays) et de bénéficier d’un abondement. Cette approche pérenne a été récompensée du trophée de l’Actionnariat Salarié International du club ORAS (15) en décembre 2023. C’est environ 70 % des collaborateurs éligibles qui ont décidé en 2023 d’investir leur intéressement (il s’agit du même ordre de grandeur que l’année précédente).

En 2024, 0,6 % du capital est détenu par les collaborateurs au travers du FCPE.

Accords de participation

En France, un accord de participation s’applique au niveau de l’unité économique et sociale, lequel prévoit de répartir entre les salariés éligibles une part du bénéfice des entreprises parties à l’unité économique et sociale, calculée sur la base de la formule légale. La répartition est effectuée au prorata du temps de présence au cours de l’exercice fiscal.

Accords d’intéressement

Un accord d’intéressement a été signé avec le comité social et économique en 2022, applicable jusqu’en 2024. Il concerne tous les collaborateurs au niveau global ayant au moins trois mois d’ancienneté. Les indicateurs de performance retenus pour calculer la part des bénéfices attribuable aux salariés éligibles intègrent, comme pour le plan précédent, des indicateurs relatifs à l’EBITDA ajusté et à la croissance du chiffre d’affaires, auxquels s’ajoutent deux critères RSE : l’efficacité énergétique (via le PUE ou Power Usage Effectiveness) et la fidélisation des collaborateurs. La redistribution de l’intéressement se fait au prorata de la masse salariale du pays dans celle du Groupe ; l’enveloppe du pays est redistribuée exclusivement au prorata du temps de présence de chacun sur l’exercice fiscal.

Un avenant à cet accord a été signé en 2024 augmentant le poids des indicateurs RSE pour les porter à 60 % (30 % pour l’efficacité énergétique et 30 % pour la fidélisation des collaborateurs).

Plan d’épargne d’entreprise et plans assimilés

En France, il existe au sein de l’unité économique et sociale :

• un plan d’épargne Groupe, qui permet aux salariés éligibles d’investir leur épargne, y compris les versements effectués au titre de l’accord de participation et de l’accord d’intéressement, dans des fonds d’investissement diversifiés et de bénéficier de certains avantages sociaux et fiscaux en échange d’une période d’indisponibilité de généralement cinq ans ;
• un compte épargne-temps (CET), qui permet aux salariés éligibles d’épargner des jours de repos non pris (certains congés, RTT…) ou une partie de leur 13e mois convertie en jours. Ils peuvent ensuite à tout moment prendre ces jours, demander à se les faire payer ou les transférer sur un autre dispositif pour préparer leur retraite ;
• un plan d’épargne retraite collectif (PERCO), qui permet aux salariés éligibles d’investir les versements de l’accord de participation et de l’accord d’intéressement dans des fonds d’investissement diversifiés en vue de leur retraite. Ce dispositif offre aux salariés la possibilité de bénéficier de certains avantages sociaux et fiscaux en contrepartie d’une période d’indisponibilité jusqu’à la retraite. C’est aussi un moyen pour les salariés de préparer leur retraite en réalisant des versements volontaires ou en transférant des jours de leur CET sur le PERCO (dans la limite de 10 jours par an). Ce transfert est alors abondé par leur employeur.

Plan de reconnaissance

En 2024, un plan international de reconnaissance de la fidélisation des collaborateurs a été lancé dans tous les pays du Groupe. Le franchissement du pallier de 5 ans d’ancienneté a octroyé un même nombre de points (appelés Kudos) aux collaborateurs concernés. Le nombre de Kudos était le même, quelque soit le pays du collaborateur, seule sa valeur variait en fonction de la parité de pouvoir d’achat. Les kudos peuvent se convertir en numéraire, en cartes cadeaux, en actions OVHcloud ou en un mélange des trois options, selon l’envie de chacun.

3.3.2Collaborer et développer des coalitions avec les parties prenantes de l’écosystème du cloud européen

Fonctionner en écosystème fait partie de l’ADN du Groupe. OVHcloud entend capitaliser sur son rôle de leader pour faire grandir la filière du cloud européen, faire émerger des champions et ainsi continuer à défendre la souveraineté numérique européenne dans un environnement ultra compétitif.

3.3.2.1Développer un écosystème de partenaires partageant les mêmes valeurs

Dès son origine, OVHcloud a cherché à jouer un rôle moteur dans la constitution d’un écosystème ouvert et évolutif de partenaires partageant les mêmes valeurs, favorisant l’innovation et promouvant l’indépendance numérique européenne. Par cette approche mutuellement bénéfique, OVHcloud s’est entouré d’un large éventail de spécialistes techniques et commerciaux, qui travaillent dans des secteurs connexes pour développer et proposer les solutions les plus adaptées aux besoins des clients. L’engagement profond dans les communautés open source permet à OVHcloud d’accélérer le développement de ses propres solutions, tout en restant à la hauteur des attentes de ses clients.

L’écosystème d’OVHcloud se structure autour de trois programmes principaux permettant de construire des partenariats vertueux auprès des ESN (Managed Service Provider, System Integrator, cabinets de conseil), les éditeurs de logiciels et les start-up. L’ensemble des membres de cet écosystème peut tirer parti de la marketplace OVHcloud.

• Le partner program rassemble plus de 1 300 partenaires implantés dans 72 pays. Ces partenaires sont des spécialistes qui combinent leur expertise avec l’infrastructure OVHcloud pour créer des solutions et des services à forte valeur ajoutée pour leurs propres clients. L’objectif de ce programme est de mettre à disposition de ces partenaires des outils et des contenus favorisant leur montée en compétence sur les technologies OVHcloud, tout en tissant une relation mutuelle privilégiée. Avec ce programme, OVHcloud a délivré plus de 3 500 certifications à ses partenaires, contribuant à dynamiser leur proposition de valeur auprès des clients finaux et à accélérer leur croissance.
• Le programme ISV (Independent Software Vendors) d’OVHcloud, nommé open trusted cloud, regroupe un écosystème d’éditeurs de logiciels co-construisant une offre logicielle, SaaS et PaaS pour répondre aux besoins d’innovation, de durabilité et de souveraineté de l’industrie de demain. Une nouvelle proposition de valeur, s’appuyant sur une approche collaborative et sur les trois piliers que sont l’innovation, la durabilité et la souveraineté, a permis de doubler le nombre de membres du programme en un an. Le programme compte aujourd’hui 130 membres dans 13 pays proposant leurs solutions sur le cloud ouvert, réversible et fiable d’OVHcloud.
• Le startup program regroupe un peu plus de 1 000 start-up et scale ups par an dont près des deux tiers à l’international. Depuis mai 2022, dans le cadre de ce programme, OVHcloud offre un accompagnement sous forme de mentoring, disponible dans le monde entier. Ainsi, les collaborateurs OVHcloud mettent à disposition des start-up leur expertise et leur expérience pour les aider dans le développement de leur activité. En effet, lorsque les entrepreneurs créent une entreprise, ils se focalisent sur les éléments essentiels à la mise en route de cette dernière et n’ont pas toujours le temps, les moyens, ou les compétences pour développer d’autres aspects de leur activité qui peuvent s’avérer utiles pour se différencier. En ce sens, l’objectif du startup program est de proposer aux start-up un choix de mentors qui couvrent les différents axes sur lesquels ils aimeraient travailler pour leur développement : marketing, communication, réseaux sociaux mais aussi stratégies commerciales, intelligence artificielle, infrastructure serveurs, RSE, ressources humaines et bien d’autres domaines. Sur le thème choisi, chaque start-up bénéficie de six heures d’accompagnement personnalisé pendant trois mois, auprès de son mentor.

3.3.2.2Collaborer avec les fournisseurs dans une démarche d’achats responsables

La chaîne d’approvisionnement et plus particulièrement la fonction achats jouent un rôle essentiel dans la politique RSE d’OVHcloud, qui veille à l’inscrire dans une démarche responsable.

Politique d’achats responsables

OVHcloud intègre fermement les principes de responsabilité sociale et environnementale (RSE) au cœur de sa chaîne d’approvisionnement à travers une politique d’achats responsables, adoptée en février 2024. Guidée par la durabilité environnementale, l’éthique et la responsabilité sociale, cette politique guide les décisions et actions de la direction des achats. Elle vise à garantir que chaque décision d’achat contribue positivement aux objectifs environnementaux, sociaux et éthiques de l’entreprise, tout en renforçant les relations avec les fournisseurs engagés dans cette voie.

Cartographie des risques et évaluation des fournisseurs

En 2023, OVHcloud a renforcé sa stratégie RSE en identifiant les risques associés à ses achats sur l’ensemble de sa base de données fournisseurs, dans le but d’évaluer en profondeur 25 fournisseurs stratégiques et critiques sélectionnés en partenariat avec EcoVadis, une plateforme reconnue pour son expertise en performance RSE. Deux approches distinctes ont été utilisées : l’évaluation des fournisseurs via DocScand, une solution IA pour identifier les risques, et une évaluation détaillée de leur performance sur les critères environnementaux, sociaux, droits de l’homme, éthiques, ainsi que sur les achats responsables. De plus, EcoVadis a formé les équipes achats sur les enjeux RSE et l’utilisation de l’outil collaboratif, renforçant ainsi leur capacité à dialoguer efficacement avec les fournisseurs sur ces questions.

De plus, la direction des achats a mis en place un processus d’évaluation intégrant des critères RSE dans les consultations. Cette démarche permet d’identifier en amont les axes de progrès, et les plans d’action spécifiques éventuels à élaborer en collaboration avec le fournisseur retenu. 

Afin de promouvoir les bonnes pratiques au sein de sa chaîne de valeur, OVHcloud évalue chaque année ses fournisseurs stratégiques selon sept critères (sécurité, technologie, qualité, réactivité, livraison, coûts, environnement) et récompense ceux qui se distinguent le plus. En 2024, 5 fournisseurs stratégiques ont été ainsi récompensés.

Des fournisseurs engagés dans une démarche responsable par l’application des principes du Code de conduite fournisseurs

Le Groupe a élaboré un Code de conduite fournisseurs qui les engage à adopter une approche responsable et exhaustive sur les questions de conformité. Ce Code repose sur les Principes directeurs des Nations unies relatifs aux entreprises et aux droits de l’homme et sur les conventions de l’Organisation internationale du travail. Il couvre les sujets de vigilance suivants :

• droits humains ;
• conditions de travail justes et sécuritaires ;
• éthique (corruption, fraude, blanchiment, financement d’activités illicites, etc.) ;
• environnement ;
• procédure d’alerte anti-corruption (cf. section 3.3.2.3 du présent document d’enregistrement universel).

OVHcloud demande aux nouveaux fournisseurs, ainsi qu’à ceux nouvellement référencés, de signer le Code de conduite. Les autres fournisseurs sont encouragés à signer ce Code de conduite et à s’y conformer.

Au 31 août 2024, OVHcloud compte 2 534 fournisseurs actifs parmi lesquels 71,23 % ont signé le Code de conduite fournisseurs (16), marquant une progression de 2,73 points par rapport à l’exercice 2023. En chiffre absolu, cela représente 1 805 fournisseurs certifiés contre 1 640 l’année précédente, soit une augmentation de près de 10 %. Cette progression résulte d’une campagne de sensibilisation active menée par OVHcloud auprès de ses fournisseurs qui n’avaient pas encore signé le Code de conduite, avec une attention particulière portée aux fournisseurs stratégiques et potentiellement à risque.

Évaluer l’empreinte carbone de nos fournisseurs 

OVHCloud cherche à améliorer sa compréhension de son empreinte carbone dans ses activités. À cet effet, la direction des achats, en collaboration avec la direction de l’environnement, a échangé régulièrement avec ses fournisseurs sur leurs engagements en matière de responsabilité sociale et environnementale (RSE). Ces discussions ont permis à OVHcloud de recueillir environ cinquante facteurs d’émission associés à la fabrication des composants hardware achetés auprès de huit fournisseurs stratégiques. Ces données ont été utilisées pour affiner les calculs de l’empreinte carbone dans la calculatrice carbone d’OVHCloud et pour son bilan carbone.

Privilégier les fournisseurs locaux

Enfin, l’approche d’achats responsables d’OVHcloud se concrétise au travers de sa volonté de privilégier les fournisseurs locaux quand cela est possible. Notamment, le Groupe peut se sourcer parmi les entreprises participant au startup program si le service fourni est pertinent par rapport à ses besoins. C’est le cas de Moffi par exemple, dont l’outil de réservation de bureau a été déployé à l’échelle du Groupe.

Encourager le développement des prestataires employant des personnes en situation de handicap 

OVHcloud accorde une importance particulière aux fournisseurs des secteurs protégés et adaptés, ainsi qu’aux entreprises adaptées, dans sa chaîne d’approvisionnement. Aujourd’hui, OVHcloud collabore avec quatre sociétés œuvrant dans différents secteurs, privilégiant ainsi les entreprises dirigées par des personnes handicapées lorsque cela est possible. Cette initiative vise à intégrer leurs services dans ses activités pour promouvoir la diversité et l’inclusion. Des workshops et webinars avec Malakoff Humanis, contribuant à l’Agefiph, ont également renforcé ces pratiques d’achats inclusifs.

3.3.2.3Éthique et conduite des affaires

Un prérequis : le strict respect des lois et des réglementations

Évoluant dans un marché porteur et ouvert sur le monde, OVHcloud garde une vigilance constante et met un point d’honneur à mener ses activités dans le strict respect des lois et réglementations qui lui sont applicables. OVHcloud étant un Groupe français, le respect de la législation française en matière de conformité est la référence principale mais pas exclusive. En raison de son implantation internationale, OVHcloud doit également respecter les législations et réglementations locales des pays dans lesquels elle exerce une activité. En tout état de cause, OVHcloud applique la législation et réglementation la plus stricte. 

Un engagement fort des instances dirigeantes en faveur du Programme de conformité du Groupe

Pierre angulaire du Programme de conformité du Groupe, les instances dirigeantes d’OVHcloud ont démontré leur engagement en faveur d’un Programme de conformité à la hauteur de l’ambition du Groupe et des exigences de ses parties prenantes internes et externes, notamment par le renforcement de l’équipe dédiée au Programme.

Le Groupe a également la volonté de se doter des techniques et mécanismes les plus performants dans sa maîtrise des risques. Ainsi le Groupe s’équipe progressivement d’outils et de technologies lui permettant d’assurer un meilleur suivi de lutte contre les comportements non éthiques. le Groupe s’est doté au cours de l’exercice 2024 de l’outil Witik dont l’objectif est double : gérer la déclaration des cadeaux et invitations reçus/offerts en fonction des seuils fixés dans la politique ainsi que la gestion des conflits d’intérêts. Ces outils contribuent à plusieurs des piliers du Programme de conformité, notamment en matière de prévention et de lutte contre la corruption et le trafic d’influence mais également dans le cadre du respect des sanctions internationales. Ce sont aussi des outils qui permettent une action quotidienne et opérationnelle du Programme.

Un diagnostic et des mécanismes de prévention adaptés aux risques

Le Groupe a déterminé ses orientations en matière de conformité sur la base des dispositions légales et réglementaires auxquelles il est assujetti tout en prenant en compte les caractéristiques qui lui sont propres et les risques inhérents à son environnement d’affaire.

La cartographie des risques de corruption et de trafic d’influence permet au Groupe d’avoir une vue d’ensemble précise des risques auxquels il est exposé et de déterminer des actions et des mesures d’atténuation et de maîtrise des risques qui entrent dans le plan d’action du Groupe.

Une attention particulière aux sujets relatifs à la conformité est portée à la fois par la direction générale ainsi que par le Conseil d’administration du Groupe et son comité d’audit.

Sur le plan opérationnel, la fonction conformité, couvrant éthique et conformité, est assurée par une équipe interne placée sous la responsabilité du directeur. Un suivi bimensuel est organisé avec un membre du comité exécutif du Groupe. L’ensemble des politiques internes fait l’objet d’une approbation par le comité exécutif du Groupe.

Des principes affirmés : le code éthique et la politique de tolérance zéro à l’échelle du Groupe

La politique de conformité du Groupe est formalisée à travers son code éthique. Celui-ci reprend les thématiques principales du Programme de conformité et les pratiques guidant les parties prenantes internes. En particulier, il y est affirmé le principe de tolérance zéro à l’égard de toute forme de corruption ou de trafic d’influence.

Le Groupe s’attache à ce que l’écosystème au sein duquel il évolue respecte les mêmes standards qu’il s’applique. C’est dans cet esprit qu’il est demandé à chaque fournisseur de signer le Code de conduite fournisseurs (cf. supra pour plus de détails). Au-delà des fournisseurs, le Code a pour vocation à s’appliquer à d’autres parties prenantes du Groupe telles que les partenaires, les intermédiaires, ou encore les bénéficiaires.

Des procédures et des mécanismes couvrant les risques réels et opérationnels du Groupe

Dans le cadre de sa politique de conformité, le Groupe s’efforce de formaliser ses mécanismes et ses bonnes pratiques en matière de conformité par l’adoption ou le renforcement de ses procédures internes.

Une politique cadeaux et invitations responsabilisante

À la suite de l’actualisation en 2023 de sa politique en matière de cadeaux et d’invitations destinée à renforcer le contrôle d’un des principaux risques de corruption et de trafic d’influence, le Groupe a mis en place durant l’exercice 2024 des actions de sensibilisation à destination des collaborateurs (formation, communications). La politique dont l’application repose sur l’outil de gestion Witik permet aux collaborateurs de déclarer en autonomie les cadeaux ou invitations reçus/offerts. Le processus de validation renforce en outre le rôle actif de la ligne managériale. Cette approche novatrice permet aux collaborateurs de s’interroger notamment sur les motivations qui justifient ce cadeau ou cette invitation.

Une procédure relative à la prévention et à la gestion des conflits d’intérêts

Par sa position de leader européen du cloud, le Groupe évolue au sein d’un secteur aux multiples interactions bénéficiant de solides perspectives de croissance dans un grand nombre de secteurs. Ce contexte peut favoriser l’émergence de situations de conflit d’intérêts. Par conséquent, le Groupe a mis en place une procédure permettant de déclarer une situation de conflit ou de non-conflit d’intérêts. Celle-ci est formalisée au sein d’une nouvelle politique qui a vocation à s’appliquer à l’ensemble des parties prenantes internes. Une attention particulière a été portée sur certaines catégories de personnes considérées comme plus exposées au regard des risques propres à la nature de leurs missions et fonctions.

Une procédure relative à l’évaluation des tiers (due diligence)

Le Groupe et son top management se sont engagés dans une démarche globale de conformité et d’éthique dans la conduite de ses activités et ses interactions avec les parties prenantes externes. Dans cette perspective, le Groupe s’est doté de la présente politique afin de mettre en place un processus de due diligence consistant à réaliser une analyse des risques des tiers avec lesquels elle entretient ou souhaite entretenir une relation d’affaires. Fondée sur sa cartographie des risques de corruption et de trafic d’influence, cette procédure permet d’assurer une meilleure maîtrise du risque et contribue à un meilleur environnement des affaires pour OVHcloud en tant que Groupe international coté.

Formation et sensibilisation de notre écosystème aux enjeux de l’éthique et de la conformité

Formation et sensibilisation des collaborateurs

La formation de l’ensemble des salariés du Groupe, sans distinction de poste ou de responsabilité, représente, avec la Charte éthique, les deux premiers contacts des collaborateurs avec le Programme de conformité. Le Groupe propose un module de formation en ligne obligatoire qui est présenté à l’occasion des semaines d’intégration (Onboarding) des nouveaux collaborateurs. Ces derniers disposent alors de six mois pour visionner et valider le module en répondant à un questionnaire. Un score minimal de validation de la formation a été déterminé afin de vérifier l’assimilation des connaissances clés pour le Groupe. Cette formation est renouvelable tous les trois ans.

Les thématiques abordées par la formation regroupent les principaux points du Programme de conformité, notamment la lutte contre la corruption, la fraude, le trafic d’influence, les conflits d’intérêts, les sanctions internationales, le respect du droit de la concurrence. Le format se veut ludique et animé. Il est disponible en langues française et anglaise.

Le taux de validation de la formation s’élève à 79 % pour l’exercice 2024, le taux de suivi étant très largement supérieur à l’exercice 2023 (59 %). Ce taux a progressé grâce aux différentes actions de relance et de sensibilisation menées.

L’équipe interne a également renforcé ses actions de sensibilisation vis-à-vis des managers par le biais de formations à distance ou de communications dématérialisées (e-mails). Le Groupe entend à l’avenir renforcer ses différentes actions de sensibilisation à destination de l’ensemble des collaborateurs et des collaborateurs les plus exposés.

Sensibilisation des parties prenantes externes : fournisseurs et partenaires

Le Groupe continue également de sensibiliser ses parties prenantes externes : fournisseurs, intermédiaires et partenaires. Le moyen privilégié reste la condition de signature du Code de conduite fournisseurs ainsi que les clauses contractuelles intégrées en matière de conformité dans les contrats engagés avec les tiers. Les équipes conformité se tiennent également disponibles lors des phases de négociations afin de sensibiliser au mieux les potentiels nouveaux fournisseurs, partenaires et intermédiaires, partout dans le monde, au respect des exigences de conformité du Groupe.

Un dispositif d’alerte des manquements au code éthique accessible à tous

OVHcloud a mis en place une plateforme d’alerte du nom de « ROGER », acronyme pour « Respect OVHcloud Guidelines & Ethical Rules », permettant de déclarer tout fait ou comportement jugé illégal, non éthique et/ou dangereux.

Dès sa création, la plateforme d’alerte du Groupe s’est voulue ouverte, respectueuse de la confidentialité et accessible à la fois aux parties prenantes internes (employés d’OVHcloud, collaborateurs extérieurs et occasionnels) et externes (fournisseurs, prestataires, etc.). 

Tout signalement est transmis aux référents désignés par l’instance dirigeante, lesquels observent un respect strict de la confidentialité des auteurs de signalement. Afin de protéger ces derniers, les signalements peuvent être effectués de manière anonyme. 

De plus, le dispositif permet aux signalants de s’adresser à des référents aux profils divers, présents physiquement sur trois sites du Groupe, en France et à l’international. La plateforme de signalement est disponible dans les trois langues les plus couramment parlées chez OVHcloud : le français, l’anglais et le polonais.

Développer et maintenir des relations éthiques et responsables avec les tiers

Le Groupe a mis en place un dispositif d’évaluation de l’intégrité de ses tiers afin de :

• se conformer aux dispositions légales de la loi Sapin 2 du 9 décembre 2016 ;
• tenir compte des enseignements tirés de la cartographie des risques de corruption et de trafic d’influence qui a été élaborée ;
• se prémunir des risques de sanctions internationales ;
• se prémunir de toute relation avec des tiers qui ne respecteraient pas les standards du Groupe.

Ces évaluations sont engagées par OVHcloud afin de s’assurer de l’intégrité de ses tiers tout en veillant à ce qu’aucune réglementation ne lui interdise l’entrée en relation. Ces évaluations sont menées en fonction des risques que pourrait représenter une relation, en fonction des caractéristiques de chaque tiers, sur la base de critères objectifs tels que le secteur d’activité, les pays impliqués, les aspects financiers, etc. Le Groupe conduit ses évaluations à des intervalles réguliers variant en fonction du degré de risque que représente chaque tiers, de façon à pouvoir intégrer toute modification éventuelle de leur profil. Par ailleurs, le Groupe demande systématiquement à ses tiers de lui communiquer toute modification qui pourrait intervenir au sein de leur organisation (changement de bénéficiaires effectifs, condamnation pénale, modification de la politique de conformité, etc). Cet engagement est retranscrit dans la politique relative à l’évaluation des tiers (due diligence) mentionnée plus haut.

Suivi, évaluation et évolution du Programme de conformité

Les équipes conformité adaptent continuellement le Programme de conformité aux réalités du Groupe notamment en faisant évoluer les éléments du Programme. Les différentes actions de suivi et d’évolution permettent la mise en place de plans d’action visant à renforcer l’efficacité du Programme.

Respect des règles de déontologie, de transparence et d’éthique dans les affaires

Au-delà de la corruption et du trafic d’influence, les équipes conformité du Groupe veillent au respect des règles générales de déontologie, de transparence et d’éthique dans les affaires.

• Une attention particulière a été portée ces dernières années au respect des obligations relatives aux sanctions internationales, embargos et réglementations de contrôle des exportations. Le Groupe a ainsi développé des mécanismes et des règles de contrôle tout en communiquant en interne sur les bonnes pratiques à suivre afin de prévenir ou d’alerter sur toute situation pouvant aller à l’encontre des réglementations auxquelles est soumis OVHcloud.
• Le respect des droits humains, corollaires de la politique d’OVHcloud en matière d’éthique, est mis en avant dans les documents adressés aux parties prenantes internes et externes. Les procédures d’évaluation des tiers sont également engagées en ce sens afin de prévenir et d’éviter tout comportement ou pratique qui serait contraire aux droits fondamentaux.
• Le Groupe est amené, dans des contextes variés, à entrer en contact avec des responsables publics et des autorités de rangs différents. Dans cette perspective, le Groupe s’emploie à la plus grande transparence dans ses interactions avec les pouvoirs publics, en France et en Europe particulièrement, et se conforme à ce titre à l’ensemble des lois et réglementations sur la représentation d’intérêts.

Des interactions avec les acteurs institutionnels transparentes et constructives 

OVHcloud, leader européen du cloud, est amené, dans des contextes variés, à entrer en contact avec des responsables publics, des administrations et des autorités de rangs différents. Le Groupe est particulièrement attentif aux législations et règlementations des pays dans lesquels il opère et souhaite pour cette raison maintenir un dialogue régulier avec les autorités(17)(18)(19). Ces interactions ont pour objectif de contribuer, de façon constructive, à une meilleure connaissance et compréhension du secteur dans lequel il exerce. Lorsque cela est pertinent, elles permettent de prendre part aux dialogues accompagnant l’élaboration des règlementations dans les pays dans lesquels il est implanté, afin d’apporter une expertise technique sur l’impact et la portée pratique des régulations en vigueur ou en projet. 

Les positions portées par OVHcloud ont pour but d’aider à la prise de décision publique des différents acteurs institutionnels, notamment les membres de gouvernements, les parlementaires, les administrations centrales et collectivités territoriales. Elles s’efforcent de refléter les enjeux de l’industrie au sein de laquelle le Groupe évolue tout en tenant compte de l’intérêt général. 

Dans cette perspective, le Groupe s’emploie à la plus grande transparence dans ses interactions avec les acteurs institutionnels, et se conforme à ce titre à l’ensemble des lois et réglementations sur la représentation d’intérêts des pays dans lesquels il exerce des activités en la matière. 

L’ensemble de ses interactions avec les acteurs institutionnels s’inscrit dans le respect des engagements de l’entreprise en matière d’éthique et de conformité et plus particulièrement de lutte contre la corruption active ou passive. À ce titre, OVHcloud demande à ses salariés de respecter la politique « cadeaux et invitations » (Politique Groupe cadeaux et invitations) du Groupe, de même que sa procédure relative à la prévention et à la gestion des conflits d’intérêts.

Enfin, OVHcloud s’interdit tout financement d’activités politiques, y compris dans les pays où ces financements sont autorisés et encadrés par la loi.

Alignement avec les objectifs de l’Accord de Paris sur le climat 

Les activités de lobbying d’OVHcloud sont menées conformément aux engagements stratégiques du Groupe, engagé notamment dans la démarche SBTi permettant de formaliser l’alignement de ses objectifs de réduction des émissions de gaz à effet de serre sur la trajectoire de l’Accord de Paris sur le climat.

3.3.3Favoriser l’ancrage local et l’engagement sociétal

Dans un contexte de digitalisation des métiers et des entreprises, OVHcloud porte une attention particulière à l’insertion par le numérique et à la nécessité d’embarquer le plus grand nombre dans cette transition. En tant que leader du cloud européen, le Groupe veille aussi à l’impact socio-économique de son activité sur les territoires.

3.3.3.1Favoriser l’insertion par le numérique

À l’ère de la transition numérique, la démocratisation des métiers de la tech est un enjeu sociétal. OVHcloud agit en faveur de l’insertion par le numérique avec deux axes d’attention :

• l’accessibilité de la tech aux femmes ;
• l’insertion professionnelle de populations en difficulté.

Le Groupe espère ainsi pouvoir contribuer au développement d’un vivier de talents sur tous les territoires.

Évoluant dans deux secteurs (industrie et numérique) au sein desquels les hommes sont surreprésentés, OVHcloud travaille au quotidien pour promouvoir leur féminisation. Ainsi, le Groupe intervient dans des écoles pour promouvoir les carrières de la tech auprès des jeunes femmes. Il accompagne également des associations telles que les DesCodeuses, Force Femmes et Femmes Ingénieures pour faciliter l’accès à la formation et l’emploi des femmes des quartiers prioritaires dans ce secteur. Le Groupe s’est, en outre, associé avec 50inTech (20), communauté en ligne de mise en relation de talents féminins avec les entreprises et de promotion de l’entrepreneuriat mené par des femmes. 50inTech met en avant OVHcloud en tant qu’entreprise inclusive pour les femmes, au regard des résultats obtenus à l’évaluation de son gender score, accompagne le Groupe dans sa démarche d’attirer des talents féminins et met en avant des femmes d’OVHcloud. Depuis 3 ans, le gender score d’OVHcloud n’a cessé de progresser passant de 63 en 2022 à 70 en 2024.

Le Groupe œuvre également pour l’insertion professionnelle par le numérique, notamment par des initiatives de formation et d’intégration de publics éloignés de l’emploi, grâce au mécénat de compétences ou au don de PC pour aider des personnes éloignées de l’emploi. OVHcloud est notamment intervenu à plusieurs reprises chez Ada Tech School dans le cadre de webinars et fait régulièrement des simulations d’entretiens pour aider ce public à réussir. OVHcloud a également initié un nouveau partenariat avec Z – Code pour l’emploi, afin d’aider des jeunes éloignés de l’emploi sur la région de Lille. Aux côtés de l’Agence nationale pour la formation professionnelle des adultes, OVHcloud forme et embauche des stagiaires par l’intermédiaire des Plombiers du numérique (21), projet d’insertion professionnelle de jeunes non qualifiés. OVHcloud a accueilli la première promotion dans son datacenter de Roubaix en 2020 et continue à former chaque année une vingtaine de personnes. Le Groupe est également partenaire de Rocket School, école gratuite qui recrute sur la personnalité (sans condition de diplôme) et forme aux métiers du commerce et du marketing digital depuis 2018 et dispose d’un bureau lillois depuis 2021. Dans le cadre de ce partenariat, OVHcloud accueille des alternants qui, à terme, peuvent être embauchés. Dans la continuité, et en collaboration avec la région académique des Hauts-de-France, le Groupe prend part à des webinars et workshops destinés au corps enseignant, dans le but de mieux représenter les filières du numérique et d’en faciliter l’accès.
Enfin, sur la question de l’intégration des personnes en situation de handicap, OVHcloud collabore avec des associations, parmi lesquelles l’ARRE (Association Ressource pour la Réussite Éducative), le Mouton à 5 pattes, qui œuvre pour l’insertion professionnelle des personnes en situation d’autisme et Compéthance, entreprise adaptée de services numériques.

3.3.3.2Ancrage dans les territoires & impact socio-économique

Créé à Roubaix en 1999, OVHcloud s’est rapidement internationalisé et a développé une empreinte mondiale avec, aujourd’hui, 43 datacenters répartis dans 9 pays. L’expansion géographique est un des piliers centraux de la stratégie de croissance du Groupe.

La stratégie d’implantation d’OVHcloud est multilocale. Elle adapte les méthodes du Groupe aux cultures locales dont elle respecte les pratiques.

De plus, le Groupe attache une grande importance au fait de favoriser les entreprises locales pour l’accompagner dans ses lieux d’implantation et, partant, d’avoir un impact sur le tissu économique local.

Plus largement, OVHcloud s’engage à avoir un impact positif dans les territoires où il est implanté et en lien avec les parties prenantes.

Le Groupe, du fait de sa politique fiscale, contribue au développement des territoires sur lesquels il est implanté. La politique fiscale d’OVHcloud prévoit que le Groupe s’engage à appliquer les lois, réglementations et conventions fiscales en vigueur dans tous les pays dans lesquels il exerce ses activités. Les valeurs et principes éthiques du Groupe ainsi que ses exigences en matière de responsabilité sociétale l’amènent à :

• conduire ses opérations en conformité avec leur réalité économique ;
• refuser toute planification fiscale agressive ainsi que l’utilisation de structures artificielles localisées dans des « paradis fiscaux » ;
• coopérer avec les administrations fiscales locales à l’occasion de contrôles fiscaux.

Aucune des opérations réalisées par le groupe OVHcloud n’a pour objectif d’éluder le paiement de l’impôt. Le Groupe est en train de compiler l’ensemble de ces actions et dispositions en une politique fiscale formalisée.

L’exemple roubaisien démontre la volonté du Groupe d’avoir des impacts positifs sur les territoires et les communautés locales. En effet, fidèle à ses origines, le Groupe n’a jamais quitté Roubaix. OVHcloud y avait acquis, en 2004, une friche industrielle, qui est devenue son siège social. La région Hauts-de-France est également le premier territoire à avoir hébergé des datacenters OVHcloud.

Enfin, en vue de renforcer l’engagement sociétal, un projet de partenariat de soutien à la Garde Nationale est en cours.

3.4Application de la taxonomie européenne aux activités du Groupe

Classification des activités selon le cadre réglementaire européen permettant de définir des activités économiques durables sur le plan environnemental (taxonomie verte)

Contexte général

Le règlement taxonomie constitue un élément clé du plan d’action de la Commission européenne qui vise à réorienter les flux de capitaux vers une économie plus durable. En effet, il représente une étape importante vers l’atteinte de la neutralité carbone d’ici 2050, conformément aux objectifs de l’UE, car la taxonomie est un système de classification des activités économiques durables sur le plan environnemental.

Dans la section ci-après, il est présenté, en tant que société mère non financière, la part du revenu, des dépenses d’investissement (capex) et des charges d’exploitation (opex) du Groupe, pour l’exercice fiscal 2024, associée à des activités économiques éligibles à la taxonomie, conformément à l’article 8 du règlement taxonomie et à l’article 10 (2) de l’Acte délégué complétant l’article 8 du règlement taxonomie.

Au titre de l’exercice 2024, OVHcloud est tenu de publier l’alignement du Groupe au titre des deux objectifs climatiques et uniquement la part éligible des activités relevant des objectifs d’utilisation durable et la protection des ressources aquatiques et marines (« WTR »), de transition vers une économie circulaire (« CE »), de prévention et la réduction de la pollution (« PPC ») et de la protection et la restauration de la biodiversité et des écosystèmes (« BIO »).

OVHcloud a analysé les critères techniques des activités présentées ci-dessous selon le règlement (UE) 2021/2139 modifié par le règlement (UE) 2023/2485 et a tenu compte des différentes interprétations et foires aux questions (FAQ) publiées par la Commission européenne, notamment celles du 19 décembre 2022.

Synthèse des indicateurs de la taxonomie européenne

Sur la base des analyses menées, une part importante des activités du Groupe est éligible à la taxonomie au titre de l’activité 8.1. Traitement de données, hébergement et activités connexes décrite dans l’Annexe I de l’Acte délégué relative à l’objectif d’atténuation du changement climatique (« CCM ») ainsi qu’au titre de l’activité CE 5.5. Produit en tant que services axés sur l’utilisation circulaire et les résultats.

Les parts éligibles et alignées au titre de l’activité CCM 8.1 Traitement de données, hébergement et activités connexes pour les trois indicateurs financiers requis par le texte ‒ le chiffre d’affaires, les capex et les opex ‒ sont présentées ci-dessous sur la base des données consolidées IFRS de l’exercice clos le 31 août 2024.

Tableau 1 – Part des activités économiques éligibles et non éligibles à la taxonomie dans le chiffre d’affaires, les capex et les opex du Groupe

La part de chiffre d’affaires éligible au titre des activités de datacenters (CCM 8.1) du Groupe augmente d’un point par rapport à l’exercice précédent alors que celles des capex et opex diminue respectivement de 16 et 19 points. Cette diminution résulte de la volonté d’amélioration continue d’OVHcloud d’affiner la granularité d’analyse des informations liées aux capex et opex.

Cela se traduit notamment par un alignement à la hausse sur le chiffre d’affaires et les capex, les datacenters alignés pour l’exercice 2024 restant les mêmes que ceux de l’exercice précédent.

Détermination des activités économiques d’OVHcloud éligibles à la taxonomie européenne

Par « activité économique éligible à la taxonomie », il est entendu toute activité économique décrite dans les actes délégués complétant le règlement taxonomie, qu’elle remplisse ou non une partie ou l’ensemble des critères d’examen technique énoncés dans ces actes délégués.

Afin de réaliser l’analyse, le Groupe a pris en considération l’ensemble des actes délégués décrivant les activités taxonomie, à savoir :

• l’acte délégué « Climat » (UE 2021/2039) publié en avril 2021 précisant les critères techniques environnementaux pour les deux premiers objectifs climatiques ; et
• l’acte délégué « Environnement » (UE 2023/2486) publié en juin 2023 explicitant les activités économiques portant sur les quatre autres objectifs environnementaux.

Les activités économiques éligibles du Groupe ont été analysées sur la base des offres de services d’OVHcloud (telles que détaillées en chapitre 1 du présent document d’enregistrement universel) et elles ont été assignées aux activités économiques suivantes, conformément aux six objectifs environnementaux de la taxonomie.

À l’instar de l’exercice 2023, une part importante des activités du Groupe est considérée comme éligible à l’activité 8.1 Traitement de données, hébergement et activités connexes de l’objectif d’atténuation du changement climatique. En effet, les offres basées principalement sur des services de mise à disposition de capacité de stockage (« hébergement ») répondent à la description de cette activité. Les offres ainsi considérées comme éligibles sont les suivantes :

• les offres de cloud privé (Bare Metal Cloud et Hosted Private Cloud) dans leur intégralité, celles-ci correspondant à des offres de mise à disposition soit de serveurs physiques dédiés, soit de capacités de cloud fonctionnant sur des serveurs physiques dédiés (se référer à la section 1.3.1.1 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le Groupe) ;
• les offres de cloud public dans leur intégralité, (se référer à la section 1.3.1.2 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le Groupe). Les solutions PaaS et SaaS proposées par OVHcloud et directement hébergées sur les infrastructures du Groupe sont jugées éligibles dans la mesure où OVHcloud a le contrôle sur les équipements physiques et peut agir sur leur efficacité énergétique ;
• les offres de « Web cloud et autres » uniquement pour la partie « Web hosting » et « Services », correspondant à l’hébergement des sites web clients sur les serveurs physiques du Groupe et à l’assistance nécessaire au bon fonctionnement des équipements et au respect des engagements du Groupe dans le cadre de l’ensemble de ses offres (se référer à la section 1.3.1.3 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le Groupe). Les offres ou solutions relatives aux noms de domaine, à la téléphonie et connectivité ne sont pas jugées éligibles à date car non directement liées aux serveurs physiques.

De manière générale, toutes les solutions proposées par OVHcloud directement hébergées sur des serveurs physiques appartenant au Groupe ou étant contrôlés directement par le Groupe, ont été jugées éligibles à la taxonomie européenne au titre de l’activité 8.1 de l’objectif d’atténuation du changement climatique.

Sous l’angle de l’objectif d’adaptation au changement climatique (« CCA »), l’activité CCA 8.1 Traitement de données, hébergement et activités connexes n’est pas qualifiée d’activité habilitante par l’Annexe II de l’acte délégué Climat. Pour cette raison, OVHcloud ne peut considérer le chiffre d’affaires relatifs à cette activité comme éligible en raison de la FAQ Éligibilité du 2 février 2022.

En analysant les activités au titre de l’objectif de transition vers une économie circulaire, le Groupe a identifié l’activité CE 5.5 Produits en tant que services et autres modèles de services circulaires axés sur l’utilisation et les résultats consistant à fournir à des clients un accès aux produits au moyen de modèles de services. OVHcloud met à disposition de ses clients un accès à des serveurs informatiques, que ces derniers peuvent utiliser. Les offres éligibles à l’activité CCM 8.1 sont donc aussi éligibles à cette activité CE 5.5.

De plus, OVHcloud conçoit et fabrique ses propres serveurs sur ses deux sites de Croix (France) et Beauharnois (Canada) pour son utilisation propre, tel que décrit dans la section 3.2.1.1 de ce document d’enregistrement universel. Le Groupe a donc considéré l’activité CE 1.2 Fabrication d’équipements électriques et électroniques dans l’analyse d’éligibilité. Cependant, s’agissant de la fabrication des serveurs que le Groupe utilise uniquement pour ses offres, les capex relatifs à l’activité de fabrication sont pris en compte et éligibles au titre de l’activité CE 5.5 Produits en tant que services et autres modèles de services circulaires axés sur l’utilisation et les résultats.

Enfin, OVHcloud n’a identifié aucune activité éligible liée aux objectifs d’utilisation durable de l’eau et des ressources marines, de prévention et réduction de la pollution ou à la prévention et restauration de la biodiversité des écosystèmes.

Le tableau ci-dessous résume pour quel objectif environnemental les activités sont considérées comme éligibles :

Détermination des activités économiques d’OVHcloud alignées à la taxonomie européenne

À la différence de l’éligibilité uniquement basée sur la description des activités, l’alignement prend en compte les critères de contribution substantielle, le fait de « ne pas causer de préjudice important » et les garanties sociales minimales. Pour l’exercice clôturé au 31 août 2024, l’analyse d’alignement porte uniquement sur les deux premiers objectifs climatiques en application du règlement taxonomie.

Concernant l’activité 8.1 Traitement de données, hébergement et activités connexes, le Groupe a analysé son alignement au regard de l’objectif 1 ‒ Atténuation du changement climatique (« CCA ») et de l’objectif 2 – Adaptation au changement climatique (« CCM »).

Critères de contribution substantielle

Le Groupe a réalisé l’analyse suivante des trois critères cumulatifs de contribution substantielle pour l’activité 8.1 Traitement de données, hébergement et activités connexes au titre de l’objectif d’atténuation :

Ne pas causer de préjudices importants (« DNSH »)

Afin de valider l’alignement de ses datacenters à l’activité 8.1 de l’objectif d’atténuation du changement climatique, OVHcloud s’est ensuite assuré du respect des critères de DNSH pour l’ensemble de ses datacenters respectant les critères de contribution substantielle (cf. détails supra) :

Garanties minimales applicables à toutes les activités éligibles à la taxonomie du Groupe

OVHcloud s’est finalement assuré du respect des garanties minimales. Le Groupe dispose d’un ensemble de politiques et de processus en place permettant de garantir les exigences du règlement taxonomie concernant les sujets de :

• droits humains et droit du travail (cf. 3.3.1 « Attirer et faire grandir les talents dans une aventure collective au sein d’une entreprise diverse et inclusive », 3.3.2.2 « Collaborer avec les fournisseurs dans une démarche d’achats responsables » et 3.3.2.3 « Éthique et conduite des affaires ») ;
• concurrence (cf. 3.3.2.3 « Éthique et conduite des affaires ») ;
• corruption (cf. 3.3.2.2 « Collaborer avec les fournisseurs dans une démarche d’achats responsables » et 3.3.2.3 « Éthique et conduite des affaires ») ;
• fiscalité (cf. 2.1.2.4 « Risques financiers », 3.3.3.2 « Ancrage dans les territoires & impact socio-économique ») ;

Le Groupe a mis en place des procédures d’identification, analyse, suivi, évaluation et évolution sur l’ensemble des piliers.

Le Groupe demande à ses fournisseurs de signer le Code de conduite fournisseurs qui stipule, entre autres, l’exigence du respect des droits de l’homme et notamment les principes énoncés dans la Déclaration universelle des droits de l’homme. Le Groupe poursuit l’analyse de droits humains sur l’ensemble de sa chaîne de valeur.

OVHcloud se conforme aux dispositions légales de la loi Sapin 2 du 9 décembre 2016.

Enfin, le Groupe n’a fait l’objet d’aucune condamnation matérielle en rapport avec les différentes dimensions des garanties minimales.

Méthodologie d’évaluation des indicateurs de la taxonomie européenne

Le périmètre considéré pour l’estimation des trois indicateurs est le périmètre consolidé Groupe, tel que défini à la note 5.5. des états financiers consolidés 2024, présenté au chapitre 5 du présent document d’enregistrement universel.

Chiffre d’affaires éligible et aligné

La part d’activités économiques éligibles à la taxonomie dans le chiffre d’affaires consolidé d’OVHcloud a été obtenue en divisant la part du chiffre d’affaires générée par la vente de services associés à des activités économiques éligibles à la taxonomie (numérateur) par le chiffre d’affaires net (dénominateur), dans chaque cas pour l’exercice s’étendant du 1er septembre 2023 au 31 août 2024.

Dénominateur

Le dénominateur de l’indicateur chiffre d’affaires est basé sur le chiffre d’affaires consolidé d’OVHcloud, conformément à IAS 1.82 (a) (se référer à la note 4.3. des états financiers consolidés annuels 2024 présentés au chapitre 5 du présent document d’enregistrement universel).

Numérateur

Le numérateur de l’indicateur est défini comme la part du chiffre d’affaires net générée par des services associés aux activités économiques éligibles à la taxonomie, telles que décrites ci-dessus dans la partie Détermination des activités économiques d’OVHcloud éligibles à la taxonomie de la présente section. Cette part a été estimée sur la base des reportings de gestion d’OVHcloud intégrant le niveau de détail nécessaire en lecture directe.

Le chiffre d’affaires aligné correspond au chiffre d’affaires généré par les datacenters ayant été audités par le tiers indépendant et ayant été certifiés conformes au respect du Code de conduite. Sur la base du chiffre d’affaires de ces datacenters, le Groupe a appliqué la clé de répartition telle que décrite dans le paragraphe précédent « Critères de contribution substantielle » afin de ne conserver que le chiffre d’affaires relatif à la part des serveurs refroidis par eau.

Au 31 août 2024, la part du chiffre d’affaires éligible et aligné s’élève respectivement à 89 % et 66 % tel que présentés dans le tableau ci-dessous :

Pour les activités identifiées sous l’angle de plusieurs objectifs environnementaux au titre de la taxonomie, la répartition est la suivante :