La position d’OVHcloud en tant que premier fournisseur européen de cloud remonte à sa fondation en 1999 en tant que société d’hébergement Internet en France. Au cours des vingt-cinq dernières années, OVHcloud s’est considérablement développé, d’abord en accroissant son infrastructure et en élargissant sa présence en Europe, puis en diversifiant ses offres de cloud et en étendant ses activités à l’échelle mondiale.

Le cloud computing consiste à fournir aux utilisateurs des ressources de stockage, de calcul et de réseau, à la demande. Les ressources du cloud sont situées dans des datacenters qui abritent des serveurs et des équipements utilisés pour traiter, stocker et transmettre des données. Les utilisateurs de services de cloud computing peuvent accéder aux données stockées et donner des instructions aux unités de traitement pour qu’elles exécutent des fonctions de calcul automatiquement, sans avoir besoin d’une interaction humaine, ce qui réduit au minimum les capacités de calcul et de stockage nécessaires sur leurs appareils (tels que les ordinateurs personnels, les tablettes et les téléphones mobiles). Où qu’ils se trouvent, tant qu’ils disposent d’une connexion Internet, les utilisateurs peuvent accéder aux services informatiques par le biais du cloud. 

Les entreprises peuvent créer et exploiter leurs propres datacenters en faisant appel à du personnel informatique interne, ou elles peuvent externaliser tout ou partie des fonctions à des fournisseurs de services de cloud computing tels qu’OVHcloud. Pour de nombreuses entreprises, le temps et l’investissement financier requis rendent le cloud computing propriétaire moins attrayant que l’externalisation, qui implique de ne payer que pour les ressources qu’elles utilisent réellement. En outre, il peut être difficile pour les entreprises qui ne sont pas spécialisées dans les services informatiques d’innover aux niveaux requis afin de garantir que leur infrastructure de cloud computing leur offre des services et des protections adéquats, tels que la sécurité des données. Les systèmes informatiques internes peuvent également ne pas être suffisamment évolutifs pour répondre aux demandes de charge de pointe (à moins que les entreprises ne maintiennent une capacité excédentaire coûteuse).

Les serveurs maintenus dans les datacenters peuvent être utilisés pour de multiples fonctions, chacune d’entre elles étant accessible par une « machine virtuelle » créée sur le serveur. Les machines virtuelles sont exploitées et séparées les unes des autres par une plateforme logicielle appelée « couche de virtualisation ». Chaque machine virtuelle peut avoir son propre système d’exploitation qui permet aux utilisateurs de développer et d’exécuter des applications. Grâce à une fonction appelée « hyperviseur », la capacité du serveur est allouée aux machines virtuelles en fonction des demandes des utilisateurs. Par ailleurs, des applications logicielles ont été écrites pour être regroupées dans des « conteneurs » qui s’exécutent directement sur le système d’exploitation du serveur lui‐même, coordonnés par des plateformes connues sous le nom de systèmes d’« orchestration », qui prennent généralement moins de place et peuvent offrir de meilleures performances que les piles de virtualisation basées sur un hyperviseur.  

La possibilité de créer plusieurs machines virtuelles dans chaque serveur ou de déployer des systèmes basés sur des conteneurs permet à un fournisseur de services cloud de répartir sa capacité entre plusieurs groupes d’utilisateurs ou clients de manière sécurisée. Les fournisseurs de services peuvent dédier un serveur à un seul client (un système de « cloud privé »), en répartissant la capacité du serveur entre les groupes d’utilisateurs autorisés par le client. Un serveur peut également être partagé entre plusieurs clients (un système de « cloud public »). Les clients du cloud privé paient généralement des frais mensuels pour une capacité dédiée, qu’ils utilisent ou non cette capacité. Les clients du cloud public paient généralement pour la capacité qu’ils utilisent réellement. 

Afin d’optimiser le coût des services cloud, de nombreuses entreprises déploient des stratégies de « cloud hybride », dans lesquelles elles combinent une capacité de cloud privé sur site ou externalisé, pour leurs fonctions et données les plus sensibles, avec une capacité de cloud public pour leurs besoins moins sensibles. Les clients déploient également des stratégies « multi‐cloud », en achetant des services de cloud auprès de plusieurs fournisseurs. Pour répondre à la demande croissante de services de cloud hybride et multi‐cloud, un fournisseur de cloud doit proposer des packages qui permettent aux différentes solutions de fonctionner comme un tout intégré. 

Le cloud computing englobe une gamme de services comprenant la fourniture d’un accès à l’infrastructure (Infrastructure-as-a-Service ou « IaaS »), la sélection et l’exploitation de plateformes telles que des systèmes d’exploitation, des piles de virtualisation et des systèmes de sécurité (Platform-as-a-Service ou « PaaS »), et l’offre d’applications développées et pouvant fonctionner sur des plateformes cloud (Software-as-a-Service ou « SaaS »). Le graphique suivant illustre ces caractéristiques :

Le marché des solutions cloud comprend également des services web destinés principalement aux particuliers et aux petites et moyennes entreprises. Le marché du Web cloud comprend essentiellement l’hébergement de sites web et de domaines, y compris la location de serveurs pour les sites web, la vente de services secondaires (tels que des progiciels) et les services d’enregistrement, de renouvellement et de transfert de noms de domaine.

OVHcloud propose deux offres principales de cloud privé : le Bare Metal Cloud et le Hosted Private Cloud.

Le service de Bare Metal Cloud d’OVHcloud fournit des serveurs physiques dédiés aux clients, qui ont un contrôle total sur le serveur, y compris le choix du système d’exploitation. Le Bare Metal Cloud leur permet d’avoir une expérience similaire à celle qu’ils auraient avec des solutions sur site gérées par leurs équipes internes, tout en profitant des avantages offerts par l’externalisation. 

L’offre principale de Bare Metal Cloud d’OVHcloud commercialise des serveurs haut de gamme et des offres de services de moyen à haut niveau. OVHcloud dispose également d’une offre à prix modeste commercialisée sous la gamme « Eco » utilisant des serveurs rénovés qui fournissent des services de qualité à un coût réduit, tout en améliorant l’efficacité environnementale. 

Les services de Bare Metal Cloud offrent aux entreprises clientes une puissance informatique de haut niveau et des accords de niveau de service stricts, dans un environnement sécurisé adapté aux applications sensibles. Le serveur peut être personnalisé pour répondre aux besoins du client, et peut être exploité sans qu’il soit nécessaire d’allouer la capacité du serveur à des machines virtuelles par le biais d’un hyperviseur, ce qui permet au client d’utiliser la pleine capacité du serveur. Toute capacité inutilisée peut être déployée en quelques minutes, bien que la capacité totale soit limitée par celle du serveur dédié. 

Les clients du Bare Metal Cloud paient des frais mensuels qui dépendent des niveaux de performance qu’ils sélectionnent. Ils peuvent également choisir des options (telles que la personnalisation du serveur ou la sauvegarde des données) moyennant des frais supplémentaires. 

Les principaux usages des services Bare Metal Cloud comprennent le calcul de données complexes, les opérations à faible latence, le streaming, les jeux en ligne, les applications d’entreprise critiques telles que les ERP et CRM. 

OVHcloud propose des services de Hosted Private Cloud à ses clients professionnels, fournissant des serveurs entièrement gérés par OVHcloud, y compris le système d’exploitation et la couche de virtualisation, en partenariat avec les offres de VMware ou Nutanix. 

 1. VM : Machine Virtuelle.

Les services de Hosted Private Cloud d’OVHcloud fournissent aux clients un accès privé à des serveurs, à niveaux élevés de performance, qui peuvent être personnalisés pour satisfaire les exigences spécifiques du client. Ils répondent aux besoins des clients qui recherchent l’isolement et la sécurité, des ressources évolutives et la résilience.

Les principaux usages des services de Hosted Private Cloud comprennent le déploiement dans le cadre de stratégies de cloud hybride, l’encodage de médias, l’analyse de big data, la reprise après sinistre, ainsi que le stockage et le traitement de données sensibles dans des secteurs clés tels que la santé, la finance et le secteur public.

Depuis 2021, OVHcloud propose des offres Hosted Private Cloud qualifiées SecNumCloud. La qualification SecNumCloud apporte aux clients l’assurance de choisir des solutions qui respectent les plus hauts standards de sécurité de l’ANSSI, ainsi que la garantie de recourir à des solutions adaptées aux données sensibles des administrations et des entreprises.

OVHcloud propose des solutions de cloud public basées sur des technologies open source telles qu’OpenStack (une plateforme qui permet de déployer des ressources de traitement, de stockage et de mise en réseau) et Kubernetes (une plateforme d’orchestration de conteneurs, devenue un standard de marché). L’utilisation de ces plateformes standard offre aux clients une capacité de transfert de données facile et un accès volontairement transparent au code source, facilitant la réversibilité et éliminant le « verrouillage par le fournisseur ». Cette caractéristique de l’offre OVHcloud est particulièrement attrayante pour les clients qui cherchent à déployer des stratégies de multi‐cloud. 

Les solutions de cloud public offrent aux utilisateurs une capacité de calcul pratiquement illimitée, la seule contrainte étant la capacité totale installée du fournisseur de cloud. Il est possible de déployer de nouvelles instances de cloud public automatiquement et en quelques secondes. Comme le service de cloud public est basé sur des serveurs partagés, les options de personnalisation sont définies par OVHcloud. Les niveaux de service sont élevés étant donné la flexibilité de l’architecture matérielle. 

Les clients du cloud public paient des frais d’utilisation pour la capacité qu’ils utilisent réellement. Le modèle d’OVHcloud offre beaucoup plus de prévisibilité que les modèles utilisés par les hyperscalers et de nombreux autres concurrents. En particulier, contrairement aux hyperscalers, OVHcloud ne facture pas de frais supplémentaires pour les transferts de données sortants ou les appels API, sauf pour les stockages block et archive, et pour les services localisés en Asie‐Pacifique. 

L’offre de cloud public du Groupe fournit trois services de cloud computing de base : la performance informatique (le compute), le stockage et les capacités réseau. 

Les clients des solutions de cloud public OVHcloud peuvent choisir des services de cloud public entièrement évolutifs sur des machines virtuelles qui sont hébergées sur des serveurs et des réseaux partagés. 

Le service de cloud public d’OVHcloud est intéressant pour les clients qui recherchent des ressources hautement évolutives, avec des demandes de gestion de pics importants sur plusieurs sites d’accès, et un degré élevé de résilience. Ce service est utilisé pour les applications à forte demande et les services qui utilisent de grands volumes de données, comme le streaming vidéo et musical. 

Les clients du cloud public d’OVHcloud peuvent également choisir parmi un certain nombre de logiciels à la demande (SaaS) fonctionnant sur les serveurs du cloud public d’OVHcloud. En particulier, OVHcloud propose à ses clients des accès aux solutions de messagerie et de calendrier Microsoft Exchange, aux solutions de stockage et de gestion des données SharePoint et à la suite logicielle professionnelle Office365.

1. VM : Machine Virtuelle.

OVHcloud offre également une option de serveur privé virtuel, fournissant des capacités informatiques situées sur des serveurs partagés, mais avec des machines virtuelles isolées par l’utilisation de réseaux privés virtuels. 

L’option de serveur privé virtuel est intéressante pour les clients qui recherchent des ressources sur mesure, en particulier pour les opérations de courte durée avec des charges de travail et une demande de serveur volatiles. Les solutions de serveurs privés virtuels sont principalement utilisées pour les tests d’applications et autres projets ponctuels, la gestion des pics de charge de courte durée et les fonctions de sauvegarde. 

 1. VM : Machine Virtuelle.

Dans le cadre de sa stratégie de croissance, OVHcloud est en train de développer et de mettre en œuvre une offre PaaS complète, superposée aux produits IaaS de cloud privé et de cloud public. En plus de développer des produits en interne, OVHcloud a annoncé plusieurs partenariats et acquisitions, dans le but d’accélérer son plan de développement, ce qui lui permet de proposer plus de 80 solutions IaaS et PaaS à ses clients à la fin de l’exercice 2024, principalement dans les domaines suivants :

• ▶Storage. OVHcloud propose aujourd’hui à ses clients un portefeuille complet d’offres de stockage telles qu’Object Storage S3 (High Performance et Standard), Block Storage, File Storage, Snapshot & Backup et Archive ; 
• ▶Database‐as‐a‐Service. Les logiciels de gestion des données permettent aux utilisateurs de gérer leurs bases de données afin de permettre les requêtes et les mises à jour. Ils comprennent des programmes qui exécutent des requêtes sur les données et fournissent une représentation visuelle des données dans des formats tels que les feuilles de calcul, permettant aux utilisateurs de construire des applications plus rapidement et d’automatiser la gestion des bases de données. OVHcloud a annoncé un partenariat en avril 2021 avec MongoDB, et en juillet 2021 avec Aiven pour rendre disponibles plusieurs types de base de données sur l’infrastructure d’OVHcloud ;
• ▶AI, Machine Learning & Analytics. Les solutions d’intelligence artificielle et d’analytique comprennent des outils et des services soutenant l’analyse et la présentation des données. OVHcloud est particulièrement avancé dans les solutions de calcul haute performance pour l’intelligence artificielle et le machine learning, et entend poursuivre son développement dans ce domaine. En avril 2022, OVHcloud a annoncé l’acquisition de ForePaaS, une société spécialisée dans le domaine de l’analytics. Depuis deux ans, OVHcloud a renforcé son offre de produits liés à l’intelligence artificielle, comme AI Notebook, AI Deploy, AI Training, AI App Builder ou encore AI Endpoint ;
• ▶Security & Encryption. OVHcloud élargit son offre de solutions de gestion de l’accès aux identités et de chiffrement, y compris le chiffrement de bout en bout qui sécurise les données des clients dans tous les états. En juillet 2021, OVHcloud a annoncé l’acquisition de BuyDRM, une société américaine spécialisée dans ce domaine ; 
• ▶Application platforms. Les plateformes d’applications sont des solutions logicielles de serveur back‐end fournissant aux développeurs un environnement d’exécution et de développement.

OVHcloud propose des services de Web cloud depuis sa création en 1999. Avec sa position de leader sur le marché français et de fortes positions ailleurs en Europe, l’offre Web cloud assure une base de revenus stable et récurrente et une croissance régulière.

OVHcloud offre trois solutions principales aux clients du Web cloud :

• ▶Web hosting et noms de domaine. Cela comprend la location de capacité d’hébergement sur des serveurs, permettant aux clients de connecter leurs sites web à Internet, ainsi que l’enregistrement, le renouvellement et le transfert de noms de domaine. Les clients peuvent choisir des forfaits de base offrant un ou quelques sites web seulement, ou des forfaits destinés aux professionnels et aux développeurs qui souhaitent héberger plusieurs sites web, ainsi que des adresses électroniques et des options de stockage. OVHcloud propose à ses clients des services supplémentaires, tels que les certificats SSL (Secure Socket Layer), qui permettent des connexions sécurisées entre un serveur web et un navigateur ; 
• ▶Téléphonie et connectivité. Les clients peuvent acheter des systèmes de VoIP (Voice over IP) leur permettant des utilisations telles que les standards téléphoniques et les systèmes de réponse vocale interactive. OVHcloud offre également à ses clients un accès à Internet via les réseaux ADSL et fibre optique, avec des forfaits de base et professionnels ;
• ▶Support et services. OVHcloud propose à ses clients des niveaux supplémentaires de support et de services, qui regroupent un ensemble de solutions d’assistance, d’expertises et de services en ligne. Les offres de support peuvent être Business, qui correspond au niveau adapté aux environnements de production ou Enterprise, qui propose une expérience grand compte pour les environnements de production critique. Les services additionnels sont proposés dans l’offre de Professional Services, qui donne accès à du support technique et des conseils lors de projets de migration d’infrastructure ou de modification d’architecture IT.

Les principaux clients d’OVHcloud dans le segment du Web cloud sont les petites et moyennes entreprises, ainsi que certains particuliers et entrepreneurs. Les clients du Web cloud sont généralement à la recherche de services web et de communication sécurisés et fiables, pour établir leur présence sur le web, et pour numériser les fonctions de l’entreprise.

Depuis 2021 et son introduction en bourse, OVHcloud a déployé sa feuille de route stratégique. Le Groupe a en effet réussi à :

• ▶développer des segments clés de clientèle avec une progression de l’ARPAC (3) moyen de + 48 % entre 2021 et 2024 ; 
• ▶adresser un marché plus large en proposant aujourd’hui à ses clients plus de 40 produits Public cloud ;
• ▶étendre son empreinte géographique avec l’ouverture de plus de 10 nouveaux datacenters depuis 2021 pour atteindre 43 datacenters à la fin de l’exercice 2024 ;
• ▶investir dans le développement interne avec un montant de capex de croissance cumulé de près de 900 millions d’euros entre 2021 et 2024 et les opportunités de croissance externe avec 3 acquisitions depuis 2021 (BuyDRM, dans la sécurité, ForePaaS, dans la gestion des données, et gridscale, pour ouvrir des Local Zones avec une intensité capitalistique minimale).

À la suite de ces investissements significatifs, OVHcloud a présenté un nouveau plan, développé autour de 4 piliers stratégiques : (i) Être la référence pour la souveraineté des données, (ii) Innover pour les prochaines révolutions technologiques, (iii) Croître de manière profitable et durable, ainsi que (iv) Maximiser la génération de trésorerie.

OVHcloud bénéficie déjà d’un différenciant structurel en étant immunisé aux lois extraterritoriales et a développé une stratégie de certifications auprès des régulateurs nationaux ou internationaux qui porte ses fruits.

Dans les prochaines années, le Groupe va continuer à étendre son offre de produits certifiés, notamment avec les projets d’extension de la qualification SecNumCloud en France à ses services de cloud public et de Bare Metal cloud dès 2024-2025. En outre, OVHcloud a inauguré fin 2023 un troisième datacenter certifié SecNumCloud en France. 

Par ailleurs, des services spécifiques sont actuellement en développement afin de répondre de manière encore plus précise aux besoins de certaines verticales, notamment le secteur public et la santé.

L’innovation est au cœur de la proposition de valeur d’OVHcloud et le Groupe continuera d’investir pour innover et préparer les prochaines révolutions technologiques, telles que l’intelligence artificielle, déjà en cours, ou l’informatique quantique dans un horizon moyen-terme.

Concernant l’intelligence artificielle, le Groupe continue à renforcer son offre, notamment en développant des solutions d’IA qui garantissent la confidentialité et la souveraineté des données des clients. En effet, OVHcloud met à disposition de ses clients une gamme complète de GPUs NVIDIA Tensor Core (H100, A100, L4, L40S) accessible dans le Cloud Public et de modèles IA de pointe avec l’intégration des derniers LLMs open-source, tels que Mistral 8x22B ou Llama3, qui sont notamment disponibles sur étagère via la solution serverless OVHcloud AI Endpoints. L’IA ouvre des nouveaux usages et est au cœur d’une révolution, qui créée des enjeux extrêmement forts notamment en matière de propriété intellectuelle et de confidentialité des données.

OVHcloud est également en avance de phase sur l’informatique quantique, qui constituera l’une des prochaines révolutions technologiques du 21ème siècle. OVHcloud est le seul fournisseur cloud européen à proposer à ses clients 5 notebooks quantiques et 1 émulateur quantique. Par ailleurs le Groupe accompagne 14 start-ups leaders sur le quantique et possède 1 ordinateur photonique de Quandela.

Depuis 2021, OVHcloud a ouvert 10 nouveaux datacenter, a investi significativement dans le développement de nouveaux produits et a notamment mis en place un programme visant à améliorer la résilience de ses infrastructures. 

Pour les prochaines années, OVHcloud prévoit d’optimiser le taux d’utilisation de ses datacenters, qui est légèrement supérieur à 60 % en 2024, d’améliorer la gestion des stocks et de stabiliser, en valeur absolue, les investissements dans les nouveaux produits.

Enfin, le Groupe prévoit une réduction des investissements exceptionnels (Plan d’hyper-résilience, achats d’IPv4 ou amélioration des stocks liés aux tensions sur les chaînes d’approvisionnement) d’ici 2026.

OVHcloud vise une amélioration de son Unlevered Free Cash-flow sur l’année 2025 comparé à celui de l’exercice 2024 et une génération de Free Cash-flow dès 2026.

OVHcloud est le leader européen du cloud et seul acteur non américain ou non chinois parmi les 10 plus grands fournisseurs mondiaux de services cloud (4). OVHcloud est le seul acteur de taille à ne pas être soumis à des lois extraterritoriales.

En plus de son différenciant structurel, OVHcloud a développé un très grand nombre de certifications à travers le monde afin de répondre aux différentes réglementations nationales ou internationales.

Source : Au 31 août 2024, Société.

(1) Un point de présence est un point où le réseau établit une connexion à Internet.

(2) Tera bits par seconde.

En tant que fournisseur de services cloud français, OVHcloud est soumis aux réglementations européennes dans un grand nombre de domaines, notamment les services informatiques (« IT »), la cybersécurité, la modération des contenus en ligne et la protection des données. OVHcloud peut également être soumis à des régimes réglementaires sectoriels applicables à certains clients et à des réglementations généralement applicables telles que le droit des contrats et les règles de protection des consommateurs.

OVHcloud est soumise à la réglementation européenne visant à renforcer la cybersécurité dans l’ensemble de l’Union européenne (l’« UE »). Transposée en droit français le 26 février 2018, la directive (UE) 2016/1148 du 9 juillet 2016 a établi des exigences pour les fournisseurs de services cloud en matière de sécurité des réseaux et des systèmes d’information. Selon la loi française (6) transposant la directive (UE) 2016/1148, les fournisseurs de services cloud sont classés comme des fournisseurs de services numériques. En tant que prestataire de services numériques, OVHcloud doit garantir un niveau de sécurité des informations adapté aux risques pertinents et adopter des mesures organisationnelles et techniques appropriées. En cas d’incident de sécurité ayant un impact significatif sur la prestation de services, une déclaration doit être faite auprès de l’Agence nationale de la sécurité des systèmes d’information (« ANSSI »). Le Premier ministre français peut également ouvrir des enquêtes à la réception d’informations faisant état d’un manquement du prestataire de services numériques aux obligations de sécurité. Les amendes pour non‐respect des obligations de sécurité vont de 50 000 à 100 000 euros. 

L’ANSSI a adopté des normes de sécurité pour les fournisseurs de services cloud (7). Les entreprises du cloud doivent notamment mettre en place une politique de sécurité pour les informations relatives au service et procéder à une évaluation des risques couvrant l’ensemble du service. Si les normes de sécurité applicables sont respectées, l’ANSSI délivre une qualification appelée « SecNumCloud » certifiant un niveau de sécurité renforcé pour le stockage d’informations sensibles. En octobre 2022, l’ANSSI a prolongé un visa de sécurité à OVHcloud pour la qualification « SecNumCloud » pour son Hosted Private Cloud, valable jusqu’en décembre 2023. Pour la protection des systèmes d’information critiques, l’ANSSI recommande aux opérateurs de services essentiels (par exemple, les sociétés d’approvisionnement en gaz, les transporteurs aériens, les établissements de santé, les banques) d’utiliser des produits et services de sécurité disposant d’un visa de sécurité de l’ANSSI. 

Le rôle de l’Agence de l’Union européenne pour la cybersécurité (l’« ENISA ») a été renforcé par le règlement (UE) 2019/881 du 17 avril 2019 (la « loi sur la cybersécurité »). L’ENISA est chargée d’établir et de maintenir un système de certification de cybersécurité à l’échelle européenne applicable aux fournisseurs de services cloud, y compris un ensemble complet de règles, d’exigences techniques, de normes et de procédures. En juillet 2020, l’ENISA a publié une proposition qui permettrait aux fournisseurs de services cloud d’obtenir des certifications à travers l’UE attestant du niveau de sécurité de leurs services. 

La Commission européenne a dévoilé en septembre 2022 sa proposition de Cyber Resilience Act (« CRA »). Cette proposition fixe une série d’exigences générales et organisationnelles en matière de cybersécurité pour les produits contenant des éléments numériques (par exemple : logiciels, produits matériels, solutions de traitement de données). Il vise à adopter un socle commun au sein de l’Union européenne pour limiter les cyberattaques. Le CRA s’applique de manière différenciée aux acteurs de la chaîne d’approvisionnement : fabricants, importateurs ou distributeurs. Le texte doit encore être examiné par le Parlement européen puis par le Conseil de l’Union européenne ; lors de cette procédure, qui peut prendre jusqu’à deux ans, le texte actuel sera très probablement amené à évoluer. Il est donc encore prématuré de se prononcer sur les impacts potentiels de ce texte sur OVHcloud. 

En tant que fournisseur de services de cloud et de télécommunications, OVHcloud traite, stocke et transfère une quantité substantielle de données personnelles. En conséquence, OVHcloud doit se conformer à un ensemble de réglementations européennes et de lois nationales relatives à la protection des données personnelles. 

Pierre angulaire de la protection des données personnelles dans l’Union européenne depuis son entrée en vigueur en mai 2018, le RGPD poursuit trois objectifs principaux : (i) établir des règles relatives à la protection des personnes dans le cadre du traitement de leurs données personnelles ainsi que des règles relatives à la libre circulation de ces données, (ii) renforcer l’application de la réglementation grâce à un cadre juridique unifié pour les organisations traitant des données personnelles, et enfin (iii) renforcer la responsabilité des acteurs traitant des données à caractère personnel (responsables de traitements et sous-traitants) en imposant une obligation de documentation des traitements et des outils/applications utilisés.

Le RGPD soumet les organisations à des obligations strictes en termes d’information et de transparence sur les traitements réalisés sur les données personnelles, qu’elles traitent pour leur propre compte ou le compte d’autrui. 

Il confère également plusieurs droits aux personnes concernées sur le traitement de leurs données personnelles tels que le droit d’accès, le droit à la modification ou le droit à l’effacement (« droit à l’oubli ») permettant à celles-ci de bénéficier d’un contrôle accru sur l’utilisation de leurs données personnelles.

En outre, le RGPD impose aux organisations, dès la conception d’un nouveau produit ou service, la mise en place de mesures de sécurité techniques et organisationnelles adéquates aux traitements de données personnelles, afin de garantir la sécurité et la confidentialité adaptées aux données personnelles traitées (« Privacy by design »).

Enfin, le RGPD oblige les organisations responsables de traitement, lorsqu’elles constatent une violation de données personnelles, à notifier à l’autorité de contrôle toute violation susceptible d’entraîner un risque pour les droits et libertés des personnes physiques et des personnes concernées.

Adoptée le 22 septembre 2021, la loi modernisant des dispositions législatives en matière de protection des renseignements personnels, dite « Loi 25 », apporte des modifications importantes à la loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP ») visant à offrir un meilleur contrôle aux citoyens sur leurs données personnelles et de responsabiliser davantage les organisations quant à leur gestion de ces renseignements. Cette loi établit de nouvelles obligations et règles de transparence pour les entreprises québécoises telles que la désignation d’un Responsable de la Protection des Renseignements Personnels, afin d’établir des politiques et des pratiques encadrant la gouvernance des données personnelles, réaliser des évaluations des facteurs relatifs à la vie privée (EFVP), respecter les nouveaux droits accordés aux personnes sur leurs données personnelles et notamment droit à la cessation de la diffusion, à la ré-indexation ou à la désindexation (droit à l’oubli) avant de communiquer des données personnelles en dehors du Québec ou encore prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public. 

Les nouvelles responsabilités et obligations applicables aux organisations traitant des données personnelles entrent en vigueur progressivement en septembre 2022, 2023 et 2024.

Afin d’assurer la conformité avec les réglementations applicables en matière de protection des données, OVHcloud a mis en place un système de gestion des données personnelles basé sur la norme ISO 27701. 

OVHcloud s’appuie également sur le Code de conduite Cloud Infrastructure Service Providers in Europe (CISPE), en étant certifié sur ses offres Bare Metal Cloud et Hosted Private Cloud powered by VMWare, pour garantir et démontrer la conformité de ses activités IaaS.

Le règlement (UE) 2018/1807 du 14 novembre 2018 (le « Règlement sur le libre flux des données à caractère non personnel ») vise à assurer la libre circulation des données non personnelles entre les États membres de l’UE (les « États membres ») et les systèmes informatiques dans l’UE. Les données non personnelles sont soit (i) des données non liées à des personnes physiques identifiées ou identifiables, soit (ii) des données personnelles anonymisées. Ce règlement permet le stockage et le traitement de données non personnelles partout dans l’UE, interdit la localisation des données et garantit la disponibilité des données pour les contrôles réglementaires.

Le Règlement sur le libre flux des données à caractère non personnel prévoit également que la Commission européenne doit encourager le développement de codes de conduite autorégulateurs pour faciliter la portabilité entre les prestataires. À cette fin, OVHcloud a participé à la rédaction de deux codes de conduite volontaires sur le changement de fournisseur de service cloud et la portabilité des données par le biais du groupe de travail sur le changement de prestataire de cloud et le portage des données (« SWIPO »). Publiés en juillet 2020, les Codes de conduite relatifs à l’Infrastructure‐as‐a‐Service (IaaS) et au Software‐as‐a‐Service (SaaS) offrent des conseils aux fournisseurs de services cloud et aux clients sur le changement de fournisseur de services cloud et le portage des données non personnelles. L’adoption de ces Codes de conduite vise à réduire les risques de verrouillage envers un fournisseur (c’est-à-dire les situations où les clients sont dépendants d’un prestataire particulier en raison de coûts de changement importants) par les fournisseurs de services cloud. Ils fournissent également des conseils aux clients sur le transfert des données non personnelles.

En tant que fournisseur de services d’hébergement, OVHcloud doit se conformer à de nombreuses législations en matière de lutte contre les contenus illicites, notamment celles qui concernent les infractions aux droits de propriété intellectuelle, la diffusion de contenus terroristes et les abus sexuels sur les mineurs. 

Le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (« Règlement sur les services numériques ») est entré en vigueur le 18 novembre 2022. Ce nouveau cadre a pour objectif d’harmoniser les règles applicables dans les différents États membres de l’Union européenne et remplace celui adopté en l’an 2000 en matière de responsabilité des intermédiaires vis-à-vis des contenus illicites tout en maintenant les principes fondamentaux de liberté d’expression et de libre prestation de services. 

Le règlement établit également de nouvelles obligations de diligence et de transparence pour les services d’hébergement tels qu’OVHcloud, tant vis-à-vis des autorités que des utilisateurs, en particulier sur le traitement des signalements de contenus illicites. Il renforce par ailleurs le niveau des sanctions pouvant être infligées en cas de manquement aux obligations établies par le règlement, avec des amendes pouvant représenter jusqu’à 6 % du chiffre d’affaires mondial annuel du fournisseur de services intermédiaires. Un certain nombre de mesures sont applicables de manière différée au cours des deux prochaines années et impliquent l’adoption de textes au niveau national. OVHcloud suivra avec attention leur publication afin de se conformer à ses obligations.

Le règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (« Règlement sur les marchés numériques ») vise à rendre le secteur numérique plus équitable et plus compétitif, en instaurant des mesures préventives pour les grandes entreprises numériques en position de contrôleurs d’accès sur le marché européen. Le règlement prévoit notamment plusieurs obligations et interdictions à l’égard des plateformes en ligne en position de contrôleurs d’accès et renforce les pouvoirs de sanction de la Commission européenne, laquelle sera assistée d’un comité consultatif et d’un groupe de haut niveau. Ainsi, par exemple, les contrôleurs d’accès devront permettre aux utilisateurs de désinstaller facilement sur leurs appareils des logiciels préinstallés et de se désabonner facilement d’un service de plateforme essentiel tel qu’un service de cloud. Les contrôleurs d’accès ne pourront plus imposer des logiciels tels que des navigateurs internet ou des moteurs de recherche par défaut, réutiliser les données personnelles d’un utilisateur à des fins de publicité ciblée sans son consentement explicite. 

Applicable à partir du 2 mai 2023, les entreprises concernées devront se signaler à la Commission européenne et se mettre en conformité au plus tard en mars 2024. La législation confère à la Commission le pouvoir exclusif de contrôler le respect de leurs obligations, et de nouvelles sanctions, notamment une amende pouvant atteindre jusqu’à 10 % du chiffre d’affaires total mondial réalisé par l’entreprise au cours de l’exercice précédent. 

L’adoption de cette nouvelle législation est une avancée positive pour réguler les pratiques des acteurs dominants du numérique sur le marché européen, mais son efficacité dépendra des moyens que la Commission européenne consacrera au service du respect de celle‐ci. OVHcloud suivra avec une attention particulière les précisions attendues sur les effectifs qui seront dédiés au contrôle des obligations des contrôleurs d’accès.

Les entités OVHcloud sont des opérateurs de télécommunications dans quatre (4) États membres : la Belgique, la France, l’Allemagne et l’Espagne. OVHcloud est soumis à des obligations spécifiques lorsque le Groupe fournit des services de télécommunication. Parce que l’UE et ses États membres réglementent le secteur des télécommunications depuis de nombreuses années, il existe une variété de mesures d’application, de directives et d’autorités différentes à travers l’UE. Les entités d’OVHcloud sont également des opérateurs de télécommunications au Royaume‐Uni et en Suisse, qui possèdent leur propre réglementation en matière de télécommunications. Le Royaume‐Uni a transposé les exigences du Code des communications électroniques européen dans son cadre réglementaire national avant le Brexit. 

La directive (UE) 2018/1972 du 11 décembre 2018 a établi le Code des communications électroniques européen. Bien que cette directive n’ait pas encore été transposée dans tous les États membres où OVHcloud agit en tant qu’opérateur, plusieurs autres directives applicables dans les secteurs des télécommunications, telles que les directives 2002/19/CE, 2002/20/CE, 2002/21/CE et 2002/22/CE du Parlement européen et du Conseil, ont été substantiellement modifiées. La directive 2018/1972 a été transposée en droit français en mai 2021 (8). L’objectif clé de ce Code européen des communications électroniques est de créer un ensemble complet de règles actualisées pour réglementer les communications électroniques et protéger les citoyens de l’UE lorsqu’ils communiquent par le biais de services traditionnels ou sur le web, d’encourager la concurrence entre les opérateurs de télécommunications et de garantir que les autorités réglementaires nationales sont protégées contre les interventions extérieures ou les pressions politiques.

En tant que fournisseur de services cloud, OVHcloud est soumis à des obligations lorsque le Groupe fournit des services à des organisations du secteur de la santé. Par exemple, la loi française impose aux hébergeurs de données de santé (c’est-à-dire toute personne hébergeant des données de santé à caractère personnel collectées dans le cadre d’activités de prévention, de diagnostic, de soins ou de suivi social et médical pour le compte de personnes physiques ou morales ayant produit ou collecté ces données ou pour le compte des patients eux‐mêmes) de respecter des obligations spécifiques. Ces obligations incluent l’obtention d’une certification appropriée ou d’un accord préalable des autorités publiques conformément au Code de la santé publique français, et la conclusion d’une convention avec les clients du secteur de la santé, fixant les dispositions obligatoires prescrites par l’article L. 1111‐8 du Code de la santé publique. OVHcloud est également soumis aux exigences des autres juridictions dans lesquelles il opère, telles que l’Italie, la Pologne, l’Allemagne et le Royaume‐Uni. 

En 2016, OVHcloud a bénéficié de l’agrément « Hébergeur de données de santé » et, depuis 2018, le Groupe exploite un système de gestion permettant à plusieurs de ses offres cloud de se conformer aux exigences de cet agrément. En 2019, OVHcloud a obtenu la certification française HDS (Hébergeur de données de santé) pour son offre de Hosted Private Cloud. En 2020, cette certification a été étendue aux serveurs dédiés d’OVHcloud, puis à l’offre de cloud public d’OVHcloud et à Trusted Exchange en 2021. 

Les entreprises du secteur financier (y compris les établissements de crédit et les entreprises d’investissement) peuvent également être soumises à des obligations spécifiques au secteur qui peuvent se refléter sur OVHcloud dans le cadre de la fourniture de ses services. Notamment, en 2019, l’Autorité bancaire européenne (« ABE ») a publié des « Recommandations sur l’externalisation vers des fournisseurs de services cloud » applicables aux accords d’externalisation. Ces recommandations créent des obligations en matière de sécurité des systèmes d’information et de droits d’audit au profit des banques externalisatrices, qu’elles doivent imposer à leurs fournisseurs de services en cloud lorsqu’elles utilisent leurs services. OVHcloud s’efforce de proposer des conditions contractuelles applicables aux opérateurs de services financiers qui garantissent que les clients sont en mesure de mettre en œuvre une politique d’externalisation conforme aux recommandations de l’ABE et aux réglementations locales européennes. 

Les opérateurs de services financiers peuvent également exiger d’OVHcloud de se conformer à la réglementation nationale spécifique. Par exemple, OVHcloud peut avoir à se conformer aux réglementations françaises telles que celle de l’Autorité de contrôle prudentiel et de résolution (« ACPR ») sur les services essentiels externalisés comme les opérations bancaires. Les entreprises qui externalisent des services essentiels doivent s’assurer que les prestataires garantissent la protection des informations confidentielles, mettent en place des mécanismes de secours en cas de difficultés importantes affectant la continuité du service et permettent à l’ACPR, dans l’exercice de ses missions, d’accéder aux informations essentielles externalisées. En ce qui concerne les procédures internes de gestion de la sécurité des systèmes d’information, l’American Institute of Certified Public Accountants (« AICPA ») a délivré à OVHcloud les certifications SOC I‐II type 2. 

En ce qui concerne l’hébergement des données bancaires et la réduction de la fraude à la carte bancaire, la plus importante offre de l’Hosted Private Cloud d’OVHcloud est conforme à la norme de sécurité des données de l’industrie des cartes de paiement (« PCI DSS »). Les datacenters d’OVHcloud en France, au Canada, au Royaume‐Uni, en Allemagne et en Pologne sont conformes à la norme PCI‐DSS.

Le 27 novembre 2022, le Conseil de l’Union européenne a adopté le règlement sur la résilience opérationnelle numérique du secteur financier (« DORA »). Ce texte faisant suite à une proposition de la Commission européenne de 2020 impose un certain nombre d’exigences aux accords d’externalisation vers des fournisseurs de services cloud dans le secteur financier. Le règlement proposé couvre un large éventail d’entités financières réglementées, notamment les établissements de crédit (tels que les banques), les dépositaires centraux de titres, les compagnies d’assurance et certains gestionnaires de fonds, entre autres. Il impose à ces entités financières un certain nombre d’exigences en matière de gestion des risques liés aux technologies de l’information et des communications, dont certaines s’appliquent directement aux activités cloud externalisées. 

En particulier, les entités du secteur financier couvertes par le règlement proposé sont tenues de prendre un certain nombre de mesures pour faire face aux risques dans leurs relations avec des tiers, tels que les fournisseurs de services cloud, notamment en s’assurant que leurs contrats de services cloud fournissent une description complète des services proposés avec des objectifs de performance qualitatifs et quantitatifs, et comprennent des dispositions régissant l’intégrité, la sécurité, la protection des données personnelles, la récupération en cas de défaillance, les droits d’inspection et d’audit, et des dispositions de résiliation avec des stratégies de sortie claires. Le règlement envisage l’approbation de clauses contractuelles types par la Commission européenne. 

En outre, le règlement impose un nouveau cadre de surveillance aux prestataires de services tiers critiques (y compris les fournisseurs de services cloud), les soumettant à des plans de surveillance individuels adoptés par les organismes européens de réglementation financière chargés de la surveillance des banques, des marchés des valeurs mobilières ou des compagnies d’assurance, selon le secteur qui utilise principalement les services du prestataire concerné. La détermination des services critiques dépend de leur impact systémique potentiel, de la dépendance des entités financières à leur égard pour des fonctions critiques et de l’existence d’alternatives. Le plan de surveillance peut imposer des exigences dans des domaines tels que la sécurité et la qualité, les conditions contractuelles et la sous‐traitance, avec des sanctions financières en cas de non‐respect, pouvant aller jusqu’à 1 % du chiffre d’affaires mondial du prestataire au cours de l’année la plus récente. Les organismes de surveillance disposent de droits d’inspection et d’audit et de pouvoirs d’enquête étendus. Le règlement adopté interdit également aux entités financières de faire appel à un prestataire d’un pays situé en dehors de l’UE pour les fonctions critiques du cloud. 

Plusieurs des datacenters d’OVHcloud sont situés dans d’anciens bâtiments industriels, dont certains sont classés comme présentant des risques environnementaux ou autres en vertu de la législation française applicable. Les datacenters d’OVHcloud situés hors de France peuvent également être classés comme présentant des risques environnementaux en vertu des réglementations locales. Afin de se conformer aux réglementations applicables, OVHcloud est parfois tenu de soumettre des demandes et d’obtenir des autorisations d’exploitation. Dans le cadre du processus de demande, OVHcloud peut être tenu de prendre certaines mesures correctives. 

En outre, des permis d’exploitation sont requis dans la plupart des pays où OVHcloud exploite ses datacenters. Ces réglementations concernent principalement les émissions atmosphériques, la gestion des déchets industriels, la gestion de l’eau et des effluents, la gestion des risques d’incendie et la gestion du bruit.

L’organigramme simplifié ci‐après présente l’organisation juridique de la Société et de ses filiales consolidées à la date du présent document d’enregistrement universel. Les pourcentages indiqués ci‐dessous représentent les pourcentages du capital social. Il n’y a pas eu de variation significative de détention du capital depuis la clôture de l’exercice le 31 août 2024.

Au cœur du mécanisme de gouvernance, le dispositif de gestion des risques d’OVHcloud contribue à l’atteinte des objectifs stratégiques du Groupe et participe à la préservation de ses actifs et de sa réputation. Il permet également de mobiliser les collaborateurs autour d’une approche commune des risques. OVHcloud s’est engagé à évaluer régulièrement les risques et à mettre en place un contrôle interne et des plans d’action visant à leur atténuation.

Le dispositif de gestion des risques vise à identifier, analyser et piloter les principaux risques auxquels est exposé le Groupe. Il contribue à la maîtrise et à la sécurisation des activités, à l’efficacité des opérations et à l’utilisation efficiente des ressources.

Ce dispositif comprend un ensemble de processus, dont l’objectif est d’identifier les risques, de les évaluer et de les prioriser, de les prévenir et de les maîtriser, de diffuser la culture de la gestion des risques et de suivre les plans d’action permettant de les limiter. Il s’appuie sur les collaborateurs du Groupe, en particulier l’audit interne et la conformité, et au besoin sur des expertises externes. 

Pour les risques liés aux aspects RSE, se référer au chapitre 3 « Déclaration de performance extra-financière » du présent document d’enregistrement universel.

Le Groupe a établi dès 2020 une cartographie des risques, qui a été mise à jour en 2022 et 2023.

Le processus d’élaboration de la cartographie des risques, mené avec l’ensemble des composantes de l’entreprise, et en impliquant le top management de toutes les activités du Groupe, a permis d’identifier les principaux risques auxquels le Groupe est exposé et d’apprécier pour chacun d’eux leur impact potentiel, prenant en compte leur criticité et leur probabilité d’occurrence. La cartographie des risques du Groupe est également nourrie par des cartographies de risques spécifiques, telles que les cartographies cybersécurité ou anticorruption, et par un travail de veille sur les risques opérationnels et les risques émergents. 

Les risques les plus significatifs ont été rassemblés en différentes familles (stratégie et marchés, opérationnels, ressources humaines, financiers, réglementaires et juridiques, systèmes d’information) et font l’objet d’une description de leurs causes et impacts potentiels, ainsi que des actions déployées pour gérer les risques.

La direction du Groupe, le Conseil d’administration et le comité d’audit suivent avec attention la gestion des risques et en définissent la stratégie la plus appropriée. 

Pour chaque risque, un ou plusieurs responsables sont nommés. Ils ont pour rôle de compléter l’analyse du risque, d’identifier les actions et moyens nécessaires à sa réduction, et de piloter les plans d’action correspondants.

La pertinence et l’avancement des plans d’action sont suivis par des membres du comité exécutif du Groupe, dont le directeur général, le directeur financier et le directeur juridique, qui les revoient à un rythme trimestriel. La cartographie des risques et les plans d’action font l’objet d’une présentation annuelle au comité d’audit du Groupe, complétée sur demande de présentations ponctuelles.

Le service juridique du Groupe négocie l’ensemble des contrats d’assurance de façon centralisée pour l’ensemble du Groupe à l’exclusion des filiales implantées aux États-Unis. Les filiales américaines du Groupe déterminent elles-mêmes leur politique assurantielle et souscrivent pour leur propre compte leurs polices d’assurance.

Les contrats d’assurance sont soit souscrits par le Groupe, pour son propre compte et pour le compte de ses filiales, soit directement souscrits par les filiales, par l’intermédiaire de courtiers mandatés pour négocier auprès des principales compagnies d’assurance la mise en place ou le renouvellement des garanties les plus adaptées aux besoins de couverture des risques.

Les compagnies d’assurance sont sélectionnées sur le fondement de critères tels que le montant des cotisations, l’étendue des garanties proposées, la capacité à mettre en place des programmes intégrés de type polices masters, la durée de l’engagement, leur disponibilité pour assurer les risques considérés au vu de l’ensemble de leurs autres engagements sur le secteur et le marché considéré ou la faculté à proposer un accompagnement qualitatif afin d’appréhender au mieux la gestion des risques.

La politique du Groupe en matière d’assurance vise à :

• ▶adapter chaque année lors du renouvellement de ses polices sa couverture assurantielle en fonction de l’évolution des risques liés à la croissance de ses activités habituelles et de l’augmentation constante de ses capitaux. Pour cela, le Groupe fait appel à un cabinet externe pour expertiser les capitaux de ses sites les plus importants ;
• ▶poursuivre une politique active de prévention et de protection de ses sites industriels notamment avec son plan de prévention HYR, visant à les protéger contre les risques accidentels d’incendie. Le Groupe fait auditer annuellement la majorité de ses sites industriels par les ingénieurs préventistes de ses courtiers et assureurs ;
• ▶communiquer au marché de l’assurance et de la réassurance, lors de roadshows organisés par le Groupe, des informations détaillées sur le plan de prévention HYR ;
• ▶mettre en place des sessions de sensibilisation du risque incendie avec une approche technique et assurantielle auprès d’un panel large d’opérationnels ;
• ▶développer la prévention des risques tels que les expositions aux catastrophes naturelles ou environnementales afin d’étoffer la couverture assurantielle existante.

L’ensemble des contrats d’assurance ont été renouvelés au 1er janvier 2024, à l’exception de quelques contrats dont les échéances demeurent en cours d’année.

Le Groupe privilégie la souscription de polices masters afin de pouvoir mutualiser les garanties au sein du Groupe. Pour des raisons réglementaires ou factuelles telles que la taille d’une filiale ou la nécessité d’obtenir des garanties, le Groupe a recours à des polices locales ou standalone souscrites directement par ses filiales.

Le Groupe dispose également de polices d’assurance souscrites directement par le Groupe ou par l’intermédiaire de ses filiales, couvrant la responsabilité civile des mandataires sociaux, les risques relatifs à l’ensemble de ses bureaux, à sa flotte automobile, aux déplacements de ses salariés utilisant leur propre véhicule pour des déplacements professionnels, aux missions professionnelles, aux salariés expatriés, aux travaux de construction, d’installation d’équipement ou d’aménagement dans ses centres de données ou bureaux, au transport de marchandises, habitations louées et mises à disposition du personnel lors de déplacements professionnels ponctuels au siège social, mais aussi du cabinet médical du médecin exerçant aussi pour le compte d’OVHcloud.

Le Groupe dispose également par l’intermédiaire de ses filiales de nombreuses polices d’assurance couvrant les dommages matériels, la responsabilité civile et employeur et l’indemnisation des salariés, de ses bureaux et centres de données internationaux.

En s’appuyant sur le cadre de référence de l’AMF, OVHcloud met en place un dispositif de contrôle interne comprenant un ensemble de moyens, de politiques, de comportements, de procédures et d’actions adaptées, visant à s’assurer :

• ▶de l’application des instructions et des orientations fixées par la direction ;
• ▶du fonctionnement des processus internes permettant l’efficacité et la maîtrise des activités ;
• ▶de la fiabilité des informations comptables et financières ;
• ▶de la conformité aux lois et règlements ;
• ▶de la maîtrise des risques.

Un ensemble d’acteurs intervient dans le dispositif de contrôle interne :  

Par délégation du Conseil d’administration, il incombe au comité d’audit de suivre le processus d’élaboration de l’information financière et de suivre l’efficacité des systèmes de contrôle interne et de gestion des risques et d’audit interne.

Le Conseil d’administration est informé par les membres du comité d’audit sur ces aspects.

Les missions détaillées du Conseil d’administration et du comité d’audit sont décrites dans la partie 4 « Gouvernement d’entreprise ».

La direction générale est responsable du déploiement du dispositif de contrôle interne et du pilotage de la cartographie des risques. Pour ce faire, la direction générale s’appuie sur la direction financière et la direction de l’audit, contrôle interne et risques.

La 1re ligne de maîtrise est constituée par les opérations qui formalisent et mettent en œuvre des processus opérationnels pour assurer la maîtrise des opérations au quotidien et leur contrôle interne.

Le contrôle interne est intégré à la mission de chaque direction opérationnelle. Ainsi, le management des directions opérationnelles est chargé de vérifier la bonne application des procédures et contrôles de 1er niveau en réalisant des contrôles de 2e niveau, par exemple par des échantillonnages, par la mise en place de contrôles applicatifs, de circuits de validation. La fonction contrôle de gestion peut également être en charge de la réalisation de contrôles de 2e niveau.

Enfin, les directions fonctionnelles se chargent de définir des référentiels et contrôles applicables par toutes les entités commerciales et industrielles et de piloter les risques opérationnels sur leur périmètre respectif : par exemple, les directions juridiques, qualité, normes, sécurité et environnement de travail, cybersécurité, ressources humaines, finance, assurances. Ces directions fonctionnelles peuvent également être amenées à vérifier la bonne application des règles de 1er niveau par des campagnes de contrôles de 2e niveau.

Dans une optique de renforcement de son contrôle interne et de coordination, OVHcloud a créé une direction de l’audit, contrôle interne et risques, rattachée à la direction financière du Groupe. Cette direction assiste les directions opérationnelles et fonctionnelles dans la construction de leurs dispositifs de contrôles de 1er et 2e niveaux. La direction de l’audit, contrôle interne et risques réalise également des campagnes de contrôles internes basées sur l’autoévaluation par les directions opérationnelles de la bonne application des contrôles. Le comité d’audit suit le déploiement du dispositif de contrôle interne.

La 3e ligne de maîtrise est constituée par la direction de l’audit, contrôle interne et risques. Sur la base d’un plan d’audits annuels, validé par la direction générale et par le comité d’audit, des missions d’audit sont réalisées en toute indépendance et font l’objet d’un rapport de mission qui identifie les risques éventuels et les plans d’action nécessaires à la réduction du risque.

Les conclusions des missions d’audit interne sont restituées aux directions opérationnelles, ainsi qu’à la direction générale et au comité d’audit pour les principaux constats afin de donner une assurance raisonnable sur l’efficacité du dispositif de contrôle interne et de gestion des risques. 

Le suivi des plans d’action est présenté au comité exécutif ainsi qu’au comité d’audit, deux fois par an. Par ailleurs, l’audit interne dispose de toute l’indépendance pour effectuer, si cela devait s’avérer nécessaire, des alertes auprès de la direction générale et des administrateurs.

Le modèle d’affaires d’OVHcloud est détaillé en introduction du présent document d’enregistrement universel.

OVHcloud a structuré sa démarche RSE au cours de l’exercice 2022. Avec près de 3 000 collaborateurs au 31 août 2024 et une empreinte industrielle et commerciale mondiale, le Groupe a pleinement conscience de sa responsabilité dans un monde où les données ont un impact majeur sur les vies privées, sociales et professionnelles, sur les plans économique, géopolitique, éthique et environnemental. Elles impactent les relations entre les personnes et leur utilisation traduit une vision du monde et le type de société dans lequel chacun souhaite vivre. Porté par son ambition : Leading the data revolution for a responsible future (Conduire la révolution des données pour un avenir responsable), OVHcloud s’est donné pour mission de construire un cloud ouvert et de confiance, permettant aux entreprises et à la société de tirer le meilleur parti de la révolution des données tout en minimisant ses impacts environnementaux.

Cette vision et la mission qui lui est associée se traduisent par une politique RSE, étroitement intégrée à la stratégie du Groupe. Cette politique s’articule autour de trois piliers d’engagement qui se déclinent chacun à leur tour en trois axes d’actions :

• ▶Garantir la liberté et la souveraineté des données

OVHcloud est au cœur de la révolution numérique, qui ouvre la voie à une multitude d’opportunités en matière d’applications et de technologie. Dans ce contexte, le Groupe propose à ses clients des solutions cloud couvrant l’ensemble de leurs usages, qu’il s’agisse de les accompagner dans leur transformation numérique, de leur permettre d’innover en construisant des applications cloud native ou de les aider à tirer parti de la puissance de la donnée. Dans l’accomplissement de cette mission, le Groupe offre à ses clients la liberté de construire leurs projets les plus ambitieux, dans un environnement cloud sécurisé, conforme et durable, suivant trois axes d’actions :

• •défendre la souveraineté des données, la sécurité et la confidentialité ;
• •garantir la liberté de choix et la réversibilité ;
• •offrir un prix prévisible et transparent.

• ▶Être pionnier du cloud durable

À l’avant-garde du cloud durable, OVHcloud intègre la durabilité au cœur de son modèle d’affaires depuis sa création, visant à minimiser son impact environnemental à chaque étape. L’action environnementale d’OVHcloud s’articule autour de trois axes :

• •inscrire l’innovation au cœur de son modèle industriel ;
• •aligner OVHcloud avec l’Accord de Paris, dont un des objectifs majeurs consiste à poursuivre les efforts pour limiter l’augmentation de la température moyenne mondiale à 1,5 °C au-dessus des niveaux pré-industriels ;
• •sensibiliser les parties prenantes à l’ensemble des impacts du cloud, afin d’enclencher une démarche collective de réduction de l’empreinte environnementale.

• ▶Faire progresser collectivement le cloud au bénéfice de la société

Chez OVHcloud, tout commence par l’humain. Les femmes et les hommes font sa richesse : ce sont les talents qui assurent sa réussite. Le « travailler ensemble » est l’une des valeurs fondamentales du Groupe. Cette dimension collective trouve son prolongement dans son écosystème, et dans la volonté de faire grandir toute la filière du cloud européen. Ce troisième pilier d’engagement se décline en trois voies d’action :

• •attirer et faire grandir les talents dans une aventure collective au sein d’une entreprise diverse et inclusive ;
• •collaborer et développer des coalitions avec les parties prenantes de l’écosystème du cloud européen ;
• •favoriser l’ancrage local et l’engagement sociétal en œuvrant à l’insertion par le numérique.

Pour piloter ses ambitions en matière de responsabilité sociétale d’entreprise (RSE), OVHcloud a mis en place une gouvernance dédiée, étroitement associée au pilotage de la stratégie globale du Groupe.

Le Conseil d’administration s’attache à promouvoir la création de valeur à long terme par la Société en considérant les enjeux sociaux et environnementaux de ses activités. Il examine régulièrement, en lien avec la stratégie qu’il a définie, les opportunités et les risques tels que les risques financiers, juridiques, opérationnels, sociaux et environnementaux, y compris le risque climatique, ainsi que les mesures prises en conséquence. Les priorités et objectifs à moyen terme en matière de responsabilité sociétale d’entreprise ont été approuvés par le Conseil d’administration en 2022 et sont revus chaque année par les mêmes instances. Leur suivi est assuré en s’appuyant sur les travaux de ses comités. En mai 2024, un séminaire stratégique extraordinaire en présence des administrateurs indépendants a été organisé : de nombreux sujets de gouvernance et de pilotage furent abordés dont la politique RSE, son application et l’avancement des travaux liés. 

Instauré dès l’introduction en bourse du Groupe en 2021, le comité stratégique et RSE a la mission de préparer le travail et de faciliter le processus de décision du Conseil d’administration sur les enjeux stratégiques et RSE. En matière de RSE, il a notamment la charge :

• ▶de s’assurer de la prise en compte des sujets relevant de la responsabilité sociale et environnementale (telles que les politiques de diversité et de non-discrimination et les politiques de conformité et d’éthique) dans la stratégie du Groupe et dans sa mise en œuvre ;
• ▶d’examiner la déclaration de performance extra-financière en matière sociale et environnementale prévue à l’article L. 22-10-36 du Code de commerce ;
• ▶d’examiner les avis émis par les investisseurs, analystes et autres tiers et, le cas échéant, le potentiel plan d’action établi par la Société aux fins d’améliorer les points soulevés en matière sociale et environnementale ;
• ▶d’examiner et d’évaluer la pertinence des engagements et des orientations stratégiques du Groupe en matière sociale et environnementale, au regard des enjeux propres à son activité et à ses objectifs, et de suivre leur mise en œuvre.

Le comité d’audit s’assure de l’efficacité du dispositif de suivi des risques et de contrôle interne, incluant les risques en matière de RSE, y compris le risque climatique, ainsi que de l’examen et du suivi des dispositifs et procédures en place pour garantir la diffusion et l’application des politiques et règles de bonnes pratiques en matière d’éthique, de fraude et de corruption et plus globalement de conformité aux réglementations en vigueur.

Enfin, le comité des nominations, des rémunérations et de la gouvernance se charge, entre autres missions, de la revue annuelle de la politique de diversité du Conseil d’administration ainsi que du suivi du taux de parité, de l’âge et de la diversité des compétences.

Le rôle et les travaux du Conseil d’administration et de ses comités sont détaillés dans les sections 4.1.5 et 4.1.6 du présent document d’enregistrement universel.

La direction de la stratégie et de la RSE, rattachée au directeur général, a la charge de l’implémentation des grandes orientations stratégiques du Groupe, qu’elle contribue à définir, ainsi que du développement et de la coordination de la politique RSE, avec pour objectif d’engager l’entreprise dans une démarche d’amélioration continue, de valoriser ses engagements et de mesurer les effets du programme RSE. La direction de la stratégie et de la RSE rend régulièrement compte au comité exécutif des avancées du programme RSE, de ses principales initiatives et de leurs mises à jour.

Les engagements du programme RSE sont élaborés et suivis par le comité de pilotage RSE. Coordonné par la direction de la stratégie et de la RSE, il est composé d’une équipe RSE centrale et de représentants des directions opérationnelles associées à l’implémentation du plan d’action RSE. Le comité se réunit à un rythme hebdomadaire afin de définir, suivre et ajuster les plans d’action RSE.

OVHcloud a mis au point une cartographie des risques Groupe en 2020. Celle-ci a été mise à jour à deux reprises, une première fois en 2022 et une seconde fois en 2023 (se référer au chapitre 2 du présent document d’enregistrement universel pour une description des facteurs de risque Groupe). Par ailleurs, le Groupe a construit sa première matrice de matérialité en 2022, mettant l’accent sur les enjeux RSE. Sa revue en 2024 n’a pas nécessité de mise à jour. 

En 2022, OVHcloud a construit sa première matrice de matérialité en interrogeant ses parties prenantes externes et internes, en vue de déterminer les enjeux RSE les plus matériels pour le Groupe, c’est-à-dire ceux qui ont ou pourraient avoir une incidence sur la capacité du Groupe à créer ou protéger de la valeur financière et extra-financière, pour lui-même et ses parties prenantes.

Cet exercice s’est déroulé en quatre étapes : identification des enjeux RSE potentiels, confrontation de ces enjeux avec les parties prenantes externes et internes, consolidation des résultats et enfin principaux enseignements tirés de l’analyse de ces résultats.

OVHcloud a défini une liste de 24 enjeux RSE potentiels, subdivisés en trois catégories : environnement, conduite des affaires et social/sociétal.

OVHcloud a confronté cette liste d’enjeux potentiels à ses parties prenantes internes et externes au cours d’entretiens, menés notamment auprès de ses clients, fournisseurs, investisseurs, représentants de son écosystème (associations, ONG, partenaires…) ainsi que les directeurs et responsables du Groupe, dont le comité exécutif, afin de récolter leur point de vue et leurs attentes vis-à-vis de chacun des enjeux. Les entretiens ont été conduits par les équipes d’OVHcloud, à l’exception des investisseurs, consultés par le biais d’une étude de perception réalisée par un prestataire externe. OVHcloud a par ailleurs consulté ses collaborateurs (hors comité exécutif et autres responsables) à travers un sondage en ligne.

Un guide d’entretien a été construit pour encadrer les différents entretiens. Ce guide a servi de base pour établir l’outil de sondage en ligne.

La question centrale portait sur la notation des enjeux en fonction du niveau d’attente pour chacun d’eux, selon la grille suivante :

• ▶0 : pas d’attente. OVHcloud n’a pas à s’engager particulièrement sur cet enjeu ;
• ▶1 : limité. Enjeu pour lequel OVHcloud peut mettre en place quelques actions, sans pour autant les intégrer à sa stratégie ;
• ▶2 : important. OVHcloud devrait adopter une politique, des objectifs et un plan d’action concernant cet enjeu ;
• ▶3 : prioritaire. Cet enjeu doit constituer une priorité stratégique majeure pour OVHcloud.

Au total, 231 personnes ont été consultées dont :

• ▶management (représenté sur l’axe des abscisses de la matrice) :
  • •le Président du Conseil d’administration,
  • •18 représentants de la direction dont le directeur général et l’ensemble du comité exécutif ainsi que les principaux directeurs de zone ;
• ▶parties prenantes (représentées sur l’axe des ordonnées de la matrice) :
  • •34 représentants des parties prenantes externes : clients, fournisseurs, pouvoirs publics, investisseurs, membres de l’écosystème d’OVHcloud (associations, partenaires, ONG…),
  • •178 salariés consultés par sondage.

La voix des pouvoirs publics a été exprimée par la personne responsable des affaires publiques chez OVHcloud.

Concernant les investisseurs, la notation a été faite en transposant l’étude de perception « Investisseurs ESG » 2022 réalisée par un prestataire externe sur une grille de notation similaire et une liste d’enjeux un peu plus restreinte.

L’analyse des données quantitatives et qualitatives a été réalisée avec l’appui d’un cabinet de conseil en RSE, selon la méthodologie suivante :

• 1 .consolidation des résultats : concernant les parties prenantes internes et externes, la notation moyenne des enjeux a été établie sur la base d’une équi-pondération des résultats au sein de chaque catégorie de parties prenantes, puis entre les catégories. Pour le management, les notations attribuées par le Président et le directeur général ont fait l’objet d’une surpondération par rapport aux réponses des représentants de la direction ;
• 2 .formalisation de la matrice : les notations ainsi obtenues ont permis de placer chaque enjeu sur l’axe des abscisses (moyenne attribuée par le management) et sur l’axe des ordonnées (moyenne attribuée par les parties prenantes internes et externes) ;
• 3 .analyse des résultats : les enseignements clés sont tirés de la compilation de l’analyse (corrélations, dispersions, classements des enjeux, comparaison selon les parties prenantes) des résultats.

* Pour le libellé détaillé des enjeux, se reporter au tableau dans la section consacrée à l’identification des enjeux ci-dessus.

• ▶Les parties prenantes internes et externes sont globalement alignées sur les enjeux les plus matériels, notamment ceux liés au cœur de métier du Groupe, signe d’une bonne compréhension entre OVHcloud et son écosystème. Il s’agit des enjeux relatifs à la souveraineté des données, la trajectoire bas carbone, la gestion efficiente de l’énergie, la cybersécurité et la protection des données, l’affichage environnemental et la transparence carbone, la sécurisation des approvisionnements stratégiques.
• ▶Trois enjeux majeurs se distinguent plus particulièrement, cohérents avec la vision et les orientations stratégiques du Groupe :
  • •souveraineté des données ;
  • •trajectoire bas carbone ;
  • •gestion efficiente de l’énergie.
• ▶Sur les enjeux importants, un alignement est également constaté sur des enjeux plus génériques mais fondamentaux pour le fonctionnement de l’entreprise : chaîne d’approvisionnement responsable, éco-design, éthique des affaires, gestion responsable de l’eau, attractivité et fidélisation des talents, fiabilité et confiance du client, santé, sécurité au travail et bien-être des employés, diversité et inclusion, innovation et R&D pour green IT.
• ▶Concernant les écarts (qui restent limités), on constate que le management accorde une importance particulière à l’attraction des talents et à la confiance client, tandis que les parties prenantes ont plutôt des attentes fortes concernant la continuité de service – en matière de cybersécurité et de résilience au changement climatique – et l’affichage environnemental.
• ▶OVHcloud est clairement reconnu sur les enjeux de différenciation de l’offre, liés à sa proposition de valeur : la transparence des prix, l’éco-conception, la démarche responsable de gestion des ressources et surtout la souveraineté des données. Les attentes sont néanmoins très fortes sur ces enjeux, qui figurent parmi les plus matériels.
• ▶À la question des enjeux sur lesquels OVHcloud dispose de marges de progrès, les parties prenantes se sont généralement moins exprimées que le management. Les enjeux les plus cités ont été : cybersécurité et protection des données, affichage environnemental, diversité et inclusion, attraction et fidélisation des talents, contribution à la transition numérique et accessibilité du numérique.

• ▶Les interactions avec les diverses parties prenantes du Groupe au cours de l’exercice 2024 confortent les principaux enseignements tirés de l’analyse menée en 2022.

Leader européen du cloud, OVHcloud est au cœur de la révolution numérique, qui ouvre la voie à une multitude d’opportunités en matière d’applications et de technologie. Dans ce contexte, le Groupe propose à ses clients des solutions cloud couvrant l’ensemble de leurs usages, qu’il s’agisse de les accompagner dans leur transformation numérique, de leur permettre d’innover en construisant des applications cloud native ou de les aider à tirer parti de la puissance de la donnée. Dans l’accomplissement de cette mission, le Groupe offre à ses clients la liberté de construire leurs projets les plus ambitieux, dans un environnement cloud sécurisé, conforme et durable. Pour OVHcloud, chacun doit pouvoir garder le contrôle de ses données et avoir la garantie qu’elles sont en sécurité. Le libre choix et l’ouverture, en matière de services et d’innovation, constituent le socle de la relation de confiance établie avec ses clients et partenaires. Celle-ci passe également par une offre de services proposant le meilleur rapport prix-performance et des tarifs transparents et prévisibles.

Les activités d’OVHcloud s’articulent autour de la capacité de calcul, du stockage, du traitement et du transfert de données de ses clients, dont des données personnelles, ainsi que des données critiques pour l’entreprise. La souveraineté, la sécurité et la confidentialité des données constituent le socle de la proposition de valeur du Groupe et le fondement de la relation de confiance qui l’unit à ses clients. OVHcloud assure le plus haut niveau de protection des données. Ce niveau d’excellence est soutenu par un système de gouvernance de la donnée efficace. Le Groupe milite également pour un cloud européen, garant de l’indépendance technologique de l’Europe et de la souveraineté de ses données.

OVHcloud met en œuvre des mesures de sécurité dans tous ses datacenters et processus afin de protéger ses clients à travers le monde.

OVHcloud considère la cybersécurité comme l’un des piliers support de sa stratégie de développement. La capacité du Groupe à protéger les données et charges de traitements de ses clients conditionne en effet la confiance qu’ils lui accordent. La politique de sécurité des systèmes d’information (PSSI (1)) fournit le cadre de référence en matière de cybersécurité pour OVHcloud. Elle décrit le contexte de sa mise en œuvre ainsi que ses fondements, au nombre de trois :

• ▶déployer une approche industrielle à grande échelle de la sécurité. La sécurité est intégrée dans le cycle de développement des produits. L’équipe de sécurité est constamment impliquée pour accompagner les décisions quant aux mesures de sécurité à adopter pour en prévenir et réduire les risques. Cette démarche s’appuie sur des mesures de sécurité normalisées, sur des architectures sécurisées dès leur conception et sur des processus formels, éprouvés, fortement automatisés. Les mesures de sécurité normalisées sont assorties de mesures complémentaires pour tenir compte des spécificités de chaque projet. Enfin, OVHcloud opère un dispositif d’analyse permanent des menaces reposant sur la surveillance continuelle des systèmes, lui permettant d’adapter systématiquement ses pratiques opérationnelles aux risques immédiats et de réagir efficacement aux incidents de sécurité ;
• ▶positionner OVHcloud comme un acteur de confiance au sein de l’écosystème. En tant que fournisseur mondial de cloud, OVHcloud a une grande responsabilité dans la lutte contre les menaces de sécurité. Le Groupe déploie des outils de protection à grande échelle et automatise la protection des systèmes de ses clients contre ces menaces. L’équipe sécurité et les experts techniques d’OVHcloud entretiennent des relations opérationnelles solides avec les communautés d’experts en sécurité, les autorités, les éditeurs de logiciels et les fabricants de matériel. De cette manière, le Groupe est en mesure d’anticiper les nouvelles menaces et vulnérabilités, et de réduire ainsi les risques associés. Par ailleurs, OVHcloud partage ses innovations et ses connaissances avec la communauté de la sécurité et promeut la divulgation responsable. Enfin, les dispositifs de sécurité du Groupe sont régulièrement évalués par des tiers de confiance sur la base de référentiels d’audit reconnus ;
• ▶opérer un cloud de confiance pour tous. OVHcloud propose ses solutions à tout type de client dans tous les domaines d’activité : start-up, PME, grande entreprise, administration, multinationale. Chaque client d’OVHcloud a une approche de la sécurité qui lui est propre, en fonction de son métier et/ou de ses besoins de souveraineté. OVHcloud assure la sécurité des services fournis et des infrastructures sous-jacentes et offre à ses clients un haut niveau de transparence sur les mesures de sécurité implémentées pour les accompagner. OVHcloud s’engage également sur la protection des données à caractère personnel, en tant que responsable de traitement pour les données relatives à ses clients et en tant que sous-traitant de données à caractère personnel dans le cas où ses clients sont eux-mêmes responsables de traitement. La politique de sécurité des systèmes d’information porte notamment cet engagement par la définition, la mise en œuvre et l’amélioration des dispositifs de sécurité assurant la protection des données à caractère personnel hébergées.

L’organisation de la gestion de la sécurité est basée sur des normes internationales reconnues qui mettent en évidence ces principes. Le Groupe a obtenu de nombreuses certifications nationales (SecNumCloud, ACN, ENS, C5) (2), internationales (ISO 27001, ISO 27701, PCI DSS, SOC 2 type 2) et spécifiques à certains secteurs (HDS, HIPAA et HITECH pour la santé, EBA et ACPR PSEE pour les services financiers), qui répondent aux plus hauts standards français, européens et internationaux en termes de protection des données. 

Par ailleurs, OVHcloud dispose de procédures internes en matière de sécurité des systèmes d’information et sensibilise en permanence ses collaborateurs au risque d’attaque informatique, notamment en réalisant des campagnes de simulations d’attaques cyber. Le Groupe organise jusqu’à trois campagnes par semaine, construites à partir de scénarios sophistiqués inspirés de cas réels, testés sur des populations choisies arbitrairement. Plusieurs indicateurs sont observés dont la part des effectifs testés, le taux de signalement et le taux de compromission (part des effectifs sur lesquels le phishing a fonctionné) et son inverse, le taux de succès des campagnes de simulations. C’est ce dernier indicateur qui constitue l’indicateur de performance de référence. En 2024, le taux de succès des campagnes de simulations d’attaques cyber s’est établi à 87 %, en très léger recul comparé à 2023, du fait du durcissement des campagnes de test afin de préparer les équipes à des scenarii plus réalistes. Le calcul de cet indicateur clé ne prend pas en compte la complexité des campagnes, et ne reflète donc pas parfaitement la réalité de la sensibilisation des utilisateurs en données comparables d’une année sur l’autre.

Le cloud s’appuyant sur des infrastructures physiques, la sécurité des données passe aussi par la sécurisation des sites d’OVHcloud, avec une attention particulière portée à ses datacenters qui abritent les serveurs sur lesquels sont stockées ou transitent les données. Ces sites sont particulièrement importants pour garantir la continuité de l’activité des clients. OVHcloud met donc en place une multitude d’actions pour protéger ses sites, dont :

• ▶du gardiennage et une surveillance 24/7 ;
• ▶un système anti-intrusion ;
• ▶un contrôle des accès strict ;
• ▶des contacts réguliers avec les autorités.

Dans la nuit du 9 au 10 mars 2021, un incendie s’est déclaré dans l’un des quatre datacenters du site OVHcloud de Strasbourg. Dès lors, le Groupe a deployé un plan Hyper Résilience, visant, entre autres, à apporter des normes de sécurité au-dessus des standards réglementaires et des recommandations des assureurs.

L’inauguration du nouveau datacenter de Strasbourg, SBG5, en septembre 2022, a permis de montrer la première concrétisation du plan Hyper Résilience. Fruit d’un investissement de 30 millions d’euros lancé en avril 2021, le site est le premier d’une nouvelle génération de datacenters hyper résilients et plus durables. D’une superficie de 1 700 m2, SBG5 totalise 19 salles isolées bénéficiant de maçonneries compartimentant les différents segments pour offrir une résistance de deux heures au feu.

Communiqué de presse : https://corporate.ovhcloud.com/fr/newsroom/news/sbg5-opening/

Conformément à ses engagements, le Groupe a lancé un nouveau datacenter dédié aux sauvegardes de données brutes (snapshots) et distant des sites d’exploitation des services. Déployé dans un premier temps pour les clients français, le Groupe prévoit de généraliser ce service afin de l’étendre à l’ensemble de ses solutions et de ses localisations.

OVHcloud traite quotidiennement une quantité très importante de données personnelles tant pour le compte de ses clients, au travers de ses offres de produits et services de cloud, que pour son propre compte.

La sécurité des données, l’usage transparent et proportionné des informations relatives aux clients du Groupe ainsi que la protection des données qu’ils lui confient contre les lois étrangères de portées extraterritoriales, sont au cœur des priorités d’OVHcloud.

Afin de garantir à ses clients la sécurité de leurs données et de garantir le respect du RGPD et de toutes les législations nationales qui lui sont opposables, telles que le Data Protection Act britannique, le Data Protection Act australien ou la loi 25 québécoise, OVHcloud a adopté une politique de traitement des données personnelles se conformant aux réglementations les plus strictes et qui s’applique à l’ensemble de ses entités et de ses salariés. Cette politique est mise en œuvre sous la supervision du délégué à la protection des données (DPO), dont le rôle est décrit dans le chapitre 2 du présent document d’enregistrement universel.

• ▶Gouvernance de la donnée

Des comités et ateliers de travail dédiés à la protection des données se tiennent de manière régulière afin de veiller au respect des législations applicables et au suivi des actions qui en découlent :

• ▶comité de revue des projets internes dont l’objectif est de vérifier la pertinence d’un projet et le respect du principe de Privacy by design par la prise en compte des prérequis techniques, de sécurité informatique et de traitement des données personnelles (50 projets étudiés au cours de l’exercice 2024) ;
• ▶comités ad hoc de gestion des projets de nouveaux outils ou services à destination des clients ;
• ▶comités mensuels de suivi entre le DPO et les acteurs clés de la protection de la donnée tels que le RSSI (responsable de la sécurité des systèmes d’information), le service client, ou divers représentants de la direction des systèmes d’information.
• ▶Formations et sensibilisation des équipes

Dès leur arrivée chez OVHcloud, quelle que soit la filiale du Groupe à laquelle ils sont rattachés, les salariés du Groupe sont obligatoirement formés à la protection des données.

Cette formation s’effectue en deux temps, (i) au travers de la semaine d’intégration à laquelle tout nouveau salarié, y compris les membres du comité exécutif, assiste, puis (ii) au travers de l’e-learning obligatoire accessible depuis la plateforme d’e-learning du Groupe.

• ▶Documentation de la conformité et procédures

OVHcloud procède à la documentation de sa conformité au travers de son registre de traitements et d’analyses d’impacts.

Afin de faciliter la gestion de cette documentation, OVHcloud a investi dans un outil de gouvernance de la donnée, permettant de centraliser l’ensemble des informations clés de la protection des données.

En outre, OVHcloud dispose d’un ensemble de procédures visant à assurer le respect des principes de protection de la donnée :

• •une politique de traitement des demandes d’exercice de droits ;
• •une politique de conservation des données personnelles ;
• •une politique de gestion des incidents de sécurité (violation de données) ;
• •une politique de gestion des demandes d’extraction de données ;
• •une politique de gestion des autorisations de déplacement avec des équipements OVHcloud en dehors de l’Union européenne. 

• ▶Droit des personnes

OVHcloud a mis en place un formulaire de demande d’exercice de droits en ligne, accessible directement sur son site Internet. Ce formulaire permet d’assurer la traçabilité des demandes et le respect des délais de réponse.

Les demandes sont ensuite traitées par une équipe dédiée du service client du Groupe composée de cinq personnes répondant quotidiennement aux demandes des clients.

• ▶Violation des données

La sécurité des données est un enjeu central dans les activités d’OVHcloud qui a mis en place un ensemble de mesures afin de prévenir les violations de données.

De plus, il existe une collaboration étroite entre les équipes DPO et les équipes responsables de la sécurité des systèmes d’information (RSSI) qui permet d’assurer la bonne prise en compte d’incidents informatiques et de prévenir d’éventuelles violations de données personnelles.

OVHcloud dispose également d’un registre des incidents et violations de données conformément au RGPD, et aux législations locales telles que la loi 25 québécoise.

• ▶Protection contre les ingérences étrangères

OVHcloud met en œuvre des mesures techniques et organisationnelles visant à protéger les données hébergées par ses clients européens au sein de l’Union européenne, contre l’ingérence d’autorités non européennes. Techniquement, aucune entité OVHcloud ou tiers partenaire d’OVHcloud localisé dans un pays tiers n’assurant pas un niveau de protection des données conforme à celui en vigueur au sein de l’Union européenne, n’a la possibilité d’accéder aux infrastructures d’hébergement desdites données ni aux données personnelles relatives aux clients.

Ainsi, les entités américaines du groupe OVHcloud n’interviennent pas dans le cadre des services fournis aux clients européens d’OVHcloud et n’ont pas la possibilité technique d’accéder aux données hébergées par ces derniers dans les datacenters européens d’OVHcloud. Dès lors, lesdites entités américaines n’ont pas le contrôle des données stockées dans ces datacenters et ne peuvent répondre favorablement à des demandes d’autorités américaines visant à obtenir communication desdites données.

Seules des entités localisées au sein de l’Union européenne ou dans des pays dont le niveau de protection a fait l’objet d’une décision d’adéquation de la Commission européenne, en particulier le Canada, peuvent, dans les conditions de service en vigueur, prendre part à l’exécution des services fournis aux clients européens d’OVHcloud et intervenir techniquement sur les infrastructures sur lesquelles ces derniers hébergent leurs données.

Le traitement éthique de la donnée est depuis toujours au cœur du modèle d’affaires d’OVHcloud, il implique un traitement approprié des données de ses utilisateurs afin de garantir le respect de leur vie privée. Il est formalisé par quatre engagements :

Afin de porter ces différents chantiers et engagements, OVHcloud s’est doté de plusieurs instances permettant une gouvernance fédérée de la donnée :

• ▶le comité de coordination des données garantit un contrôle strict de la qualité de la donnée et sa cohérence en renforçant les standards des normes ISO 27001 et ISO 27701 ;
• ▶le groupe de travail souveraineté réunit les différents acteurs d’OVHcloud afin de garantir la protection des données de ses clients vis-à-vis des acteurs internationaux.

OVHcloud défend un modèle européen du cloud ouvert, qui garantit la protection des données des citoyens et des organisations, et qui assure la souveraineté numérique, un des leviers constitutifs de l’indépendance stratégique de l’Europe. À cette fin, OVHcloud partage sa vision et ses propositions auprès des acteurs politiques et institutionnels impliqués dans l’élaboration de la décision publique, directement auprès de ces acteurs ou en lien avec des associations représentatives ; son écosystème de partenaires ou encore dans le cadre d’événements publics.

OVHcloud entend pleinement assumer son rôle de leader du cloud européen et milite proactivement pour le développement d’un écosystème de fournisseurs de cloud européen en mesure de répondre aux besoins des utilisateurs, à travers des initiatives propres déployées à l’échelle française, européenne et internationale.

La souveraineté numérique et l’équilibre concurrentiel sur le marché du cloud en Europe constituent des enjeux fondamentaux pour permettre de garantir la liberté de choix des utilisateurs de services de cloud. Afin de sensibiliser aux problématiques que soulèvent par exemple le traitement des données – et l’importance que revêt, pour les organisations, la maîtrise de leurs données les plus sensibles – ainsi que la garantie d’un cloud interopérable, OVHcloud se mobilise de plusieurs façons : participation à des salons, tables rondes, débats, keynotes, échanges avec les représentants d’institutions nationales, européennes et internationales, organisation d’événements ad hoc.

Le modèle européen du cloud valorisé par le Groupe implique une vision européenne de la protection des données personnelles et par conséquent un engagement à l’échelle de l’écosystème, européen comme national.

• ▶Préfiguration du comité stratégique de filière (CSF) Numérique de confiance (4)

En octobre 2022, Michel Paulin qui était alors le directeur général d’OVHcloud a été missionné par le gouvernement français pour structurer et consolider la filière française du numérique de confiance au sein de laquelle le cloud occupe une place centrale.

• ▶Membre fondateur de Gaia-X

OVHcloud a participé à la création de Gaia-X (5), une initiative européenne lancée en 2020 dont l’objectif est de construire un écosystème numérique fédéré, ouvert, sécurisé et transparent. Elle vise à permettre aux utilisateurs de bénéficier de services de cloud répondant à leurs besoins tant sur le plan technique que juridique et leur offrant des garanties adaptées en termes, notamment, de protection des données, d’interopérabilité, de sécurité ou d’immunité aux lois extraterritoriales. Au sein de Gaia-X, OVHcloud cherche à promouvoir la mise en place d’un label permettant aux utilisateurs d’identifier les services de cloud leur garantissant le niveau approprié de protection des données. En 2023, OVHcloud a été réélu au Board of Directors de Gaia-X pour 2 ans.

• ▶Membre Fondateur de l’European Alliance for Industrial Data, Edge, and Cloud

OVHcloud est également membre fondateur de l’European Alliance for Industrial Data, Edge, and Cloud (6), une initiative lancée par la Commission européenne et qui regroupe 57 acteurs industriels européens mobilisés pour renforcer la capacité de l’Europe à développer sa propre technologie cloud et edge, en tenant notamment compte des enjeux de souveraineté et de développement durable. OVHcloud participe aux assemblées générales et contribue aux livrables de l’Alliance Européenne pour les Données Industrielles, Edge et Cloud.

Fort de tous ces engagements, le Groupe soutient, aux côtés de son écosystème, les projets législatifs et initiatives à même de soutenir la souveraineté numérique européenne et l’établissement de règles du jeu équitables pour le marché du cloud comme en France avec la loi visant à sécuriser et à réguler l’espace numérique et en Europe comme le Digital Markets Act (DMA), le Data Act, l’élaboration d’un schéma européen de cybersécurité pour la certification des services de cloud, dit EUCS mais aussi les travaux en cours dans plusieurs pays du monde concernant les pratiques préjudiciables à l’œuvre sur le marché du cloud, récemment relevées par l’Autorité de la concurrence en France et de nombreuses autres dans le monde (ex. : Pays-Bas, Espagne, Royaume-Uni).

À l’avant-garde du cloud durable, OVHcloud intègre la durabilité au cœur de son modèle d’affaires depuis sa création en développant des innovations industrielles lui permettant de limiter son impact environnemental. Durant l'exercice 2024, OVHcloud a poursuivi sa trajectoire de performance en matière de climat en affinant ses objectifs environnementaux existants. À cet égard, le Groupe présente cette année ses objectifs quantifiés qui reflètent son engagement continu en faveur de pratiques durables et responsables.

L’action environnementale d’OVHcloud s’articule autour de trois piliers :

• ▶l’innovation, au cœur de son modèle industriel ;
• ▶la mise en application de l’Accord de Paris ;
• ▶la communication et la sensibilisation à l’ensemble des impacts du cloud, afin de guider les choix en matière de consommation.
• L’Accord de Paris, adopté en 2015, vise à limiter le réchauffement climatique à 1,5 °C au-dessus des niveaux préindustriels. Il engage les pays signataires à réduire leurs émissions de gaz à effet de serre et à renforcer leur résilience face aux impacts climatiques. Dans ce cadre, OVHcloud s’est engagé depuis 2023 dans sa démarche auprès de la Science Based Target Initiative (SBTi), référentiel international permettant aux organisations d’aligner leur stratégie de décarbonation sur la trajectoire définie par l’Accord de Paris. 

Pour mesurer sa performance énergétique et environnementale, OVHcloud suit quatre indicateurs principaux :

• ▶le PUE (Power Usage Effectiveness) mesure l’efficience énergétique des datacenters du Groupe : c’est le rapport entre l’énergie totale utilisée et l’électricité utilisée pour alimenter les serveurs ;
• ▶le WUE (Water Usage Effectiveness) mesure l’efficacité de l’utilisation de l’eau : c’est le rapport entre la consommation d’eau des systèmes de refroidissement en litres et l’électricité utilisée pour alimenter les serveurs ;
• ▶le CUE (Carbon Usage Effectiveness) mesure l’intensité carbone des datacenters et prend ainsi en compte les caractéristiques de la source d’énergie : c’est le rapport entre les émissions de gaz à effet de serre des scopes 1 & 2 et l’électricité utilisée pour alimenter les serveurs ;
• ▶le REF (Renewable Energy Factor) mesure la part d’énergie renouvelable consommée par les datacenters par rapport à leur consommation totale.
• Les émissions de GHG (Green House Gas ou gaz à effet de serre) sont mesurées en kilogrammes ou tonnes de dioxyde de carbone équivalent (8). OVHcloud a modifié la méthodologie de mesure de ses émissions de gaz à effet de serre pour adopter le GHG Protocol, dans l’optique de sa préparation à la démarche Science Based Target Initiative (SBTi). Deux comptabilités sont effectuées en parallèle : la location-based prenant en compte l’intensité moyenne des émissions de la grille électrique locale où se situe l’entité consommatrice d’énergie. Et la market-based prenant en compte les choix d’approvisionnement énergétique choisi par l’entreprise incluant les Energy Attributes Certificates (instruments officiels et traçables pour certifier l’origine renouvelable d’une quantité déterminée d’électricité, désignés EAC dans la suite du document). 
• En 2023, le périmètre de mesure du PUE et WUE avait évolué par rapport à 2022. Il est resté constant en 2024. Par ailleurs, dans une démarche de transparence continue, le Groupe a élargi la liste des indicateurs suivis.
•  

Chez OVHcloud tout commence par l’humain. Les femmes et les hommes font sa richesse : ce sont les talents qui assurent sa réussite. Le « travailler ensemble » est l’une des valeurs fondamentales du Groupe. Cette dimension collective trouve son prolongement dans son écosystème, et dans la volonté de faire grandir toute la filière du cloud européen. Conscient de son impact, et de sa responsabilité, OVHcloud entend faire du numérique un levier du développement socio-économique.

Afin de préserver la fiabilité et la comparabilité des indicateurs déclinés ci‑dessous, le Groupe raisonne sans Gridscale, acquis le 4 septembre 2023, et dont l’intégration dans les systèmes de reporting social est en cours. Le Groupe travaille à cette intégration, en vue de garantir l’exhaustivité de sa démarche de responsabilité sociale.

Dans un contexte international tendu mais toujours en forte concurrence pour les talents, attirer et faire grandir de nouvelles compétences est resté une priorité pour OVHcloud.

Le Groupe a en effet continué de recruter au cours de l’exercice fiscal 2024. 437 personnes ont ainsi rejoint l’aventure OVHcloud, réalisant de ce fait une croissance nette des effectifs de plus de 1 % sur cette dernière année, principalement portée par l’international et renforçant la part des contrats à durée indéterminée dans l’effectif. En deux ans, l’effectif total du Groupe a progressé de plus de 4 %.

Au-delà du recrutement, la fidélisation des talents constitue un second enjeu clé, afin de capitaliser sur les savoirs et de permettre la montée en compétence globale des équipes. L’indicateur de performance de référence pour en assurer le suivi est le loyalty rate, qui mesure le taux de collaborateurs présents dans le Groupe un an après leur arrivée. Ce taux a continué de s’améliorer pour atteindre 81 % en 2024. 

Le Groupe suit également le taux de départs volontaires, qui permet de mesurer le rythme de renouvellement de l’effectif. En 2024, ce taux s’élève à 9,20 %, en amélioration de 1 point par rapport à celui de 2023 (lui-même en amélioration annuelle de plus de 4 points). L’objectif est de maintenir un taux de départs volontaires inférieur ou égal à 15 % (taux considéré comme le taux moyen du marché). De plus, l’ancienneté moyenne des départs volontaires s’est stabilisée à plus de 3 ans depuis 2021 (3,4 années en 2024).

Enfin, OVHcloud mesure régulièrement le niveau d’engagement de ses collaborateurs à partir des résultats d’enquêtes internes menées chaque année via un logiciel de sondage (Peakon). Les scores d’engagement pour l’année fiscale 2024 ont été de 7,2/10 lors de l’enquête de décembre et de 7,3/10 lors de l’enquête de juin. Les taux de participation ont été respectivement de 84 % et de 86 % (niveaux similaires à l’an passé), témoignant également du niveau d’engagement des collaborateurs. Le score d’engagement des collaborateurs est un indicateur clé de performance qui entre dans la composition de la rémunération variable annuelle des dirigeants mandataires sociaux (à hauteur de 15 %) et des membres du comité exécutif (à hauteur de 9 %) en 2024.

OVHcloud se distingue par les engagements phares qu’il porte, en faveur de la souveraineté des données notamment, et par une culture d’entreprise forte, soutenue par des valeurs communes qui guident chacune des actions du Groupe :

• ▶la confiance : elle engage OVHcloud auprès de son écosystème et permet à ses collaborateurs d’exprimer leur talent ;
• ▶travailler ensemble : OVHcloud a la conviction profonde qu’il n’y a de réussite individuelle qu’au service de la réussite collective. La dimension collective est essentielle pour explorer et construire le cloud de demain. Pour cela, chacun est important et contribue à son échelle ;
• ▶la passion : la passion de la technologie et de l’aventure est cardinale chez OVHcloud. Elle favorise l’innovation et le dépassement de soi ;
• ▶la disruption : OVHcloud cherche sans cesse à simplifier ses processus et ses organisations pour être plus performant et réduire les coûts. Réfléchir autrement est encouragé par le Groupe pour créer toujours plus de valeur pour les clients et l’écosystème ;
• ▶la responsabilité : OVHcloud prend ses responsabilités. Le Groupe est conscient que chaque innovation peut être positive ou négative en fonction de l’usage qui en est fait.

La marque employeur d’OVHcloud constitue le cœur de sa proposition de valeur pour les employés et a pour objectif d’attirer et de fidéliser les talents.

La marque employeur d’OVHcloud est construite autour de quatre piliers qui font écho aux valeurs du Groupe :

• 1 .« Chez nous tout commence par l’humain » : l’humain est au cœur de l’ADN du Groupe, c’est pourquoi OVHcloud a développé des services et des avantages pour améliorer la qualité de vie au travail de tous. De la conciergerie à la crèche d’entreprise, du télétravail contractualisé à des espaces pensés pour le collaboratif, tout est fait pour que chacun trouve sa place, à son rythme et dans le respect de ses valeurs ;
• 2 .« Innover en toute liberté » : un expert OVHcloud, c’est celui qui a acquis des compétences pointues tout en gardant l’envie d’explorer, de défricher et d’innover. OVHcloud recrute des gens passionnés et passionnants qui ont envie de faire et de transmettre. Penser le cloud de demain, c’est une question de disruption. À cette fin, le Groupe mise sur la collaboration de tous ;
• 3 .« Grandir et se réaliser » : avancer au rythme des technologies et sortir des sentiers battus, c’est ce qui caractérise OVHcloud. Changement de poste ou de métier, il n’y a pas de trajectoire toute faite chez OVHcloud. L’objectif est d’offrir à chacun la possibilité de s’intéresser à un nouveau domaine, pour étendre ses compétences et penser sa nouvelle expertise au prisme de son expérience ;
• 4 .« Construire ensemble le monde de demain » : en tant qu’acteur majeur du cloud, le Groupe estime que toutes et tous ont un rôle à jouer dans la transformation industrielle du secteur, et plus largement dans les changements qui impactent notre monde. Proposer un cloud humain, ouvert et durable, c’est travailler main dans la main pour un progrès collectif.

Avec toutes les unités opérationnelles représentées et presque 30 % de profils féminins en 2024, le programme ambassadeurs participe au rayonnement d’OVHcloud, grâce au dynamisme de sa communauté. Nos ambassadeurs ont en effet pris part à plus de 35 événements physiques (conférences, environnement scolaire, salons professionnels, événements tech et salons de l’emploi).

Le site Carrière, dont la première version a été mise en ligne en 2022 a fait l’objet d’une refonte en 2024 avec l’ajout d’une page dédiée à la diversité, équité et inclusion. S’il a permis de mettre en valeur et de promouvoir la marque employeur OVHcloud, il se modernisera en 2025 et proposera davantage de contenu en phase avec les attentes des talents.

Conscient de l’importance de cultiver son capital humain, OVHcloud a formé 75 % de ses effectifs en 2024. 2 200 collaborateurs ont ainsi suivi au moins une action de formation au cours de l’exercice 2024, soit environ 250 collaborateurs formés en plus par rapport à l’exercice précédent.

OVHcloud continue non seulement de renforcer les compétences clés permettant de soutenir la croissance de l’entreprise comme le management, la sécurité et les compétences techniques mais le Groupe a également proposé en 2024 plus de formations transverses (Autres) pour favoriser les parcours de carrière et respecter ses engagements sur les enjeux liés à la conformité en passant ainsi de 3 à 18 % des personnes formées.

OVHcloud confirme son souhait de favoriser le développement de toutes les compétences et de devenir une entreprise apprenante. C’est pourquoi l’entreprise continue d’investir sur les domaines jugés essentiels à l’accomplissement de ses ambitions stratégiques :

• ▶accompagner nos managers dans leur rôle, en s’appuyant sur un programme ambitieux destiné à tous les managers et personnalisé en fonction du positionnement au sein de l’organigramme du Groupe. L’objectif est de former 100 % des nouveaux managers, 70 % des managers intermédiaires et 100 % des managers avancés, en 2 ans selon le leadership modèle d’OVHcloud. Plus de 400 managers ont ainsi suivi au moins une action de formation au cours de l’exercice 2024 ;
• ▶renforcer l’acquisition de compétences transverses pour développer son employabilité et respecter nos engagements liés à la conformité. Par exemple près de 300 collaborateurs ont été sensibilisés à la fresque du climat, soit environ 10 % de l’effectif ;
• ▶continuer d’investir massivement sur les compétences techniques pour soutenir la croissance grâce aux formations produits, technologiques ou opérationnelles en offrant la possibilité de certifier ses compétences ;
• ▶développer une forte culture sécurité et résilience pour soutenir l’ouverture de nouveaux datacenters dans le monde ;
• ▶les formations en langues pour accroître son positionnement à l’international.

Pour accompagner la politique de formation et se renforcer dans sa vocation d’entreprise apprenante, OVHcloud a opéré un changement majeur de LMS (Learning Management System) et dispose d’une solution dédiée au développement des compétences permettant d’accélérer le déploiement des actions de formation. Avec près de 86 % des collaborateurs connectés au moins une fois à ce nouveau LMS et plus de 115 000 visites en 2024, OVHcloud facilite l’accès à la formation de ses collaborateurs.

OVHcloud souhaite également acculturer ses collaborateurs aux défis de demain en proposant tout au long de l’année des webinaires de sensibilisation sur différents domaines comme l’intelligence artificielle, les softskills, la cybersécurité. Les webinaires proposés sur l’Intelligence Artificielle ont, par exemple, comptabilisé plus de 600 participants.

La sécurité au travail pour OVHcloud constitue une priorité centrale et est un indicateur clé de performance de la politique RSE. Afin de favoriser la prévention des risques en matière de santé et de sécurité, le Groupe a défini trois lignes directrices majeures :

• ▶diminuer le nombre des accidents au travail ;
• ▶se conformer aux exigences légales en matière de santé sécurité environnement (SSE) et aux autres exigences applicables dans tous les pays ;
• ▶mettre en œuvre toutes les mesures satisfaisantes pour préserver la santé et l’intégrité physique des collaborateurs, des clients et communautés riveraines des activités du Groupe et protéger l’environnement.

Pour ce faire, les mesures de mise en œuvre ont été les suivantes : 

• ▶impliquer toute la ligne managériale dans l’engagement de sa politique de santé prévention des risques et environnement ;
• ▶anticiper les risques en amont dans la phase de design des produits ; 
• ▶responsabiliser tous les salariés à maintenir un lieu de travail sain et sécuritaire ;
• ▶déployer auprès de tous les collaborateurs la culture du professionnalisme, de la rigueur et du respect des règles ;
• ▶assurer le déploiement du programme Santé Sécurité « Be Smart, Be Safe ! ».

Au cours de l’exercice 2024, le nombre total d’accidents a encore baissé tant sur le nombre d’accidents que sur leur gravité. 

Ceci a été rendu possible grâce à différentes actions menées durant l’exercice 2024 :

• ▶la révision d’OVHcloud d’une partie de ses règles d’or en matière de sécurité s’inscrivant dans sa démarche #StaySafe. Ces règles d’or traitent de : 
  • •l’environnement de travail,
  • •le permis de travail,
  • •la prévention et l’évacuation incendie ; et
•  la continuité du respect de ses autres règles d’or :
  • •vigilance partagée et coactivité,
  • •circulation de piétons,
  • •circulation d’engins,
  • •équipements de protection individuelle et collective,
  • •travail en hauteur,
  • •énergies et consignation,
  • •gestes et postures.

La démarche #StaySafe incarne un état d’esprit à adopter pour repérer et éviter les dangers. Elle suit quatre étapes :

• ▶scruter l’environnement de travail et repérer les dangers ;
• ▶analyser les conséquences des dangers et anticiper les mesures de protection individuelle et/ou collective nécessaires ;
• ▶fiabiliser en mettant en place les mesures de prévention avec l’aide du département santé sécurité, les donneurs d’ordre ou les managers ;
• ▶exécuter le travail une fois toutes les conditions de sécurité réunies.

Au cours de l’exercice 2024, le Groupe a continué à investir dans la formation des équipes techniques dans le but de renforcer sa culture sécurité. La formation des managers sur site a été déployée sur une partie des effectifs. En 2024, les champions de la sécurité (Safety champions) ont mené des actions visant à améliorer la sécurité sur leurs sites respectifs. Au nombre d’un à trois par site, ce sont des collaborateurs volontaires qui jouent un rôle de relais au sein des équipes techniques pour améliorer la culture sécurité. Enfin, le Groupe a organisé des événements internes de sensibilisation comme la « World Safety Week », qui se tient chaque année sur tous les sites OVHcloud et à laquelle sont conviés tous les employés et les contractuels permanents. 

Par ailleurs, OVHcloud s’engage en matière de santé des collaborateurs et investit notamment dans la prévention.

• ▶Le site de Roubaix dispose depuis 2016 d’un centre médical dédié rassemblant divers professionnels de santé (médecin généraliste, ostéopathe, diététicien, kinésithérapeute, opticien, etc.) à disposition des collaborateurs.
• ▶Des conférences de sensibilisation animées par des spécialistes de santé et ouvertes à tous les collaborateurs sont régulièrement organisées sur des sujets divers (conférences sur les risques psychosociaux). 

OVHcloud poursuivra ses engagements en matière de prévention sur l’année 2025. Les priorités retenues sont les suivantes : 

• ▶le mois d’octobre 2024 est consacré à la lutte contre les cancers féminins : dans le cadre d’Octobre Rose, OVHcloud va continuer de sensibiliser sur les cancers du sein en proposant à ses collaborateurs en France des ateliers animés par des sages-femmes ou infirmières et une conférence de sensibilisation pour tous les collaborateurs en France et à l’international ;
• ▶le mois de novembre 2024 est consacré à la lutte contre les cancers masculins : dans le cadre de Movember, le Groupe va proposer à ses collaborateurs en France des ateliers animés par des urologues et une conférence de sensibilisation pour tous les collaborateurs en France et à l’international ;
• ▶la prévention des troubles musculo-squelettiques (TMS) : le Groupe va proposer des ateliers en France afin de prévenir les risques professionnels sur les gestes et postures ainsi qu’une conférence sur l’aménagement des postes de télétravail et des métiers manuels pour tous les collaborateurs en France et à l’international ;
• ▶prévention du mélanome : le Groupe va organiser des journées de dépistage dermatologique sur les sites en France.

Le Groupe met également en œuvre diverses actions :

• ▶téléconsultation médicale avec Angel en France et Dialogue au Canada ;
• ▶actions en faveur d’une pratique sportive régulière (salles de sport, animations des coaches, accompagnements bilans sportifs) ;
• ▶assistance psychologique, sociale et juridique avec Qualisocial et Dialogue au Canada.

Afin de favoriser la qualité de vie au travail, OVHcloud s’engage également en faveur de la parentalité. Ainsi un poste de référent parentalité en charge de soutenir, conseiller, et orienter l’ensemble des parents ou futurs parents a-t-il été créé. Au-delà d’une crèche d’entreprise (depuis dix ans à Roubaix), d’un partenariat national avec Babilou (12), et d’un guide de la parentalité chez OVHcloud, un accompagnement spécifique à l’arrivée d’un enfant est mis en place (soutien à l’annonce, préparation du départ en congé maternité, adoption ou parental ; accompagnement du retour en entreprise avec un process de réonboarding dédié ; accompagnement dans leur recherche de moyen de garde…). Des conférences et ateliers sont aussi régulièrement proposés.

Plusieurs prix sont venus récompenser les efforts menés par le Groupe ces dernières années :

• ▶le Trophée Compensation & Benefits décerné par le club ORAS (13) en décembre 2021, pour le programme sur le bien-être des collaborateurs du Groupe ;
• ▶le prix d’or aux Victoires des leaders du capital humain sur le thème de la qualité de vie au travail en mai 2022 ;
• ▶la qualité de vie au travail a également été reconnue en Pologne, où le Groupe a reçu en 2021 et en 2022 le « Wellbeing Leader Certificate » de l’Institut polonais du bien-être.

Au cours du dernier exercice fiscal, de nouvelles distinctions ont été obtenues :

• ▶le label HappyIndex®Trainees & HappyIndex®Trainees Alternance 2023-2024, qui récompense les entreprises prenant soin de leurs stagiaires et alternants, reçu pour la quatrième année consécutive ;
• ▶en Allemagne, OVHcloud a été reconnu Top Company 2023 par Kununu pour la seconde année consécutive ;
• ▶2e du classement 2024 Top Companies de LinkedIn (dans la catégorie entreprises de taille intermédiaire entre 250 et 5 000 salariés) ;
• ▶le trophée de l’Actionnariat Salarié International a été décerné par le club ORAS en décembre 2023.

Convaincu que chacun a un rôle à jouer pour relever les grands défis sociétaux de notre époque, OVHcloud souhaite accompagner ses collaborateurs dans leur parcours de vie, afin que chacun puisse s’épanouir dans un environnement bienveillant. Dans cet esprit, le Groupe s’est engagé à lutter contre toutes les formes de discrimination et à proposer un environnement de travail respectueux des différences permettant à chacun d’exprimer pleinement ses talents. OVHcloud a structuré sa politique de diversité, équité et inclusion en 2022 et entend la renforcer au cours de l’exercice 2024-2025. Une charte interne vient illustrer cette politique. Elle est relayée via son intranet et disponible pour tous les collaborateurs du Groupe.

• ▶La diversité et l’intelligence collective sont des moteurs clés pour innover et atteindre l’excellence. L’internationalisation des équipes en est une composante. En 2024, plus de 60 nationalités sont représentées au sein du Groupe. 
• ▶La féminisation des équipes, qui constitue un enjeu majeur pour les métiers de la Tech, est une priorité forte et un indicateur de performance pour la politique RSE du Groupe. Un plan d’action Égalité Hommes Femmes est établi et revu régulièrement avec les représentants du personnel en France. Ce plan traite des sujets de recrutement, d’évolution professionnelle, de rémunération et d’équilibre entre vie professionnelle et personnelle. Au cours des dernières années, la proportion de femmes dans l’effectif du Groupe a régulièrement progressé. Sur l’exercice 2024, la part des femmes dans l’effectif total gagne 1 point pour atteindre 23 %. La part des femmes dans le management quant à elle s’améliore de 3 points depuis 2022 à 23 %. Concernant le comité exécutif, le taux reste à peu près stable au cours de l’exercice 2024 avec 33 %.
• ▶Tout au long de l’année, plusieurs initiatives ont été mises en place pour sensibiliser les équipes internes aux enjeux de la diversité et de l’inclusion. En janvier 2024, OVHcloud a notamment adhéré à l’initiative #StOpE, qui vise à lutter durablement contre le sexisme ordinaire. Cette adhésion a également marqué le début d’une série d’actions pour promouvoir les enjeux et les avantages d’une « entreprise inclusive », en déconstruisant stéréotypes, préjugés et biais inconscients. L’objectif de ces actions était de fournir une meilleure compréhension des principales formes de discrimination tout en offrant des stratégies concrètes pour déconstruire les stéréotypes au quotidien.
• ▶Faciliter l’accès à l’emploi des personnes en situation de handicap et la collaboration avec le secteur du travail protégé et adapté est un second axe important des initiatives menées en faveur de la diversité et de l’inclusion. Par une politique handicap mondiale, OVHcloud a mis à disposition des ressources et des moyens nécessaires pour garantir une organisation inclusive, avec des référents handicap désignés qui mettent en œuvre la politique localement. 100 % des recruteurs sont formés aux questions de diversité et les employés ont été sensibilisés à ces enjeux et publient nos offres d’emploi sur le site de l’AGEFIPH.

OVHcloud attache une grande importance au dialogue social, gage d’implication et de performance collective, et entretient des relations de grande qualité avec ses collaborateurs et leurs représentants. Il comprend la négociation, la concertation, la consultation ou l’échange d’informations entre la direction, les salariés et leurs représentants. Les thèmes couverts par le dialogue social sont l’hygiène et la sécurité, la durée du travail, les rémunérations, la formation et la qualité de vie au travail.

Dans le monde,

• ▶la part des effectifs disposant d’une représentation syndicale ou de représentants du personnel en 2024 est de 69,60 % ;
• ▶la part des effectifs couverts par une convention collective en 2024 est de 74,94 %.

En France, la représentation des salariés est organisée au sein d’une unité économique et sociale regroupant les sociétés françaises. La composition du comité social et économique (CSE d’UES) a été renouvelée fin 2023 et comprend désormais 43 membres (titulaires et suppléants confondus). 3 organisations syndicales représentatives ont désigné des délégués syndicaux, ouvrant la voie à la négociation d’accords collectifs. 

Ainsi, en 2024, deux accords collectifs ont été conclus, l’un portant sur les salaires, l’autre sur le dialogue social. Ce dernier accord démontre l’engagement de l’entreprise à travers les moyens dévolus aux représentants du personnel (crédits supplémentaires d’heures de délégation, création d’une commission dédiée aux enjeux environnementaux et aux orientations stratégiques, mise en place d’une enveloppe dédiée à la formation et aux déplacements des représentants du personnel, déploiement de représentants de proximité sur l’ensemble des sites…). En ce qui concerne la représentation du personnel dans les instances dirigeantes, deux administrateurs représentant les salariés siègent au sein du Conseil d’administration depuis 2022.

Enfin, comme mentionné précédemment, en tant qu’entreprise à l’écoute de ses collaborateurs, OVHcloud mène depuis 2019 des enquêtes d’opinion interne (OVHcloud Spirit) auprès de tous ses collaborateurs dans le monde. La fréquence est semestrielle et permet de recueillir avis et attentes concernant l’entreprise sur différentes thématiques (engagement, diversité et inclusion, développement des talents, conditions de travail, reconnaissance…).

Pour OVHcloud, le « travailler ensemble » passe également par le fait d’associer le plus possible les collaborateurs aux résultats de l’entreprise. À l’occasion de son introduction en bourse sur Euronext Paris le 15 octobre 2021, le Groupe a mis en place son premier plan collectif d’actionnariat salarié, ouvert à plus de 2 000 collaborateurs en France et à l’étranger. 97,8 % des salariés éligibles à cette date sont ainsi devenus actionnaires d’OVHcloud (77,6 % ayant investi volontairement). Le Groupe a été récompensé en 2021 par le Grand prix FAS (14), qui met à l’honneur les entreprises développant les meilleures pratiques en matière d’actionnariat salarié.

En 2022, le Groupe a permis, sans augmenter son capital, à l’ensemble de ses collaborateurs d’investir tout ou partie de leur intéressement en actions OVHcloud (via le FCPE ou en actionnariat direct selon les pays) et de bénéficier d’un abondement. Cette approche pérenne a été récompensée du trophée de l’Actionnariat Salarié International du club ORAS (15) en décembre 2023. C’est environ 70 % des collaborateurs éligibles qui ont décidé en 2023 d’investir leur intéressement (il s’agit du même ordre de grandeur que l’année précédente).

En 2024, 0,6 % du capital est détenu par les collaborateurs au travers du FCPE.

En France, un accord de participation s’applique au niveau de l’unité économique et sociale, lequel prévoit de répartir entre les salariés éligibles une part du bénéfice des entreprises parties à l’unité économique et sociale, calculée sur la base de la formule légale. La répartition est effectuée au prorata du temps de présence au cours de l’exercice fiscal.

Un accord d’intéressement a été signé avec le comité social et économique en 2022, applicable jusqu’en 2024. Il concerne tous les collaborateurs au niveau global ayant au moins trois mois d’ancienneté. Les indicateurs de performance retenus pour calculer la part des bénéfices attribuable aux salariés éligibles intègrent, comme pour le plan précédent, des indicateurs relatifs à l’EBITDA ajusté et à la croissance du chiffre d’affaires, auxquels s’ajoutent deux critères RSE : l’efficacité énergétique (via le PUE ou Power Usage Effectiveness) et la fidélisation des collaborateurs. La redistribution de l’intéressement se fait au prorata de la masse salariale du pays dans celle du Groupe ; l’enveloppe du pays est redistribuée exclusivement au prorata du temps de présence de chacun sur l’exercice fiscal.

Un avenant à cet accord a été signé en 2024 augmentant le poids des indicateurs RSE pour les porter à 60 % (30 % pour l’efficacité énergétique et 30 % pour la fidélisation des collaborateurs).

En France, il existe au sein de l’unité économique et sociale :

• ▶un plan d’épargne Groupe, qui permet aux salariés éligibles d’investir leur épargne, y compris les versements effectués au titre de l’accord de participation et de l’accord d’intéressement, dans des fonds d’investissement diversifiés et de bénéficier de certains avantages sociaux et fiscaux en échange d’une période d’indisponibilité de généralement cinq ans ;
• ▶un compte épargne-temps (CET), qui permet aux salariés éligibles d’épargner des jours de repos non pris (certains congés, RTT…) ou une partie de leur 13e mois convertie en jours. Ils peuvent ensuite à tout moment prendre ces jours, demander à se les faire payer ou les transférer sur un autre dispositif pour préparer leur retraite ;
• ▶un plan d’épargne retraite collectif (PERCO), qui permet aux salariés éligibles d’investir les versements de l’accord de participation et de l’accord d’intéressement dans des fonds d’investissement diversifiés en vue de leur retraite. Ce dispositif offre aux salariés la possibilité de bénéficier de certains avantages sociaux et fiscaux en contrepartie d’une période d’indisponibilité jusqu’à la retraite. C’est aussi un moyen pour les salariés de préparer leur retraite en réalisant des versements volontaires ou en transférant des jours de leur CET sur le PERCO (dans la limite de 10 jours par an). Ce transfert est alors abondé par leur employeur.

En 2024, un plan international de reconnaissance de la fidélisation des collaborateurs a été lancé dans tous les pays du Groupe. Le franchissement du pallier de 5 ans d’ancienneté a octroyé un même nombre de points (appelés Kudos) aux collaborateurs concernés. Le nombre de Kudos était le même, quelque soit le pays du collaborateur, seule sa valeur variait en fonction de la parité de pouvoir d’achat. Les kudos peuvent se convertir en numéraire, en cartes cadeaux, en actions OVHcloud ou en un mélange des trois options, selon l’envie de chacun.

Le règlement taxonomie constitue un élément clé du plan d’action de la Commission européenne qui vise à réorienter les flux de capitaux vers une économie plus durable. En effet, il représente une étape importante vers l’atteinte de la neutralité carbone d’ici 2050, conformément aux objectifs de l’UE, car la taxonomie est un système de classification des activités économiques durables sur le plan environnemental.

Dans la section ci-après, il est présenté, en tant que société mère non financière, la part du revenu, des dépenses d’investissement (capex) et des charges d’exploitation (opex) du Groupe, pour l’exercice fiscal 2024, associée à des activités économiques éligibles à la taxonomie, conformément à l’article 8 du règlement taxonomie et à l’article 10 (2) de l’Acte délégué complétant l’article 8 du règlement taxonomie.

Au titre de l’exercice 2024, OVHcloud est tenu de publier l’alignement du Groupe au titre des deux objectifs climatiques et uniquement la part éligible des activités relevant des objectifs d’utilisation durable et la protection des ressources aquatiques et marines (« WTR »), de transition vers une économie circulaire (« CE »), de prévention et la réduction de la pollution (« PPC ») et de la protection et la restauration de la biodiversité et des écosystèmes (« BIO »).

OVHcloud a analysé les critères techniques des activités présentées ci-dessous selon le règlement (UE) 2021/2139 modifié par le règlement (UE) 2023/2485 et a tenu compte des différentes interprétations et foires aux questions (FAQ) publiées par la Commission européenne, notamment celles du 19 décembre 2022.

Sur la base des analyses menées, une part importante des activités du Groupe est éligible à la taxonomie au titre de l’activité 8.1. Traitement de données, hébergement et activités connexes décrite dans l’Annexe I de l’Acte délégué relative à l’objectif d’atténuation du changement climatique (« CCM ») ainsi qu’au titre de l’activité CE 5.5. Produit en tant que services axés sur l’utilisation circulaire et les résultats.

Les parts éligibles et alignées au titre de l’activité CCM 8.1 Traitement de données, hébergement et activités connexes pour les trois indicateurs financiers requis par le texte ‒ le chiffre d’affaires, les capex et les opex ‒ sont présentées ci-dessous sur la base des données consolidées IFRS de l’exercice clos le 31 août 2024.

La part de chiffre d’affaires éligible au titre des activités de datacenters (CCM 8.1) du Groupe augmente d’un point par rapport à l’exercice précédent alors que celles des capex et opex diminue respectivement de 16 et 19 points. Cette diminution résulte de la volonté d’amélioration continue d’OVHcloud d’affiner la granularité d’analyse des informations liées aux capex et opex.

Cela se traduit notamment par un alignement à la hausse sur le chiffre d’affaires et les capex, les datacenters alignés pour l’exercice 2024 restant les mêmes que ceux de l’exercice précédent.

Par « activité économique éligible à la taxonomie », il est entendu toute activité économique décrite dans les actes délégués complétant le règlement taxonomie, qu’elle remplisse ou non une partie ou l’ensemble des critères d’examen technique énoncés dans ces actes délégués.

Afin de réaliser l’analyse, le Groupe a pris en considération l’ensemble des actes délégués décrivant les activités taxonomie, à savoir :

• ▶l’acte délégué « Climat » (UE 2021/2039) publié en avril 2021 précisant les critères techniques environnementaux pour les deux premiers objectifs climatiques ; et
• ▶l’acte délégué « Environnement » (UE 2023/2486) publié en juin 2023 explicitant les activités économiques portant sur les quatre autres objectifs environnementaux.

Les activités économiques éligibles du Groupe ont été analysées sur la base des offres de services d’OVHcloud (telles que détaillées en chapitre 1 du présent document d’enregistrement universel) et elles ont été assignées aux activités économiques suivantes, conformément aux six objectifs environnementaux de la taxonomie.

À l’instar de l’exercice 2023, une part importante des activités du Groupe est considérée comme éligible à l’activité 8.1 Traitement de données, hébergement et activités connexes de l’objectif d’atténuation du changement climatique. En effet, les offres basées principalement sur des services de mise à disposition de capacité de stockage (« hébergement ») répondent à la description de cette activité. Les offres ainsi considérées comme éligibles sont les suivantes :

• ▶les offres de cloud privé (Bare Metal Cloud et Hosted Private Cloud) dans leur intégralité, celles-ci correspondant à des offres de mise à disposition soit de serveurs physiques dédiés, soit de capacités de cloud fonctionnant sur des serveurs physiques dédiés (se référer à la section 1.3.1.1 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le Groupe) ;
• ▶les offres de cloud public dans leur intégralité, (se référer à la section 1.3.1.2 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le Groupe). Les solutions PaaS et SaaS proposées par OVHcloud et directement hébergées sur les infrastructures du Groupe sont jugées éligibles dans la mesure où OVHcloud a le contrôle sur les équipements physiques et peut agir sur leur efficacité énergétique ;
• ▶les offres de « Web cloud et autres » uniquement pour la partie « Web hosting » et « Services », correspondant à l’hébergement des sites web clients sur les serveurs physiques du Groupe et à l’assistance nécessaire au bon fonctionnement des équipements et au respect des engagements du Groupe dans le cadre de l’ensemble de ses offres (se référer à la section 1.3.1.3 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le Groupe). Les offres ou solutions relatives aux noms de domaine, à la téléphonie et connectivité ne sont pas jugées éligibles à date car non directement liées aux serveurs physiques.

De manière générale, toutes les solutions proposées par OVHcloud directement hébergées sur des serveurs physiques appartenant au Groupe ou étant contrôlés directement par le Groupe, ont été jugées éligibles à la taxonomie européenne au titre de l’activité 8.1 de l’objectif d’atténuation du changement climatique.

Sous l’angle de l’objectif d’adaptation au changement climatique (« CCA »), l’activité CCA 8.1 Traitement de données, hébergement et activités connexes n’est pas qualifiée d’activité habilitante par l’Annexe II de l’acte délégué Climat. Pour cette raison, OVHcloud ne peut considérer le chiffre d’affaires relatifs à cette activité comme éligible en raison de la FAQ Éligibilité du 2 février 2022.

En analysant les activités au titre de l’objectif de transition vers une économie circulaire, le Groupe a identifié l’activité CE 5.5 Produits en tant que services et autres modèles de services circulaires axés sur l’utilisation et les résultats consistant à fournir à des clients un accès aux produits au moyen de modèles de services. OVHcloud met à disposition de ses clients un accès à des serveurs informatiques, que ces derniers peuvent utiliser. Les offres éligibles à l’activité CCM 8.1 sont donc aussi éligibles à cette activité CE 5.5.

De plus, OVHcloud conçoit et fabrique ses propres serveurs sur ses deux sites de Croix (France) et Beauharnois (Canada) pour son utilisation propre, tel que décrit dans la section 3.2.1.1 de ce document d’enregistrement universel. Le Groupe a donc considéré l’activité CE 1.2 Fabrication d’équipements électriques et électroniques dans l’analyse d’éligibilité. Cependant, s’agissant de la fabrication des serveurs que le Groupe utilise uniquement pour ses offres, les capex relatifs à l’activité de fabrication sont pris en compte et éligibles au titre de l’activité CE 5.5 Produits en tant que services et autres modèles de services circulaires axés sur l’utilisation et les résultats.

Enfin, OVHcloud n’a identifié aucune activité éligible liée aux objectifs d’utilisation durable de l’eau et des ressources marines, de prévention et réduction de la pollution ou à la prévention et restauration de la biodiversité des écosystèmes.

Le tableau ci-dessous résume pour quel objectif environnemental les activités sont considérées comme éligibles :

À la différence de l’éligibilité uniquement basée sur la description des activités, l’alignement prend en compte les critères de contribution substantielle, le fait de « ne pas causer de préjudice important » et les garanties sociales minimales. Pour l’exercice clôturé au 31 août 2024, l’analyse d’alignement porte uniquement sur les deux premiers objectifs climatiques en application du règlement taxonomie.

Concernant l’activité 8.1 Traitement de données, hébergement et activités connexes, le Groupe a analysé son alignement au regard de l’objectif 1 ‒ Atténuation du changement climatique (« CCA ») et de l’objectif 2 – Adaptation au changement climatique (« CCM »).

Le Groupe a réalisé l’analyse suivante des trois critères cumulatifs de contribution substantielle pour l’activité 8.1 Traitement de données, hébergement et activités connexes au titre de l’objectif d’atténuation :

Afin de valider l’alignement de ses datacenters à l’activité 8.1 de l’objectif d’atténuation du changement climatique, OVHcloud s’est ensuite assuré du respect des critères de DNSH pour l’ensemble de ses datacenters respectant les critères de contribution substantielle (cf. détails supra) :

OVHcloud s’est finalement assuré du respect des garanties minimales. Le Groupe dispose d’un ensemble de politiques et de processus en place permettant de garantir les exigences du règlement taxonomie concernant les sujets de :

• ▶droits humains et droit du travail (cf. 3.3.1 « Attirer et faire grandir les talents dans une aventure collective au sein d’une entreprise diverse et inclusive », 3.3.2.2 « Collaborer avec les fournisseurs dans une démarche d’achats responsables » et 3.3.2.3 « Éthique et conduite des affaires ») ;
• ▶concurrence (cf. 3.3.2.3 « Éthique et conduite des affaires ») ;
• ▶corruption (cf. 3.3.2.2 « Collaborer avec les fournisseurs dans une démarche d’achats responsables » et 3.3.2.3 « Éthique et conduite des affaires ») ;
• ▶fiscalité (cf. 2.1.2.4 « Risques financiers », 3.3.3.2 « Ancrage dans les territoires & impact socio-économique ») ;

Le Groupe a mis en place des procédures d’identification, analyse, suivi, évaluation et évolution sur l’ensemble des piliers.

Le Groupe demande à ses fournisseurs de signer le Code de conduite fournisseurs qui stipule, entre autres, l’exigence du respect des droits de l’homme et notamment les principes énoncés dans la Déclaration universelle des droits de l’homme. Le Groupe poursuit l’analyse de droits humains sur l’ensemble de sa chaîne de valeur.

OVHcloud se conforme aux dispositions légales de la loi Sapin 2 du 9 décembre 2016.

Enfin, le Groupe n’a fait l’objet d’aucune condamnation matérielle en rapport avec les différentes dimensions des garanties minimales.

Le périmètre considéré pour l’estimation des trois indicateurs est le périmètre consolidé Groupe, tel que défini à la note 5.5. des états financiers consolidés 2024, présenté au chapitre 5 du présent document d’enregistrement universel.

La part d’activités économiques éligibles à la taxonomie dans le chiffre d’affaires consolidé d’OVHcloud a été obtenue en divisant la part du chiffre d’affaires générée par la vente de services associés à des activités économiques éligibles à la taxonomie (numérateur) par le chiffre d’affaires net (dénominateur), dans chaque cas pour l’exercice s’étendant du 1er septembre 2023 au 31 août 2024.

Le dénominateur de l’indicateur chiffre d’affaires est basé sur le chiffre d’affaires consolidé d’OVHcloud, conformément à IAS 1.82 (a) (se référer à la note 4.3. des états financiers consolidés annuels 2024 présentés au chapitre 5 du présent document d’enregistrement universel).

Le numérateur de l’indicateur est défini comme la part du chiffre d’affaires net générée par des services associés aux activités économiques éligibles à la taxonomie, telles que décrites ci-dessus dans la partie Détermination des activités économiques d’OVHcloud éligibles à la taxonomie de la présente section. Cette part a été estimée sur la base des reportings de gestion d’OVHcloud intégrant le niveau de détail nécessaire en lecture directe.

Le chiffre d’affaires aligné correspond au chiffre d’affaires généré par les datacenters ayant été audités par le tiers indépendant et ayant été certifiés conformes au respect du Code de conduite. Sur la base du chiffre d’affaires de ces datacenters, le Groupe a appliqué la clé de répartition telle que décrite dans le paragraphe précédent « Critères de contribution substantielle » afin de ne conserver que le chiffre d’affaires relatif à la part des serveurs refroidis par eau.

Au 31 août 2024, la part du chiffre d’affaires éligible et aligné s’élève respectivement à 89 % et 66 % tel que présentés dans le tableau ci-dessous :

Pour les activités identifiées sous l’angle de plusieurs objectifs environnementaux au titre de la taxonomie, la répartition est la suivante : 

L’indicateur relatif aux capex est calculé en divisant les capex éligibles à la taxonomie (numérateur) par le total des capex (dénominateur).

Le total des capex (dénominateur) comprend les acquisitions d’immobilisations corporelles et incorporelles réalisées au cours de l’exercice, avant amortissement et avant toute remesure, y compris les remesures résultant de réévaluations et de dépréciations, à l’exclusion des variations de la juste valeur. Il comprend les acquisitions d’immobilisations corporelles (IAS 16), d’immobilisations incorporelles (IAS 38), d’actifs au titre du droit d’utilisation (IFRS 16), ainsi que les entrées résultant de regroupements d’entreprises (se référer aux notes 4.10, 4.11 et 4.23 des états financiers consolidés annuels 2024 présentés au chapitre 5 du présent document d’enregistrement universel).

Le tableau ci-dessous présente la réconciliation aux états financiers consolidés du Groupe du total capex taxonomie :

Le numérateur est uniquement constitué des capex liés à des actifs ou processus essentiels à l’exécution des activités économiques éligibles à la taxonomie (« catégorie a »), ceux-ci représentant la quasi-totalité des capex de l’exercice.

Les capex n’étant pas suivis actuellement par offre de services dans les reportings du Groupe, une analyse détaillée par type d’actif a été menée et a conduit à considérer les capex suivants comme essentiels à l’exécution des activités économiques éligibles :

• ▶l’alignement de tous les capex relatifs à des infrastructures (« hardware ») et à leur fonctionnement (fibre, réseau, adresses IP, composants, maintenance) a été déterminé à l’aide d’une clé d’allocation basée sur le nombre de serveurs exploités au sein d’une activité économique éligible sur le nombre de serveur total exploités par le Groupe ;
• ▶la part éligible des frais de R&D capitalisés a été estimée à la maille de chaque projet, afin d’obtenir une granularité d’informations plus pertinente :
  • •100 % des frais de R&D capitalisés relatifs à des projets d’amélioration de l’efficience des infrastructures (équipements ou logiciels) ont été considérés comme éligibles, car relatifs à des activités économiques éligibles,
  • •les frais de R&D capitalisés n’étant pas lié à des projets relatifs aux activités éligibles ont été considérées comme non-éligibles ;
• ▶la part éligible des droits d’utilisation IFRS 16 a été déterminée au niveau de chaque Datacenter, à l’aide d’une d’allocation basée sur le nombre de serveurs exploités au sein d’une activité économique éligible sur le nombre de serveurs hébergés au sein du Datacenter.

Afin de déterminer la part alignée de ces capex éligibles, le Groupe a eu recours à une clé d’allocation basée sur le pourcentage d’alignement de chaque datacenter, pondéré par le nombre de serveurs hébergés dans chaque datacenter. Cette clé d’allocation a uniquement été utilisée sur les capex éligibles relatifs à des infrastructures (« hardware ») et à leur fonctionnement (fibre, réseau, adresses IP, composants, maintenance).

Au 31 août 2024, la part des capex éligibles et alignés s’élèvent respectivement à 83 % et 50 % tel que présentés dans le tableau ci-dessous :

Pour les activités identifiées sous l’angle de plusieurs objectifs environnementaux au titre de la taxonomie, la répartition est la suivante :

L’indicateur relatif aux opex est calculé en divisant les opex éligibles à la taxonomie (numérateur) par le total des opex (dénominateur).

Le total des opex telles que définies par la taxonomie correspondent aux coûts non capitalisés relatifs à la recherche-développement, aux mesures de rénovation des bâtiments, aux contrats de location à court terme, à la maintenance et aux réparations, et à toute autre dépense directe liée à l’utilisation quotidien des immobilisations corporelles.

Ainsi, le total opex telles que définies par la taxonomie représentent environ 31 % du total des opex du Groupe contre 33 % l’année précédente, s’élevant à 119,6 millions d’euros et correspondant à la somme des charges de personnel, charges opérationnelles, dotations et amortissements et autres charges opérationnelles non courantes (se référer aux notes 4.4, 4.5, 4.6 et 4.7 des états financiers consolidés annuels 2024 présentés au chapitre 5 du présent document d’enregistrement universel).

Les opex du Groupe sont suivies par segments mais ne sont pas suivies avec une granularité par offre de service, des clés d’allocation ont été utilisées afin d’identifier la part des activités économiques éligibles à la taxonomie dans les opex :

• ▶les coûts de maintenance et réparation ainsi que les frais liés aux contrats de location ont été alloués sur le nombre de serveurs exploités au sein d’une activité économique éligible sur le nombre de serveurs hébergés au sein du Datacenter ;
• ▶la part des frais de R&D non capitalisés éligible a été estimée à la maille de chaque projet, afin d’obtenir une granularité d’informations plus pertinente :
  • •100 % des frais de R&D non capitalisés relatifs à des projets d’amélioration de l’efficience des infrastructures (équipements ou logiciels) ont été considérés comme éligibles, car relatifs à des activités économiques éligibles,
  • •les frais de R&D non capitalisés n’étant pas liés à des projets relatifs aux activités éligibles (projets relatifs aux fonctions support et projets relatifs aux activités téléphonie, connectivité, noms de domaines) ont été considérés comme non-éligibles.

Afin de déterminer la part alignée de ces opex éligibles, le Groupe a eu recours à une clé d’allocation basée sur le pourcentage d’alignement de chaque datacenter, pondéré par le nombre de serveurs hébergés dans chaque datacenter. Cette clé d’allocation a uniquement été utilisée sur les opex éligibles.

Au 31 août 2024, la part des opex éligibles et alignées s’élèvent respectivement à 59 % et 42 % tel que présenté dans le tableau ci-dessous :

Pour les activités identifiées sous l’angle de plusieurs objectifs environnementaux au titre de la taxonomie, la répartition est la suivante :

En application de la FAQ de décembre 2023, OVHcloud publie le modèle obligatoire des tableaux des activités liées à l’énergie nucléaire et aux gaz fossiles. Le Groupe n’ayant aucune activité dans ces secteurs, l’ensemble des lignes est précisé en « Non ».

La Déclaration de performance extra-financière 2024, présentée dans le présent document d’enregistrement universel, s’attache à produire les informations extra-financières les plus pertinentes pour le Groupe au regard de son modèle d’affaires, de ses activités, de ses enjeux majeurs issus de la matrice de matérialité et des principaux risques du Groupe.

Ainsi, OVHcloud s’est concentré sur les enjeux et risques identifiés comme étant prioritaires et a exclu de son champ d’analyse les thématiques suivantes :

• ▶lutte contre le gaspillage alimentaire ;
• ▶lutte contre la précarité alimentaire ;
• ▶respect du bien-être animal ;
• ▶respect d’une alimentation responsable, équitable et durable.

OVHcloud mesure la progression du Groupe en matière de RSE sur les trois domaines suivants : Environnement, Conduite des affaires, Social et Sociétal. Quinze indicateurs, présentés dans le tableau ci-dessous, ont été retenus et audités par l’organisme tiers indépendant.

Chaque indicateur est décrit dans cette note méthodologique, précisant :

• ▶le mode de calcul de l’indicateur ;
• ▶le processus de production des données.

Un tableau de synthèse présentant les indicateurs et leurs valeurs pour les exercices 2022, 2023 et 2024 se trouve dans le chapitre introductif de la DPEF à la section « Analyse de matérialité et évaluation des risques RSE ».

Exercice clos le 31 août 2024

À l’assemblée générale,

En notre qualité de commissaire aux comptes de votre société. (ci-après « entité ») désigné organisme tiers indépendant (« tierce partie »), accrédité par le COFRAC sous le numéro 3-1884 (22), nous avons mené des travaux visant à formuler un avis motivé exprimant une conclusion d’assurance modérée sur les informations historiques (constatées ou extrapolées) de la déclaration consolidée de performance extra-financière, préparées selon les procédures de l’entité (ci-après le « Référentiel »), pour l’exercice clos le 31 août 2024 (ci-après respectivement les « Informations » et la « Déclaration »), présentée dans le rapport de gestion du Groupe en application des dispositions des articles L. 225-102-1, R. 225-105 et R. 225-105-1 du code de commerce.

Sur la base des procédures que nous avons mises en œuvre, telles que décrites dans la partie « Nature et étendue des travaux », et des éléments que nous avons collectés, nous n'avons pas relevé d'anomalie significative de nature à remettre en cause le fait que la déclaration consolidée de performance extra-financière est conforme aux dispositions réglementaires applicables et que les Informations, prises dans leur ensemble, sont présentées, de manière sincère, conformément au Référentiel.

Depuis l’admission des actions de la Société aux négociations sur le marché réglementé d’Euronext Paris, en octobre 2021, la Société se réfère et se conforme aux recommandations du Code de gouvernement d’entreprise des sociétés cotées élaboré par l’Association française des entreprises privées (l’« AFEP ») et le Mouvement des entreprises de France (le « MEDEF ») dans sa version mise à jour en décembre 2022 (le « Code AFEP-MEDEF »).

Le Code AFEP-MEDEF auquel la Société se réfère peut être consulté sur Internet aux adresses suivantes : http://www.medef.com ou http://www.afep.com. La Société tient à la disposition permanente des membres de ses organes sociaux des copies de ce Code.

M. Benjamin Revcolevschi a été nommé directeur général adjoint, lors de la réunion du Conseil d’administration du 18 juillet 2024, sur recommandation du comité des nominations, des rémunérations et de la gouvernance et sur proposition de M. Michel Paulin, directeur général.

Puis, M. Michel Paulin a exprimé son souhait de mettre un terme, en date du 23 octobre 2024, à ses fonctions de directeur général et d’administrateur qu’il exerce depuis le 28 septembre 2021.

Le Conseil d’Administration du 23 octobre 2024 a pris acte de la démission de M. Michel Paulin de ses fonctions d'administrateur et de Directeur Général de la Société et a décidé, sur proposition du Comité des Nominations, des Rémunérations et de la Gouvernance, de nommer M. Benjamin Revcolevschi Directeur Général de la Société. Il a été décidé de procéder à sa cooptation en tant qu’administrateur, sous réserve de ratification à la prochaine assemblée générale, pour la durée restant à courir du mandat d’administrateur de M. Michel Paulin, soit jusqu’en 2026. M. Benjamin Revcolevschi rejoint également le Comité stratégique et RSE.

La loi prévoit que le Conseil d’administration élit parmi ses membres un Président, personne physique, dont le rôle est décrit au 3.2.1.5 supra.

Le Conseil d’administration confie la direction générale de la Société soit au Président du Conseil d’administration (qui porte le titre de Président-directeur général), soit à une autre personne physique, administrateur ou non, portant le titre de directeur général.

Comme le rappelle le Code AFEP-MEDEF, la loi ne privilégie aucune formule et il appartient au Conseil d’administration de la Société de choisir entre les deux modalités d’exercice de la direction générale unifiée ou dissociée, selon ses impératifs particuliers.

Mode de gouvernance

M. Octave Klaba a été nommé Président du Conseil d’administration, lors de la réunion du Conseil d’administration du 28 septembre 2021, pour une durée équivalente à la durée de son mandat d’administrateur, soit jusqu’à l’issue de la réunion de l’assemblée générale ordinaire de la Société qui sera appelée à statuer sur les comptes de l’exercice clos le 31 août 2025.

M. Michel Paulin a été nommé directeur général, lors de la réunion du Conseil d’administration du 28 septembre 2021, pour une durée équivalente à la durée de son mandat d’administrateur, soit jusqu’à l’issue de la réunion de l’assemblée générale ordinaire de la Société qui sera appelée à statuer sur les comptes de l’exercice clos le 31 août 2025. Ainsi que mentionné au 4.1.1 ; M. Benjamin Revcolevschi a été nommé directeur général et coopté administrateur, à titre provisoire,  en remplacement de M. Michel Paulin pour la durée restant à courir du mandat de son prédécesseur, soit jusqu’à l’issue de l’assemblée générale des actionnaires à tenir en 2026 statuant sur les comptes clos le 31 août 2025, sous réserve de la ratification de cette cooptation par la prochaine assemblée générale.

La dissociation des fonctions a été motivée par la rétention des compétences et expériences de M. Octave Klaba, fondateur d’OVHcloud, à un moment décisif de l’histoire de l’entreprise avec son introduction en bourse en 2021.

Conformément à la loi, le directeur général est investi des pouvoirs les plus étendus pour agir en toutes circonstances au nom de la Société. Il exerce ses pouvoirs dans la limite de l’objet social. Toutefois, à titre de règles d’ordre interne, le directeur général exerce ses pouvoirs dans les limites prévues par le règlement intérieur du Conseil d’administration. À ce titre, sont soumises à autorisation préalable du Conseil d’administration les décisions suivantes du directeur général :

• ▶le budget annuel détaillé du Groupe, le Business Plan du Groupe ainsi que toute modification ;
• ▶toute décision portant sur toute dépense d’investissement d’un montant individuel qui ferait dépasser de 7,5 % les dépenses du budget annuel ;
• ▶toute acquisition ou cession d’actifs (y compris les brevets et droits de propriété intellectuelle), de fonds de commerce ou d’actions par une société du Groupe, non comprise dans le budget annuel, pour un montant individuel supérieur à 25 millions d’euros ;
• ▶l’autorisation de l’octroi par le Président de cautions, avals et garanties ;
• ▶toute modification des statuts de la Société dans les conditions prévues par la loi ; et
• ▶toute décision prise par une société du Groupe de souscrire auprès d’un tiers (autre qu’une société du Groupe) tout financement externe autre que dans le cadre d’un Revolving Credit Facility existant d’un montant supérieur à 25 millions d’euros et non compris dans le budget annuel.

À la connaissance de la Société, les transactions suivantes ont été réalisées au cours de l’exercice écoulé sur les actions de la Société par les personnes visées à l’article L. 621-18-2 du Code monétaire et financier :

Les informations afférentes au gouvernement d’entreprise et constitutives du rapport du Conseil d’administration sur ce sujet sont déjà présentes dans d’autres parties du présent document d’enregistrement universel. Afin d’en limiter la répétition, la table de concordance ci-dessous permet de faire le lien entre chaque rubrique dudit rapport et le paragraphe correspondant du présent document.

Le récapitulatif des éléments de la rémunération des dirigeants mandataires sociaux, M. Octave Klaba et M. Michel Paulin, versée au cours de l’exercice 2024 ou attribuée au titre de cet exercice ainsi que la politique de rémunération 2025, soumis au vote des actionnaires lors de l’assemblée générale mixte du 15 février 2024, figurent à la section 4.5.2.2.

La rémunération globale versée durant l’exercice 2024 ou attribuée au titre du même exercice au Président du Conseil d’administration et du directeur général, aux administrateurs et aux autres dirigeants non mandataires sociaux, tant par la Société que par les sociétés contrôlées au sens de l’article L. 233-16 du Code de commerce, est détaillée ci-après. Il est rappelé que le Conseil d’administration d’OVH Groupe, réuni le 14 novembre 2024, a confirmé que le Code AFEP-MEDEF est celui auquel la Société se réfère, notamment concernant la rémunération des dirigeants mandataires sociaux. Le présent document d’enregistrement universel et en particulier les tableaux figurant à la section 4.5.2.2 (options de souscription et/ou d’achat d’actions, actions gratuites, actions de performance), ont été établis selon le format préconisé par le Code AFEP-MEDEF et la recommandation de l’AMF 2012-02.

Les principes et critères de détermination, de répartition et d’attribution des éléments fixes, variables et exceptionnels composant la rémunération totale et les avantages de toute nature attribuable aux dirigeants mandataires sociaux en raison de leur mandat constituant la politique de rémunération les concernant sont arrêtés par le Conseil d’administration sur recommandations du comité des nominations, des rémunérations et de la gouvernance, et sont soumis à l’approbation des actionnaires (« vote sur la politique de rémunération ex ante ») lors de l’assemblée générale des actionnaires conformément à l’article L. 225-37-2 du Code de commerce.

Par ailleurs, en application de l’article L. 22-10-34 du Code de commerce, l’assemblée générale des actionnaires statue sur : (i) les éléments fixes, variables et exceptionnels composant la rémunération totale et (ii) les avantages de toute nature versés au cours de l’exercice écoulé ou attribués au titre du même exercice aux dirigeants mandataires sociaux (« vote sur la rémunération ex post au titre de l’exercice antérieur »). En conséquence, le versement des éléments de rémunération variables ou exceptionnels au titre d’un exercice est conditionné à leur approbation par l’assemblée générale des actionnaires appelée à statuer sur les comptes dudit exercice.

M. Octave Klaba en sa qualité de Président du Conseil d’administration et le directeur général sont les seuls dirigeants mandataires sociaux. M. Michel Paulin a démissionné de ses fonctions d’administrateur et de directeur général, et a été remplacé par M. Benjamin Revcolevschi par le Conseil d’administration du 23 octobre 2024.

Les entités apparentées comprennent principalement des sociétés contrôlées par M. Octave Klaba, fondateur et Président du Conseil d’administration de la société OVH Groupe, et d’autres entités contrôlées par d’autres membres de la famille Klaba, associés directs ou indirects de la Société, ou par le Président d’OVH SAS et le directeur général d’OVH Groupe. 

Au titre des conventions décrites ci-dessous conclues avec des parties liées et se rapportant à la conduite de l’activité, le Groupe a comptabilisé un montant total de charges opérationnelles le Groupe a comptabilisé un montant total de charges opérationnelles à hauteur de 5 922 055 euros pour l’exercice 2024, contre 6 445 738 euros pour l’exercice 2023 et, au titre du résultat financier (IFRS 16), -77 756 euros pour l’exercice 2024, contre, -106 854 euros pour l’exercice 2023. Les chiffres plus détaillés concernant les opérations avec des apparentés figureront dans les états financiers consolidés pour l’exercice clos le 31 août 2024.

Les principales conventions avec les parties liées sont décrites dans le présent chapitre.

La Société bénéficiait d’une clause de non-concurrence de M. Michel Paulin, directeur général de la Société, pendant une durée d’un an à l’issue de la cessation de son mandat et ce en contrepartie d’une rémunération égale à 50 % de la rémunération (fixe + variable) au titre de l’exercice précédant le départ. Cette clause n'était pas applicable en cas de départ à la retraite et en cas d’atteinte de l’âge de 65 ans.

La Société se réservait la faculté de renoncer unilatéralement à cet engagement de non-concurrence à compter de la date de notification de la cessation des fonctions, auquel cas le directeur général sera libre et aucune indemnité ne lui sera due.

Cette convention a fait l’objet d’une autorisation préalable du Conseil d’administration en date du 28 septembre 2021 et d’un rapport spécial en date du 29 septembre 2021. Cette convention a été approuvée par l’assemblée générale mixte des actionnaires du 14 octobre 2021.

M. Michel Paulin ayant démissionné de sa fonction de directeur général le 23 octobre 2024, et conformément aux dispositions de cette clause, la Société a décidé de renoncer unilatéralement à cet engagement de non-concurrence.

Une clause similaire a été mise en place pour M. Benjamin Revcolevschi en date du 23 octobre 2024 dans le cadre de sa nomination comme directeur général le 23 octobre 2024.

Les assemblées d’actionnaires d’OVH sont convoquées et délibèrent dans les conditions prévues par la loi et dans les statuts.

Les dispositions statutaires d’OVH relatives aux assemblées générales et aux modalités d’exercice des droits de vote en assemblée générale sont prévues au Titre IV – assemblées générales – Article 22 – Réunions, Composition, Délibérations, des statuts d’OVH, lesquels sont mis en ligne sur le site
www.corporate.ovhcloud.com, rubrique Gouvernance.

Le tableau suivant présente les chiffres clés de l’exercice 2024.

OVHcloud a connu des résultats solides, en ligne avec les objectifs 2024, et ouvre une nouvelle phase de développement 

• ▶Chiffre d’affaires de 993 millions d’euros, en hausse de +10,3 % par rapport à 2023, en données comparables
• ▶Amélioration de la marge d’EBITDA ajusté à 38,4 %, en progression de 2,1 points en 2024 
• ▶Génération de 25 millions d’euros de Unlevered Free cash-flow (EBITDA ajusté diminué des Capex, du besoin de fonds de roulement et des impôts payés) 
• ▶Les capex récurrents et de croissance atteignent respectivement 13 % et 22 % du chiffre d’affaires de l’exercice

Benjamin Revcolevschi, Directeur Général d’OVHcloud, a déclaré : 

« L’exercice 2024 nous permet de confirmer la solidité du modèle d’OVHcloud et la confiance de nos clients. Ces résultats, en ligne avec nos objectifs, en sont la preuve et ce dans un environnement macro-économique complexe.

Être nommé Directeur Général d’OVHcloud est un défi à la fois passionnant et exigeant. Je remercie bien sûr Octave, Michel et le Conseil d’Administration pour leur confiance. Je suis impatient de définir et délivrer, aux côtés de nos équipes, une trajectoire de croissance durable, rentable et génératrice de trésorerie. 

Cette nouvelle phase de développement pour OVHcloud nous apparaît être le meilleur moment pour lancer ce projet d’OPRA, en vue de proposer à tous les actionnaires de continuer à accompagner le Groupe ou d’obtenir de la liquidité sur leur investissement. »

Michel Paulin, ancien Directeur Général d’OVHcloud, a déclaré : 

« Après plus de six années formidables au sein d’OVHcloud, j’ai pris la décision il y a quelques mois de quitter mes fonctions de Directeur Général. Accompagné d’Octave et du Conseil d’Administration j’ai ainsi passé les derniers mois à préparer Benjamin dans cette prise de fonction.

En effet, OVHcloud se prépare à entrer dans une nouvelle phase et il a semblé essentiel d’ajuster la gouvernance pour garantir la bonne exécution de ce projet de long terme.

L’aventure industrielle d’OVHcloud est exceptionnelle et prouve qu’il y a des alternatives compétitives et innovantes pour un cloud ouvert, réversible, interopérable, durable avec des prix abordables pour tous. Cette aventure industrielle est avant tout, et surtout, une aventure humaine. Je remercie Octave, toute la famille Klaba, l’intégralité du Comex, des collaborateurs et des clients pour leur confiance toutes ces années. »

Octave Klaba, Fondateur et Président d’OVHcloud, a complété :

« Je remercie vivement Michel pour l’ensemble de son travail ces dernières années, qui a tant participé à faire entrer OVHcloud dans une nouvelle dimension, tant en France qu’à l’international, avec notamment un doublement de notre chiffre d’affaires en 6 ans. Michel a été un leader exemplaire pour OVHcloud, et nous permet aujourd’hui d’ouvrir cette nouvelle phase avec des fondamentaux solides.

Je suis ravi d’accueillir Benjamin comme Directeur Général. Depuis son arrivée, Benjamin a démontré son attachement aux valeurs d’OVHcloud et son leadership au quotidien. Je suis convaincu qu’il saura construire et incarner le futur du Groupe. »

Le Conseil d’Administration du 23 octobre 2024 a pris acte de la démission de M. Michel Paulin de ses fonctions d'administrateur et de Directeur Général de la société OVH Groupe et a décidé, sur proposition du Comité Nominations, Rémunérations et Gouvernance, de nommer M. Benjamin Revcolevschi Directeur Général de la Société. Il a été décidé de procéder à sa cooptation en tant qu’administrateur, sous réserve de ratification à la prochaine assemblée générale, pour la durée restant à courir du mandat d’administrateur de M. Michel Paulin, soit jusqu’en 2026. M. Benjamin Revcolevschi rejoint également le Comité stratégique et RSE.

Dirigeant chevronné des secteurs des télécommunications et de l’informatique, Benjamin Revcolevschi a rejoint OVHcloud le 6 mai 2024 en qualité de Directeur Général Adjoint où il a pris en charge l’ensemble des opérations du Groupe tant en France qu’à l’international. Pour rappel, Benjamin Revcolevschi a débuté sa carrière au Boston Consulting Group, a occupé des postes de direction opérationnelle et business chez Neuf Cegetel/SFR puis a pris la direction générale de Fujitsu en France et la direction de DXC Technology en France et au Benelux. 

Le 28 mars 2024, le Groupe a fait l’acquisition d’un nouveau datacenter en Italie (Milan) pour un montant de 2,6 millions d’euros. Il s’agit de la première implantation transalpine du Groupe.

Par ailleurs, le Groupe a annoncé l’ouverture de ses premières ‘Local Zones’ en Public Cloud, principalement en Europe et aux Etats-Unis.  Profitant de la technologie innovante de Gridscale, le Groupe peut maintenant servir de nouvelles localisations internationales en déployant des capacités cloud en quelques semaines et pour un investissement limité. Les Local Zones offrent aux clients d’OVHcloud de nouvelles options d’accès aux services Public Cloud avec de faibles temps de latence et des données qui demeurent locales.

OVHcloud est positionné dans la catégorie Major Players de l’étude « IDC European Public Cloud Infrastructure as a Service 2024 Vendor Assessment » (doc #EUR151035423, Août 2024). L’étude a évalué 19 entreprises opérant en Europe pour déterminer leurs stratégies et capacités.

Il y a deux ans, OVHcloud a été nommé « Major Player » dans l’étude « IDC MarketScape: Worldwide Public Cloud Infrastructure as a Service 2022 Vendor Assessment » (en étant le seul acteur évalué avec un siège européen). Nous pensons que l’étude « IDC MarketScape: European Public Cloud Infrastructure as a Service 2024 » confirme aujourd’hui l’empreinte du Groupe sur le marché européen.

Le Conseil d’administration d’OVH Groupe (« OVH Groupe » ou la « Société ») a, dans sa séance du 23 octobre 2024, approuvé le lancement par la Société d’un projet d’offre publique de rachat de ses propres actions (l’ « OPRA ») d’un montant de 350 000 001 euros portant sur un maximum de 20,41 % du capital de la société au prix de 9,00 euros par action. Les actions ainsi rachetées seront annulées dans le cadre d’une réduction de capital.

Le projet d’OPRA permet d’offrir aux actionnaires qui le souhaitent une opportunité de liquidité à un prix de 9,00 euros par action, extériorisant une prime de 14,6 % par rapport au cours de clôture du 23 octobre 2024 (dernier jour de cotation avant l’annonce du projet d’OPRA) et une prime de 32,0 % et 41,0 % par rapport aux moyennes pondérées par les volumes des cours de bourse sur une période de 1 et 3 mois précédant cette date.

Le cabinet Accuracy a été désigné en qualité d’expert indépendant par le Conseil d’Administration de la Société, sur recommandation d’un comité ad hoc composé exclusivement de membres indépendants et présidé par M. Bernard Gault (Administrateur référent), afin de se prononcer sur les conditions financières du projet d’OPRA. L’expert a dans ce cadre confirmé le caractère équitable d’un point de vue financier du prix proposé de 9,00 euros par action.

Sur la base des travaux de l’expert indépendant et des recommandations du Comité ad hoc, le Conseil d’Administration de la Société a rendu son avis motivé aux termes duquel il a conclu que le projet d’OPRA est conforme aux intérêts de la Société, de ses actionnaires et de ses salariés.

Le projet de note d’information relatif à l’OPRA, incluant l’avis motivé du Conseil d’administration et le rapport d’expertise indépendante, sera déposé aujourd’hui auprès de l’Autorité des Marchés Financiers (l’ « AMF ») et sera mis à la disposition du public conformément à l’article 231-16 du Règlement Général de l’AMF.

Le projet d’OPRA reste soumis à l’examen de l’AMF ainsi qu’à l’approbation des actionnaires lors de l’assemblée générale mixte qui sera convoquée le 4 décembre 2024 afin de délibérer sur la réduction de capital par voie d’OPRA ainsi que sur la ratification de la cooptation de M. Benjamin Revcolevschi en tant qu’administrateur.

Le projet d’OPRA et son financement s’inscrivent dans une opération de refinancement global de la Société, avec l’arrivée à maturité de la dette financière du Groupe en octobre 2026 (facilités à terme et de crédit renouvelable, à l’exception du prêt d’un montant en principal de 200 millions d’euros auprès de la Banque Européenne d’Investissement).

Le financement du projet d’OPRA sera réalisé par voie de tirage sur trois lignes de crédit mises à disposition du Groupe pour un montant total maximum en principal de 1 120 millions d’euros, ayant également vocation à refinancer les dettes existantes (à l’exception du prêt de la Banque Européenne d’Investissement) et les besoins généraux futurs du Groupe.

À l’issue du projet d’OPRA, OVHcloud conserverait une structure financière solide, alignée avec sa nouvelle stratégie de développement et ses objectifs de croissance. Le cabinet Accuracy, également missionné pour se prononcer sur l’incidence de ce refinancement pour le Groupe, a conclu que la structure financière de la Société après l’OPRA serait raisonnable sur la période du plan d’affaires.

Les solutions d’OVHcloud sont désormais proposées dans le portefeuille d’offres de Bouygues Telecom Entreprises. Bouygues Telecom Entreprises a choisi la solution « Hosted Private Cloud », solution d'infrastructures dédiées hébergées dans les data centres d’OVHcloud, associée à des options telles que le « Plan de Reprise d’Activité » ou « Backup as a Service ».

En s'appuyant sur les infrastructures d'OVHcloud, les clients bénéficieront d'une assistance de bout en bout assurée par les experts dédiés du centre d’Excellence Cloud de Bouygues Telecom Entreprises, qui interviendront depuis l'audit des infrastructures jusqu’à la migration des applications, en passant par la maintenance des infrastructures et les services managés.

Offrant une isolation physique et logicielle, Bare Metal Pod est en phase de qualification SecNumCloud auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

L’Agence pour l’Informatique Financière de l’Etat, l’AIFE, rattachée au ministère de l’Économie et des Finances, est le premier client institutionnel utilisant la solution Bare Metal Pod pour ses besoins. Le Portail Public de Facturation (PPF) manipulera des données hautement sensibles et devra faire face à un trafic très important. Forts de ces impératifs, l’AIFE a logiquement sélectionné Bare Metal Pod dans son processus visant à retenir une solution souveraine combinant les serveurs dédiés performants et un environnement qualifié SecNumCloud.

Après une période d’investissements majeurs, OVHcloud débute une nouvelle phase de développement, avec la nomination de Benjamin Revcolevschi au poste de Directeur Général et de nouveaux objectifs au-delà de FY2025

Pour l’année 2025, OVHcloud vise une croissance organique de son chiffre d’affaires comprise entre 9 % et 11 %, une marge d’EBITDA ajusté aux alentours de 40 % et des Capex récurrents et de croissance respectivement compris entre 11 à 13 % et 19 à 21 % chiffre d’affaires.

Par ailleurs, OVHcloud vise également une croissance du Unlevered Free cash-flow 2025 par comparaison à 2024.

Dans les prochains mois, le management d’OVHcloud présentera de nouvelles initiatives qui s’inscriront dans une trajectoire de croissance profitable et génératrice de trésorerie au-delà de 2025 :

• ▶Croissance solide et durable d’environ 10 %, capitalisant notamment sur une position de leader dans le cloud privé et un renforcement de l’offre commerciale du cloud public ;
• ▶Marge d’EBITDA ajusté structurellement supérieure à 40 %, grâce à des améliorations du levier opérationnel et de l’excellence opérationnelle ;
• ▶Le Groupe devrait générer un Levered Free Cash-Flow positif en 2026, bénéficiant notamment d’une amélioration de l’EBITDA, de plans d’économie et d’efficience opérationnelle.