La position d’OVHcloud en tant que premier fournisseur européen de cloud remonte à sa fondation en 1999 en tant que société d’hébergement Internet en France. Au cours des vingt dernières années, OVHcloud s’est considérablement développé, d’abord en développant son infrastructure et en accroissant sa présence en Europe, puis en diversifiant ses offres de cloud et en étendant ses activités à l’échelle mondiale.

Le cloud computing consiste à fournir aux utilisateurs des ressources de stockage, de calcul et de réseau, à la demande. Les ressources du cloud sont situées dans des datacenters qui abritent des serveurs et des équipements utilisés pour traiter, stocker et transmettre des données. Les utilisateurs de services de cloud computing peuvent accéder aux données stockées et donner des instructions aux unités de traitement pour qu’elles exécutent des fonctions de calcul automatiquement, sans avoir besoin d’une interaction humaine, ce qui réduit au minimum les capacités de calcul et de stockage nécessaires sur leurs appareils (tels que les ordinateurs personnels, les tablettes et les téléphones mobiles). Où qu’ils se trouvent, tant qu’ils disposent d’une connexion Internet, les utilisateurs peuvent accéder aux services informatiques par le biais du cloud. 

Les entreprises peuvent créer et exploiter leurs propres datacenters en faisant appel à du personnel informatique interne, ou elles peuvent externaliser tout ou partie des fonctions à des fournisseurs de services de cloud computing tels qu’OVHcloud. Pour de nombreuses entreprises, le temps et l’investissement financier requis rendent le cloud computing propriétaire moins attrayant que l’externalisation, qui implique de ne payer que pour les ressources qu’elles utilisent réellement. En outre, il peut être difficile pour les entreprises qui ne sont pas spécialisées dans les services informatiques d’innover aux niveaux requis afin de garantir que leur infrastructure de cloud computing leur offre des services et des protections adéquats, tels que la sécurité des données. Les systèmes informatiques internes peuvent également ne pas être suffisamment évolutifs pour répondre aux demandes de charge de pointe (à moins que les entreprises ne maintiennent une capacité excédentaire coûteuse). 

Les serveurs maintenus dans les datacenters peuvent être utilisés pour de multiples fonctions, chacune d’entre elles étant accessible par une « machine virtuelle » créée sur le serveur. Les machines virtuelles sont exploitées et séparées les unes des autres par une plateforme logicielle appelée « couche de virtualisation ». Chaque machine virtuelle peut avoir son propre système d’exploitation qui permet aux utilisateurs de développer et d’exécuter des applications. Grâce à une fonction appelée « hyperviseur », la capacité du serveur est allouée aux machines virtuelles en fonction des demandes des utilisateurs. Plus récemment, des applications logicielles ont été écrites pour être regroupées dans des « conteneurs » qui s’exécutent directement sur le système d’exploitation du serveur lui‐même, coordonnés par des plateformes connues sous le nom de systèmes d’« orchestration », qui prennent généralement moins de place et peuvent offrir de meilleures performances que les piles de virtualisation basées sur un hyperviseur.  

La possibilité de créer plusieurs machines virtuelles dans chaque serveur ou de déployer des systèmes basés sur des conteneurs permet à un fournisseur de services cloud de répartir sa capacité entre plusieurs groupes d’utilisateurs ou clients de manière sécurisée. Les fournisseurs de services peuvent dédier un serveur à un seul client (un système de « cloud privé »), en répartissant la capacité du serveur entre les groupes d’utilisateurs autorisés par le client. Un serveur peut également être partagé entre plusieurs clients (un système de « cloud public »). Les clients du cloud privé paient généralement des frais mensuels pour une capacité dédiée, qu’ils utilisent ou non cette capacité. Les clients du cloud public paient généralement pour la capacité qu’ils utilisent réellement. 

Afin d’optimiser le coût des services cloud, de nombreuses entreprises déploient des stratégies de « cloud hybride », dans lesquelles elles combinent une capacité de cloud privé sur site ou externalisé, pour leurs fonctions et données les plus sensibles, avec une capacité de cloud public pour leurs besoins moins sensibles. Les clients déploient également des stratégies « multi‐cloud », en achetant des services de cloud auprès de plusieurs fournisseurs. Pour répondre à la demande croissante de services de cloud hybride et multi‐cloud, un fournisseur de cloud doit proposer des packages qui permettent aux différentes solutions de fonctionner comme un tout intégré. 

Le cloud computing englobe une gamme de services comprenant la fourniture d’un accès à l’infrastructure (Infrastructure-as-a-Service ou « IaaS »), la sélection et l’exploitation de plateformes telles que des systèmes d’exploitation, des piles de virtualisation et des systèmes de sécurité (Platform-as-a-Service ou « PaaS »), et l’offre d’applications développées et pouvant fonctionner sur des plateformes cloud (Software-as-a-Service ou « SaaS »). Le graphique suivant illustre ces caractéristiques :

Le marché des solutions cloud comprend également des services Web destinés principalement aux particuliers et aux petites et moyennes entreprises. Le marché du cloud web comprend essentiellement l’hébergement de sites web et de domaines, y compris la location de serveurs pour les sites web, la vente de services secondaires (tels que des progiciels) et les services d’enregistrement, de renouvellement et de transfert de noms de domaine.

OVHcloud propose deux offres principales de cloud privé : le Bare Metal Cloud et le Hosted Private Cloud.

Le service de Bare Metal Cloud d’OVHcloud fournit des serveurs physiques dédiés aux clients, qui ont un contrôle total sur le serveur, y compris le choix du système d’exploitation. Le Bare Metal Cloud leur permet d’avoir une expérience similaire à celle qu’ils auraient avec des solutions sur site gérées par leurs équipes internes, tout en profitant des avantages offerts par l’externalisation. 

L’offre principale de Bare Metal Cloud d’OVHcloud commercialise des serveurs haut de gamme et des offres de services de moyen à haut niveau. OVHcloud dispose également d’une offre à prix modeste commercialisée sous la gamme « Eco » utilisant des serveurs rénovés qui fournissent des services de qualité à un coût réduit, tout en améliorant l’efficacité environnementale. 

Les services de Bare Metal Cloud offrent aux entreprises clientes une puissance informatique de haut niveau et des accords de niveau de service stricts, dans un environnement sécurisé adapté aux applications sensibles. Le serveur peut être personnalisé pour répondre aux besoins du client, et peut être exploité sans qu’il soit nécessaire d’allouer la capacité du serveur à des machines virtuelles par le biais d’un hyperviseur, ce qui permet au client d’utiliser la pleine capacité du serveur. Toute capacité inutilisée peut être déployée en quelques minutes, bien que la capacité totale soit limitée par celle du serveur dédié. 

Les clients du Bare Metal Cloud paient des frais mensuels qui dépendent des niveaux de performance qu’ils sélectionnent. Ils peuvent également choisir des options (telles que la personnalisation du serveur ou la sauvegarde des données) moyennant des frais supplémentaires. 

Les principaux usages des services Bare Metal Cloud comprennent le calcul de données complexes, les opérations à faible latence, le streaming, les jeux en ligne, les applications d’entreprise critiques telles que les ERP et CRM. 

OVHcloud propose des services de Hosted Private Cloud à ses clients professionnels, fournissant des serveurs entièrement gérés par OVHcloud, y compris le système d’exploitation et la couche de virtualisation, en partenariat avec les offres de VMware ou Nutanix. 

 1. VM : Machine Virtuelle.

Au sein de son service de Hosted Private Cloud, OVHcloud propose deux offres principales : (i) Essential et (ii) Premier.

• ▶Essential permet aux clients de bénéficier de serveurs dédiés et virtualisés, entièrement gérés par OVHcloud, avec un niveau de service de 99,9 %. Les clients d’Essential sont principalement des entreprises de taille moyenne. 
• ▶Premier fournit des serveurs virtualisés dédiés haut de gamme, et inclut la gestion du stockage virtuel et des sauvegardes ainsi qu’un support 24/7, avec un niveau de service de 99,9 %. Les serveurs sont certifiés pour héberger des informations provenant de clients de divers secteurs sensibles, notamment la santé en France (certification HDS), en Allemagne, en Italie, au Royaume‐Uni et en Pologne, et la finance, y compris les paiements par carte de crédit (certification PCI DSS). Les clients Premier sont principalement les grandes entreprises et le secteur public qui cherchent à passer à un fournisseur de services cloud.

Les services de Hosted Private Cloud d’OVHcloud fournissent aux clients un accès privé à des serveurs, à niveaux élevés de performance, qui peuvent être personnalisés pour répondre aux exigences spécifiques du client. Ils répondent aux besoins des clients qui recherchent l’isolement et la sécurité, des ressources évolutives et la résilience.

Les principaux usages des services de Hosted Private Cloud comprennent le déploiement dans le cadre de stratégies de cloud hybride, l’encodage de médias, l’analyse de big data, la reprise après sinistre, ainsi que le stockage et le traitement de données sensibles dans des secteurs clés tels que la santé, la finance et le secteur public.

OVHcloud propose des solutions de cloud public basées sur des technologies open source telles qu'OpenStack (une plateforme qui permet de déployer des ressources de traitement, de stockage et de mise en réseau) et Kubernetes (une plateforme d’orchestration de conteneurs, devenue un standard de marché). L’utilisation de ces plateformes standard offre aux clients une capacité de transfert de données facile et un accès volontairement transparent au code source, facilitant la réversibilité et éliminant le « verrouillage par le fournisseur ». Cette caractéristique de l’offre OVHcloud est particulièrement attrayante pour les clients qui cherchent à déployer des stratégies de multi‐cloud. 

Les solutions de cloud public offrent aux utilisateurs une capacité de calcul pratiquement illimitée, la seule contrainte étant la capacité totale installée du fournisseur de cloud. Il est possible de déployer de nouvelles instances de cloud public automatiquement et en quelques secondes. Comme le service de cloud public est basé sur des serveurs partagés, les options de personnalisation sont définies par OVHcloud. Les niveaux de service sont élevés étant donné la flexibilité de l’architecture matérielle. 

Les clients du cloud public paient des frais d’utilisation pour la capacité qu’ils utilisent réellement. Le modèle d’OVHcloud offre beaucoup plus de prévisibilité que les modèles utilisés par les hyperscalers et de nombreux autres concurrents. En particulier, contrairement aux hyperscalers, OVHcloud ne facture pas de frais supplémentaires pour les transferts de données sortants ou les appels API, sauf pour les stockages block et archive, et pour les services localisés en Asie‐Pacifique. 

L’offre de cloud public du Groupe fournit trois services de cloud computing de base : la performance informatique (le compute), le stockage et les capacités réseau. 

Les clients des solutions de cloud public OVHcloud peuvent choisir des services de cloud public entièrement évolutifs sur des machines virtuelles qui sont hébergées sur des serveurs et des réseaux partagés. 

Le service de cloud public d’OVHcloud est intéressant pour les clients qui recherchent des ressources hautement évolutives, avec des demandes de gestion de pics importants sur plusieurs sites d’accès, et un degré élevé de résilience. Ce service est utilisé pour les applications à forte demande et les services qui utilisent de grands volumes de données, comme le streaming vidéo et musical. 

Les clients du cloud public d’OVHcloud peuvent également choisir parmi un certain nombre de logiciels à la demande (SaaS) fonctionnant sur les serveurs du cloud public d’OVHcloud. En particulier, OVHcloud propose à ses clients des accès aux solutions de messagerie et de calendrier Microsoft Exchange, aux solutions de stockage et de gestion des données SharePoint et à la suite logicielle professionnelle Office365.

1. VM : Machine Virtuelle.

OVHcloud offre également une option de serveur privé virtuel, fournissant des capacités informatiques situées sur des serveurs partagés, mais avec des machines virtuelles isolées par l’utilisation de réseaux privés virtuels.  

L’option de serveur privé virtuel est intéressante pour les clients qui recherchent des ressources sur mesure, en particulier pour les opérations de courte durée avec des charges de travail et une demande de serveur volatiles. Les solutions de serveurs privés virtuels sont principalement utilisées pour les tests d’applications et autres projets ponctuels, la gestion des pics de charge de courte durée et les fonctions de sauvegarde. 

 1. VM : Machine Virtuelle.

Dans le cadre de sa stratégie de croissance, OVHcloud est en train de développer et de mettre en œuvre une offre PaaS complète, superposée aux produits IaaS de cloud privé et de cloud public. En plus de développer des produits en interne, OVHcloud a annoncé plusieurs partenariats et acquisitions, dans le but d’accélérer son plan de développement, ce qui lui permet de proposer plus de 80 solutions IaaS et PaaS à ses clients à la fin de l’exercice 2023, principalement dans les domaines suivants :

• ▶Storage. OVHcloud propose aujourd’hui à ses clients un portefeuille complet d’offres de stockage telles qu’Object Storage S3 (High Performance et Standard), Block Storage, File Storage, Snapshot & Backup et Archive ; 
• ▶Database‐as‐a‐Service. Les logiciels de gestion des données permettent aux utilisateurs de gérer leurs bases de données afin de permettre les requêtes et les mises à jour. Ils comprennent des programmes qui exécutent des requêtes sur les données et fournissent une représentation visuelle des données dans des formats tels que les feuilles de calcul, permettant aux utilisateurs de construire des applications plus rapidement et d’automatiser la gestion des bases de données. OVHcloud a annoncé un partenariat en avril 2021 avec MongoDB, et en juillet 2021 avec Aiven pour rendre disponibles plusieurs types de base de données sur l’infrastructure d’OVHcloud ;
• ▶AI, Machine Learning & Analytics. Les solutions d’intelligence artificielle et d’analytique comprennent des outils et des services soutenant l’analyse et la présentation des données. OVHcloud est particulièrement avancé dans les solutions de calcul haute performance pour l’intelligence artificielle et le machine learning, et entend poursuivre son développement dans ce domaine. En avril 2022, OVHcloud a annoncé l’acquisition de ForePaaS, une société spécialisée dans le domaine de l’analytics. Tout au long de l’année 2023, OVHcloud a renforcé son offre de produits liés à l’intelligence artificielle, comme AI Notebook, AI Deploy, AI Training, AI App Builder ou encore AI Endpoint ;
• ▶Security & Encryption. OVHcloud élargit son offre de solutions de gestion de l’accès aux identités et de chiffrement, y compris le chiffrement de bout en bout qui sécurise les données des clients dans tous les états. En juillet 2021, OVHcloud a annoncé l’acquisition de BuyDRM, une société américaine spécialisée dans ce domaine ; 
• ▶Application platforms. Les plateformes d’applications sont des solutions logicielles de serveur back‐end fournissant aux développeurs un environnement d’exécution et de développement.

OVHcloud propose des services de Web cloud depuis sa création en 1999. Avec sa position de leader sur le marché français et de fortes positions ailleurs en Europe, l’offre Web cloud assure une base de revenus stable et récurrente et une croissance régulière.  

OVHcloud offre trois solutions principales aux clients du Web cloud :

• ▶Web hosting et noms de domaine. Cela comprend la location de capacité d'hébergement sur des serveurs, permettant aux clients de connecter leurs sites web à Internet, ainsi que l’enregistrement, le renouvellement et le transfert de noms de domaine. Les clients peuvent choisir des forfaits de base offrant un ou quelques sites Web seulement, ou des forfaits destinés aux professionnels et aux développeurs qui souhaitent héberger plusieurs sites web, ainsi que des adresses électroniques et des options de stockage. OVHcloud propose à ses clients des services supplémentaires, tels que les certificats SSL (Secure Socket Layer), qui permettent des connexions sécurisées entre un serveur Web et un navigateur ; 
• ▶Téléphonie et connectivité. Les clients peuvent acheter des systèmes de VoIP (Voice over IP) leur permettant des utilisations telles que les standards téléphoniques et les systèmes de réponse vocale interactive. OVHcloud offre également à ses clients un accès à Internet via les réseaux ADSL et fibre optique, avec des forfaits de base et professionnels ;
• ▶Support et services. OVHcloud propose à ses clients des niveaux supplémentaires de support et de services, qui regroupent un ensemble de soutions d’assistance, d’expertises et de services en ligne. Les offres de support peuvent être Business, qui correspond au niveau adapté aux environnements de production ou Enterprise, qui propose une expérience grand compte pour les environnements de production critique. Les services additionnels sont proposés dans l’offre de Professional Services, qui donne accès à du support technique et des conseils lors de projets de migration d’infrastructure ou de modification d’architecture IT.

Les principaux clients d’OVHcloud dans le segment du Web cloud sont les petites et moyennes entreprises, ainsi que certains particuliers et entrepreneurs. Les clients du Web cloud sont généralement à la recherche de services web et de communication sécurisés et fiables, pour établir leur présence sur le web, et pour numériser les fonctions de l’entreprise.

OVHcloud poursuit une stratégie de croissance adaptée à ses trois principaux segments de clientèle : (i) les sociétés de technologie et de logiciels, (ii) les grandes entreprises, les PME et les entités publiques, ainsi que (iii) les White‐Labellers, les revendeurs et les particuliers. 

Ce segment de clientèle est historiquement favorable pour OVHcloud. Afin d’étendre sa croissance sur ce segment, OVHcloud a mis en place une stratégie de marketing numérique renforcée, comprenant une amélioration de l’expérience client sur les sites Internet du Groupe avec une interface centrée sur le client, axée sur l’usage et les produits, un programme de gestion de la relation prospect, un support en ligne tel que des chatbots et des formations telles que des webinaires ou des documentations techniques. 

Afin de continuer à enrichir cet écosystème, OVHcloud développe plusieurs programmes :

• ▶le Start‐up program aide les start‐up à grandir et à se développer en leur fournissant crédits technologiques, ressources, formations et conseils. Ce programme est particulièrement utile pour les start‐up encore au stade de la formation d’idées. Le programme de 12 mois peut permettre d’utiliser des crédits technologiques jusqu’à 10 000 euros et de bénéficier de plusieurs heures d’accompagnement technique. Depuis 2015, plus de 1 800 start‐up et scale‐up du monde entier ont rejoint le programme et l’écosystème ; 
• ▶la Market Place regroupe des entreprises de technologies et de logiciels innovantes et de confiance pour faire partie d’une place de marché SaaS (Software‐as‐a‐Service) hébergée par OVHcloud.

OVHcloud met en œuvre une stratégie en trois parties pour réaliser une croissance avec les grandes sociétés, les PME, les entreprises de toutes tailles, ainsi que les entités publiques. Dans le cadre de cette stratégie, OVHcloud répond aux besoins de ces clients en matière de transformation et de soutien lorsqu’ils envisagent de migrer vers le cloud. 

• ▶OVHcloud tire parti de sa position de fournisseur européen de « cloud de confiance », répondant aux besoins de sécurité et de souveraineté des données des entreprises européennes et des entités du secteur public qui traitent des données hautement sensibles ou stratégiques. OVHcloud n’utilise pas et ne vend pas les données de ses clients, qui sont stockées dans les datacenters choisis par ses clients. Elle offre le plus haut niveau de sécurité avec de nombreuses certifications reconnues, dont la qualification SecNumCloud délivrée par l’Agence nationale de la cybersécurité (ANSSI), attestant du plus haut niveau de sécurité informatique en Europe pour l’hébergement de données sensibles et stratégiques dans le cloud. OVHcloud a également lancé la solution Trusted Zone Sovereign, conçue pour répondre aux plus hauts standards de sécurité des opérateurs du secteur public et des services critiques. Elle est également l’un des membres fondateurs de l’initiative GAIA‐X pour aider à promouvoir un cloud souverain européen. OVHcloud améliore en permanence ses offres en investissant dans des solutions de sécurité et de cryptage.
• ▶OVHcloud renforce ses canaux de commercialisation afin d’améliorer sa position auprès des grandes entreprises et des entités publiques. Dans le cadre de cette stratégie, OVHcloud a consolidé ses relations avec son réseau de près de 1 000 partenaires informatiques, renforçant sa position auprès de grands intégrateurs de systèmes comme Accenture, Capgemini, Sopra Steria et Deloitte et d’intégrateurs de systèmes spécialisés tels que Neurones IT, fournissant à OVHcloud une plateforme solide pour capturer une part plus large des dépenses informatiques de leur clientèle d’entreprises. Dans le même temps, OVHcloud a considérablement augmenté sa force de vente directe qui répond aux besoins de ses grandes entreprises clientes, tout en fournissant un support et des services améliorés pour accompagner les entreprises clientes dans leurs projets de migration vers le cloud. 
• ▶OVHcloud a développé des offres spécifiques pour les petites et moyennes entreprises. Pour ce segment, OVHcloud s’appuie sur ses solides relations avec les conseillers informatiques et les agences web, tout en offrant une flexibilité maximale grâce à un canal de libre‐service automatisé qui peut être utilisé par les clients directement ou par l’intermédiaire de leurs conseillers informatiques. OVHcloud améliore également son offre de support multilocal et multilingue pour les petites entreprises.

OVHcloud connaît depuis longtemps un succès commercial par le biais d’agences web qui revendent les solutions OVHcloud, parfois sous leur propre marque. Pour les particuliers notamment, un travail significatif a été entrepris depuis plusieurs années pour proposer un canal digital de vente optimisé, des offres de produits nouvelles et améliorées, ainsi qu’un support amélioré. Cette amélioration est constante, afin de favoriser l’acquisition de nouveaux clients mais aussi les opportunités de cross‐selling aux clients existants. OVHcloud développe également une offre Datacenter‐as‐a‐Service (DCaaS) pour les entreprises afin de leur fournir de la haute performance et la souveraineté des données pour leurs ressources « sur site ».

OVHcloud est le leader européen sur le marché des services cloud, qui est à la fois vaste et en croissance rapide. 

OVHcloud est l’un des deux principaux fournisseurs de services de cloud privé en Europe. De plus, en tant que fournisseur de cloud basé en Europe, le Groupe est en mesure de répondre aux exigences des clients européens en matière de souveraineté et de sécurité des données. 

OVHcloud est de plus en plus présent sur le marché du cloud public, qui est dominé à l’échelle mondiale par les « hyperscalers » américains (Amazon Web Services, Google Cloud Platform et Microsoft Azure). Il est le seul fournisseur européen de services d’infrastructure de cloud public à avoir été placé comme acteur majeur dans l’IDC MarketScape (IDC - septembre 2022) sur la base de son offre d’infrastructures.

En tant que fournisseur de services cloud français, OVHcloud est soumis aux réglementations européennes dans un grand nombre de domaines, notamment les services informatiques (« IT »), la cybersécurité, la modération des contenus en ligne et la protection des données. OVHcloud peut également être soumis à des régimes réglementaires sectoriels applicables à certains clients et à des réglementations généralement applicables telles que le droit des contrats et les règles de protection des consommateurs.

OVHcloud est soumise à la réglementation européenne visant à renforcer la cybersécurité dans l’ensemble de l’Union européenne (l’« UE »). Transposée en droit français le 26 février 2018, la directive (UE) 2016/1148 du 9 juillet 2016 a établi des exigences pour les fournisseurs de services cloud en matière de sécurité des réseaux et des systèmes d’information. Selon la loi française (2) transposant la directive (UE) 2016/1148, les fournisseurs de services cloud sont classés comme des fournisseurs de services numériques. En tant que prestataire de services numériques, OVHcloud doit garantir un niveau de sécurité des informations adapté aux risques pertinents et adopter des mesures organisationnelles et techniques appropriées. En cas d’incident de sécurité ayant un impact significatif sur la prestation de services, une déclaration doit être faite auprès de l’Agence nationale de la sécurité des systèmes d’information (« ANSSI »). Le Premier ministre français peut également ouvrir des enquêtes à la réception d’informations faisant état d’un manquement du prestataire de services numériques aux obligations de sécurité. Les amendes pour non‐respect des obligations de sécurité vont de 50 000 à 100 000 euros. 

L’ANSSI a adopté des normes de sécurité pour les fournisseurs de services cloud (3). Les entreprises du cloud doivent notamment mettre en place une politique de sécurité pour les informations relatives au service et procéder à une évaluation des risques couvrant l’ensemble du service. Si les normes de sécurité applicables sont respectées, l’ANSSI délivre une qualification appelée « SecNumCloud » certifiant un niveau de sécurité renforcé pour le stockage d’informations sensibles. En octobre 2022, l’ANSSI a prolongé un visa de sécurité à OVHcloud pour la qualification « SecNumCloud » pour son Hosted Private Cloud, valable jusqu’en décembre 2023. Pour la protection des systèmes d’information critiques, l’ANSSI recommande aux opérateurs de services essentiels (par exemple, les sociétés d’approvisionnement en gaz, les transporteurs aériens, les établissements de santé, les banques) d’utiliser des produits et services de sécurité disposant d’un visa de sécurité de l’ANSSI. 

Le rôle de l’Agence de l’Union européenne pour la cybersécurité (l’« ENISA ») a été renforcé par le règlement (UE) 2019/881 du 17 avril 2019 (la « loi sur la cybersécurité »). L’ENISA est chargée d’établir et de maintenir un système de certification de cybersécurité à l’échelle européenne applicable aux fournisseurs de services cloud, y compris un ensemble complet de règles, d’exigences techniques, de normes et de procédures. En juillet 2020, l’ENISA a publié une proposition qui permettrait aux fournisseurs de services cloud d’obtenir des certifications à travers l’UE attestant du niveau de sécurité de leurs services. 

La Commission européenne a dévoilé en septembre 2022 sa proposition de Cyber Resilience Act (« CRA »). Cette proposition fixe une série d’exigences générales et organisationnelles en matière de cybersécurité pour les produits contenant des éléments numériques (par exemple : logiciels, produits matériels, solutions de traitement de données). Il vise à adopter un socle commun au sein de l’Union européenne pour limiter les cyberattaques. Le CRA s’applique de manière différenciée aux acteurs de la chaîne d’approvisionnement : fabricants, importateurs ou distributeurs. Le texte doit encore être examiné par le Parlement européen puis par le Conseil de l’Union européenne ; lors de cette procédure, qui peut prendre jusqu’à deux ans, le texte actuel sera très probablement amené à évoluer. Il est donc encore prématuré de se prononcer sur les impacts potentiels de ce texte sur OVHcloud. 

En tant que fournisseur de services de cloud et de télécommunication, OVHcloud traite, stocke et transfère une quantité substantielle de données personnelles. En conséquence, OVHcloud doit se conformer à un ensemble de réglementations européennes et de lois nationales relatives à la protection des données personnelles. 

Pierre angulaire de la protection des données personnelles dans l’Union européenne depuis son entrée en vigueur en mai 2018, le RGPD poursuit trois objectifs principaux : (i) établir des règles relatives à la protection des personnes dans le cadre du traitement de leurs données personnelles ainsi que des règles relatives à la libre circulation de ces données, (ii) renforcer l’application de la réglementation grâce à un cadre juridique unifié pour les organisations traitant des données personnelles, et enfin (iii) renforcer la responsabilité des acteurs traitant des données à caractère personnel (responsables de traitements et sous-traitants) en imposant une obligation de documentation des traitements et des outils/applications utilisées

Le RGPD soumet les organisations à des obligations strictes en termes d’information et de transparence sur les traitements réalisés sur les données personnelles, qu’elles traitent pour leur propre compte ou le compte d’autrui. 

Il confère également plusieurs droits aux personnes concernées sur le traitement de leurs données personnelles tels que le droit d’accès, le droit à la modification ou le droit à l’effacement (« droit à l’oubli ») permettant à celles-ci de bénéficier d’un contrôle accru sur l’utilisation de leurs données personnelles.

En outre, le RGPD impose aux organisations, dès la conception d’un nouveau produit ou service, la mise en place de mesures de sécurité techniques et organisationnelles adéquates aux traitements de données personnelles, afin de garantir la sécurité et la confidentialité adaptées aux données personnelles traitées (« Privacy by design »).

Enfin, le RGPD oblige les organisations responsables de traitement, lorsqu’elles constatent une violation de données personnelles, à notifier à l’autorité de contrôle toute violation susceptible d’entraîner un risque pour les droits et libertés des personnes physiques et des personnes concernées.

Adoptée le 22 septembre 2021, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, dite « Loi 25 », apporte des modifications importantes à la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP ») visant à offrir un meilleur contrôle aux citoyens sur leurs données personnelles et de responsabiliser davantage les organisations quant à leur gestion de ces renseignements. Cette loi établit de nouvelles obligations et règles de transparence pour les entreprises québécoises telles que la désignation d’un Responsable de la Protection des Renseignements Personnels, afin d'établir des politiques et des pratiques encadrant la gouvernance des données personnelles, réaliser des évaluations des facteurs relatifs à la vie privée (EFVP), respecter les nouveaux droits accordés aux personnes sur leurs données personnelles et notamment droit à la cessation de la diffusion, à la ré-indexation ou à la désindexation (droit à l’oubli) avant de communiquer des données personnelles en dehors du Québec ou encore prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public. 

Les nouvelles responsabilités et obligations applicables aux organisations traitant des données personnelles entrent en vigueur progressivement en septembre 2022, 2023 et 2024.

Afin d’assurer la conformité avec les réglementations applicables en matière de protection des données, OVHcloud a mis en place un système de gestion des données personnelles basé sur la norme ISO 27701. 

OVHcloud s’appuie également sur le Code de conduite Cloud Infrastructure Service Providers in Europe (CISPE), en étant certifié sur ses offres Bare Metal Cloud et Hosted Private Cloud powered by VMWare, pour garantir et démontrer la conformité de ses activités IaaS.

Le règlement (UE) 2018/1807 du 14 novembre 2018 (le « Règlement sur le libre flux des données à caractère non personnel ») vise à assurer la libre circulation des données non personnelles entre les États membres de l’UE (les « États membres ») et les systèmes informatiques dans l’UE. Les données non personnelles sont soit (i) des données non liées à des personnes physiques identifiées ou identifiables, soit (ii) des données personnelles anonymisées. Ce règlement permet le stockage et le traitement de données non personnelles partout dans l’UE, interdit la localisation des données et garantit la disponibilité des données pour les contrôles réglementaires.

Le Règlement sur le libre flux des données à caractère non personnel prévoit également que la Commission européenne doit encourager le développement de codes de conduite autorégulateurs pour faciliter la portabilité entre les prestataires. À cette fin, OVHcloud a participé à la rédaction de deux codes de conduite volontaires sur le changement de fournisseur de service cloud et la portabilité des données par le biais du groupe de travail sur le changement de prestataire de cloud et le portage des données (« SWIPO »). Publiés en juillet 2020, les Codes de conduite relatifs à l’Infrastructure‐as‐a‐Service (IaaS) et au Software‐as‐a‐Service (SaaS) offrent des conseils aux fournisseurs de services cloud et aux clients sur le changement de fournisseur de services cloud et le portage des données non personnelles. L’adoption de ces Codes de conduite vise à réduire les risques de verrouillage envers un fournisseur (c’est-à-dire les situations où les clients sont dépendants d’un prestataire particulier en raison de coûts de changement importants) par les fournisseurs de services cloud. Ils fournissent également des conseils aux clients sur le transfert des données non personnelles.

En tant que fournisseur de services d’hébergement, OVHcloud doit se conformer à de nombreuses législations en matière de lutte contre les contenus illicites, notamment celles qui concernent les infractions aux droits de propriété intellectuelle, la diffusion de contenus terroristes et les abus sexuels sur les mineurs. 

Le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (« Règlement sur les services numériques ») est entré en vigueur le 18 novembre 2022. Ce nouveau cadre a pour objectif d’harmoniser les règles applicables dans les différents États membres de l’Union européenne et remplace celui adopté en l’an 2000 en matière de responsabilité des intermédiaires vis-à-vis des contenus illicites tout en maintenant les principes fondamentaux de liberté d’expression et de libre prestation de services. 

Le règlement établit également de nouvelles obligations de diligence et de transparence pour les services d’hébergement tels qu’OVHcloud, tant vis-à-vis des autorités que des utilisateurs, en particulier sur le traitement des signalements de contenus illicites. Il renforce par ailleurs le niveau des sanctions pouvant être infligées en cas de manquement aux obligations établies par le règlement, avec des amendes pouvant représenter jusqu’à 6 % du chiffre d’affaires mondial annuel du fournisseur de services intermédiaires. Un certain nombre de mesures sont applicables de manière différée au cours des deux prochaines années et impliquent l’adoption de textes au niveau national. OVHcloud suivra avec attention leur publication afin de se conformer à ses obligations.

Le règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (« Règlement sur les marchés numériques ») vise à rendre le secteur numérique plus équitable et plus compétitif, en instaurant des mesures préventives pour les grandes entreprises numériques en position de contrôleurs d’accès sur le marché européen. Le règlement prévoit notamment plusieurs obligations et interdictions à l’égard des plateformes en ligne en position de contrôleurs d’accès et renforce les pouvoirs de sanction de la Commission européenne, laquelle sera assistée d’un comité consultatif et d’un groupe de haut niveau. Ainsi, par exemple, les contrôleurs d’accès devront permettre aux utilisateurs de désinstaller facilement sur leurs appareils des logiciels préinstallés et de se désabonner facilement d’un service de plateforme essentiel tel qu’un service de cloud. Les contrôleurs d’accès ne pourront plus imposer des logiciels tels que des navigateurs internet ou des moteurs de recherche par défaut, réutiliser les données personnelles d’un utilisateur à des fins de publicité ciblée sans son consentement explicite. 

Applicable à partir du 2 mai 2023, les entreprises concernées devront se signaler à la Commission européenne et se mettre en conformité au plus tard en mars 2024. La législation confère à la Commission le pouvoir exclusif de contrôler le respect de leurs obligations, et de nouvelles sanctions, notamment une amende pouvant atteindre jusqu’à 10 % du chiffre d’affaires total mondial réalisé par l’entreprise au cours de l’exercice précédent. 

L’adoption de cette nouvelle législation est une avancée positive pour réguler les pratiques des acteurs dominants du numérique sur le marché européen, mais son efficacité dépendra des moyens que la Commission européenne consacrera au service du respect de celle‐ci. OVHcloud suivra avec une attention particulière les précisions attendues sur les effectifs qui seront dédiés au contrôle des obligations des contrôleurs d’accès.

Les entités OVHcloud sont des opérateurs de télécommunications dans quatre (4) États membres : la Belgique, la France, l’Allemagne et l’Espagne. OVHcloud est soumis à des obligations spécifiques lorsque le Groupe fournit des services de télécommunication. Parce que l’UE et ses États membres réglementent le secteur des télécommunications depuis de nombreuses années, il existe une variété de mesures d’application, de directives et d’autorités différentes à travers l’UE. Les entités d’OVHcloud sont également des opérateurs de télécommunications au Royaume‐Uni et en Suisse, qui possèdent leur propre réglementation en matière de télécommunications. Le Royaume‐Uni a transposé les exigences du Code des communications électroniques européen dans son cadre réglementaire national avant le Brexit. 

La directive (UE) 2018/1972 du 11 décembre 2018 a établi le Code des communications électroniques européen. Bien que cette directive n’ait pas encore été transposée dans tous les États membres où OVHcloud agit en tant qu’opérateur, plusieurs autres directives applicables dans les secteurs des télécommunications, telles que les directives 2002/19/CE, 2002/20/CE, 2002/21/CE et 2002/22/CE du Parlement européen et du Conseil, ont été substantiellement modifiées. La directive 2018/1972 a été transposée en droit français en mai 2021 (4). L’objectif clé de ce Code européen des communications électroniques est de créer un ensemble complet de règles actualisées pour réglementer les communications électroniques et protéger les citoyens de l’UE lorsqu’ils communiquent par le biais de services traditionnels ou sur le Web, d’encourager la concurrence entre les opérateurs de télécommunications et de garantir que les autorités réglementaires nationales sont protégées contre les interventions extérieures ou les pressions politiques.

En tant que fournisseur de services cloud, OVHcloud est soumis à des obligations lorsque le Groupe fournit des services à des organisations du secteur de la santé. Par exemple, la loi française impose aux hébergeurs de données de santé (c’est-à-dire toute personne hébergeant des données de santé à caractère personnel collectées dans le cadre d’activités de prévention, de diagnostic, de soins ou de suivi social et médical pour le compte de personnes physiques ou morales ayant produit ou collecté ces données ou pour le compte des patients eux‐mêmes) de respecter des obligations spécifiques. Ces obligations incluent l’obtention d’une certification appropriée ou d’un accord préalable des autorités publiques conformément au Code de la santé publique français, et la conclusion d’une convention avec les clients du secteur de la santé, fixant les dispositions obligatoires prescrites par l’article L. 1111‐8 du Code de la santé publique. OVHcloud est également soumis aux exigences des autres juridictions dans lesquelles elle opère, telles que l’Italie, la Pologne, l’Allemagne et le Royaume‐Uni. 

En 2016, OVHcloud a bénéficié de l’agrément « hébergeur de données de santé » et, depuis 2018, le Groupe exploite un système de gestion permettant à plusieurs de ses offres cloud de se conformer aux exigences de cet agrément. En 2019, OVHcloud a obtenu la certification française HDS (hébergeur de données de santé) pour son offre de Hosted Private Cloud. En 2020, cette certification a été étendue aux serveurs dédiés d’OVHcloud, et elle a été étendue à l’offre de cloud public d’OVHcloud et à Trusted Exchange en 2021. 

Les entreprises du secteur financier (y compris les établissements de crédit et les entreprises d’investissement) peuvent également être soumises à des obligations spécifiques au secteur qui peuvent se refléter sur OVHcloud dans le cadre de la fourniture de ses services. Notamment, en 2019, l’Autorité bancaire européenne (« ABE ») a publié des « Recommandations sur l’externalisation vers des fournisseurs de services cloud » applicables aux accords d’externalisation. Ces recommandations créent des obligations en matière de sécurité des systèmes d’information et de droits d’audit au profit des banques externalisatrices, qu’elles doivent imposer à leurs fournisseurs de services en cloud lorsqu’elles utilisent leurs services. OVHcloud s’efforce de proposer des conditions contractuelles applicables aux opérateurs de services financiers qui garantissent que les clients sont en mesure de mettre en œuvre une politique d’externalisation conforme aux recommandations de l’ABE et aux réglementations locales européennes. 

Les opérateurs de services financiers peuvent également exiger d’OVHcloud de se conformer à la réglementation nationale spécifique. Par exemple, OVHcloud peut avoir à se conformer aux réglementations françaises telles que celle de l’Autorité de contrôle prudentiel et de résolution (« ACPR ») sur les services essentiels externalisés tels que les opérations bancaires. Les entreprises qui externalisent des services essentiels doivent s’assurer que les prestataires garantissent la protection des informations confidentielles, mettent en place des mécanismes de secours en cas de difficultés importantes affectant la continuité du service et permettent à l’ACPR, dans l’exercice de ses missions, d’accéder aux informations essentielles externalisées. En ce qui concerne les procédures internes de gestion de la sécurité des systèmes d’information, l’American Institute of Certified Public Accountants (« AICPA ») a délivré à OVHcloud les certifications SOC I‐II type 2. 

En ce qui concerne l’hébergement des données bancaires et la réduction de la fraude à la carte bancaire, la plus importante offre de l’Hosted Private Cloud d’OVHcloud est conforme à la norme de sécurité des données de l’industrie des cartes de paiement (« PCI DSS »). Les datacenters d’OVHcloud en France, au Canada, au Royaume‐Uni, en Allemagne et en Pologne sont conformes à la norme PCI‐DSS.

Le 27 novembre 2022, le Conseil de l’Union européenne a adopté le règlement sur la résilience opérationnelle numérique du secteur financier (« DORA »). Ce texte faisant suite à une proposition de la Commission européenne de 2020 impose un certain nombre d’exigences aux accords d’externalisation vers des fournisseurs de services cloud dans le secteur financier. Le règlement proposé couvre un large éventail d’entités financières réglementées, notamment les établissements de crédit (tels que les banques), les dépositaires centraux de titres, les compagnies d’assurance et certains gestionnaires de fonds, entre autres. Il impose à ces entités financières un certain nombre d’exigences en matière de gestion des risques liés aux technologies de l’information et des communications, dont certaines s’appliquent directement aux activités cloud externalisées. 

En particulier, les entités du secteur financier couvertes par le règlement proposé sont tenues de prendre un certain nombre de mesures pour faire face aux risques dans leurs relations avec des tiers, tels que les fournisseurs de services cloud, notamment en s’assurant que leurs contrats de services cloud fournissent une description complète des services proposés avec des objectifs de performance qualitatifs et quantitatifs, et comprennent des dispositions régissant l’intégrité, la sécurité, la protection des données personnelles, la récupération en cas de défaillance, les droits d’inspection et d’audit, et des dispositions de résiliation avec des stratégies de sortie claires. Le règlement envisage l’approbation de clauses contractuelles types par la Commission européenne. 

En outre, le règlement impose un nouveau cadre de surveillance aux prestataires de services tiers critiques (y compris les fournisseurs de services cloud), les soumettant à des plans de surveillance individuels adoptés par les organismes européens de réglementation financière chargés de la surveillance des banques, des marchés des valeurs mobilières ou des compagnies d’assurance, selon le secteur qui utilise principalement les services du prestataire concerné. La détermination des services critiques dépend de leur impact systémique potentiel, de la dépendance des entités financières à leur égard pour des fonctions critiques et de l’existence d’alternatives. Le plan de surveillance peut imposer des exigences dans des domaines tels que la sécurité et la qualité, les conditions contractuelles et la sous‐traitance, avec des sanctions financières en cas de non‐respect, pouvant aller jusqu’à 1 % du chiffre d’affaires mondial du prestataire au cours de l’année la plus récente. Les organismes de surveillance disposent de droits d’inspection et d’audit et de pouvoirs d’enquête étendus. Le règlement adopté interdit également aux entités financières de faire appel à un prestataire d’un pays situé en dehors de l’UE pour les fonctions critiques du cloud. 

Plusieurs des datacenters d’OVHcloud sont situés dans d’anciens bâtiments industriels, dont certains sont classés comme présentant des risques environnementaux ou autres en vertu de la législation française applicable. Les datacenters d’OVHcloud situés hors de France peuvent également être classés comme présentant des risques environnementaux en vertu des réglementations locales. Afin de se conformer aux réglementations applicables, OVHcloud est parfois tenu de soumettre des demandes et d’obtenir des autorisations d’exploitation. Dans le cadre du processus de demande, OVHcloud peut être tenu de prendre certaines mesures correctives. 

En outre, des permis d’exploitation sont requis dans la plupart des pays où OVHcloud exploite ses datacenters. Ces réglementations concernent principalement les émissions atmosphériques, la gestion des déchets industriels, la gestion de l’eau et des effluents, la gestion des risques d’incendie et la gestion du bruit.

L’organigramme simplifié ci‐après présente l’organisation juridique de la Société et de ses filiales consolidées à la date du présent document d’enregistrement universel. Les pourcentages indiqués ci‐dessous représentent les pourcentages du capital social. Il n’y a pas eu de variation significative de détention du capital depuis la clôture de l’exercice le 31 août 2023.

Au cœur du mécanisme de gouvernance, le dispositif de gestion des risques d’OVHcloud contribue à l’atteinte des objectifs stratégiques du Groupe et participe à la préservation de ses actifs et de sa réputation. Il permet également de mobiliser les collaborateurs autour d’une approche commune des risques. OVHcloud s’est engagé à évaluer régulièrement les risques et à mettre en place un contrôle interne et des plans d’action visant à leur atténuation.

Le dispositif de gestion des risques vise à identifier, analyser et piloter les principaux risques auxquels est exposé le Groupe. Il contribue à la maîtrise et à la sécurisation des activités, à l’efficacité des opérations et à l’utilisation efficiente des ressources.

Ce dispositif comprend un ensemble de processus, dont l’objectif est d’identifier les risques, de les évaluer et de les prioriser, de les prévenir et de les maîtriser, et de suivre les plans d’action permettant de les limiter. Il s’appuie sur les collaborateurs du Groupe, en particulier le contrôle interne et la conformité, et au besoin sur des expertises externes. La direction du Groupe, le Conseil d’administration et le comité d’audit suivent avec attention la gestion des risques et en définissent la stratégie la plus appropriée.

Pour les risques liés aux aspects RSE, se référer au chapitre 3 « Déclaration de performance extra-financière » du présent document d’enregistrement universel.

Le Groupe a établi dès 2020 une cartographie des risques, qui a été mise à jour en 2022 et 2023.

Le processus d’élaboration de la cartographie des risques, mené avec l’assistance d’un consultant externe spécialisé et en impliquant le top management de toutes les activités du Groupe, a permis d’identifier les principaux risques auxquels le Groupe est exposé et d’apprécier pour chacun d’eux leur impact potentiel, prenant en compte leur criticité et leur probabilité d’occurrence.

Les risques les plus significatifs ont été rassemblés en différentes familles (stratégie et marchés, opérationnels, ressources humaines, financiers, réglementaires et juridiques, systèmes d’information) et font l’objet d’une description de leurs causes et impacts potentiels, ainsi que des actions déployées pour gérer les risques.

Pour chaque risque, un ou plusieurs responsables sont nommés. Ils ont pour rôle de compléter l’analyse du risque, d’identifier les actions et moyens nécessaires à sa réduction, et de piloter les plans d’action correspondants.

La pertinence et l’avancement des plans d’action sont suivis par des membres du comité exécutif de le Groupe, dont le directeur général, le directeur financier et le directeur juridique, qui les revoient à un rythme trimestriel. La cartographie des risques et les plans d’action font l’objet d’une présentation annuelle au comité d’audit du Groupe, complétée sur demande de présentations ponctuelles.

Le service juridique du Groupe négocie l’ensemble des contrats d’assurance de façon centralisée pour l’ensemble du Groupe à l’exclusion des filiales implantées aux États-Unis. Les filiales américaines du Groupe déterminent elles-mêmes leur politique assurantielle et souscrivent pour leur propre compte leurs polices d’assurance.

Les contrats d’assurance sont soit souscrits par le Groupe, pour son propre compte et pour le compte de ses filiales, soit directement souscrits par les filiales, par l’intermédiaire de courtiers mandatés pour négocier auprès des principales compagnies d’assurance la mise en place ou le renouvellement des garanties les plus adaptées aux besoins de couverture des risques.

Les compagnies d’assurance sont sélectionnées sur le fondement de critères tels que le montant des cotisations, l’étendue des garanties proposées, la capacité à mettre en place des programmes intégrés de type polices masters, la durée de l’engagement, leur disponibilité pour assurer les risques considérés au vu de l’ensemble de leurs autres engagements sur le secteur et le marché considéré ou la faculté à proposer un accompagnement qualitatif afin d’appréhender au mieux la gestion des risques.

La politique du Groupe en matière d’assurance vise à :

• ▶adapter chaque année lors du renouvellement de ses polices sa couverture assurantielle en fonction de l’évolution des risques liés à la croissance de ses activités habituelles et de l’augmentation constante de ses capitaux. Pour cela, le Groupe fait appel à un cabinet externe pour expertiser les capitaux de ses sites les plus importants ;
• ▶poursuivre une politique active de prévention et de protection de ses sites industriels notamment avec son plan de prévention HYR, visant à les protéger contre les risques accidentels d’incendie. Le Groupe fait auditer annuellement la majorité de ses sites industriels par les ingénieurs préventistes de ses courtiers et assureurs ;
• ▶communiquer au marché de l’assurance et de la réassurance, lors de roadshows organisés par le Groupe, des informations détaillées sur le plan de prévention HYR ;
• ▶mettre en place des sessions de sensibilisation du risque incendie avec une approche technique et assurantielle auprès d’un panel large d’opérationnels ;
• ▶développer la prévention des risques tels que les expositions aux catastrophes naturelles ou environnementales afin d’étoffer la couverture assurantielle existante.

L’ensemble des contrats d’assurance ont été renouvelés au 1er janvier 2023, à l’exception de quelques contrats dont les échéances demeurent en cours d’année.

Le Groupe privilégie la souscription de polices masters afin de pouvoir mutualiser les garanties au sein du Groupe. Pour des raisons réglementaires ou factuelles telles que la taille d’une filiale ou la nécessité d’obtenir des garanties, le Groupe a recours à des polices locales ou standalone souscrites directement par ses filiales.

Le Groupe dispose également de polices d’assurance souscrites directement par le Groupe ou par l’intermédiaire de ses filiales, couvrant la responsabilité civile des mandataires sociaux, les risques relatifs à l’ensemble de ses bureaux, à sa flotte automobile, aux déplacements de ses salariés utilisant leur propre véhicule pour des déplacements professionnels, aux missions professionnelles, aux salariés expatriés, aux travaux de construction, d’installation d’équipement ou d’aménagement dans ses centres de données ou bureaux, au transport de marchandises, habitations louées et mises à disposition du personnel lors de déplacements professionnels ponctuels au siège social, mais aussi du cabinet médical du médecin exerçant aussi pour le compte d’OVHcloud.

Le Groupe dispose également par l’intermédiaire de ses filiales de nombreuses polices d’assurance couvrant les dommages matériels, la responsabilité civile et employeur et l’indemnisation des salariés, de ses bureaux et centres de données internationaux.

En s’appuyant sur le cadre de référence de l’AMF, OVHcloud met en place un dispositif de contrôle interne comprenant un ensemble de moyens, de politiques, de comportements, de procédures et d’actions adaptées, visant à s’assurer :

• ▶de l’application des instructions et des orientations fixées par la direction ;
• ▶du fonctionnement des processus internes permettant l’efficacité et la maîtrise des activités ;
• ▶de la fiabilité des informations comptables et financières ;
• ▶de la conformité aux lois et règlements ;
• ▶de la maîtrise des risques.

Un ensemble d’acteurs intervient dans le dispositif de contrôle interne :

Par délégation du Conseil d’administration, il incombe au comité d’audit de suivre le processus d’élaboration de l’information financière et de suivre l’efficacité des systèmes de contrôle interne et de gestion des risques et d’audit interne.

Le Conseil d’administration est informé par les membres du comité d’audit sur ces aspects.

Les missions détaillées du Conseil d’administration et du comité d’audit sont décrites dans la partie 4 « Gouvernement d’entreprise ».

La direction générale est responsable du déploiement du dispositif de contrôle interne et du pilotage de la cartographie des risques. Pour ce faire, la direction générale s’appuie sur la direction financière et la direction de l’audit, contrôle interne et risques.

La 1re ligne de maîtrise est constituée par les opérations qui formalisent et mettent en œuvre des processus opérationnels pour assurer la maîtrise des opérations au quotidien et leur contrôle interne.

Le contrôle interne est intégré à la mission de chaque direction opérationnelle. Ainsi, le management des directions opérationnelles est chargé de vérifier la bonne application des procédures et contrôles de 1er niveau en réalisant des contrôles de 2e niveau, par exemple par des échantillonnages, par la mise en place de contrôles applicatifs, de circuits de validation. La fonction Contrôle de gestion peut également être en charge de la réalisation de contrôles de 2e niveau.

Enfin, les directions fonctionnelles se chargent de définir des référentiels et contrôles applicables par toutes les entités commerciales et industrielles et de piloter les risques opérationnels sur leur périmètre respectif : par exemple, les directions juridiques, qualité, normes, sécurité et environnement de travail, cybersécurité, ressources humaines, finance, assurances. Ces directions fonctionnelles peuvent également être amenées à vérifier la bonne application des règles de 1er niveau par des campagnes de contrôles de 2e niveau.

Dans une optique de renforcement de son contrôle interne et de coordination, OVHcloud a créé une direction de l’audit, contrôle interne et risques, rattachée à la direction financière du Groupe. Cette direction assiste les directions opérationnelles et fonctionnelles dans la construction de leurs dispositifs de contrôles de 1er et 2e niveaux. La direction de l’audit, contrôle interne et risques réalise également des campagnes de contrôles internes basées sur l’autoévaluation par les directions opérationnelles de la bonne application des contrôles. Le comité d’audit suit le déploiement du dispositif de contrôle interne.

La 3e ligne de maîtrise est constituée par la direction de l’audit, contrôle interne et risques. Sur la base d’un plan d’audits annuels, validé par la direction générale et par le comité d’audit, des missions d’audits sont réalisées en toute indépendance et font l’objet d’un rapport de mission qui identifie les risques éventuels et les plans d’action nécessaires à la réduction du risque.

Les conclusions des missions d’audit interne sont restituées aux directions opérationnelles, ainsi qu’à la direction générale et au comité d’audit pour les principaux constats afin de donner une assurance raisonnable sur l’efficacité du dispositif de contrôle interne et de gestion des risques.

Le modèle d’affaires d’OVHcloud est détaillé en introduction du présent document d’enregistrement universel.

OVHcloud a structuré sa démarche RSE au cours de l'exercice 2022. Avec près de 2 900 collaborateurs et une empreinte industrielle et commerciale mondiale, le Groupe a pleinement conscience de sa responsabilité dans un monde où les données ont un impact majeur sur les vies privées, sociales et professionnelles, sur les plans économique, géopolitique, éthique et environnemental. Elles impactent les relations entre les personnes et leur utilisation traduit une vision du monde et le type de société dans lequel chacun souhaite vivre. Porté par son ambition : Leading the data revolution for a responsible future (Conduire la révolution des données pour un avenir responsable), OVHcloud s’est donné pour mission de construire un cloud ouvert et de confiance, permettant aux entreprises et à la société de tirer le meilleur parti de la révolution des données tout en minimisant ses impacts environnementaux.

Cette vision et la mission qui lui est associée se traduisent par une politique RSE, étroitement intégrée à la stratégie du Groupe. Cette politique s’articule autour de trois piliers d’engagement qui se déclinent chacun à leur tour en trois axes d’action :

• ▶Garantir la liberté et la souveraineté des données

OVHcloud est au cœur de la révolution numérique, qui ouvre la voie à une multitude d’opportunités en matière d’applications et de technologie. Dans ce contexte, le Groupe propose à ses clients des solutions cloud couvrant l’ensemble de leurs usages, qu’il s’agisse de les accompagner dans leur transformation numérique, de leur permettre d’innover en construisant des applications cloud native ou de les aider à tirer parti de la puissance de la donnée. Dans l’accomplissement de cette mission, le Groupe offre à ses clients la liberté de construire leurs projets les plus ambitieux, dans un environnement cloud sécurisé, conforme et durable, suivant trois axes d’action :

• •défendre la souveraineté des données, la sécurité et la confidentialité ;
• •garantir la liberté de choix et la réversibilité ;
• •offrir un prix prévisible et transparent.

• ▶Être pionnier du cloud durable

À l’avant-garde du cloud durable, OVHcloud intègre la durabilité au cœur de son modèle d’affaires depuis sa création, visant à minimiser son impact environnemental à chaque étape. L’action environnementale d’OVHcloud s’articule autour de trois axes :

• •inscrire l’innovation au cœur de son modèle industriel ;
• •contribuer au Net Zéro planétaire d’ici 2030 ;
• •sensibiliser les parties prenantes à l’ensemble des impacts du cloud, afin d’enclencher une démarche collective de réduction de l’empreinte environnementale.

• ▶Faire progresser collectivement le cloud au bénéfice de la société

Chez OVHcloud, tout commence par l’humain. Les femmes et les hommes font sa richesse : ce sont les talents qui assurent sa réussite. Le « travailler ensemble » est l’une des valeurs fondamentales du Groupe. Cette dimension collective trouve son prolongement dans son écosystème, et dans la volonté de faire grandir toute la filière du cloud européen. Ce troisième pilier d’engagement se décline en trois voies d’action :

• •attirer et faire grandir les talents dans une aventure collective au sein d’une entreprise diverse et inclusive ;
• •collaborer et développer des coalitions avec les parties prenantes de l’écosystème du cloud européen ;
• •favoriser l’ancrage local et l’engagement sociétal en œuvrant à l’insertion par le numérique.

Pour piloter ses ambitions en matière de responsabilité sociétale d’entreprise (RSE), OVHcloud a mis en place une gouvernance dédiée, étroitement associée au pilotage de la stratégie globale du Groupe.

Le Conseil d’administration s’attache à promouvoir la création de valeur à long terme par la Société en considérant les enjeux sociaux et environnementaux de ses activités. Il examine régulièrement, en lien avec la stratégie qu’il a définie, les opportunités et les risques tels que les risques financiers, juridiques, opérationnels, sociaux et environnementaux, y compris le risque climatique, ainsi que les mesures prises en conséquence. Les priorités et objectifs à moyen terme en matière de responsabilité sociétale d’entreprise ont été approuvés par le Conseil d’administration en 2022. Leur suivi est assuré en s’appuyant sur les travaux de ses comités.

Instauré dès l’introduction en bourse du Groupe en 2021, le comité stratégique et RSE a la mission de préparer le travail et de faciliter le processus de décision du Conseil d’administration sur les enjeux stratégiques et RSE. En matière de RSE, il a notamment la charge :

• ▶de s’assurer de la prise en compte des sujets relevant de la responsabilité sociale et environnementale (telles que les politiques de diversité et de non-discrimination et les politiques de conformité et d’éthique) dans la stratégie du Groupe et dans sa mise en œuvre ;
• ▶d’examiner la Déclaration de performance extra-financière en matière sociale et environnementale prévue à l’article L. 22-10-36 du Code de commerce ;
• ▶d’examiner les avis émis par les investisseurs, analystes et autres tiers et, le cas échéant, le potentiel plan d’action établi par la Société aux fins d’améliorer les points soulevés en matière sociale et environnementale ;
• ▶d’examiner et d’évaluer la pertinence des engagements et des orientations stratégiques du Groupe en matière sociale et environnementale, au regard des enjeux propres à son activité et à ses objectifs, et de suivre leur mise en œuvre.

Le comité d’audit s’assure de l’efficacité du dispositif de suivi des risques et de contrôle interne opérationnel, incluant les risques en matière de RSE, y compris le risque climatique, ainsi que de l’examen et du suivi des dispositifs et procédures en place pour garantir la diffusion et l’application des politiques et règles de bonnes pratiques en matière d’éthique, de concurrence, de fraude et de corruption et plus globalement de conformité aux réglementations en vigueur.

Enfin le comité des nominations, des rémunérations et de la gouvernance se charge, entre autres missions, de la revue annuelle de la politique de diversité du Conseil d’administration ainsi que du suivi du taux de parité, de l’âge et de la diversité des compétences.

Le rôle et les travaux du Conseil d’administration et de ses comités sont détaillés dans les sections 4.1.5 et 4.1.6 du présent document d’enregistrement universel.

La direction de la stratégie et de la RSE, rattachée au directeur général, a la charge de l’implémentation des grandes orientations stratégiques du Groupe, qu’elle contribue à définir, ainsi que du développement et de la coordination de la politique RSE, avec pour objectif d’engager l’entreprise dans une démarche d’amélioration continue, de valoriser ses engagements et de mesurer les effets du programme RSE. La direction de la stratégie et de la RSE rend régulièrement compte au comité exécutif des avancées du programme RSE, de ses principales initiatives et de leurs mises à jour.

Les engagements du programme RSE sont élaborés et suivis par le comité de pilotage RSE. Coordonné par la direction de la stratégie et de la RSE, il est composé d’une équipe RSE centrale et de représentants des directions opérationnelles associées à l’implémentation du plan d’action RSE. Le comité se réunit à un rythme hebdomadaire afin de définir, suivre et ajuster les plans d’action RSE.

OVHcloud a mis au point une cartographie des risques Groupe en 2020. Celle-ci a été revue et mise à jour à deux reprises, une première fois en 2022 et une seconde fois en 2023 (se référer au chapitre 2 du présent document d’enregistrement universel pour une description des facteurs de risque Groupe). Par ailleurs, le Groupe a construit sa première matrice de matérialité en 2022, mettant l’accent sur les enjeux RSE.

En 2022, OVHcloud a construit sa première matrice de matérialité en interrogeant ses parties prenantes externes et internes, en vue de déterminer les enjeux RSE les plus matériels pour le Groupe, c’est-à-dire ceux qui ont ou pourraient avoir une incidence sur la capacité du Groupe à créer ou protéger de la valeur financière et extra-financière, pour lui-même et ses parties prenantes.

Cet exercice s’est déroulé en quatre étapes : identification des enjeux RSE potentiels, confrontation de ces enjeux avec les parties prenantes externes et internes, consolidation des résultats et principaux enseignements tirés de l’analyse de ces résultats.

OVHcloud a défini une liste de 24 enjeux RSE potentiels, subdivisés en trois catégories : environnement, conduite des affaires et social/sociétal.

OVHcloud a confronté cette liste d’enjeux potentiels à ses parties prenantes internes et externes au cours d’entretiens, menés notamment auprès de ses clients, fournisseurs, investisseurs, représentants de son écosystème (associations, ONG, partenaires...) ainsi que les directeurs et responsables du Groupe, dont le comité exécutif, afin de récolter leur point de vue et leurs attentes vis-à-vis de chacun des enjeux. Les entretiens ont été conduits par les équipes d’OVHcloud, à l’exception des investisseurs, consultés par le biais d’une étude de perception réalisée par un prestataire externe. OVHcloud a par ailleurs consulté ses collaborateurs (hors comité exécutif et autres responsables) à travers un sondage en ligne.

Un guide d’entretien a été construit pour encadrer les différents entretiens. Ce guide a servi de base pour établir l’outil de sondage en ligne.

La question centrale portait sur la notation des enjeux en fonction du niveau d’attente pour chacun d’eux, selon la grille suivante :

• ▶0 : pas d’attente. OVHcloud n’a pas à s’engager particulièrement sur cet enjeu ;
• ▶1 : limité. Enjeu pour lequel OVHcloud peut mettre en place quelques actions, sans pour autant les intégrer à sa stratégie ;
• ▶2 : important. OVHcloud devrait adopter une politique, des objectifs et un plan d’action concernant cet enjeu ;
• ▶3 : prioritaire. Cet enjeu doit constituer une priorité stratégique majeure pour OVHcloud.

Au total, 231 personnes ont été consultées dont :

• ▶management (représenté sur l’axe des abscisses de la matrice) :
  • •le Président du Conseil d’administration,
  • •18 représentants de la direction dont le directeur général et l’ensemble du comité exécutif ainsi que les principaux directeurs de zone ;
• ▶parties prenantes (représentées sur l’axe des ordonnées de la matrice) :
  • •34 représentants des parties prenantes externes : clients, fournisseurs, pouvoirs publics, investisseurs, membres de l’écosystème d’OVHcloud (associations, partenaires, ONG...),
  • •178 salariés consultés par sondage.

La voix des pouvoirs publics a été exprimée par la personne responsable des affaires publiques chez OVHcloud.

Concernant les investisseurs, la notation a été faite en transposant l’étude de perception « Investisseurs ESG » 2022 réalisée par un prestataire externe sur une grille de notation similaire et une liste d’enjeux un peu plus restreinte.

L’analyse des données quantitatives et qualitatives a été réalisée avec l’appui d’un cabinet de conseil en RSE, selon la méthodologie suivante :

• 1 .consolidation des résultats : concernant les parties prenantes internes et externes, la notation moyenne des enjeux a été établie sur la base d’une équi-pondération des résultats au sein de chaque catégorie de parties prenantes, puis entre les catégories. Pour le management, les notations attribuées par le Président et le directeur général ont fait l’objet d’une surpondération par rapport aux réponses des représentants de la direction ;
• 2 .formalisation de la matrice : les notations ainsi obtenues ont permis de placer chaque enjeu sur l’axe des abscisses (moyenne attribuée par le management) et sur l’axe des ordonnées (moyenne attribuée par les parties prenantes internes et externes) ;
• 3 .analyse des résultats : les enseignements clés sont tirés de la compilation de l’analyse (corrélations, dispersions, classements des enjeux, comparaison selon les parties prenantes) des résultats.

* Pour le libellé détaillé des enjeux, se reporter au tableau dans la section consacrée à l’identification des enjeux page 60.

• ▶Les parties prenantes internes et externes sont globalement alignées sur les enjeux les plus matériels, notamment ceux liés au cœur de métier du Groupe, signe d’une bonne compréhension entre OVHcloud et son écosystème. Il s’agit des enjeux relatifs à la souveraineté des données, la trajectoire bas carbone, la gestion efficiente de l’énergie, la cybersécurité et la protection des données, l’affichage environnemental et la transparence carbone, la sécurisation des approvisionnements stratégiques.
• ▶Trois enjeux majeurs se distinguent plus particulièrement, cohérents avec la vision et les orientations stratégiques du Groupe :
  • •souveraineté des données ;
  • •trajectoire bas carbone ;
  • •gestion efficiente de l’énergie.
• ▶Sur les enjeux importants, un alignement est également constaté sur des enjeux plus génériques mais fondamentaux pour le fonctionnement de l’entreprise : chaîne d’approvisionnement responsable, éco-design, éthique des affaires, gestion responsable de l’eau, attractivité et fidélisation des talents, fiabilité et confiance du client, santé, sécurité au travail et bien-être des employés, diversité et inclusion, innovation et R&D pour green IT.
• ▶Concernant les écarts (qui restent limités), on constate que le management accorde une importance particulière à l’attraction des talents et à la confiance client, tandis que les parties prenantes ont plutôt des attentes fortes concernant la continuité de service – en matière de cybersécurité et de résilience au changement climatique – et l’affichage environnemental.
• ▶OVHcloud est clairement reconnu sur les enjeux de différenciation de l’offre, liés à sa proposition de valeur : la transparence des prix, l’éco-conception, la démarche responsable de gestion des ressources et surtout la souveraineté des données. Les attentes sont néanmoins très fortes sur ces enjeux, qui figurent parmi les plus matériels.
• ▶À la question des enjeux sur lesquels OVHcloud dispose de marges de progrès, les parties prenantes se sont généralement moins exprimées que le management. Les enjeux les plus cités ont été : cybersécurité et protection des données, affichage environnemental, diversité et inclusion, attraction et fidélisation des talents, contribution à la transition numérique et accessibilité du numérique.

• ▶Les interactions avec les diverses parties prenantes du Groupe au cours de l’exercice 2023 confortent les principaux enseignements tirés de l’analyse  menée en 2022.

Leader européen du cloud, OVHcloud est au cœur de la révolution numérique, qui ouvre la voie à une multitude d’opportunités en matière d’applications et de technologie. Dans ce contexte, le Groupe propose à ses clients des solutions cloud couvrant l’ensemble de leurs usages, qu’il s’agisse de les accompagner dans leur transformation numérique, de leur permettre d’innover en construisant des applications « cloud native » ou de les aider à tirer parti de la puissance de la donnée. Dans l’accomplissement de cette mission, le Groupe offre à ses clients la liberté de construire leurs projets les plus ambitieux, dans un environnement cloud sécurisé, conforme et durable. Pour OVHcloud, chacun doit pouvoir garder le contrôle de ses données et avoir la garantie qu’elles sont en sécurité. Le libre choix et l’ouverture, en matière de services et d’innovation, constituent le socle de la relation de confiance établie avec ses clients et partenaires. Celle-ci passe également par une offre de services proposant le meilleur rapport prix-performance et des tarifs transparents et prévisibles.

Les activités d’OVHcloud s’articulent autour de la capacité de calcul, du stockage, du traitement et du transfert de données de ses clients, dont des données personnelles, ainsi que des données critiques pour l’entreprise. La souveraineté, la sécurité et la confidentialité des données constituent le socle de la proposition de valeur du Groupe et le fondement de la relation de confiance qui l’unit à ses clients. OVHcloud assure le plus haut niveau de protection des données. Ce niveau d’excellence est soutenu par un système de gouvernance de la donnée efficace. Le Groupe milite également pour un cloud européen, garant de l’indépendance technologique de l’Europe et de la souveraineté de ses données.

OVHcloud met en œuvre des mesures de sécurité dans tous ses datacenters et processus afin de protéger ses clients à travers le monde.

OVHcloud considère la cybersécurité comme l’un des piliers support de sa stratégie de développement. La capacité du Groupe à protéger les données et charges de traitements de ses clients conditionne en effet la confiance qu’ils lui accordent. La politique de sécurité des systèmes d’information (PSSI(1)) fournit le cadre de référence en matière de cybersécurité pour OVHcloud. Elle décrit le contexte de sa mise en œuvre ainsi que ses fondements, au nombre de trois :

• ▶déployer une approche industrielle à grande échelle de la sécurité. La sécurité est intégrée dans le cycle de développement des produits. L’équipe de sécurité est constamment impliquée pour accompagner les décisions quant aux mesures de sécurité à adopter pour en prévenir et réduire les risques. Cette démarche s’appuie sur des mesures de sécurité normalisées, sur des architectures sécurisées dès leur conception et sur des processus formels, éprouvés, fortement automatisés. Les mesures de sécurité normalisées sont assorties de mesures complémentaires pour tenir compte des spécificités de chaque projet. Enfin, OVHcloud opère un dispositif d’analyse permanent des menaces reposant sur la surveillance continuelle des systèmes, lui permettant d’adapter systématiquement ses pratiques opérationnelles aux risques immédiats et de réagir efficacement aux incidents de sécurité ;
• ▶positionner OVHcloud comme un acteur de confiance au sein de l’écosystème. En tant que fournisseur mondial de cloud, OVHcloud a une grande responsabilité dans la lutte contre les menaces de sécurité. Le Groupe déploie des outils de protection à grande échelle et automatise la protection des systèmes de ses clients contre ces menaces. L’équipe sécurité et les experts techniques d’OVHcloud entretiennent des relations opérationnelles solides avec les communautés d’experts en sécurité, les autorités, les éditeurs de logiciels et les fabricants de matériel. De cette manière, le Groupe est en mesure d’anticiper les nouvelles menaces et vulnérabilités, et de réduire ainsi les risques associés. Par ailleurs, OVHcloud partage ses innovations et ses connaissances avec la communauté de la sécurité et promeut la divulgation responsable. Enfin, les dispositifs de sécurité du Groupe sont régulièrement évalués par des tiers de confiance sur la base de référentiels d’audit reconnus ;
• ▶opérer un cloud de confiance pour tous. OVHcloud propose ses solutions à tout type de client dans tous les domaines d’activité : start-up, PME, grande entreprise, administration, multinationale. Chaque client d’OVHcloud a une approche de la sécurité qui lui est propre, en fonction de son métier et/ou de ses besoins de souveraineté. OVHcloud assure la sécurité des services fournis et des infrastructures sous-jacentes et offre à ses clients un haut niveau de transparence sur les mesures de sécurité implémentées pour les accompagner. OVHcloud s’engage également sur la protection des données à caractère personnel, en tant que responsable de traitement pour les données relatives à ses clients et en tant que sous-traitant de données à caractère personnel dans le cas où ses clients sont eux-mêmes responsables de traitement. La politique de sécurité des systèmes d’information porte notamment cet engagement par la définition, la mise en œuvre et l’amélioration des dispositifs de sécurité assurant la protection des données à caractère personnel hébergées.

L’organisation de la gestion de la sécurité est basée sur des normes internationales reconnues qui mettent en évidence ces principes. Le Groupe a obtenu de nombreuses certifications nationales (SecNumCloud par l’ANSSI, AgID, ENS, C5) (2), internationales (ISO 27001, ISO 27701, PCI DSS, SOC 2 type 2) et spécifiques à certains secteurs (HDS, HIPAA et HITECH pour la santé, EBA et ACPR PSEE pour les services financiers), qui répondent aux plus hauts standards français, européens et internationaux en termes de protection des données.

Par ailleurs, OVHcloud dispose de procédures internes en matière de sécurité des systèmes d’information et sensibilise en permanence ses collaborateurs au risque d’attaque informatique, notamment en réalisant des campagnes de simulations d’attaques cyber. Le Groupe organise jusqu’à trois campagnes par semaine, construites à partir de scénarios sophistiqués inspirés de cas réels, testés sur des populations ciblées au hasard. Plusieurs indicateurs sont observés dont la part des effectifs testés, le taux de signalement et le taux de compromission (part des effectifs sur lesquels le phishing a fonctionné) et son inverse, le taux de succès des campagnes de simulation. C’est ce dernier indicateur qui constitue l’indicateur de performance de référence. En 2023, le taux de succès des campagnes de simulations d’attaques cyber s’est établi à 89 %, stable par rapport aux deux précédents exercices alors que les campagnes de simulations ont gagné en sophistication.

Le cloud s’appuyant sur des infrastructures physiques, la sécurité des données passe aussi par la sécurisation des sites d’OVHcloud, avec une attention particulière portée à ses datacenters qui abritent les serveurs sur lesquels sont stockées ou transitent les données. Ces sites sont particulièrement importants pour garantir la continuité de l’activité des clients. OVHcloud met donc en place une multitude d’actions pour protéger ses sites, dont :

• ▶du gardiennage et une surveillance 24/7 ;
• ▶un système anti-intrusion ;
• ▶un contrôle des accès strict ;
• ▶des contacts réguliers avec les autorités.

Dans la nuit du 9 au 10 mars 2021, un incendie s’est déclaré dans l’un des quatre datacenters du site OVHcloud de Strasbourg. L’incident est détaillé dans le chapitre 2 « Facteurs de risques et contrôle interne » de ce document d’enregistrement universel. À ce jour, l’expertise judiciaire est toujours en cours, la mission des experts judiciaires ayant été étendue jusqu’au 30 août 2024.

Suite à l’incendie, OVHcloud a mis en place un plan Hyper Résilience, visant, entre autres, à apporter des normes de sécurité au-dessus des standards réglementaires et des recommandations des assureurs.

L’inauguration du nouveau datacenter de Strasbourg, SBG5, en septembre 2022, a permis de montrer la première concrétisation du plan Hyper Résilience. Fruit d’un investissement de 30 millions d’euros lancé en avril 2021, le site est le premier d’une nouvelle génération de datacenters hyper résilients et plus durables. D’une superficie de 1 700 m2, SBG5 totalise 19 salles isolées bénéficiant de maçonneries compartimentant les différents segments pour offrir une résistance de deux heures au feu.

Communiqué de presse : https://corporate.ovhcloud.com/fr/newsroom/news/sbg5-opening/

Conformément à ses engagements, le Groupe a lancé un nouveau datacenter dédié aux sauvegardes de données brutes (snapshots) et distant des sites d’exploitation des services. Déployé dans un premier temps pour les clients français, le Groupe prévoit de généraliser ce service afin de l’étendre à l’ensemble de ses solutions et de ses localisations.

OVHcloud traite quotidiennement une quantité très importante de données personnelles tant pour le compte de ses clients, au travers de ses offres de produits et services Cloud, que pour son propre compte.

La sécurité des données, l’usage transparent et proportionné des informations relatives aux clients du Groupe ainsi que la protection des données qu’ils lui confient contre les lois étrangères de portées extraterritoriales, sont au cœur des priorités d’OVHcloud.

Afin de garantir à ses clients la sécurité de leurs données et de garantir le respect du RGPD et de toutes les législations nationales qui lui sont opposables, telles que le Data Protection Act britannique, le Data Protection Act australien ou la loi 25 québécoise, OVHcloud a adopté une politique de traitement des données personnelles se conformant aux réglementations les plus strictes et qui s’applique à l’ensemble de ses entités et de ses salariés. Cette politique est mise en œuvre sous la supervision du délégué à la protection des données (DPO), dont le rôle est décrit dans le chapitre 2 du présent document d'enregistrement universel.

• ▶Gouvernance de la donnée

Des comités et ateliers de travail dédiés à la protection des données se tiennent de manière régulière afin de veiller au respect des législations applicables et au suivi des actions qui en découlent :

• •comité stratégique de la donnée en présence des membres du comité exécutif du Groupe dont l’objectif est de définir et d’assurer la mise en œuvre d’une stratégie cohérente de traitement des données au sein du groupe OVHcloud (réunion mensuelle) ;
• •comité de revue des projets internes dont l’objectif est de vérifier la pertinence d’un projet et le respect du principe de « Privacy by design » par la prise en compte des prérequis techniques, de sécurité informatique et de traitement des données personnelles (21 réunions au cours de l’exercice 2023) ;
• •comités ad hoc de gestion des projets de nouveaux outils ou services à destination des clients ;
• •comités mensuels de suivi entre le DPO et les acteurs clés de la protection de la donnée tels que le RSSI (Responsable de la Sécurité des Systèmes d'Information), le Service Client, ou divers représentants de la direction des systèmes d’information.

• ▶Formations et sensibilisation des équipes

Dès leur arrivée chez OVHcloud, quelle que soit la filiale du Groupe à laquelle ils sont rattachés, les salariés du Groupe sont obligatoirement formés à la protection des données.

Cette formation s’effectue en deux temps, (i) au travers de la semaine d’intégration à laquelle tout nouveau salarié, y compris les membres du comité exécutif, assiste, puis (ii) au travers de l’e-learning obligatoire accessible depuis la plateforme d’e-learning du Groupe.

• ▶Documentation de la conformité et procédures

OVHcloud procède à la documentation de sa conformité au travers de son registre de traitements et d’analyses d’impacts.

Afin de faciliter la gestion de cette documentation, OVHcloud a investi dans un outil de gouvernance de la donnée, permettant de centraliser l’ensemble des informations clés de la protection des données.

En outre, OVHcloud dispose d’un ensemble de procédures visant à assurer le respect des principes de protection de la donnée :

• •une politique de traitement des demandes d’exercice de droits (cf. infra) ;
• •une politique de conservation des données personnelles ;
• •une politique de gestion des incidents de sécurité (violation de données) ;
• •une politique de gestion des demandes d’extraction de données ;
• •une politique de gestion des autorisations de déplacement avec des équipements OVHcloud en dehors de l’Union européenne. (cf. infra).

• ▶Droit des personnes

OVHcloud a mis en place un formulaire de demande d’exercice de droits en ligne, accessible directement sur son site Internet. Ce formulaire permet d’assurer la traçabilité des demandes et le respect des délais de réponse.

Les demandes sont ensuite traitées par une équipe dédiée du service client du Groupe composée de cinq personnes répondant quotidiennement aux demandes des clients.

• ▶Violation des données

La sécurité des données est un enjeu central dans les activités d’OVHcloud qui a mis en place un ensemble de mesures afin de prévenir les violations de données (cf. supra).

De plus, il existe une collaboration étroite entre les équipes DPO et les équipes responsables de la sécurité des systèmes d’information (RSSI) qui permet d’assurer la bonne prise en compte d’incidents informatiques et de prévenir d’éventuelles violations de données personnelles.

OVHcloud dispose également d’un registre des incidents et violations de données conformément au RGPD, et aux législations locales telles que la loi 25 québécoise.

• ▶Protection contre les ingérences étrangères

OVHcloud met en œuvre des mesures techniques et organisationnelles visant à protéger les données hébergées par ses clients européens au sein de l’Union européenne, contre l’ingérence d’autorités non européennes. Techniquement, aucune entité OVHcloud ou tiers partenaire d’OVHcloud localisé dans un pays tiers n’assurant pas un niveau de protection des données conforme à celui en vigueur au sein de l’Union européenne, n’a la possibilité d’accéder aux infrastructures d’hébergement desdites données ni aux données personnelles relatives aux clients.

Ainsi, les entités américaines du groupe OVHcloud n’interviennent pas dans le cadre des services fournis aux clients européens d’OVHcloud et n’ont pas la possibilité technique d’accéder aux données hébergées par ces derniers dans les datacenters européens d’OVHcloud. Dès lors, lesdites entités américaines n’ont pas le contrôle des données stockées dans ces datacenters et ne peuvent répondre favorablement à des demandes d’autorités américaines visant à obtenir communication desdites données.

Seules des entités localisées au sein de l’Union européenne ou dans des pays dont le niveau de protection a fait l’objet d’une décision d’adéquation de la Commission européenne, en particulier le Canada, peuvent, dans les conditions de service en vigueur, prendre part à l’exécution des services fournis aux clients européens d’OVHcloud et intervenir techniquement sur les infrastructures sur lesquelles ces derniers hébergent leurs données.

La souveraineté des données fait référence à la capacité d’une organisation, publique ou privée, à garder le contrôle de ses données et de celles que ses clients lui confient. En fonction des organisations concernées, cet enjeu croise deux nécessités :

• ▶d’un côté, l’impératif de maîtriser les données stratégiques de son organisation (secret des affaires, données brutes sur le fonctionnement de son activité, propriété intellectuelle, données sur ses projets de recherche, etc.) ;
• ▶de l’autre, protéger les données à caractère personnel des salariés ou des clients et ainsi rétablir la confiance des personnes vis-à-vis des services numériques qui vont traiter les données les concernant.

La souveraineté technologique fait référence à la capacité d’un pays comme la France ou d’une zone comme l’Union européenne à maîtriser les technologies qui leur sont stratégiques et ainsi garantir leur autonomie. Cette dimension interroge concrètement les politiques publiques mises en place en France ou par l’Union européenne pour contrôler les composants stratégiques de sa souveraineté (ou en reprendre le contrôle), de bout en bout. La partie matérielle (composants électroniques, capacité à fabriquer des serveurs dans l’UE), mais aussi la partie logicielle (systèmes d’exploitation, logiciels dans les domaines de la cybersécurité, de l’intelligence artificielle et de l’informatique quantique) sont alors à prendre en compte.

Le traitement éthique de la donnée est depuis toujours au cœur du modèle d’affaires d’OVHcloud, il implique un traitement approprié des données de ses utilisateurs afin de garantir le respect de leur vie privée. Il est formalisé par quatre engagements :

Afin de porter ces différents chantiers et engagements, OVHcloud s’est doté de plusieurs instances permettant une gouvernance fédérée de la donnée :

• ▶le comité gouvernance de données réunit les responsables métier de la donnée qui mettent en place les processus et les pratiques garantissant une gouvernance fédérée ;
• ▶le comité de coordination des données garantit un contrôle strict de la qualité de la donnée et sa cohérence en renforçant les standards des normes ISO 27001 et ISO 27701 ;
• ▶le groupe de travail souveraineté réunit les différents acteurs d’OVHcloud afin de garantir la protection des données de ses clients vis-à-vis des acteurs internationaux.

OVHcloud défend un modèle européen du cloud ouvert, qui garantit la protection des données des citoyens et des organisations, et qui assure la souveraineté numérique, un des leviers constitutifs de l’indépendance stratégique de l’Europe. À cette fin, OVHcloud partage sa vision et ses propositions auprès des acteurs politiques et institutionnels impliqués dans l’élaboration de la décision publique, directement auprès de ces acteurs ou en lien avec des associations représentatives ; son écosystème de partenaires ou encore dans le cadre d’évènements publics.

OVHcloud entend pleinement assumer son rôle de leader du cloud européen et milite proactivement pour le développement d’un écosystème de fournisseurs de cloud européen en mesure de répondre aux besoins des utilisateurs, à travers des initiatives propres déployées à l’échelle française, européenne et internationale.

La souveraineté numérique et l’équilibre concurrentiel sur le marché du cloud en Europe constituent des enjeux fondamentaux pour permettre de garantir la liberté de choix des utilisateurs de services cloud. Afin de sensibiliser aux problématiques que soulèvent par exemple le traitement des données – et l’importance que revêt, pour les organisations, la maîtrise de leurs données les plus sensibles – ainsi que la garantie d’un cloud interopérable, OVHcloud se mobilise de plusieurs façons : participation à des salons, tables rondes, débats, keynotes, échanges avec les représentants d’institutions nationales, européennes et internationales, organisation d’évènements ad hoc.

Le Groupe diffuse également sa vision au travers des réponses apportées aux consultations publiques, des contributions à des livres blancs et de la production de documents divers : argumentaires, infographies, tribunes. À titre illustratif, au cours de l’exercice 2023, OVHcloud a répondu à 12 consultations publiques, dont une consultation de l’Agence nationale de santé (ANS) pour laquelle le Groupe a formulé des propositions relatives à l’évolution du référentiel HDS, publiées sur le site de la consultation publique, ainsi qu’une consultation(4) de l’Office of communications britannique relative à la situation concurrentielle sur le marché du cloud. Par ailleurs, il a co-signé une tribune(5) appelant à la mise en place d’une équité concurrentielle sur le marché du cloud, dans le cadre des débats en France sur le projet de loi visant à sécuriser et réguler l’espace numérique.

Le modèle européen du cloud valorisé par le Groupe implique une vision européenne de la protection des données personnelles et par conséquent un engagement à l’échelle de l’écosystème, européen comme national.

• ▶Préfiguration du comité stratégique de filière (CSF) Numérique de confiance(6)

En octobre 2022, le directeur général d’OVHcloud a été missionné par le gouvernement français pour structurer et consolider la filière française du numérique de confiance au sein de laquelle le cloud occupe une place centrale.

• ▶Membre fondateur de Gaia-X

OVHcloud a participé à la création de Gaia-X(7), une initiative européenne lancée en 2020 dont l’objectif est de construire un écosystème numérique fédéré, ouvert, sécurisé et transparent. Elle vise à permettre aux utilisateurs de bénéficier de services de cloud répondant à leurs besoins tant sur le plan technique que juridique et leur offrant des garanties adaptées en termes, notamment, de protection des données, d’interopérabilité, de sécurité ou d’immunité aux lois extraterritoriales. Au sein de Gaia-X, OVHcloud cherche à promouvoir la mise en place d’un label permettant aux utilisateurs d’identifier les services cloud leur garantissant le niveau approprié de protection des données. En 2023, OVHcloud a été réélu au Board of Directors de Gaia-X.

• ▶Membre Fondateur de l’European Alliance for Industrial Data, Edge, and Cloud

OVHcloud est également membre fondateur de l’European Alliance for Industrial Data, Edge, and Cloud(8), une initiative lancée par la Commission européenne et qui regroupe plus de 50 acteurs industriels européens mobilisés pour renforcer la capacité de l’Europe à développer sa propre technologie cloud et edge, en tenant notamment compte des enjeux de souveraineté et de développement durable. Au cours de l’exercice 2023, OVHcloud a participé aux première et deuxième assemblées générales de l’Alliance Européenne pour les Données Industrielles, Edge et Cloud. Dans ce cadre, OVHcloud a contribué à l’élaboration de la feuille de route industrielle(9) du groupe de travail Edge-Cloud, qui vise à identifier les priorités d’investissements pour renforcer la compétitivité de l’écosystème européen.

Fort de tous ces engagements, le Groupe soutient, aux côtés de son écosystème, les projets législatifs et initiatives à même de soutenir la souveraineté numérique européenne et l’établissement de règles du jeu équitables pour le marché du cloud en Europe comme le Digital Markets Act (DMA), le Data Act, l’élaboration d’un schéma européen de cybersécurité pour la certification des services cloud, dit EUCS mais aussi les travaux en cours dans plusieurs pays du monde concernant les pratiques préjudiciables à l’œuvre sur le marché du cloud, récemment relevées par l’Autorité de la concurrence en France et de nombreuses autres dans le monde (ex : Pays-Bas, Japon, Corée du Sud).

À l’avant-garde du cloud durable, OVHcloud intègre la durabilité au cœur de son modèle d’affaires depuis sa création en développant des innovations industrielles lui permettant de limiter son impact environnemental. Le Groupe s’est doté d’objectifs ambitieux qui structurent son action.

• ▶contribuer au Net Zéro planétaire (scopes 1 et 2) à horizon 2025, en s’inscrivant dans une trajectoire de réduction compatible avec un réchauffement de 1,5 °C, soit équilibrer les émissions de carbone et les actions de compensation à la fois sur les émissions directes (scope 1) et certaines émissions indirectes (scope 2) ;
• ▶contribuer au Net Zéro planétaire à horizon 2030, en s’inscrivant dans une trajectoire de réduction compatible avec un réchauffement de 1,5 °C, soit équilibrer les émissions de carbone et les actions de compensation sur l’ensemble des scopes 1, 2 et 3 ;
• ▶utiliser 100 % d’énergies bas carbone d’ici 2025* ;
• ▶zéro déchet en décharge depuis les centres de production d’ici 2025**.

*     Revu en 2022, remplaçant l’objectif de 100 % énergies renouvelables en 2025, compte tenu du mix énergétique actuel qui favorise déjà le recours à l’énergie bas carbone comme le nucléaire (France).

**   À périmètre géographique constant, c’est-à-dire au périmètre géographique de l’exercice 2022, année de structuration de la démarche RSE.

L’action environnementale d’OVHcloud s’articule autour de trois piliers :

• ▶l’innovation, au cœur de son modèle industriel ;
• ▶la contribution à l’atteinte du Net Zéro planétaire d’ici 2030 ;
• ▶la communication et la sensibilisation à l’ensemble des impacts du cloud, afin de guider les choix en matière de consommation.

Chez OVHcloud tout commence par l’humain. Les femmes et les hommes font sa richesse : ce sont les talents qui assurent sa réussite. Le « travailler ensemble » est l’une des valeurs fondamentales du Groupe. Cette dimension collective trouve son prolongement dans son écosystème, et dans la volonté de faire grandir toute la filière du cloud européen. Conscient de son impact, et de sa responsabilité, OVHcloud entend faire du numérique un levier du développement socio-économique.

Au cours de l’exercice 2023, la concurrence pour les talents s’est poursuivie malgré un environnement macroéconomique moins favorable. Dans ce contexte, attirer et faire grandir de nouvelles compétences est resté une priorité stratégique pour OVHcloud. Le Groupe a ainsi recruté 523 personnes, conduisant à une croissance nette des effectifs de plus de 3 % sur l’exercice 2023 et de plus de 18 % en cumul sur les deux derniers exercices.

Au-delà du recrutement, la fidélisation des talents constitue un second enjeu clé, afin de capitaliser sur les savoirs et de permettre la montée en compétences globale des équipes. L’indicateur de performance de référence pour en assurer le suivi est le loyalty rate, qui mesure le taux de collaborateurs présents dans le Groupe un an après leur arrivée. Ce taux s’est maintenu à 79 % en 2023, à un niveau proche de la cible de 80 % que le Groupe s’est fixée.

Le Groupe suit également le taux de départs volontaires, qui permet de mesurer le rythme de renouvellement de l’effectif. En 2023, ce taux s’élève à 10 %, conforme à l’objectif d’OVHcloud de maintenir un taux de départs volontaires inférieur ou égal à 15 % et en amélioration de plus 4 points par rapport à l’exercice 2022. De plus, l’ancienneté moyenne des départs volontaires s’est stabilisée à 3,6 années en FY2023.

Enfin, OVHcloud mesure régulièrement le niveau d’engagement de ses collaborateurs à partir des résultats d’enquêtes internes menées chaque année via un logiciel de sondage (Peakon). Les scores d’engagement pour l’année fiscale 2023 ont été de 7,7 lors de l’enquête de décembre et de 7,2 lors de l’enquête de juin, soit une moyenne de 7,45 sur l'année. Les taux de participation ont été respectivement de 84 % et de 87 %, témoignant également du niveau d’implication des collaborateurs. Le score d’engagement des collaborateurs est un indicateur clé de performance qui entre dans la composition de la rémunération variable annuelle des dirigeants mandataires sociaux (à hauteur de 15 %) et des membres du comité exécutif (à hauteur de 9 %) en 2023.

OVHcloud se distingue par les engagements phares qu’il porte, en faveur de la souveraineté des données notamment, et par une culture d’entreprise forte, soutenue par des valeurs communes qui guident chacune des actions du Groupe :

• ▶la confiance : elle engage OVHcloud auprès de son écosystème et permet à ses collaborateurs d’exprimer leur talent ;
• ▶travailler ensemble : OVHcloud a la conviction profonde qu’il n’y a de réussite individuelle qu’au service de la réussite collective. La dimension collective est essentielle pour explorer et construire le cloud de demain. Pour cela, chacun est important et contribue à son échelle ;
• ▶la passion : la passion de la technologie et de l’aventure est cardinale chez OVHcloud. Elle favorise l’innovation et le dépassement de soi ;
• ▶la disruption : OVHcloud cherche sans cesse à simplifier ses processus et ses organisations pour être plus performant et réduire les coûts. Réfléchir autrement est encouragé par le Groupe pour créer toujours plus de valeur pour les clients et l’écosystème ;
• ▶la responsabilité : OVHcloud prend ses responsabilités. Le Groupe est conscient que chaque innovation peut être positive ou négative en fonction de l’usage qui en est fait.

La marque employeur d’OVHcloud constitue le cœur de sa proposition de valeur pour les employés et a pour objectif d’attirer et de fidéliser les talents.

La marque employeur d’OVHcloud est construite autour de quatre piliers qui font écho aux valeurs du Groupe :

• 1 .« Chez nous tout commence par l’humain » : l’humain est au cœur de l’ADN du Groupe, c’est pourquoi OVHcloud a développé des services et des avantages pour améliorer la qualité de vie au travail de tous. De la conciergerie à la crèche d’entreprise, du télétravail contractualisé à des espaces pensés pour le collaboratif, tout est fait pour que chacun trouve sa place, à son rythme et dans le respect de ses valeurs ;
• 2 .« Innover en toute liberté » : un expert OVHcloud, c’est celui qui a acquis des compétences pointues tout en gardant l’envie d’explorer, de défricher et d’innover. OVHcloud recrute des gens passionnés et passionnants qui ont envie de faire et de transmettre. Penser le cloud de demain, c’est une question de disruption. À cette fin, le Groupe mise sur la collaboration de tous ;
• 3 .« Grandir et se réaliser » : avancer au rythme des technologies et sortir des sentiers battus, c’est ce qui caractérise OVHcloud. Changement de poste ou de métier, il n’y a pas de trajectoire toute faite chez OVHcloud. L’objectif est d’offrir à chacun la possibilité de s’intéresser à un nouveau domaine, pour étendre ses compétences et penser sa nouvelle expertise au prisme de son expérience ;
• 4 .« Construire ensemble le monde de demain » : En tant qu’acteur majeur du cloud, le Groupe estime que toutes et tous ont un rôle à jouer dans la transformation industrielle du secteur, et plus largement dans les changements qui impactent notre monde. Proposer un cloud humain, ouvert et durable, c’est travailler main dans la main pour un progrès collectif.

Le nouveau site Carrière, dont la première version a été mise en ligne en 2022 et une nouvelle version est prévue pour 2024, a permis de mettre en valeur et de promouvoir la marque-employeur OVHcloud. Par ailleurs, au cours de l’exercice 2023, le Groupe a participé à une quarantaine d’événements marque employeur ainsi qu’à des événements écoles et forum emploi.

Conscient de l’importance de cultiver son capital humain, OVHcloud a formé 68 % de ses effectifs en 2023. Si le taux de formation s’inscrit en retrait par rapport à l’année précédente, il demeure proche de l’objectif structurel du Groupe de former au moins 70 % de ses collaborateurs chaque année. Plus de 1 900 collaborateurs ont suivi au moins une action de formation au cours de l’exercice 2023, soit un volume équivalent à la période précédente.

Les actions de formation déployées au cours de l’exercice 2023 ont été centrées sur les enjeux métier (accompagnement des équipes commerciales, relation-client, marketing, renforcement des compétences en sécurité pour accompagner les enjeux opérationnels de l’entreprise) alors que l’exercice 2022 avait été marqué par un large volume de formations en lien avec les sorties de produits et le déploiement d’outils internes.

OVHcloud se veut une organisation apprenante, favorisant le développement des compétences de ses collaborateurs. À cet effet, le Groupe continue d’investir tout particulièrement dans les domaines suivants, jugés essentiels à l’accomplissement de ses ambitions stratégiques :

• ▶l’excellence opérationnelle afin d’optimiser son efficacité d’exécution en développant les compétences sur les méthodes de gestion de projet avec une priorité forte sur l’agilité. Plus de 300 collaborateurs ont ainsi suivi une formation sur l’agilité de la sensibilisation au framework Safe, en passant par les rôles de « product owner » et « scrum master » ;
• ▶le management, en s’appuyant sur un programme ambitieux destiné à tous les managers et personnalisé en fonction du niveau d'expérience en management. L’objectif est de former 100 % des nouveaux managers, 70 % des managers intermédiaires et 100 % des managers avancés, en deux ans. Ce programme s’accompagne d’un travail approfondi réalisé sur le modèle de leadership OVHcloud ;
• ▶les compétences métiers et technologiques, au travers de divers programmes destinés aux équipes commerciales, afin de servir les objectifs de croissance d’OVHcloud et de consolider la culture orientée client, ainsi qu’aux équipes techniques, en vue de développer les solutions d’OVHcloud et de renforcer l’expertise de ses collaborateurs. Dans ce cadre, les collaborateurs ont la possibilité de certifier leurs compétences. Les formations produits et technologiques représentent 39 % des stagiaires en FY2023 ;
• ▶enfin pour soutenir son positionnement à l’international, OVHcloud continue de déployer des formations en langues. 15 % des collaborateurs formés ont ainsi suivi une formation en anglais en FY2023.

Pour accompagner la politique de formation et se renforcer dans sa vocation d’entreprise apprenante, OVHcloud a opéré un changement majeur de LMS (Learning Management System) et dispose d’une solution dédiée au développement des compétences permettant d’accélérer le déploiement des actions de formation.

L’ambition d’OVHcloud est également de renforcer l’expertise de ses partenaires sur ses solutions grâce aux formations certifiantes mises à la disposition des membres du programme Partenaires, en fonction de leur niveau de partenariat. Plus de 1 000 certifications ont ainsi été réalisées en 2023.

Afin d’accueillir les nouveaux collaborateurs, OVHcloud a également instauré une semaine d’intégration systématique (Onboarding) durant laquelle, ils ont l’opportunité de découvrir le Groupe dans toutes ses dimensions. Elle a recueilli un taux de satisfaction de 4,58/5. Le Groupe a mis en place, via son outil d’onboarding, 19 parcours d’intégration différents selon le profil et la localisation du nouvel arrivant, pour lui permettre d’avoir tous les éléments garantissant une intégration réussie.

La sécurité au travail pour OVHcloud constitue une priorité centrale et est un indicateur clé de performance de la politique RSE. Au cours de l’exercice fiscal 2023, le nombre total d’accidents est resté relativement stable, reflétant la poursuite de la baisse du nombre d'accidents avec arrêt de travail et une hausse du nombre d'accidents sans arrêt,  qui demeure néanmoins sous le niveau de 2021. Rapportés à un nombre d'heures travaillées en légère hausse, les  taux de fréquence correspondants, avec et sans arrêt, marquent une amélioration par rapport à 2022. 

Afin de favoriser la prévention des risques en matière de santé et de sécurité, le Groupe a défini une politique autour de trois objectifs clés :

• ▶diminuer au maximum les accidents au travail ;
• ▶se conformer aux exigences légales en matière de santé sécurité environnement (SSE) et aux autres exigences applicables dans tous les pays ;
• ▶mettre en œuvre toutes les mesures satisfaisantes pour préserver la santé et l’intégrité physique des collaborateurs, des clients et communautés riveraines des activités du Groupe et protéger l’environnement.

Les mesures de mise en œuvre de cette politique sont élaborées autour des principes directeurs suivants :

• ▶impliquer toute la ligne managériale dans l’engagement de sa politique de santé prévention des risques et environnement ;
• ▶responsabiliser tous les salariés à maintenir un lieu de travail sain et sécuritaire ;
• ▶déployer auprès de tous les collaborateurs la culture du professionnalisme, de la rigueur et du respect des règles ;
• ▶assurer le déploiement du programme Santé Sécurité « Be Smart, Be Safe ! ».

OVHcloud a défini dix règles d’or en matière de sécurité s’inscrivant dans sa démarche #StaySafe. Ces dix règles d’or traitent de :

• ▶permis de travail ;
• ▶vigilance partagée et coactivité ;
• ▶environnement de travail ;
• ▶prévention et évacuation incendie ;
• ▶circulation de piétons ;
• ▶circulation d’engins ;
• ▶équipements de protection individuelle et collective ;
• ▶travail en hauteur ;
• ▶énergies et consignation ;
• ▶gestes et postures.

La démarche #StaySafe est un état d’esprit à adopter pour repérer et éviter les dangers. Elle suit quatre étapes :

• ▶Scruter l’environnement de travail et repérer les dangers ;
• ▶Analyser les conséquences des dangers et anticiper les mesures de protection individuelle et/ou collective nécessaires ;
• ▶Fiabiliser en mettant en place les mesures de prévention avec l’aide du département santé sécurité, les donneurs d’ordre ou les managers ;
• ▶Exécuter le travail une fois toutes les conditions de sécurité réunies.

Au cours de l’exercice 2023, afin de renforcer la culture sécurité, le Groupe a poursuivi ses efforts de formation des équipes techniques. La formation des managers sur site a été finalisée et le module de formation à destination de l’ensemble des techniciens a été validé pour un déploiement prévu en 2024. Par ailleurs, des champions de la sécurité (Safety champions) ont été nommés. Au nombre d’un à trois par site, ce sont des collaborateurs volontaires qui jouent un rôle de relais au sein des équipes techniques pour améliorer la culture sécurité. Enfin, le groupe a organisé des événements internes de sensibilisation comme la « World Safety Week », qui se tient chaque année sur tous les sites OVHcloud et à laquelle sont conviés tous les employés et les contractuels permanents. En 2023, celle-ci s’est déroulée du 2 au 12 mai autour de plusieurs thèmes pour lesquels des ateliers et des conférences ont été proposés à l’ensemble des collaborateurs :

• ▶le risque électrique ;
• ▶les gestes et postures ;
• ▶le risque de coactivité ;
• ▶le risque de coupure ;
• ▶les risques psychosociaux ;
• ▶le risque routier.

OVHcloud s’engage en matière de santé des collaborateurs et investit notamment dans la prévention.

• ▶Le site de Roubaix dispose depuis 2016 d’un centre médical dédié rassemblant divers professionnels de santé (ostéopathe, diététicien, kinésithérapeute, opticien, etc.) à disposition des collaborateurs.
• ▶Des conférences de sensibilisation animées par des spécialistes de santé et ouvertes à tous les collaborateurs sont régulièrement organisées sur des sujets divers. Par exemple, dans le cadre d’Octobre Rose, le mois de prévention du cancer du sein, une conférence de sensibilisation au cancer du sein et du col de l’utérus a été proposée.
• ▶Dans le prolongement du programme RPS issu du travail de recensement des risques psychosociaux réalisé en 2019, OVHcloud a lancé un nouveau programme de diagnostic RPS qui se déroulera sur le premier semestre de l’exercice 2024. Au-delà de ce qui a été réalisé lors de la campagne précédente, le Groupe souhaite aller plus loin en adoptant une approche métier pour apprécier les six risques psychosociaux. L’objectif visé est double : identifier les risques psychosociaux auxquels les collaborateurs font face et définir et déployer les mesures préventives afin de les réduire. La première phase d’évaluation a démarré en septembre 2023, via un questionnaire en ligne COPSOQ (COpenhagen PsychoSOcial Questionnaire) validé scientifiquement, administré par un expert externe. Suivront des ateliers avec les collaborateurs afin d’identifier les métiers (regroupés en unités de travail) les plus exposés, puis avec les managers et les partenaires RH associés afin de définir les mesures préventives visant à atténuer les risques.

Le Groupe met également en œuvre diverses actions :

• ▶téléconsultation médicale avec Angel en France et Dialogue au Canada ;
• ▶actions en faveur d’une pratique sportive régulière (salles de sport, animations des coaches, accompagnements bilans sportifs) ;
• ▶assistance psychologique, sociale et juridique avec Qualisocial et Dialogue au Canada.

Pour promouvoir la qualité de vie au travail, OVHcloud s’engage activement en faveur de la parentalité. Le Groupe offre un soutien aux parents en les aidant à trouver des crèches et des centres de loisirs. En complément de la crèche située dans les locaux de l’entreprise depuis une décennie à Roubaix, OVHcloud a établi un partenariat national avec Babilou. Un portail dédié à l’accompagnement de la parentalité a également été mis en place pour les collaborateurs. Y sont proposés des partages d’expériences, des conférences ou encore des services autour de la parentalité. Enfin, le Groupe a proposé cinq ateliers sur la parentalité à ses collaborateurs en 2022 en abordant les thèmes de la gestion des émotions chez les enfants et les adolescents, la confiance en soi,  l'autorité bienveillante et le cadre éducatif, la petite enfance, le stress et la charge mentale. Durant l'exercice 2023, quatre ateliers ont été proposés portant sur les enfants (et adultes) aux besoins spécifiques:  haut potentiel intellectuel (HPI), hypersensibilité, trouble de l’attention, troubles du spectre de l’autisme, troubles des apprentissages.

Plusieurs prix sont venus récompenser les efforts menés par le Groupe ces dernières années :

• ▶le Trophée Compensation & Benefits décerné par le club ORAS (15) en décembre 2021, pour le programme sur le bien-être des collaborateurs du Groupe ;
• ▶le titre de 7e meilleur employeur High-Tech en France selon le magazine Capital ;
• ▶le prix d’or aux Victoires des leaders du capital humain sur le thème de la qualité de vie au travail en mai 2022 ;
• ▶la qualité de vie au travail a également été reconnue en Pologne, où le Groupe a reçu en 2021 et en 2022 le « Wellbeing Leader Certificate » de l’Institut polonais du bien-être.

Au cours du dernier exercice fiscal, de nouvelles distinctions ont été obtenues :

• ▶le label HappyIndex®Trainees & HappyIndex®Trainees Alternance 2022-2023, qui récompense les entreprises prenant soin de leurs stagiaires et alternants, reçu pour la troisième année consécutive ;
• ▶en France, une Victoire d’argent a été décernée par les Victoires des leaders du capital humain en novembre 2022 à OVHcloud pour sa politique C&B ;
• ▶en Allemagne, OVHcloud a été reconnu Top Company 2023 par Kununu pour la seconde année consécutive.

Convaincu que chacun a un rôle à jouer pour relever les grands défis sociétaux de notre époque, OVHcloud souhaite accompagner ses collaborateurs dans leur parcours de vie, afin que chacun puisse s’épanouir dans un environnement bienveillant. Dans cet esprit, le Groupe s’est engagé à combattre toutes les formes de discrimination et de harcèlement en appliquant une politique de tolérance zéro en la matière. OVHcloud offre un environnement de travail qui valorise les différences, permettant ainsi à chacun d’exprimer pleinement ses talents. En 2023, OVHcloud a structuré sa politique de diversité et inclusion autour de divers grands rendez-vous abordant, entre autres, la neurodiversité, le multiculturalisme en entreprise, les stéréotypes et préjugés, le racisme, le sexisme, l'agisme.

• ▶La diversité et l’intelligence collective sont des moteurs clés pour innover et atteindre l’excellence. L’internationalisation des équipes en est une composante. En 2023, plus de 60 nationalités étaient représentées au sein du Groupe. La féminisation des équipes, qui constitue un enjeu majeur pour les métiers de la tech, est une priorité forte et un indicateur de performance pour la politique RSE du Groupe. Un plan d’action Égalité Hommes Femmes est établi et revu régulièrement avec les représentants du personnel en France. Ce plan traite des sujets de recrutement, d’évolution professionnelle, de rémunération et d’équilibre entre vie professionnelle et personnelle. Au cours des dernières années, la proportion de femmes dans l’effectif du Groupe a régulièrement progressé. En 2023, la part des femmes dans l’effectif total gagne encore un point pour atteindre 22 %. La part des femmes dans le management quant à elle s’améliore de trois points à 23 %. En ce qui concerne le comité exécutif, le taux s’est également amélioré au cours de l’exercice 2023 pour atteindre 36 %. Au sein d’OVHcloud, une démarche collective indépendante baptisée « Women at OVHcloud » a vu le jour au cours de l’exercice 2023, venant enrichir les actions menées par l’entreprise en ce domaine. Un premier levier d’action concerne la faible proportion d’étudiantes dans le numérique (inférieure à 20 %). Le collectif s’investit pour promouvoir les matières scientifiques auprès des jeunes filles dès le lycée, complétant les actions du Groupe auprès des filières numériques post-bac. Le second levier vise à construire un réseau interne afin de faciliter l’échange d’informations et de bonnes pratiques.
• ▶Faciliter l’accès à l’emploi des personnes en situation de handicap est un second axe important des initiatives menées en faveur de la diversité et de l’inclusion. Parmi les actions mises en place, le Groupe a fait appel à des ergonomes et ergothérapeutes pour adapter et aménager les postes de travail aux personnes en situation de handicap, alloue des chèques emploi service d’une valeur de 350 euros par an aux travailleurs en situation de handicap et publie ses offres d’emploi sur le site de l’AGEFIPH (16). En 2023, OVHcloud a intensifié sa collaboration avec l’association « le Mouton à 5 pattes » en déployant des dispositifs d’accompagnement pour les managers et des parcours pour les salariés atypiques. Afin de mesurer son niveau de progression par rapport aux exigences du décret sur l’accessibilité numérique RGAA (17), OVHcloud a réalisé des audits sur deux sites commerciaux et deux sites de production.
• ▶Plusieurs événements de sensibilisation des équipes internes aux enjeux en matière de diversité et inclusion ont été organisés au cours de l’année. Notamment, juin 2023 a été l’occasion de mener des actions de sensibilisation autour de sujets comme l’inclusion des personnes LGBTQIA+ (18) en collaboration avec l’association PRIDE IN LONDON et de rappeler à l’ensemble des collaborateurs qu’OVHcloud garantit le droit au respect des orientations et identités sexuelles de ses collaborateurs et un accès égal aux droits et avantages accordés par l’entreprise dans le cadre de la situation matrimoniale et de la parentalité. Des sessions de sensibilisation aux droits des femmes ont également été organisées, avec, notamment, la mise à l’honneur de la sociologue Sandrine Meyfret en mai 2023.

OVHcloud a réalisé en 2022 un audit avec Gloria, entreprise spécialisée sur les enjeux de la diversité et de l’inclusion en entreprise sur sa communication et ses pratiques, dont les recrutements, afin de déceler d’éventuels biais ou pratiques discriminatoires. Cette démarche s’est accompagnée d’une formation sur la diversité de manière générale, avec un accent sur les biais inconscients à destination des recruteurs. En 2023, le Groupe a ouvert ce programme à l’ensemble des collaborateurs.

OVHcloud attache une grande importance au dialogue social, gage d’implication et de performance collective, et entretient des relations de grande qualité avec ses collaborateurs et leurs représentants.

En France, la représentation des salariés est organisée au sein d’une unité économique et sociale. Les membres actuels du comité social et économique (CSE) ont été élus en 2019. Leur mandat arrivant à échéance, des élections professionnelles se dérouleront à la fin de l’année calendaire 2023. En outre, trois représentants de section syndicale ont été désignés en 2023.

En Tunisie, une commission consultative d’entreprise (CCE) est également en place. Des élections professionnelles seront organisées en avril 2024, à l’échéance du mandat des membres actuels. En ce qui concerne la représentation du personnel dans les instances dirigeantes, deux administrateurs représentant les salariés ont été désignés au sein du Conseil d’administration en 2022.

Pour OVHcloud, le « travailler ensemble » passe également par le fait d’associer le plus possible les collaborateurs aux résultats de l’entreprise. À l’occasion de son introduction en bourse sur Euronext Paris le 15 octobre 2021, le Groupe a mis en place son premier plan collectif d’actionnariat salarié, ouvert à plus de 2 000 collaborateurs en France et à l’étranger. 97,8 % des salariés éligibles à cette date sont ainsi devenus actionnaires d’OVHcloud (77,6 % ayant investi volontairement). Le Groupe a été récompensé en 2021 par le Grand prix FAS (19), qui met à l’honneur les entreprises développant les meilleures pratiques en matière d’actionnariat salarié.

En 2022, le Groupe a permis à l’ensemble de ses collaborateurs d’investir tout ou partie de leur intéressement en actions OVHcloud (via le FCPE ou en actionnariat direct selon les pays) et de bénéficier d’un abondement, sans augmentation de capital. 70 % des collaborateurs éligibles ont décidé d’investir leur intéressement (plus de 81 % en France et plus de 41 % à l’international).

En 2023, 0,65 % du capital est détenu par les collaborateurs au travers du FCPE.

En France, un accord de participation s’applique au niveau de l’unité économique et sociale, lequel prévoit de répartir entre les salariés éligibles une part du bénéfice des entreprises parties à l’unité économique et sociale, calculée sur la base de la formule légale. La répartition est effectuée au prorata du temps de présence au cours de l’exercice fiscal.

Un accord d’intéressement a été signé avec le comité social et économique en 2022, applicable jusqu’en 2024. Il concerne tous les collaborateurs au niveau global ayant au moins trois mois d’ancienneté. Les indicateurs de performance retenus pour calculer la part des bénéfices attribuable aux salariés éligibles intègrent, comme pour le plan précédent, des indicateurs relatifs à l’EBITDA ajusté et à la croissance du chiffre d’affaires, auxquels s’ajoutent deux critères RSE : l’efficacité énergétique (via le PUE ou Power Usage Effectiveness) et la fidélisation des collaborateurs.

Un avenant à cet accord a été signé en 2023 rendant les indicateurs indépendants les uns des autres et modifiant la clé de répartition entre les bénéficiaires. La redistribution de l’intéressement se fait au prorata de la masse salariale du pays dans celle du Groupe ; l’enveloppe du pays est désormais redistribuée exclusivement au prorata du temps de présence de chacun sur l’exercice fiscal.

En France, il existe au sein de l’unité économique et sociale :

• ▶un plan d’épargne Groupe, qui permet aux salariés éligibles d’investir leur épargne, y compris les versements effectués au titre de l’accord de participation et de l’accord d’intéressement, dans des fonds d’investissement diversifiés et de bénéficier de certains avantages sociaux et fiscaux en échange d’une période d’indisponibilité de généralement cinq ans ;
• ▶un compte épargne-temps (CET), qui permet aux salariés éligibles d’épargner des jours de repos non pris (certains congés, RTT...) ou une partie de leur 13e mois convertie en jours. Ils peuvent ensuite à tout moment prendre ces jours, demander à se les faire payer ou les transférer sur un autre dispositif pour préparer leur retraite ;
• ▶un plan d’épargne retraite collectif (PERCO), qui permet aux salariés éligibles d’investir les versements de l’accord de participation et de l’accord d’intéressement dans des fonds d’investissement diversifiés en vue de leur retraite. Ce dispositif offre aux salariés la possibilité de bénéficier de certains avantages sociaux et fiscaux en contrepartie d’une période d’indisponibilité jusqu’à la retraite. C’est aussi un moyen pour les salariés de préparer leur retraite en réalisant des versements volontaires ou en transférant des jours de leur CET sur le PERCO (dans la limite de 10 jours par an). Ce transfert est alors abondé par leur employeur.
•  

Le Règlement Taxonomie constitue un élément clé du plan d’action de la Commission européenne qui vise à réorienter les flux de capitaux vers une économie plus durable. En effet, il représente une étape importante vers l’atteinte de la neutralité carbone d’ici 2050, conformément aux objectifs de l’UE, car la taxonomie est un système de classification des activités économiques durables sur le plan environnemental.

Dans la section ci-après, il est présenté, en tant que société mère non financière, la part du revenu, des dépenses d’investissement (capex) et des charges d’exploitation (opex) du Groupe, pour l’exercice fiscal 2023, associée à des activités économiques éligibles à la taxonomie et liées aux deux premiers objectifs environnementaux (atténuation du changement climatique et adaptation au changement climatique), conformément à l’article 8 du Règlement Taxonomie et à l’article 10 (2) de l’Acte délégué complétant l’article 8 du Règlement Taxonomie.

Sur la base des analyses menées, une part importante des activités des groupes est éligible à la Taxonomie au titre de l’activité 8.1. ‒ Traitement de données, hébergement et activités connexes décrite dans l’Annexe I de l’Acte délégué relative à l’objectif d’atténuation du changement climatique.

Les parts éligibles des trois indicateurs financiers requis par le texte ‒ le chiffre d'affaires, les capex et les opex ‒ sont présentées ci-dessous sur la base des données consolidées IFRS de l’exercice clos le 31 août 2023.

Par « activité économique éligible à la taxonomie », il est entendu toute activité économique décrite dans les actes délégués complétant le règlement Taxonomie (à savoir, actuellement, l’Acte délégué relatif au volet climatique de la taxonomie), qu’elle remplisse ou non une partie ou l’ensemble des critères d’examen technique énoncés dans ces actes délégués.

Les activités économiques éligibles du Groupe ont été analysées sur la base des offres de services d’OVHcloud (telles que détaillées en chapitre 1 du présent document d’enregistrement universel) et elles ont été assignées aux activités économiques suivantes, conformément aux annexes I et II de l’Acte délégué relatif au volet climatique de la taxonomie.

Le tableau ci-dessous indique pour quel objectif environnemental les activités sont considérées comme éligibles :

Une part importante des activités du Groupe est considérée comme éligible à l’activité 8.1 Traitement de données, hébergement et activités connexes de l’objectif d’atténuation du changement climatique. En effet, les offres basées principalement sur des services de mise à disposition de capacité de stockage (« hébergement ») répondent à la description de cette activité. Les offres ainsi considérées comme éligibles sont les suivantes :

• ▶les offres de cloud privé (Bare Metal Cloud et Hosted Private Cloud) dans leur intégralité, celles-ci correspondant à des offres de mise à disposition soit de serveurs physiques dédiés, soit de capacités de cloud fonctionnant sur des serveurs physiques dédiés (se référer à la section 1.3.1.1 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le Groupe) ;
• ▶les offres de cloud public dans leur intégralité, (se référer à la section 1.3.1.2 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le Groupe). Les solutions PaaS et SaaS proposées par OVHcloud et directement hébergées sur les infrastructures du Groupe sont jugées éligibles dans la mesure où OVHcloud a le contrôle sur les équipements physiques et peut agir sur leur efficacité énergétique ;
• ▶les offres de « Web cloud et autres » uniquement pour la partie « Web hosting » et « Services », correspondant à l’hébergement des sites web clients sur les serveurs physiques du Groupe et à l’assistance nécessaire au bon fonctionnement des équipements et au respect des engagements du Groupe dans le cadre de l’ensemble de ses offres (se référer à la section 1.3.1.3 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le Groupe). Les offres ou solutions relatives aux noms de domaine, à la téléphonie et connectivité ne sont pas jugées éligibles à date car non directement liées aux serveurs physiques.

De manière générale, toutes les solutions proposées par OVHcloud directement hébergées sur des serveurs physiques appartenant au Groupe ou étant contrôlés directement par le Groupe, ont été jugées éligibles à la Taxonomie européenne au titre de l’activité 8.1 de l’objectif d’atténuation du changement climatique.

A la différence de l’éligibilité uniquement basée sur la description des activités, l’alignement prend en compte les critères de contribution substantielle, le fait de « ne pas causer de préjudice important » et les garanties sociales minimales.

Concernant l’activité 8.1 ‒ Traitement de données, hébergement et activités connexes, le Groupe a analysé son alignement au regard de l’objectif 1 ‒ Atténuation du changement climatique.

Le Groupe a réalisé l’analyse suivante des trois critères cumulatifs de contribution substantielle pour l’activité 8.1 ‒ Traitement de données, hébergement et activités connexes au titre de l’objectif d’atténuation : 

Afin de valider l’alignement de ses datacenters à l’activité 8.1 de l’objectif d’atténuation du changement climatique, OVHcloud s’est ensuite assuré du respect des critères de DNSH pour l’ensemble de ses datacenters respectant les critères de contribution substantielle (cf. détails supra) : 

OVHcloud s’est finalement assuré du respect des garanties minimales. Le Groupe dispose d’un ensemble de politiques et de processus en place permettant de garantir les exigences du règlement Taxonomie concernant les sujets de :

• ▶Droits Humains et droit du travail (cf. 3.3.1 Attirer et faire grandir les talents dans une aventure collective au sein d’une entreprise diverse et inclusive, 3.3.2.2 Collaborer avec les fournisseurs dans une démarche d’achats responsables et 3.3.2.3 Ethique et conduite des affaires)
• ▶Concurrence (cf. 3.3.2.3 Éthique et conduite des affaires)
• ▶Corruption (cf. 3.3.2.2 Collaborer avec les fournisseurs dans une démarche d’achats responsables et 3.3.2.3 Éthique et conduite des affaires)
• ▶Fiscalité (cf. 2.1.2.4 Risques financiers, 3.3.3.2 Ancrage dans les territoires & impact socio-économique)

Le Groupe a mis en place des procédures d’identification, analyse, suivi, évaluation et évolution sur l’ensemble des piliers. 

Le Groupe demande à ses fournisseurs de signer le code de conduite fournisseurs qui stipule, entre autres, l’exigence du respect des droits de l’homme et notamment les principes énoncés dans la Déclaration Universelle des Droits de l'Homme. Le Groupe poursuit l’analyse de Droits Humains sur l’ensemble de sa chaine de valeur. 

OVHcloud se conforme aux dispositions légales de la loi Sapin 2 du 9 décembre 2016.

Enfin, le Groupe n’a fait l’objet d’aucune condamnation matérielle en rapport avec les différentes dimensions des garanties minimales.

Le périmètre considéré pour l’estimation des trois indicateurs est le périmètre consolidé Groupe, tel que défini à la note 5.5. des états financiers consolidés 2023, présenté au chapitre 5 du présent document d’enregistrement universel.

La part d’activités économiques éligibles à la taxonomie dans le chiffre d'affaires consolidé d’OVHcloud a été obtenue en divisant la part du chiffre d'affaires générée par la vente de services associés à des activités économiques éligibles à la taxonomie (numérateur) par le chiffre d'affaires net (dénominateur), dans chaque cas pour l’exercice s’étendant du 1er septembre 2022 au 31 août 2023.

Le dénominateur de l’indicateur chiffre d'affaires est basé sur le chiffre d'affaires consolidé d’OVHcloud, conformément à IAS 1.82 (a) (se référer à la note 4.3. des états financiers consolidés annuels 2023 présentés au chapitre 5 du présent document d’enregistrement universel).

Le numérateur de l’indicateur est défini comme la part du chiffre d'affaires net générée par des services associés aux activités économiques éligibles à la taxonomie, telles que décrites ci-dessus dans la partie Détermination des activités économiques d'OVHcloud éligibles à la Taxonomie de la présente section. Cette part a été estimée sur la base des reportings de gestion d'OVHcloud intégrant le niveau de détail nécessaire en lecture directe. 

Le chiffre d'affaires aligné correspond au chiffre d'affaires généré par les datacenters ayant été audités par le tiers indépendant et ayant été certifiés conformes au respect du code de conduite. Sur la base du chiffre d’affaires de ces datacenters, le Groupe a appliqué la clé de répartition telle que décrite dans le paragraphe précédent « Critères de contribution substantielle » afin de ne conserver que le chiffre d’affaires relatif à la part des serveurs refroidis par eau.

Au 31 août 2023, la part du chiffre d’affaires éligible et aligné s’élève respectivement à 88 % et 64 % tel que présentés dans le tableau ci-dessous :

L’indicateur relatif aux capex est calculé en divisant les capex éligibles à la taxonomie (numérateur) par le total des capex (dénominateur).

Le total des capex (dénominateur) comprend les acquisitions d’immobilisations corporelles et incorporelles réalisées au cours de l’exercice, avant amortissement et avant toute remesure, y compris les remesures résultant de réévaluations et de dépréciations, à l’exclusion des variations de la juste valeur. Il comprend les acquisitions d’immobilisations corporelles (IAS 16), d’immobilisations incorporelles (IAS 38), d’actifs au titre du droit d’utilisation (IFRS 16) et d’immeubles de placement (IAS 40), ainsi que les entrées résultant de regroupements d’entreprises (se référer aux notes 4.10, 4.11 et 4.23 des états financiers consolidés annuels 2023 présentés au chapitre 5 du présent document d’enregistrement universel)

Le numérateur est uniquement constitué des capex liés à des actifs ou processus essentiels à l’exécution des activités économiques éligibles à la taxonomie [(« catégorie a »)], ceux-ci représentant la quasi-totalité des capex de l’exercice. 

Les capex n’étant pas suivis actuellement par offre de services dans les reportings du groupe, une analyse détaillée par type d’actif a été menée et a conduit à considérer les capex suivants comme essentiels à l’exécution des activités économiques éligibles : 

• ▶Tous les capex (acquisitions d’immobilisation ou augmentations des droits d’utilisation IFRS 16) relatifs à des infrastructures (« hardware ») et à leur fonctionnement (fibre, réseau, adresses IP, composants, maintenance) 
• ▶Une part des frais de R&D capitalisés estimée de la manière suivante : 
  • •100 % des frais de R&D capitalisés relatifs à des projets d’amélioration de l’efficience des infrastructures (équipements ou logiciels) ;
  • •Une quote-part des frais de R&D capitalisés relatifs à des développements de logiciels dont l’utilisation est transverse à toutes les activités du groupe. Cette quote-part est fonction de la part de revenu éligible à la Taxonomie ;
• ▶L’intégralité des mouvements de périmètre impactant les immobilisations incorporelles et corporelles et relatifs à l’acquisition de ForePaaS venant renforcer les offres éligibles d’OVHcloud au titre de l’activité 8.1. 
• ▶Une quote-part des capex relatifs aux bureaux estimés en fonction de la part de revenu éligible.

Afin de déterminer la part alignée de ces capex éligibles, le Groupe a eu recours à une clé d’allocation basée sur le part du chiffre d’affaires aligné sur le chiffre d’affaires éligible. Cette clé d’allocation a uniquement été utilisée sur les capex éligibles relatifs à des infrastructures (« hardware ») et à leur fonctionnement (fibre, réseau, adresses IP, composants, maintenance), ces investissements étant corrélés aux tendances de chiffre d’affaires du Groupe. 

Les autres capex éligibles n’étant pas directement corrélés au chiffre d’affaires et étant dans l’impossibilité de les rattacher précisément aux datacenters ayant validé les critères d’alignement, le Groupe a considéré ces capex éligibles non alignés.

Au 31 août 2023, la part des capex éligibles et alignés s’élèvent respectivement à 99 % et 40 % tel que présentés dans le tableau ci-dessous : 

L’indicateur relatif aux opex est calculé en divisant les opex éligibles à la taxonomie (numérateur) par le total des opex (dénominateur).

Le total des opex telles que définies par la Taxonomie correspondent aux coûts non capitalisés relatifs à la recherche‑développement, aux mesures de rénovation des bâtiments, aux contrats de location à court terme, à la maintenance et aux réparations, et à toute autre dépense directe liée à l’utilisation quotidien des immobilisations corporelles.

Ainsi, le total opex telles que définies par la Taxonomie représentent environ 11 % du total des opex du groupe contre 8 % l’année précédente, s’élevant à 101 millions d’euros et correspondant à la somme des charges de personnel, charges opérationnelles, dotations et amortissements et autres charges opérationnelles non courantes (se référer aux notes 4.4, 4.5, 4.6 et 4.7 des états financiers consolidés annuels 2023 présentés au chapitre 5 du présent document d’enregistrement universel).

Les opex du Groupe sont suivies par segments mais ne ne sont pas suivies avec une granularité par offre de service, des clés d’allocation ont été utilisées afin d’identifier la part des activités économiques éligibles à la taxonomie dans les opex : 

• ▶Les coûts de maintenance et réparation ainsi que les frais liés aux contrats de location non capitalisés ont été alloués sur la base de la part du revenu éligible ;
• ▶Les coûts de R&D ont été alloués proportionnellement à l’allocation des frais de R&D capitalisés. 

Afin de déterminer la part alignée des opex éligibles, le Groupe a utilisé une clé d’allocation basée sur le chiffre d’affaires aligné rapporté au chiffre d’affaires éligible en raison du fait que les coûts de R&D et de maintenance et réparation sont principalement liés aux technologies relatives à l'exploitation des datacenters.

Au 31 août 2023, la part des opex éligibles et alignées s’élèvent respectivement à 88 % et 49 % tel que présenté dans le tableau ci-dessous : 

La Déclaration de performance extra-financière 2023, présentée dans le présent document d’enregistrement universel, s’attache à produire les informations extra-financières les plus pertinentes pour le Groupe au regard de son modèle d’affaires, de ses activités, de ses enjeux majeurs issus de la matrice de matérialité et des principaux risques du Groupe.

Ainsi, OVHcloud s’est concentré sur les enjeux et risques identifiés comme étant prioritaires et a exclu de son champ d’analyse les thématiques suivantes :

• ▶lutte contre le gaspillage alimentaire ;
• ▶lutte contre la précarité alimentaire ;
• ▶respect du bien-être animal ;
• ▶respect d’une alimentation responsable, équitable et durable.

OVHcloud mesure la progression du Groupe en matière de RSE sur les trois domaines suivants : Environnement, Conduite des affaires, Social et Sociétal. Quinze indicateurs, présentés dans le tableau ci-dessous, ont été retenus et audités pas l’organisme tiers indépendant.

Deux indicateurs relatifs à la catégorie Conduite des affaires ont été ajoutés sur l'exercice fiscal 2023: le taux de signature du code de conduite fournisseurs et le taux de validation de la formation anti-corruption.

Chaque indicateur est décrit dans cette note méthodologique, précisant :

• ▶le mode de calcul de l’indicateur ;
• ▶le processus de production des données.

Un tableau de synthèse présentant les indicateurs et leurs valeurs pour les exercices 2021, 2022 et 2023 se trouve dans le chapitre introductif de la DPEF à la section « Analyse de matérialité et évaluation des risques RSE ».

Exercice clos le 31 août 2023

À l’assemblée générale,

En notre qualité de commissaire aux comptes de votre société (ci-après « entité ») désigné organisme tiers indépendant ou OTI (« tierce partie »), accrédité par le Cofrac sous le numéro 3-1884 (23), nous avons mené des travaux visant à formuler un avis motivé exprimant une conclusion d’assurance modérée sur les informations historiques (constatées ou extrapolées) de la déclaration consolidée de performance extra-financière, préparées selon les procédures de l’entité (ci-après le « Référentiel »), pour l’exercice clos le 31 août 2023 (ci-après respectivement les « Informations » et la « Déclaration »), présentée dans le rapport de gestion du Groupe en application des dispositions des articles L. 225-102-1, R. 225-105 et R. 225-105-1 du Code de commerce.

Sur la base des procédures que nous avons mises en œuvre, telles que décrites dans la partie « Nature et étendue des travaux », et des éléments que nous avons collectés, nous n'avons pas relevé d'anomalie significative de nature à remettre en cause le fait que la Déclaration est conforme aux dispositions réglementaires applicables et que les Informations, prises dans leur ensemble, sont présentées, de manière sincère, conformément au Référentiel.

Depuis l’admission des actions de la Société aux négociations sur le marché réglementé d’Euronext Paris, en octobre 2021, la Société se réfère et se conforme aux recommandations du Code de gouvernement d’entreprise des sociétés cotées élaboré par l’Association française des entreprises privées (l’« AFEP ») et le Mouvement des entreprises de France (le « MEDEF ») dans sa version mise à jour en janvier 2020 (le « Code AFEP-MEDEF »), à l’exception de la recommandation de l’article 11.3 pour les raisons détaillées ci-dessous.

Le Code AFEP-MEDEF auquel la Société se réfère peut être consulté sur Internet aux adresses suivantes : http://www.medef.com ou http://www.afep.com. La Société tient à la disposition permanente des membres de ses organes sociaux des copies de ce Code.

Depuis la publication du document d’enregistrement universel 2022, il n’y a pas eu de modification de la composition du Conseil d’administration et de ses comités.

À la date du présent document d’enregistrement universel, la Société est dotée d’un Conseil d’administration composé de onze (11) membres dont une majorité d’administrateurs indépendants et de deux (2) censeurs :

• ▶quatre (4) administrateurs nommés sur proposition de la famille Klaba :
  • •M. Octave Klaba (Président du Conseil d’administration),
  • •M. Miroslaw Klaba,
  • •M. Henryk Klaba, et
  • •M. Michel Paulin (directeur général) ;
• ▶cinq (5) administrateurs indépendants :
  • •M. Bernard Gault (administrateur référent),
  • •Mme Isabelle Tribotté,
  • •Mme Corinne Fornara,
  • •Mme Diana Einterz, et
  • •Mme Sophie Stabile ;
• ▶deux (2) administrateurs représentant les salariés :
  • •Mme Pauline Wauquier,
  • •M. Hugues Bodin ;
• ▶deux (2) censeurs :
  • •M. Karim Saddi,
  • •M. Jean-Pierre Saad.

Le tableau ci-après présente la composition du Conseil d’administration à la date du présent document d’enregistrement universel :

L’assemblée générale des actionnaires de la Société du 14 octobre 2021 a décidé la modification de la durée des mandats d’administrateur afin de permettre le renouvellement échelonné, sous condition suspensive de l’admission des actions aux négociations sur le marché réglementé d’Euronext Paris. Ainsi, la durée des mandats des administrateurs a été modifiée comme suit :

• ▶Miroslaw Klaba : un an, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2022 ;
• ▶Isabelle Tribotté : un an, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2022 ;
• ▶Henryk Klaba : deux ans, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2023 ;
• ▶Sophie Stabile : deux ans, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2023 ;
• ▶Corinne Fornara : trois ans, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2024 ;
• ▶Bernard Gault : trois ans, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2024 ; et
• ▶Diana Einterz : trois ans, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2024.

Les mandats d’administrateur de M. Miroslaw Klaba et de Mme Isabelle Tribotté ont été renouvelés au cours de l’assemblée générale du 16 février 2023 pour quatre ans.

La durée des mandats d’administrateur de Michel Paulin et d’Octave Klaba demeure inchangée.

Par ailleurs, deux administrateurs représentant les salariés ont été désignés le 13 avril 2022, conformément à l’article 13.3 des statuts de la Société et à l’article L. 225-27-1 du Code de commerce et l’un d’eux, M. Hugues Bodin, a rejoint le comité des nominations, des rémunérations et de la gouvernance le 27 octobre 2022 en tant que membre.

Le Conseil d’administration est également composé de deux (2) censeurs dont les profils sont présentés ci-après. MM. Karim Saddi et Jean-Pierre Saad ont été nommés en qualité de censeurs du Conseil d’administration le 18 octobre 2021 et la décision a été ratifiée par l’assemblée générale du 15 février 2022. Les censeurs ne sont pas rémunérés. Ils participeront aux travaux du Conseil d’administration sans disposer d’une voix délibérative et ne bénéficieront pas, à ce stade, de missions spécifiques.

La loi prévoit que le Conseil d’administration élit parmi ses membres un Président, personne physique, dont le rôle est décrit au 3.2.1.5 supra.

Le Conseil d’administration confie la direction générale de la Société soit au Président du Conseil d’administration (qui porte le titre de Président-directeur général), soit à une autre personne physique, administrateur ou non, portant le titre de directeur général.

Comme le rappelle le Code AFEP-MEDEF, la loi ne privilégie aucune formule et il appartient au Conseil d’administration de la Société de choisir entre les deux modalités d’exercice de la direction générale unifiée ou dissociée, selon ses impératifs particuliers.

Mode de gouvernance

M. Octave Klaba a été nommé Président du Conseil d’administration, lors de la réunion du Conseil d’administration du 28 septembre 2021, pour une durée équivalente à la durée de son mandat d’administrateur, soit jusqu’à l’issue de la réunion de l’assemblée générale ordinaire de la Société qui sera appelée à statuer sur les comptes de l’exercice clos le 31 août 2025.

M. Michel Paulin a été nommé directeur général, lors de la réunion du Conseil d’administration du 28 septembre 2021, pour une durée équivalente à la durée de son mandat d’administrateur, soit jusqu’à l’issue de la réunion de l’assemblée générale ordinaire de la Société qui sera appelée à statuer sur les comptes de l’exercice clos le 31 août 2025.

La dissociation des fonctions a été motivée par la rétention des compétences et expériences de M. Octave Klaba, fondateur d’OVHcloud, à un moment décisif de l’histoire de l’entreprise avec son introduction en bourse en 2021. Nonobstant le fait que cette formule de gouvernance d’entreprise soit considérée par les investisseurs et les agences en conseil de vote comme la meilleure pratique.

Conformément à la loi, le directeur général est investi des pouvoirs les plus étendus pour agir en toutes circonstances au nom de la Société. Il exerce ses pouvoirs dans la limite de l’objet social. Toutefois, à titre de règles d’ordre interne, le directeur général exerce ses pouvoirs dans les limites prévues par le règlement intérieur du Conseil d’administration. À ce titre, sont soumises à autorisation préalable du Conseil d’administration les décisions suivantes du directeur général :

• ▶le budget annuel détaillé du Groupe, le Business Plan du Groupe ainsi que toute modification ;
• ▶toute décision portant sur toute dépense d’investissement d’un montant individuel qui ferait dépasser de 7,5 % les dépenses du budget annuel ;
• ▶toute acquisition ou cession d’actifs (y compris les brevets et droits de propriété intellectuelle), de fonds de commerce ou d’actions par une société du Groupe, non comprise dans le budget annuel, pour un montant individuel supérieur à 25 millions d’euros ;
• ▶l’autorisation de l’octroi par le Président de cautions, avals et garanties ;
• ▶toute modification des statuts de la Société ; et
• ▶toute décision prise par une société du Groupe de souscrire auprès d’un tiers (autre qu’une autre société du Groupe) tout financement externe autre que dans le cadre d’un Revolving Credit Facility existant d’un montant supérieur à 25 millions d’euros et non compris dans le budget annuel.

À la connaissance de la Société, les transactions suivantes ont été réalisées au cours de l’exercice écoulé sur les actions de la Société par les personnes visées à l’article L. 621-18-2 du Code monétaire et financier :

Les informations afférentes au gouvernement d’entreprise et constitutives du rapport du Conseil d’administration sur ce sujet sont déjà présentes dans d’autres parties du présent document d’enregistrement universel. Afin d’en limiter la répétition, la table de concordance ci-dessous permet de faire le lien entre chaque rubrique dudit rapport et le paragraphe correspondant du présent document.

Le récapitulatif des éléments de la rémunération des dirigeants mandataires sociaux, M. Octave Klaba et M. Michel Paulin, versée au cours de l’exercice 2023 ou attribuée au titre de cet exercice ainsi que la politique de rémunération 2024, soumis au vote des actionnaires lors de l’assemblée générale mixte du 16 février 2023, figurent à la section 4.5.2.2.

La rémunération globale versée durant l’exercice 2023 ou attribuée au titre du même exercice au Président du Conseil d’administration et du directeur général, aux administrateurs et aux autres dirigeants non-mandataires sociaux, tant par la Société que par les sociétés contrôlées au sens de l’article L. 233-16 du Code de commerce, est détaillée ci-après. Il est rappelé que le Conseil d’administration d’OVH Groupe, réuni le 14 novembre 2023, a confirmé que le Code AFEP-MEDEF est celui auquel la Société se réfère, notamment concernant la rémunération des dirigeants mandataires sociaux. Le présent document d’enregistrement universel et en particulier les tableaux figurant à la section 4.5.2.2 (options de souscription et/ou d’achat d’actions, actions gratuites, actions de performance), ont été établis selon le format préconisé par le Code AFEP-MEDEF et la recommandation de l’AMF 2012-02.

Les principes et critères de détermination, de répartition et d’attribution des éléments fixes, variables et exceptionnels composant la rémunération totale et les avantages de toute nature attribuable aux dirigeants mandataires sociaux en raison de leur mandat constituant la politique de rémunération les concernant sont arrêtés par le Conseil d’administration sur recommandations du comité des nominations, des rémunérations et de la gouvernance, et sont soumis à l’approbation des actionnaires (« vote sur la politique de rémunération ex ante ») lors de l’assemblée générale des actionnaires conformément à l’article L. 225-37-2 du Code de commerce.

Par ailleurs, en application de l’article L. 22-10-34 du Code de commerce, l’assemblée générale des actionnaires statue sur : (i) les éléments fixes, variables et exceptionnels composant la rémunération totale et (ii) les avantages de toute nature versés au cours de l’exercice écoulé ou attribués au titre du même exercice aux dirigeants mandataires sociaux (« vote sur la rémunération ex post au titre de l’exercice antérieur »). En conséquence, le versement des éléments de rémunération variables ou exceptionnels au titre d’un exercice est conditionné à leur approbation par l’assemblée générale des actionnaires appelée à statuer sur les comptes dudit exercice.

M. Octave Klaba en sa qualité de Président du Conseil d’administration et M. Michel Paulin en sa qualité de directeur général sont les seuls dirigeants mandataires sociaux.

Les entités apparentées comprennent principalement des sociétés contrôlées par M. Octave Klaba, fondateur et Président du Conseil d’administration de la société OVH Groupe, et d’autres entités contrôlées par d’autres membres de la famille Klaba, associés directs ou indirects de la Société, ou par le Président d’OVH SAS et le directeur général d’OVH Groupe. 

Au titre des conventions décrites ci-dessous conclues avec des parties liées et se rapportant à la conduite de l’activité, le Groupe a comptabilisé un montant total de charges opérationnelles à hauteur de 6 445 738 euros pour l’exercice 2023, contre 13 895 000  euros pour l’exercice 2022 et, au titre du résultat financier (IFRS 16), 106 854 euros pour l’exercice 2023, contre - 125 000 euros pour l’exercice 2022. Les chiffres plus détaillés concernant les opérations avec des apparentés figureront dans les états financiers consolidés pour l’exercice clos le 31 août 2023.

Les principales conventions avec les parties liées sont décrites dans le présent chapitre.

La société bénéficie d’une clause de non-concurrence de M. Michel Paulin, directeur général de la société, pendant une durée d’un an à l’issue de la cessation de son mandat et ce en contrepartie d’une rémunération égale à 50 % de la rémunération (fixe + variable) au titre de l’exercice précédant le départ. Cette clause ne sera pas applicable en cas de départ à la retraite et en cas d’atteinte de l’âge de 65 ans.

La société se réserve la faculté de renoncer unilatéralement à cet engagement de non-concurrence à compter de la date de notification de la cessation des fonctions, auquel cas le directeur général sera libre et aucune indemnité ne lui sera due.

Il est de l’intérêt de la société de pouvoir s’assurer, en cas de départ de M. Michel Paulin, que la société puisse lui interdire de faire concurrence à l’entreprise, dans les conditions prévues par la clause de non-concurrence.

Cette convention a fait l’objet d’une autorisation préalable du Conseil d’administration en date du 28 septembre 2021 et d’un rapport spécial en date du 29 septembre 2021. Cette convention a été approuvée par l’assemblée générale mixte des actionnaires du 14 octobre 2021.

Néant.

a. Shadow SAS (ex-Hubic SAS – Blade SAS) – Cloud Services

Les relations entre OVH SAS et les entités de Shadow sont les suivantes :

• ▶services encadrant des prestations d’audit, de conduite de projet et de fourniture de serveurs de stockage temporaire : contrat qui a pris effet le 15 mars 2021 et qui s’est terminer, après 6 renouvellements, le 30 novembre 2022 ;
• ▶services de comptabilité, de facturation et de support fournis par OVH SAS à Shadow SAS pour l’activité « Hubic » : un contrat (accord de transition) a été signé lors de la cession de l’activité « Hubic » par OVH à Shadow (modifié en août 2021 et février 2022 pour ajuster les services et les tarifs). Le contrat a été rompu le 15 octobre 2022.

La facturation et l’encaissement des clients n’est pas une activité habituelle pour OVH SAS, à ce titre cette convention a été considérée comme une convention réglementée et a été approuvée par le président d’OVH SAS en 2021 ;

• ▶services de stockage et de retrofit sur les équipements matériels détenus par Shadow en France. Depuis juillet 2021, OVH SAS stocke des serveurs pour Shadow qui sont « rétrofités » par OVH SAS et récupérés par Shadow en avril 2022. Ce contrat a expiré le 14 mars 2023.

Cette opération ne s’inscrit pas dans le cours normal des affaires d’OVH SAS et est à ce titre considérée comme une convention réglementée et a été approuvée par le président d’OVH SAS en 2022.

b. Contrat de prestation de services transitoire (contrat dit « TSA ») par OVH SAS au bénéfice de Shadow SAS (anciennement dénommée Hubic SAS, le changement de nom étant survenu en juillet 2021)

Dans le cadre des activités de Hubic acquises par Shadow SAS (ex-Hubic SAS) en 2021, un accord de prestation de services transitoire a été conclu entre OVH SAS et Shadow SAS aux termes duquel OVH SAS s’est engagée à fournir des services administratifs à Shadow SAS. Cet accord a été modifié par avenant conclu en septembre 2021 et en mars 2022 pour ajuster les services fournis et la rémunération associée. 

Le montant facturé par OVH SAS au cours de l’exercice 2023 au titre de ce contrat s’élève à € 0 HT, contre  131 987,10 euros HT au cours de l’exercice 2022.

La fourniture de ces prestations reste exceptionnelle pour OVH SAS puisqu’elles ont vocation à accompagner le repreneur des actifs cédés de façon à assurer la meilleure transition possible. Ce type d’accord de prestation de services transitoire est toutefois très courant en cas de cession d’actifs. 

c. Prestation d’émission d’avoirs et de remboursement par OVH SAS pour des clients de  Shadow SAS

Dans le cadre des activités de Hubic acquises par Shadow SAS en 2021, la société Shadow SAS a souhaité migrer la plateforme existante historique « Hubic » et offrir à ses clients de migrer par leurs propres moyens sur un nouveau service de stockage de données, Shadow Drive. 

À ce titre, Shadow SAS a commandé le 23 août 2022 à OVH SAS une prestation d’émission d’avoirs et remboursement de certains clients pour son compte, puisque cette dernière procède à l’émission des factures et à l’encaissement des créances au titre du service historique « Hubic » dans le cadre du contrat dit « TSA ».

Cette prestation est intervenue sur l’exercice comptable 2023, et OVH SAS a facturé ces opérations pour un montant total s’élevant à 8 900 euros HT.

Cette prestation d’émission d’avoirs et de remboursement pour un tiers ne fait pas partie de l’activité courante d’OVH SAS mais peut être considérée comme un accessoire du contrat dit « TSA ».

d. Contrat de retrofit conclu entre OVH SAS et Shadow SAS

Shadow SAS a conclu un contrat avec OVH SAS aux fins de réaliser une prestation de services sur du matériel informatique, visant notamment à tester des composants informatiques pour assembler les composants fonctionnels afin d’en faire des serveurs à compter du 5 juillet 2021.

OVH SAS possède une usine permettant d’assembler des composants informatiques afin de construire ses propres serveurs, et a dans ce cadre développé une activité de « retrofit » permettant de désassembler puis réassembler les composants d’équipements existants. Un contrat a donc été conclu avec Shadow pour le désassemblage puis réassemblage (retrofit), le stockage et le transport de certains composants informatiques. 

OVH SAS ne propose pas usuellement ce type de services pour des tiers.

Le montant de cette prestation s’élève à 21 151,78 euros HT.

Ce contrat a pris fin le 8 mars 2023.

e. Achat de matériel informatique entre la société Shadow SAS et la société OVH SAS

Un contrat d’acquisition « Purchase agreement » a été signé le 9 juin 2022 entre OVH SAS et Shadow SAS pour un montant de 1 912 808 euros HT pour l’achat par OVH SAS de matériel informatique d’occasion situé en France. 

Ce contrat prévoit l’acquisition par la société OVH SAS d’équipements d’occasion afin d’en effectuer la migration au sein de ses centres de données. 

Ces opérations d’acquisitions et de migration ne sont pas courantes pour OVH SAS. Elles sont toutefois cohérentes avec les ambitions d’OVH Groupe de limiter son impact environnemental, notamment en réexploitant des équipements et composants existants, après s’être bien sûr assuré de leurs performances.

Les assemblées d’actionnaires d’OVH sont convoquées et délibèrent dans les conditions prévues par la loi et dans les statuts.

Les dispositions statutaires d’OVH relatives aux assemblées générales et aux modalités d’exercice des droits de vote en assemblée générale sont prévues au Titre IV – assemblées générales – Article 22 – Réunions, Composition, Délibérations, des statuts d’OVH, lesquels sont mis en ligne sur le site www.corporate.ovhcloud.com, rubrique Gouvernance.

Le tableau suivant présente les chiffres clés de l’exercice 2023.

OVHcloud a connu une croissance de chiffre d’affaires  soutenue en 2023 et a généré 25 millions d’euros de Unlevered Free Cash-Flow au second semestre  

• ▶Chiffre d’affaires de 897 millions d’euros, en hausse de +13,4 % par rapport à 2022, en données comparables
• ▶Forte croissance en données comparables du chiffre d’affaires des segments cloud public de +21,0 % et cloud privé de +15,1 %, sur l’année 2023 
• ▶EBITDA ajusté de 325 millions d’euros, soit une marge de 36,3 %, sur l’année 2023
• ▶Génération de 25 millions d’euros de Unlevered Free cash-flow (Capacité d’autofinancement ajustée des dépenses de Capex à l’exception des acquisitions de sociétés, de la variation du besoin de fonds de roulement et des impôts sur les sociétés payés) au second semestre 2023
• ▶Les capex récurrents et de croissance atteignent respectivement 16,3 % et 23,6 % du chiffre d’affaires de l’exercice

Michel Paulin, Directeur Général d’OVHcloud a déclaré : 

« Les très bons résultats d’OVHcloud en 2023 témoignent de sa capacité à réaliser une croissance soutenue et durable. Cette performance est étayée par le fort dynamisme de nos activités dans le cloud, qui désormais représentent plus de 80% de notre activité, ainsi que nos offres différenciantes et de qualité. Nos solutions de cloud durable, qui donnent la priorité au rapport performance-prix et à la souveraineté des données, s’adaptent parfaitement aux besoins en constante évolution de notre clientèle fidèle et grandissante, mais aussi à des nouveaux clients qui souhaitent maitriser leurs coûts et aussi garantir la protection de leurs données.

Nous avons notamment franchi une étape importante en 2023 avec la génération d’un Unlevered Free Cash-Flow positif au second semestre. Ce résultat a été rendu possible par l’amélioration de l’efficience des capex de croissance – un changement par rapport aux deux années précédentes qui ont été caractérisées par des capex non-récurrents liés aux inefficacités de la chaîne d’approvisionnement post-Covid et au développement de solutions PaaS – ainsi que par le maintien d’une approche rigoureuse en matière de couts opérationnels. » 

OVHcloud confirme sa position de leader pour un Cloud durable avec des indicateurs clés de performance dans les meilleurs du marché, et des engagements de moyen-terme ambitieux :

• ▶100 % d’énergie bas-carbone d’ici 2025, avec pour objectif de limiter l’utilisation d’énergie carbonée en favorisant les énergies renouvelables mais aussi les autres sources d’énergie bas-carbone ;
• ▶Contribution au NetZero mondial sur les scopes 1 et 2 d’ici 2025, et sur l’intégralité des scopes d’ici 2030 ;
• ▶Objectif zéro déchet en décharge depuis les centres de production d’ici 2025. 

Dès l’exercice 2023, OVHcloud a atteint le score de 71 / 100 dans le S&P Rating et, selon la notation de Sustainalytics, figure parmi les 15 % des sociétés du secteur Technologique les plus performantes en ESG. Les efforts constants d’OVHcloud pour innover et améliorer l’empreinte climatique de son activité permettront de réduire les émissions Scope 3 de ses clients. 

OVHcloud, a annoncé au cours de l’exercice 2023 la disponibilité de OVHcloud Cold Archive, une nouvelle solution agrandissant ainsi son offre de stockage Public Cloud. 

OVHcloud Cold Archive est une solution innovante et durable pour le stockage de données froides (données très peu utilisées et donc très peu accédées). De la protection à l’archivage, Cold Archive s’adresse à tout type de société cherchant à améliorer la protection de ses données, en lui permettant d’héberger ses données dans un emplacement distinct.

Il s’agit d’une solution unique et économe pour préserver les données, qui répond également aux enjeux de souveraineté des données en ligne, suivant l’engagement du Groupe de proposer un cloud de confiance garantissant aux clients un contrôle total de leurs données.

OVHcloud a acquis sa première machine quantique au cours de l’exercice. Il s’agit de l’ordinateur MosaiQ, animé par un processeur photonique et conçu par le français Quandela. Cet achat donne le coup d’envoi de nombreux projets en recherche et développement.

Le Groupe redouble d’efforts sur le sujet de l’informatique quantique et ambitionne de pourvoir ses équipes de recherche et développement avec les outils adéquats pour expérimenter divers cas d’usage autour d’une machine basée sur un QPU (Quantum Processing Unit), afin d’offrir également à ses clients des environnements compatibles dès à présent avec les modèles quantiques.

OVHcloud a annoncé l’inauguration de son premier datacenter en Inde, un jalon important dans son plan d’expansion en Asie Pacifique, qui prévoit également l’ouverture l’année prochaine de deux data centres supplémentaires à Singapour et en Australie. Complétant le réseau de datacenters d’OVHcloud à travers le monde, le datacenter de Mumbai s’inscrit dans le plan stratégique de développement, qui prévoit l’ouverture de 15 nouveaux sites d’ici la fin de l’année 2024. Ce développement international permettra aux clients OVHcloud de bénéficier de solutions cloud ouvertes, fiables, souveraines et durables, à la hauteur de leurs besoins en perpétuelle croissance.

L’environnement macroéconomique actuel reste dégradé par les tendances inflationnistes notamment concernant les coûts de l’énergie. Dans ce contexte, le groupe a lancé une campagne spécifique d’augmentation de prix de certains de ses services afin de compenser l’impact inflationniste sur ses coûts.

Le 4 septembre 2023, OVHcloud a conclu l'acquisition de 100 % de la société allemande gridscale, spécialisée dans les infrastructures hyperconvergées (système unifié alliant tous les éléments d’un datacenter traditionnel : stockage, calcul, réseau et gestion), pour un prix d’acquisition des titres de 28 millions d’euros. gridscale a atteint un revenu de 5,6 millions d’euros pour l’exercice clos le 31 août 2023.

Cette acquisition marque une étape stratégique pour l’expansion géographique du Groupe, qui, grâce à la technologie unique de gridscale, pourra déployer rapidement un environnement public cloud au travers d’infrastructure de taille limitée dans de nouvelles géographies, permettant ainsi d’investir progressivement au gré de sa croissance dans ces nouveaux territoires. 

L’année 2023 confirme la capacité du Groupe à mettre en œuvre son plan stratégique et sa trajectoire de croissance soutenue.

Pour l’année 2024, OVHcloud vise une croissance organique de son chiffre d’affaires comprise entre 11 % et 13 %, une marge d’EBITDA ajusté supérieure à 37 % et des Capex récurrents et de croissance aux alentours de 16 % et de 24 % du chiffre d’affaires, respectivement.

Par ailleurs, OVHcloud vise également une génération de Unlevered Free cash-flow positive au second semestre 2024 (hors M&A).

Ces perspectives pour l’exercice 2024 sont construites sur une tendance continue d’amélioration du revenu moyen par client (« ARPAC »), l’acquisition de nouveaux clients, un effet prix compris entre 1 et 2 % sur l’année, principalement sur le premier trimestre et enfin sur une discipline stricte sur les charges opérationnelles et les Capex.

Dans le cadre de sa revue stratégique en cours, OVHcloud met en avant certaines tendances attendues pour l’exercice 2025 :

• ▶La croissance organique du chiffre d’affaires devrait être en amélioration par rapport à l’année 2024
• ▶La marge d’EBITDA ajusté devrait être supérieure à celle de l’année 2024
• ▶Les Capex devraient être légèrement inférieurs, en pourcentage du chiffre d’affaires, à ceux de l’année 2024
• ▶Le Groupe devrait générer un Unlevered Free Cash-flow positif sur l’ensemble de l’année (hors M&A)