La position d’OVHcloud en tant que leader européen de cloud remonte à sa fondation en 1999 en tant que société d’hébergement Internet en France. Au cours des vingt dernières années, OVHcloud s’est considérablement développée, d’abord en développant son infrastructure et en accroissant sa présence en Europe, puis en diversifiant ses offres de Cloud et en étendant ses activités à l’échelle mondiale.  

Le cloud computing consiste à fournir aux utilisateurs des ressources de stockage, de calcul et de réseau, sur Internet, à la demande. Les ressources du cloud sont situées dans des centres de données qui abritent des serveurs et des équipements utilisés pour traiter, stocker et transmettre des données. Les utilisateurs de services de cloud computing peuvent accéder aux données stockées et donner des instructions aux unités de traitement pour qu’elles exécutent des fonctions de calcul automatiquement, sans avoir besoin d’une interaction humaine, ce qui réduit au minimum les capacités de calcul et de stockage nécessaires sur leurs appareils (tels que les ordinateurs personnels, les tablettes et les téléphones mobiles). Où qu’ils se trouvent, tant qu’ils disposent d’une connexion Internet, les utilisateurs peuvent accéder aux services informatiques par le biais du cloud.

Les entreprises peuvent créer et exploiter leurs propres centres de données en faisant appel à du personnel informatique interne, ou elles peuvent externaliser tout ou partie des fonctions à des fournisseurs de services de cloud computing tels qu’OVHcloud. Pour de nombreuses entreprises, le temps et l’investissement financier requis rendent le cloud computing propriétaire moins attrayant que l’externalisation, qui implique de ne payer que pour les ressources qu’elles utilisent réellement. En outre, il peut être difficile pour les entreprises qui ne sont pas spécialisées dans les services informatiques d’innover aux niveaux requis afin de garantir que leur infrastructure de cloud computing leur offre des services et des protections adéquats, tels que la sécurité des données. Les systèmes informatiques internes peuvent également ne pas être suffisamment évolutifs pour répondre aux demandes de charge de pointe (à moins que les entreprises ne maintiennent une capacité excédentaire coûteuse).

Les serveurs maintenus dans les centres de données peuvent être utilisés pour de multiples fonctions, chacune d’entre elles étant accessible par une « machine virtuelle » créée sur le serveur. Les machines virtuelles sont exploitées et séparées les unes des autres par une plateforme logicielle appelée « couche de virtualisation ». Chaque machine virtuelle peut avoir son propre système d’exploitation qui permet aux utilisateurs de développer et d’exécuter des applications. Grâce à une fonction appelée « hyperviseur », la capacité du serveur est allouée aux machines virtuelles en fonction des demandes des utilisateurs. Plus récemment, des applications logicielles ont été écrites pour être regroupées dans des « conteneurs » qui s’exécutent directement sur le système d’exploitation du serveur lui-même, coordonnés par des plateformes connues sous le nom de systèmes d’« orchestration », qui prennent généralement moins de place et peuvent offrir de meilleures performances que les piles de virtualisation basées sur un hyperviseur.  

La possibilité de créer plusieurs machines virtuelles dans chaque serveur ou de déployer des systèmes basés sur des conteneurs permet à un fournisseur de services cloud de répartir sa capacité entre plusieurs groupes d’utilisateurs ou clients de manière sécurisée. Les fournisseurs de services peuvent dédier un serveur à un seul client (un système de « cloud privé »), en répartissant la capacité du serveur entre les groupes d’utilisateurs autorisés par le client. Un serveur peut également être partagé entre plusieurs clients (un système de « cloud public »). Les clients du cloud privé paient généralement des frais mensuels pour une capacité dédiée, qu’ils utilisent ou non cette capacité. Les clients du cloud public paient généralement pour la capacité qu’ils utilisent réellement.

Afin d’optimiser le coût des services cloud, de nombreuses entreprises déploient des stratégies de « cloud hybride », dans lesquelles elles combinent une capacité de cloud privé sur site ou externalisé, pour leurs fonctions et données les plus sensibles, avec une capacité de cloud public pour leurs besoins moins sensibles. Les clients déploient également des stratégies « multi-cloud », en achetant des services de cloud auprès de plusieurs fournisseurs. Pour répondre à la demande croissante de services de cloud hybride et multi-cloud, un fournisseur de cloud doit proposer des packages qui permettent aux différentes solutions de fonctionner comme un tout intégré. 

Le cloud computing englobe une gamme de services comprenant la fourniture d’un accès à l’infrastructure (Infrastructure-as-a-Service ou « IaaS »), la sélection et l’exploitation de plateformes telles que des systèmes d’exploitation, des piles de virtualisation et des systèmes de sécurité (Platform-as-a-Service ou « PaaS »), et l’offre d’applications développées et pouvant fonctionner sur des plateformes cloud (Software-as-a-Service ou « SaaS »). Le graphique suivant illustre ces caractéristiques :

Le marché des solutions cloud comprend également des services web destinés principalement aux particuliers et aux petites et moyennes entreprises. Le marché du cloud web comprend essentiellement l’hébergement de sites web et de domaines, y compris la location de serveurs pour les sites web, la vente de services secondaires (tels que des progiciels) et les services d’enregistrement, de renouvellement et de transfert de noms de domaine.

OVHcloud propose deux offres principales de cloud privé : le Baremetal Cloud et le Hosted Private Cloud.

Le service de Baremetal Cloud d’OVHcloud fournit des serveurs physiques dédiés aux clients, qui ont un contrôle total sur le serveur, y compris le choix du système d’exploitation. Le Baremetal Cloud leur permet d’avoir une expérience similaire à celle qu’ils auraient avec des solutions sur site gérées par leurs équipes internes, tout en profitant des avantages offerts par l’externalisation.

L’offre principale de Baremetal Cloud d’OVHcloud commercialise des serveurs haut de gamme et des offres de services de moyen à haut niveau. OVHcloud dispose également d’une offre à prix modeste commercialisée sous la gamme « Eco », avec les produits « So You Start » et « Kimsufi », utilisant des serveurs rénovés qui fournissent des services de qualité à un coût réduit, tout en améliorant l’efficacité environnementale.

Les services de Baremetal Cloud offrent aux entreprises clientes une puissance informatique de haut niveau et des accords de niveau de service stricts, dans un environnement sécurisé adapté aux applications sensibles. Le serveur peut être personnalisé pour répondre aux besoins du client, et peut être exploité sans qu’il soit nécessaire d’allouer la capacité du serveur à des machines virtuelles par le biais d’un hyperviseur, ce qui permet au client d’utiliser la pleine capacité du serveur. Toute capacité inutilisée peut être déployée en quelques minutes, bien que la capacité totale soit limitée par celle du serveur dédié.

Les clients du Baremetal Cloud paient des frais mensuels qui dépendent des niveaux de performance qu’ils sélectionnent. Ils peuvent également choisir des options (telles que la personnalisation du serveur ou la sauvegarde des données) moyennant des frais supplémentaires.

Les principaux usages des services Baremetal Cloud comprennent le calcul de données complexes, les opérations à faible latence, le streaming, les jeux en ligne, les applications d’entreprise critiques telles que les ERP et CRM.

OVHcloud propose des services de Hosted Private Cloud à ses clients professionnels, fournissant des serveurs entièrement gérés par OVHcloud, y compris le système d’exploitation et la couche de virtualisation, en partenariat avec les offres de VMware ou Nutanix.

Note : 1. VM : machine virtuelle.

Au sein de son service de Hosted Private Cloud, OVHcloud propose deux offres principales : (i) Essential et (ii) Premier.

• ▶Essential permet aux clients de bénéficier de serveurs dédiés et virtualisés, entièrement gérés par OVHcloud, avec un niveau de service de 99,9 %. Les clients d’Essential sont principalement des entreprises de taille moyenne.
• ▶Premier fournit des serveurs virtualisés dédiés haut de gamme, et inclut la gestion du stockage virtuel et des sauvegardes ainsi qu’un support 24/7, avec un niveau de service de 99,9 %. Les serveurs sont certifiés pour héberger des informations provenant de clients de divers secteurs sensibles, notamment la santé en France (certification HDS), en Allemagne, en Italie, mau Royaume-Uni et en Pologne, et la finance, y compris les paiements par carte de crédit (certification PCI DSS). Les clients Premier sont principalement les grandes entreprises et les clients du secteur public qui cherchent à passer à un fournisseur de services cloud.

Les services de Hosted Private Cloud d’OVHcloud fournissent aux clients un accès privé à des serveurs, à niveaux élevés de performance, qui peuvent être personnalisés pour répondre aux exigences spécifiques du client. Il répond aux besoins des clients qui recherchent l’isolement et la sécurité, des ressources évolutives et la résilience.

Les principaux usages des services de Hosted Private Cloud comprennent le déploiement dans le cadre de stratégies de cloud hybride, l’encodage de médias, l’analyse de big data, la reprise après sinistre, ainsi que le stockage et le traitement de données sensibles dans des secteurs clés tels que la santé, la finance et le secteur public.

OVHcloud propose des solutions de cloud public basées sur des technologies open source telles que OpenStack (une plateforme qui permet de déployer des ressources de traitement, de stockage et de mise en réseau) et Kubernetes (une plateforme d’orchestration de conteneurs, devenue un standard de marché). L’utilisation de ces plateformes standard offre aux clients une capacité de transfert de données facile et un accès volontairement transparent au code source, facilitant la réversibilité et éliminant le « verrouillage par le fournisseur ». Cette caractéristique de l’offre OVHcloud est particulièrement attrayante pour les clients qui cherchent à déployer des stratégies de multi-cloud.

Les solutions de cloud public offrent aux utilisateurs une capacité de calcul pratiquement illimitée, la seule contrainte étant la capacité totale installée du fournisseur de cloud. Il est possible de déployer de nouvelles instances de cloud public automatiquement et en quelques secondes. Comme le service de cloud public est basé sur des serveurs partagés, les options de personnalisation sont définies par OVHcloud. Les niveaux de service sont élevés étant donné la flexibilité de l’architecture matérielle.

Les clients du cloud public paient des frais d’utilisation pour la capacité qu’ils utilisent réellement. Le modèle d’OVHcloud offre beaucoup plus de prévisibilité que les modèles utilisés par les hyperscalers et de nombreux autres concurrents. En particulier, contrairement aux hyperscalers, OVHcloud ne facture pas de frais supplémentaires pour les transferts de données sortants ou les appels API, sauf pour les stockages block et archive, et pour les services localisés en Asie-Pacifique.

L’offre de cloud public du Groupe fournit trois services de cloud computing de base : la performance informatique (le compute), le stockage et les capacités réseau. 

Les clients des solutions de cloud public OVHcloud peuvent choisir des services de cloud public entièrement évolutifs sur des machines virtuelles qui sont hébergées sur des serveurs et des réseaux partagés.

Le service de cloud public d’OVHcloud est intéressant pour les clients qui recherchent des ressources hautement évolutives, avec des demandes de gestion de pics importants sur plusieurs sites d’accès, et un degré élevé de résilience. Ce service est utilisé pour les applications à forte demande et les services qui utilisent de grands volumes de données, comme le streaming vidéo et musical.

Les clients du cloud public d’OVHcloud peuvent également choisir parmi un certain nombre de logiciels à la demande (SaaS) fonctionnant sur les serveurs du cloud public d’OVHcloud. En particulier, OVHcloud propose à ses clients des accès aux solutions de messagerie et de calendrier Microsoft Exchange, aux solutions de stockage et de gestion des données SharePoint et à la suite logicielle professionnelle Office365.

Note : 1. VM : machine virtuelle.

OVHcloud offre également une option de serveur privé virtuel, fournissant des capacités informatiques situées sur des serveurs partagés, mais avec des machines virtuelles isolées par l’utilisation de réseaux privés virtuels. 

L’option de serveur privé virtuel est intéressante pour les clients qui recherchent des ressources sur mesure, en particulier pour les opérations de courte durée avec des charges de travail et une demande de serveur volatiles. Les solutions de serveurs privés virtuels sont principalement utilisées pour les tests d’applications et autres projets ponctuels, la gestion des pics de charge de courte durée et les fonctions de sauvegarde.

Dans le cadre de sa stratégie de croissance, OVHcloud est en train de développer et de mettre en œuvre une offre PaaS complète qu’elle a l’intention de superposer à ses produits IaaS de cloud privé et de cloud public. En plus de développer des produits en interne, OVHcloud a annoncé plusieurs partenariats et acquisitions, dans le but d’accélérer son plan de développement, ce qui lui permet de proposer 81 solutions IaaS et PaaS à ses clients à la fin de l’exercice 2022, principalement dans les domaines suivants :

• ▶Storage. OVHcloud propose aujourd’hui à ses clients un portefeuille complet d’offres de stockage telles que Object Storage S3 (High Performance et Standard), Block Storage, File Storage, Snapshot & Backup et Archive ;
• ▶DataBase-as-a-Service. Les logiciels de gestion des données permettent aux utilisateurs de gérer leurs bases de données afin de permettre les requêtes et les mises à jour. Il comprend des programmes qui exécutent des requêtes sur les données et fournissent une représentation visuelle des données dans des formats tels que les feuilles de calcul, permettant aux utilisateurs de construire des applications plus rapidement et d’automatiser la gestion des bases de données. OVHcloud a annoncé un partenariat en avril 2021 avec MongoDB, et en juillet 2021 avec Aiven pour rendre disponibles plusieurs types de base de données sur l’infrastructure d’OVHcloud ;
• ▶AI , Machine Learning & Analytics. Les solutions d’intelligence artificielle et d’analytique comprennent des outils et des services soutenant l’analyse et la présentation des données. OVHcloud est particulièrement avancée dans les solutions de calcul haute performance pour l’intelligence artificielle et le machine learning, et entend poursuivre son développement dans ce domaine En avril 2022 OVHcloud a annoncé l’acquisition de ForePaaS, une société spécialisée dans le domaine de l'analytics ;
• ▶Security & Encryption. OVHcloud élargit son offre de solutions de gestion de l’accès aux identités et de chiffrement, y compris le chiffrement de bout en bout qui sécurise les données des clients dans tous les états. En juillet 2021 OVHcloud a annoncé l’acquisition de BuyDRM, une société américaine spécialisée dans ce domaine ;
• ▶Application platforms. Les plateformes d’applications sont des solutions logicielles de serveur back-end fournissant aux développeurs un environnement d’exécution et de développement.

OVHcloud propose des services de Webcloud depuis sa création en 1999. Avec sa position de leader sur le marché français et de fortes positions ailleurs en Europe, l’offre Webcloud assure une base de revenus stable et récurrente et une croissance régulière. 

OVHcloud offre trois solutions principales aux clients du cloud web :

• ▶Web hosting et noms de domaine. Cela comprend la location de capacité sur des serveurs web, permettant aux clients de connecter leurs sites web à Internet, ainsi que l’enregistrement, le renouvellement et le transfert de noms de domaine. Les clients peuvent choisir des forfaits de base offrant un ou quelques sites Web seulement, ou des forfaits destinés aux professionnels et aux développeurs qui souhaitent héberger plusieurs sites web, ainsi que des adresses électroniques et des options de stockage. OVHcloud proposes à ses clients des services supplémentaires, tels que les certificats SSL (Secure Socket Layer), qui permettent des connexions sécurisées entre un serveur Web et un navigateur ;
• ▶Téléphonie et connectivité. Les clients peuvent acheter des systèmes de VoIP (Voice over IP) et permettant des utilisations telles que les standards téléphoniques et les systèmes de réponse vocale interactive. OVHcloud offre également à ses clients un accès à Internet via les réseaux ADSL et fibre optique, avec des forfaits de base et professionnels ;
• ▶Support et services. OVHcloud propose à ses clients des niveaux supplémentaires de support et de service, qui regroupent un ensemble de soutions d’assistance, d’expertises et de services en ligne. Les offres de support peuvent être Business, qui correspond au niveau adapté aux environnements de production ou Enterprise, qui propose une expérience grand compte pour les environnements de production critique. Les services additionnels sont proposés dans l’offre de Professional Services, qui donne accès à du support technique et des conseils lors de projets de migration d'infrastructure ou de modification d'architecture IT.

Les principaux clients d’OVHcloud dans le segment du cloud web sont les petites et moyennes entreprises, ainsi que certains particuliers et entrepreneurs. Les clients du cloud web sont généralement à la recherche de services web et de communication sécurisés et fiables, pour établir leur présence sur le web, et pour numériser les fonctions de l’entreprise.

OVHcloud poursuit une stratégie de croissance adaptée à ses trois principaux segments de clientèle : (i) les sociétés de technologie et de logiciels, (ii) les grandes entreprises, les PME et les entités publiques, ainsi que (iii) les White-Labellers, les revendeurs et les particuliers.

Ce segment de clientèle est historiquement favorable pour OVHcloud. Afin d’étendre sa croissance sur ce segment, OVHcloud a mis en place une stratégie de marketing numérique renforcée, comprenant une amélioration de l’expérience client sur les sites Internet du Groupe avec une interface centrée sur le client, axée sur l’usage et les produits, un programme de gestion de la relation prospect, un support en ligne tel que des chatbots et des formations telles que des webinaires ou des documentations techniques.

Afin de continuer à enrichir cet écosystème, OVHcloud développe plusieurs programmes :

• ▶le Start-up program aide les start-ups à grandir et à se développer en leur fournissant crédits technologiques, ressources, formations et conseils. Ce programme est particulièrement utile pour les start-ups encore au stade de la formation d’idées. Le programme de 12 mois peut permettre d’utiliser des crédits technologiques jusqu’à 10 000 euros et de bénéficier de plusieurs heures d’accompagnement technique. Depuis 2015, plus de 1 800 start-ups et scale-ups du monde entier ont rejoint le programme et l’écosystème ;
• ▶la Market Place regroupe des entreprises de technologies et de logiciels innovantes et de confiance pour faire partie d’une place de marché SaaS (Software-as-a-Service) hébergée par OVHcloud.

OVHcloud met en œuvre une stratégie en trois parties pour réaliser une croissance avec les grandes sociétés, les PME entreprises de toutes tailles, ainsi que les entités publiques. Dans le cadre de cette stratégie, OVHcloud répond aux besoins de ces clients en matière de transformation et de soutien lorsqu’ils envisagent de migrer vers le cloud. 

• ▶OVHcloud tire parti de sa position de fournisseur européen de « cloud de confiance », répondant aux besoins de sécurité et de souveraineté des données des entreprises européennes et des entités du secteur public qui traitent des données hautement sensibles ou stratégiques. OVHcloud n’utilise pas et ne vend pas les données de ses clients, qui sont stockées dans les centres de données choisis par ses clients. Elle offre le plus haut niveau de sécurité avec de nombreuses certifications reconnues, dont la qualification SecNumCloud délivrée par l’Agence nationale de la cybersécurité (ANSSI), attestant du plus haut niveau de sécurité informatique en Europe pour l’hébergement de données sensibles et stratégiques dans le cloud. OVHcloud a également lancé la solution Trusted Zone Sovereign, conçue pour répondre aux plus hauts standards de sécurité des opérateurs du secteur public et des services critiques. Elle est également l’un des membres fondateurs de l’initiative GAIA-X pour aider à promouvoir un cloud souverain européen. OVHcloud améliore en permanence ses offres en investissant dans des solutions de sécurité et de cryptage.
• ▶OVHcloud renforce ses canaux de commercialisation afin d’améliorer sa position auprès des grandes entreprises et des entités publiques. Dans le cadre de cette stratégie, OVHcloud a consolidé ses relations avec son réseau de près de 1 000 partenaires informatiques, renforçant sa position auprès de grands intégrateurs de systèmes tels qu’Accenture, Capgemini, Sopra Steria et Deloitte et d’intégrateurs de systèmes spécialisés tels que Neurones IT, fournissant à OVHcloud une plateforme solide pour capturer une part plus large des dépenses informatiques de leur clientèle d’entreprises. Dans le même temps, OVHcloud a considérablement augmenté sa force de vente directe qui répond aux besoins de ses grandes entreprises clientes, tout en fournissant un support et des services améliorés pour accompagner les entreprises clientes dans leurs projets de migration vers le cloud.
• ▶OVHcloud a développé des offres spécifiques pour les petites et moyennes entreprises. Pour ce segment, OVHcloud s’appuie sur ses solides relations avec les conseillers informatiques et les agences web, tout en offrant une flexibilité maximale grâce à un canal de libre-service automatisé qui peut être utilisé par les clients directement ou par l’intermédiaire de leurs conseillers informatiques. OVHcloud améliore également son offre de support multilocal et multilingue pour les petites entreprises.

OVHcloud connaît depuis longtemps un succès commercial par le biais d’agences web qui revendent les solutions OVHcloud, parfois sous leur propre marque. Pour les particuliers notamment, un travail significatif a été entrepris depuis plusieurs années pour proposer un canal digital de vente optimisé, des offres de produits nouvelles et améliorées, ainsi qu’un support amélioré. Cette amélioration est constante, afin de favoriser l’acquisition de nouveaux clients mais aussi les opportunités de cross-selling aux clients existants. OVHcloud développe également une offre Datacenter-as-a-Service (DCaaS) pour les entreprises afin de leur fournir de la haute performance et la souveraineté des données pour leurs ressources « sur site ».

OVHcloud est le leader européen sur le marché des services cloud, qui est à la fois vaste et en croissance rapide.

OVHcloud est l’un des deux principaux fournisseurs de services de cloud privé en Europe. Selon Forrester (juin 2020), OVHcloud est un leader des services de l’Hosted Private Cloud en Europe au regard de son offre actuelle, de sa présence sur le marché et de sa stratégie. De plus, en tant que fournisseur de cloud basé en Europe, OVHcloud est en mesure de répondre aux exigences des clients européens en matière de souveraineté et de sécurité des données.

OVHcloud est de plus en plus présent sur le marché du cloud public, qui est dominé à l’échelle mondiale par les « hyperscalers » américains (Amazon Web Services, Google Cloud Platform et Microsoft Azure). Il est le seul fournisseur européen de services d’infrastructure de cloud public à avoir été nommé comme candidat dans l’IDC MarketScape (IDC (septembre 2020)) sur la base de son offre d’infrastructure.

En tant que fournisseur de services cloud français, OVHcloud est soumise aux réglementations européennes dans un grand nombre de domaines, notamment les services informatiques (« IT »), la cybersécurité, la modération des contenus en ligne et la protection des données. OVHcloud peut également être soumise à des régimes réglementaires sectoriels applicables à certains clients et à des réglementations généralement applicables telles que le droit des contrats et les règles de protection des consommateurs.

OVHcloud est soumise à la réglementation européenne visant à renforcer la cybersécurité dans l’ensemble de l’Union européenne (l’« UE »). Transposée en droit français le 26 février 2018, la directive (UE) 2016/1148 du 9 juillet 2016 a établi des exigences pour les fournisseurs de services cloud en matière de sécurité des réseaux et des systèmes d’information. Selon la loi française(2) transposant la directive (UE) 2016/1148, les fournisseurs de services cloud sont classés comme des fournisseurs de services numériques. En tant que prestataire de services numériques, OVHcloud doit garantir un niveau de sécurité des informations adapté aux risques pertinents et adopter des mesures organisationnelles et techniques appropriées. En cas d’incident de sécurité ayant un impact significatif sur la prestation de services, une déclaration doit être faite auprès de l’Agence nationale de la sécurité des systèmes d’information (« ANSSI »). Le Premier ministre français peut également ouvrir des enquêtes à la réception d’informations faisant état d’un manquement du prestataire de services numériques aux obligations de sécurité. Les amendes pour non-respect des obligations de sécurité vont de 50 000 à 100 000 euros.

L’ANSSI a adopté des normes de sécurité pour les fournisseurs de services cloud(3). Les entreprises du cloud doivent notamment mettre en place une politique de sécurité pour les informations relatives au service et procéder à une évaluation des risques couvrant l’ensemble du service. Si les normes de sécurité applicables sont respectées, l’ANSSI délivre une qualification appelée « SecNumCloud » certifiant un niveau de sécurité renforcé pour le stockage d’informations sensibles. En octobre 2022, l’ANSSI a prolongé un visa de sécurité à OVHcloud pour la qualification « SecNumCloud » pour son Hosted Private Cloud, valable jusqu’en décembre 2023. Pour la protection des systèmes d’information critiques, l’ANSSI recommande aux opérateurs de services essentiels (par exemple, les sociétés d’approvisionnement en gaz, les transporteurs aériens, les établissements de santé, les banques) d’utiliser des produits et services de sécurité disposant d’un visa de sécurité de l’ANSSI.

Le rôle de l’Agence de l’Union européenne pour la cybersécurité (l’« ENISA ») a été renforcé par le règlement (UE) 2019/881 du 17 avril 2019 (la « loi sur la cybersécurité »). L’ENISA est chargée d’établir et de maintenir un système de certification de cybersécurité à l’échelle européenne applicable aux fournisseurs de services cloud, y compris un ensemble complet de règles, d’exigences techniques, de normes et de procédures. En juillet 2020, l’ENISA a publié une proposition qui permettrait aux fournisseurs de services cloud d’obtenir des certifications à travers l’UE attestant du niveau de sécurité de leurs services.

La Commission européenne a dévoilé en septembre 2022 sa proposition de Cyber Resilience Act (« CRA »). Cette proposition fixe une série d'exigences générales et organisationnelles en matière de cyber-sécurité pour les produits contenant des éléments numériques (par exemple : logiciels, produits matériels, solutions de traitement de données). Il vise à adopter un socle commun au sein de l'Union Européenne pour limiter les cyber-attaques. Le CRA s'applique de manière différenciée aux acteurs de la chaîne d'approvisionnement : fabricants, importateurs ou distributeurs. Le texte doit encore être examiné par le Parlement européen puis par le Conseil de l'Union Européenne ; lors de cette procédure, qui peut prendre jusqu'à deux ans, le texte actuel sera très probablement amené à évoluer. Il est donc encore prématuré de se prononcer sur les impacts potentiels de ce texte sur OVHcloud.

L’activité d’OVHcloud implique le stockage et le transfert de quantités substantielles de données personnelles, ce qui doit être fait de manière conforme aux dispositions du RGPD, complété par les lois nationales applicables en matière de protection des données. Le RGPD est entré en vigueur en mai 2018 et a établi des exigences applicables au traitement des données personnelles par les entreprises établies dans l’UE, ou qui offrent des produits et services à des personnes dans l’UE, ou qui surveillent le comportement des personnes dans la mesure où ledit comportement a lieu dans l’UE. Le RGPD soumet les organisations à des obligations strictes en termes de sécurité et d’établissement de rapports, renforce les droits des personnes et accroît les pouvoirs d’exécution des autorités de surveillance. Toute action impliquant des informations sur une personne identifiée ou identifiable entre dans le champ d’application du RGPD.

Le RGPD fait la distinction entre (i) les responsables du traitement, qui, seuls ou conjointement, déterminent les finalités et les moyens du traitement et (ii) les sous-traitants, qui traitent les données à caractère personnel pour le compte, et selon les instructions, d’un responsable du traitement. Dans certaines situations, plusieurs parties impliquées dans le traitement de données à caractère personnel peuvent être considérées comme co-responsables du traitement lorsqu’elles déterminent conjointement les finalités et/ou les moyens du traitement. Alors que les responsables du traitement sont principalement responsables du traitement, les sous-traitants peuvent être directement responsables envers les individus et les régulateurs pour leurs propres violations du RGPD ou lorsqu’ils ont agi en dehors des instructions légitimes du responsable du traitement ou contrairement à celles-ci.

OVHcloud est soumise au RGPD et aux lois nationales sur la protection des données lorsqu’elle traite des données personnelles dans le cadre des activités de ses établissements de l’UE ou autrement menées dans l’UE. OVHcloud est généralement qualifiée de sous-traitant lorsqu’elle fournit des services à ses clients, car elle traite les données fournies, et utilisées, par ses clients. Dans ce cas, les clients d’OVHcloud sont alors qualifiés de responsables du traitement, et OVHcloud agit conformément à leurs instructions.

OVHcloud est également qualifiée de responsable de traitement lorsqu’elle traite les données de ses clients pour ses propres besoins, notamment pour (i) gérer la relation client, y compris les activités commerciales, les informations et le support client, les réclamations, le paiement et l’adhésion au programme de fidélité, (ii) gérer la fourniture de ses services, y compris la maintenance, développement et la sécurité des systèmes, (iii) prévenir la fraude, les défauts de paiement et l’utilisation de ses services cloud d’une manière non conforme aux lois et règlements applicables ou aux conditions générales, (iv) se conformer aux lois et règlements applicables, tels que l’obligation d’archiver et de conserver certaines données des clients, et (v) faire valoir ses droits.

Une violation du RGPD par un responsable de traitement peut entraîner des amendes administratives pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel global du responsable de traitement de l’année précédente, selon le montant le plus élevé, tandis que la violation de la plupart des obligations incombant aux sous-traitants fait l’objet d’un niveau d’amendes administratives moins élevé (mais néanmoins significatif) pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel de l’année précédente, selon le montant le plus élevé. Toutefois, la violation des obligations relatives aux transferts de données à caractère personnel en dehors de l’UE peut être sanctionnée par le niveau le plus élevé d’amendes, qu’elle soit commise par un responsable du traitement ou un sous-traitant.

OVHcloud agit en tant que sous-traitant lorsque des données à caractère personnel sont stockées sur son infrastructure pour le compte et sur instruction de ses clients. Les sous-traitants sont chargés (i) de se conformer aux instructions de leurs clients, étant précisé que le sous-traitant informe immédiatement le responsable du traitement si, à son avis, une instruction enfreint le RGPD, (ii) de mettre en œuvre des mesures techniques et organisationnelles garantissant un niveau de sécurité adapté aux risques inhérents au traitement des données, et (iii) d’assister le responsable du traitement dans la notification des violations et dans la réponse aux demandes des personnes.

Les responsables du traitement et les sous-traitants doivent conclure un accord fixant les dispositions obligatoires prescrites par l’article 28 du RGPD. Cet accord doit définir les détails du traitement à effectuer par le sous-traitant pour le compte du responsable du traitement, comme la durée du traitement, sa finalité, les catégories de données à traiter, les obligations du responsable du traitement et celles du sous-traitant, notamment : veiller à ce que le traitement soit effectué par des personnes soumises à une obligation de confidentialité, mettre en œuvre des mesures de sécurité appropriées, et mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer la conformité et/ou pour faciliter les audits et les inspections autorisés par le responsable du traitement.

En mai 2018, OVHcloud a mis à jour ses conditions générales de service en y incluant un accord de traitement des données, qu’elle a modifié en 2020. Conformément aux dispositions de l’article 28 du RGPD, cet accord de traitement des données définit les conditions dans lesquelles OVHcloud est autorisée, en tant que sous-traitant, à effectuer le traitement de données à caractère personnel pour le compte de ses clients et sur instruction de ces derniers. La dernière version des conditions générales prévoit que les clients d’OVHcloud sont responsables de l’indemnisation des personnes concernées (telles que la propre clientèle des clients) pour toute violation des obligations de traitement, et peuvent ensuite récupérer auprès d’OVHcloud toute partie de l’indemnisation dont OVHcloud est dûment responsable.

OVHcloud agit également en tant que responsable de traitement lorsqu’elle détermine les finalités et les moyens du traitement des données personnelles. Elle agit également en tant que responsable de traitement lorsqu’elle collecte des données personnelles sur ses employés. Le contrôle des données comprend des activités telles que la gestion de la relation client, les activités de soutien et de maintenance, la prospection commerciale, la comptabilité ou la gestion des comptes clients. Pour des activités spécifiques (notamment le publipostage, les analyses marketing ou les enquêtes), OVHcloud peut également faire appel à des prestataires tiers agissant selon ses instructions.

Les responsables du traitement sont notamment chargés (i) de mettre en œuvre des mesures techniques et organisationnelles pour protéger les données, (ii) d’assurer le traitement des données de manière licite et transparente pour les clients, (iii) de n’utiliser que des sous-traitants qui peuvent fournir des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de telle sorte que le traitement réponde aux exigences du droit de l’UE (4) et, en particulier, du RGPD, et (iv) de notifier à l’autorité de contrôle toute violation susceptible d’entraîner un risque pour les droits et libertés des personnes physiques et des personnes concernées.

Conformément à l’article 13 du RGPD, les activités de traitement d’OVHcloud sont soumises à des obligations de divulgation obligatoire. Par conséquent, OVHcloud informe ses clients et met régulièrement à jour les informations qui leur sont divulguées afin de garantir la transparence de ses activités de traitement. En outre, OVHcloud divulgue ces obligations aux personnes concernées, aux utilisateurs et aux clients par le biais de ses accords de traitement des données et de plusieurs autres politiques, telles que sa politique en matière de cookies et sa politique de confidentialité.

Afin d’assurer la conformité avec les réglementations applicables en matière de protection des données, OVHcloud a mis en place un système de gestion des données personnelles basé sur la norme ISO 27701.

Par ailleurs, en tant que membre fondateur de l’association Cloud Infrastructure Service Providers in Europe (la « CISPE »), OVHcloud a participé à la rédaction d’un Code de conduite transnational de bonnes pratiques pour les fournisseurs d’infrastructures Cloud (le « Code de conduite CISPE ») afin d’assurer à la fois la conformité au RGPD et la protection des données personnelles des clients.

Le 19 mai 2021, le Comité européen de la protection des données (l’« EDPB »), un organe indépendant de l’Union européenne établi par le RGPD et composé de représentants des autorités de contrôle nationales des États membres de l’UE et du Contrôleur européen de la protection des données, a adopté un avis 17/2021 au titre de l’article 64 du RGPD sur le projet de décision présenté à l’EDPB par la Commission nationale de l’informatique et des libertés (la « CNIL ») concernant le Code de conduite CISPE. Dans le projet d’avis, le Contrôleur européen de la protection des données a confirmé estimer que le Code de conduite CISPE est conforme au RGPD et remplit les exigences énoncées aux articles 40 et 41 du RGPD. Par une décision 2021-065 datée du 3 juin 2021, la CNIL a approuvé le Code de conduite du CISPE.

OVHcloud s’appuie également sur le Code de conduite CISPE, en étant certifié sur ses offres Baremetal Cloud et Hosted Private Cloud powered by VMWare, pour garantir et démontrer la conformité de ses activités IaaS.

En tant que fournisseur de services cloud exploitant 33 centres de données dans le monde entier sur 12 sites (à savoir, en France et dans l’Union européenne, au Royaume-Uni, en Amérique du Nord, à Singapour et en Australie), OVHcloud est soumise aux restrictions imposées aux transferts transfrontaliers, notamment celles imposées par le RGPD.

Les données à caractère personnel peuvent être transférées librement au sein de l’UE et de l’Espace économique européen (l’« EEE »), à condition que ces transferts répondent aux critères applicables à tout traitement de données à caractère personnel en vertu du RGPD. Par exemple, le responsable du traitement doit informer les personnes du transfert et les données ne doivent pas être traitées ultérieurement à des fins incompatibles avec les finalités initiales.

Les transferts de données personnelles en dehors de l’EEE ne doivent avoir lieu que dans la mesure où un niveau de protection adéquat peut être assuré, par le biais d’une décision d’adéquation émise par la Commission européenne ou par le biais de garanties appropriées ou sur la base de certaines dérogations énoncées à l’article 49 du RGPD. Les garanties appropriées comprennent : (i) la conclusion par les parties d’un ensemble de clauses contractuelles types (« CCT ») émises par la Commission européenne, (ii) des règles d’entreprise contraignantes adoptées par des entités appartenant au même groupe de sociétés, (iii) un Code de conduite approuvé par les autorités de protection des données applicables, ou (iv) des mécanismes de certification approuvés.

Le fait que les serveurs soient situés dans l’EEE n’est pas suffisant pour supposer qu’aucune donnée personnelle n’est transférée en dehors de l’EEE. Conformément aux recommandations 01/2020 du 18 juin 2021 de l’EDPB (« Recommandations 01/2020 »), si des données personnelles sont techniquement accessibles depuis un pays situé en dehors de l’EEE, ces données personnelles sont réputées transférées vers ce pays tiers en vertu du RGPD. Dans ce cas, un niveau de protection adéquat doit être assuré de la même manière que si les serveurs étaient situés en dehors de l’EEE. OVHcloud limite donc ce type de traitement et traite ces transferts en conséquence.

Afin d’effectuer les opérations de traitement et sauf stipulation contraire dans les conditions générales de services, seules les entités européennes et canadiennes d’OVHcloud peuvent traiter les données stockées par leurs clients européens dans les centres de données situés dans l’UE. Le 20 décembre 2001, la Commission européenne a rendu une décision d’adéquation déclarant que le droit canadien offre un niveau de protection adéquat pour les données personnelles transférées de l’Union européenne à des destinataires soumis aux lois canadiennes sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), ce qui est le cas des entités canadiennes d’OVHcloud. Par conséquent, ces activités de traitement effectuées à distance par les entités canadiennes d’OVHcloud ne nécessitent pas de mesures de protection supplémentaires.

Suite à sa décision de quitter l’UE, le Royaume-Uni a conclu un accord de commerce et de coopération avec l’UE le 24 décembre 2020, permettant aux données personnelles de continuer à circuler librement entre eux pendant une période transitoire de 6 mois maximum, au cours de laquelle la Commission européenne examinerait la possibilité d’accorder au Royaume-Uni une décision reconnaissant qu’il offre un niveau adéquat de protection des données, ce qui permettrait la libre circulation permanente des données de l’UE vers le Royaume-Uni. Le 28 juin 2021, la Commission européenne a adopté la décision d’adéquation relative au RGPD reconnaissant un niveau de protection des données substantiellement équivalent au niveau garanti par la législation européenne et permettant la libre circulation des données à caractère personnel depuis l’UE vers le Royaume-Uni pour une durée de 4 ans.

Bien que les États-Unis n’aient pas été reconnus comme offrant un niveau adéquat de protection des données personnelles par la Commission européenne de manière à permettre le libre transfert de données personnelles vers les États-Unis depuis l’UE, la Commission européenne a décidé en juillet 2000 que les entreprises américaines qui acceptaient de se conformer aux principes du dispositif dit « EU-US Safe Harbour » étaient autorisées à importer librement des données depuis l’UE. Le 6 octobre 2015, le dispositif EU-US Safe Harbour a été invalidé par la Cour de justice de l’Union européenne (la « CJUE ») dans son arrêt Maximilian Schrems v. Data Protection Commissioner (« Schrems I ») en raison de l’accès accordé aux autorités publiques américaines (y compris les autorités chargées de l’application des lois) au contenu des communications électroniques.

En juillet 2016, la Commission européenne et les États-Unis ont adopté un autre dispositif appelé « Bouclier de protection des données UE-États-Unis », qui succède au EU-US Safe Harbour. Le 16 juillet 2020, la CJUE a rendu sa décision dans l’affaire Data Protection Commissioner c. Facebook Ireland and Schrems (« Schrems II »), qui a invalidé le Bouclier de protection des données UE-États-Unis pour les transferts de données personnelles de l’UE vers des entités certifiées dans le cadre de ce mécanisme aux États-Unis d’Amérique (les « États-Unis »). Comme dans l’affaire Schrems I, les lois de surveillance américaines ont été jugées par la CJUE comme donnant aux autorités américaines un accès aux données personnelles d’une manière non conforme aux garanties du RGPD et de la Charte des droits fondamentaux de l’UE.

Dans l’arrêt Schrems II, la CJUE a confirmé que les CCT constituaient une garantie valable pour les transferts transfrontaliers de données, mais a imposé des exigences plus strictes. Les parties doivent s’assurer que (i) les lois relatives à la surveillance et au contrôle des données du pays vers lequel les données personnelles sont transférées leur permettent d’exécuter les obligations énoncées dans les CCT ou (ii) que des garanties supplémentaires sont ajoutées à ces CCT à cet effet. Le 4 juin 2021, la Commission européenne a publié de nouvelles CCT pour les transferts internationaux. Ces nouvelles CCT reflètent les exigences du RGPD et intègrent la jurisprudence Schrems II. Si les nouvelles CCT peuvent servir de garantie valable pour les transferts transfrontaliers de données, les parties responsables doivent toujours procéder à un examen de la législation et des pratiques du pays tiers concerné vers lequel les données sont transférées et des garanties supplémentaires peuvent s’avérer nécessaires. Le 18 juin 2021, l’EDPB a adopté la version finale de ses Recommandations 01/2020 présentant les possibles garanties supplémentaires que les entreprises peuvent utiliser pour compléter les CCT afin de transférer des données à caractère personnel vers un pays où la législation ou la pratique ne sont pas suffisantes pour garantir un niveau de protection des données « essentiellement équivalent » à celui de l’UE, ce qui est le cas des États-Unis. Les Recommandations 01/2020 indiquent qu’aucune mesure supplémentaire de ce type ne peut être envisagée pour le transfert de données à caractère personnel vers des services cloud qui ne sont pas cryptés ou soumis à un processus de pseudonymisation. Cela peut créer d’importants obstacles pour les fournisseurs de services cloud transférant des données sous une forme non cryptée ou non soumise à un processus de pseudonymisation dans certains pays, y compris les États-Unis.

Les entités non américaines d’OVHcloud ne transfèrent pas les données de leurs clients aux États-Unis. Les centres de données situés aux États-Unis n’hébergent aucun des services fournis par les entités non américaines d’OVHcloud. En outre, les entités américaines d’OVHcloud ne participent pas aux services fournis aux clients des entités non américaines d’OVHcloud. Ainsi, l’invalidation du Privacy Shield ne devrait avoir aucun impact sur ces services. 

Enfin, OVHcloud suis très attentivement les développements relatifs aux négociations sur le Privacy Shield 2 entre la Commission Européenne et les Etats-Unis à la suite de la signature par le Président Biden d'un Executive Order  le 7/10/2022 visant à répondre aux manquements soulevés par la Cours de Justice de l'Union Européenne dans son arrêt du 16/07/2020 dit "Schrems II" qui a conduit à l'annulation du Privacy Shield ainsi que les projets  d'évolution législative au Royaume-Uni et en Inde.

Le règlement (UE) 2018/1807 du 14 novembre 2018 (le « Règlement sur le libre flux des données à caractère non personnel »), vise à assurer la libre circulation des données non personnelles entre les États membres de l’UE (les « États membres ») et les systèmes informatiques dans l’UE. Les données non personnelles sont soit (i) des données non liées à des personnes physiques identifiées ou identifiables, soit (ii) des données personnelles anonymisées. Ce règlement permet le stockage et le traitement de données non personnelles partout dans l’UE, interdit la localisation des données et garantit la disponibilité des données pour les contrôles réglementaires.

Le Règlement sur le libre flux des données à caractère non personnel prévoit également que la Commission européenne doit encourager le développement de codes de conduite autorégulateurs pour faciliter la portabilité entre les prestataires. À cette fin, OVHcloud a participé à la rédaction de deux codes de conduite volontaires sur le changement de fournisseur de service cloud et la portabilité des données par le biais du groupe de travail sur le changement de prestataire de cloud et le portage des données (« SWIPO »). Publiés en juillet 2020, les Codes de conduite relatifs au Infrastructure-as-a-Service (IaaS) et au Software-as-a-Service (SaaS) offrent des conseils aux fournisseurs de services cloud et aux clients sur le changement de fournisseurs de services cloud et le portage des données non personnelles. L’adoption de ces Codes de conduite vise à réduire les risques de verrouillage envers un fournisseur (c’est-à-dire les situations où les clients sont dépendants d’un prestataire particulier en raison de coûts de changement importants) par les fournisseurs de services cloud. Ils fournissent également des conseils aux clients sur le transfert des données non personnelles.

En tant que fournisseur de services d’hébergement, OVHcloud doit se conformer à de nombreuses législations en matière de lutte contre les  contenus illicites, notamment celles qui concernent les infractions aux droits de propriété intellectuelle, la diffusion de contenus terroristes et les abus sexuels sur les mineurs.

Le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (« Règlement sur les services numériques ») est entré en vigueur le 18 novembre 2022. Ce nouveau cadre a pour objectif d’harmoniser les règles applicables dans les différents États membres de l’Union européenne et remplace celui adopté en l’an 2000 en matière de responsabilité des intermédiaires vis-à-vis des contenus illicites tout en maintenant les principes fondamentaux de liberté d’expression et de libre prestation de service.

Le règlement établit également de nouvelles obligations de diligence et de transparence pour les services d’hébergement tels qu’OVHcloud, tant vis-à-vis des autorités que des utilisateurs, en particulier sur le traitement des signalements de contenus illicites. Il renforce par ailleurs le niveau des sanctions pouvant être infligées en cas de manquement aux obligations établies par le règlement, avec des amendes pouvant représenter jusqu’à 6% du chiffre d’affaires mondial annuel du fournisseur de services intermédiaires. Un certain nombre de mesures sont applicables de manière différée au cours des deux prochaines années et impliquent l’adoption de textes au niveau national. OVHcloud suivra avec attention leur publication afin de se conformer à ses obligations.

Le règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (« Règlement sur les marchés numériques ») vise à rendre le secteur numérique plus équitable et plus compétitif, en instaurant des mesures préventives pour les grandes entreprises numériques en position de contrôleurs d’accès sur le marché européen. Le règlement prévoit notamment plusieurs obligations et interdictions à l’égard des plateformes en ligne en position de contrôleurs d’accès et renforce les pouvoirs de sanction de la Commission européenne, laquelle sera assistée d’un comité consultatif et d’un groupe de haut niveau. Ainsi, par exemple, les contrôleurs d’accès devront permettre aux utilisateurs de désinstaller facilement sur leurs appareils des logiciels préinstallés et de se désabonner facilement d’un service de plateforme essentiel tel qu’un service de cloud. Les contrôleurs d’accès ne pourront plus imposer des logiciels tels que des navigateurs internet ou des moteurs de recherche par défaut, réutiliser les données personnelles d’un utilisateur à des fins de publicité ciblée sans son consentement explicite.

Applicable à partir du 2 mai 2023, les entreprises concernées devront se signaler à la Commission européenne et se mettre en conformité au plus tard en mars 2024. La législation confère à la Commission le pouvoir exclusif de contrôler le respect de leurs obligations, et de nouvelles sanctions, notamment une amende pouvant atteindre jusqu’à 10 % du chiffre d'affaires total mondial réalisé par l’entreprise au cours de l’exercice précédent.

L’adoption de cette nouvelle législation est une avancée positive pour réguler les pratiques des acteurs dominants du numérique sur le marché européen mais son efficacité dépendra des moyens que la Commission européenne consacrera au service du respect de celle-ci. OVHcloud suivra avec une attention particulière les précisions attendues sur les effectifs qui seront dédiés au contrôle des obligations des contrôleurs d’accès.

Les entités OVHcloud sont des opérateurs de télécommunications dans quatre (4) États membres : la Belgique, la France, l’Allemagne et l’Espagne. OVHcloud est soumise à des obligations spécifiques lorsqu’elle fournit des services de télécommunication. Parce que l’UE et ses États membres réglementent le secteur des télécommunications depuis de nombreuses années, il existe une variété de mesures d’application, de directives et d’autorités différentes à travers l’UE. Les entités d’OVHcloud sont également des opérateurs de télécommunications au Royaume-Uni et en Suisse, qui possèdent leur propre réglementation en matière de télécommunications. Le Royaume-Uni a transposé les exigences du Code des communications électroniques européen dans son cadre réglementaire national avant le Brexit.

La directive (UE) 2018/1972 du 11 décembre 2018 a établi le Code des communications électroniques européen. Bien que cette directive n’ait pas encore été transposée dans tous les États membres où OVHcloud agit en tant qu’opérateur, plusieurs autres directives applicables dans les secteurs des télécommunications, telles que les directives 2002/19/CE, 2002/20/CE, 2002/21/CE et 2002/22/CE du Parlement européen et du Conseil, ont été substantiellement modifiées. La directive 2018/1972 a été transposée en droit français en mai 2021(5). L’objectif clé de ce Code européen des communications électroniques est de créer un ensemble complet de règles actualisées pour réglementer les communications électroniques et protéger les citoyens de l’UE lorsqu’ils communiquent par le biais de services traditionnels ou sur le Web, d’encourager la concurrence entre les opérateurs de télécommunications et de garantir que les autorités réglementaires nationales sont protégées contre les interventions extérieures ou les pressions politiques.

En tant que fournisseur de services cloud, OVHcloud est soumise à des obligations lorsqu’elle fournit des services à des organisations du secteur de la santé. Par exemple, la loi française impose aux hébergeurs de données de santé (c’est-à-dire toute personne hébergeant des données de santé à caractère personnel collectées dans le cadre d’activités de prévention, de diagnostic, de soins ou de suivi social et médical pour le compte de personnes physiques ou morales ayant produit ou collecté ces données ou pour le compte des patients eux-mêmes) de respecter des obligations spécifiques. Ces obligations incluent l’obtention d’une certification appropriée ou d’un accord préalable des autorités publiques conformément au Code de la santé publique français, et la conclusion d’une convention avec les clients du secteur de la santé, fixant les dispositions obligatoires prescrites par l’article L. 1111-8 du Code de la santé publique. OVHcloud est également soumis aux exigences des autres juridictions dans lesquelles elle opère, telles que l’Italie, la Pologne, l’Allemagne et le Royaume-Uni.

En 2016, OVHcloud a bénéficié de l’agrément « hébergeur de données de santé » et, depuis 2018, elle exploite un système de gestion permettant à plusieurs de ses offres cloud de se conformer aux exigences de cet agrément. En 2019, OVHcloud a obtenu la certification française HDS (hébergeur de données de santé) pour son offre de Hosted Private Cloud. En 2020, cette certification a été étendue aux serveurs dédiés d’OVHcloud, et elle a été étendue à l’offre de cloud public d’OVHcloud et à Trusted Exchange en 2021.

Les entreprises du secteur financier (y compris les établissements de crédit et les entreprises d’investissement) peuvent également être soumises à des obligations spécifiques au secteur qui peuvent se refléter sur OVHcloud dans le cadre de la fourniture de ses services. Notamment, en 2019, l’Autorité bancaire européenne (« ABE ») a publié des « Recommandations sur l’externalisation vers des fournisseurs de services cloud » applicables aux accords d’externalisation. Ces recommandations créent des obligations en matière de sécurité des systèmes d’information et de droits d’audit au profit des banques externalisatrices, qu’elles doivent imposer à leurs fournisseurs de services en cloud lorsqu’elles utilisent leurs services. OVHcloud s’efforce de proposer des conditions contractuelles applicables aux opérateurs de services financiers qui garantissent que les clients sont en mesure de mettre en œuvre une politique d’externalisation conforme aux recommandations de l’ABE et aux réglementations locales européennes.

Les opérateurs de services financiers peuvent également exiger d’OVHcloud qu’elle se conforme à la réglementation nationale spécifique. Par exemple, OVHcloud peut avoir à se conformer aux réglementations françaises telles que celle de l’Autorité de contrôle prudentiel et de résolution (« ACPR ») sur les services essentiels externalisés tels que les opérations bancaires. Les entreprises qui externalisent des services essentiels doivent s’assurer que les prestataires garantissent la protection des informations confidentielles, mettent en place des mécanismes de secours en cas de difficultés importantes affectant la continuité du service et permettent à l’ACPR, dans l’exercice de ses missions, d’accéder aux informations essentielles externalisées. En ce qui concerne les procédures internes de gestion de la sécurité des systèmes d’information, l’American Institute of Certified Public Accountants (« AICPA ») a délivré à OVHcloud les certifications SOC I-II type 2.

En ce qui concerne l’hébergement des données bancaires et la réduction de la fraude à la carte bancaire, la plus importante offre de l’Hosted Private Cloud d’OVHcloud est conforme à la norme de sécurité des données de l’industrie des cartes de paiement (« PCI DSS »). Les centres de données d’OVHcloud en France, au Canada, au Royaume-Uni, en Allemagne et en Pologne sont conformes à la norme PCI-DSS.

Le 27 novembre 2022, le Conseil de l’Union Européenne a adopté le règlement sur la résilience opérationnelle numérique du secteur financier (« DORA »). Ce texte faisant suite à une proposition de la Commission européenne de 2020 impose un certain nombre d’exigences aux accords d’externalisation vers des fournisseurs de services cloud dans le secteur financier. Le règlement proposé couvre un large éventail d’entités financières réglementées, notamment les établissements de crédit (tels que les banques), les dépositaires centraux de titres, les compagnies d’assurance et certains gestionnaires de fonds, entre autres. Il impose à ces entités financières un certain nombre d’exigences en matière de gestion des risques liés aux technologies de l’information et des communications, dont certaines s’appliquent directement aux activités cloud externalisées.

En particulier, les entités du secteur financier couvertes par le règlement proposé sont tenues de prendre un certain nombre de mesures pour faire face aux risques dans leurs relations avec des tiers, tels que les fournisseurs de services cloud, notamment en s’assurant que leurs contrats de services cloud fournissent une description complète des services fournis avec des objectifs de performance qualitatifs et quantitatifs, et comprennent des dispositions régissant l’intégrité, la sécurité, la protection des données personnelles, la récupération en cas de défaillance, les droits d’inspection et d’audit, et des dispositions de résiliation avec des stratégies de sortie claires. Le règlement envisage l’approbation de clauses contractuelles type par la Commission européenne.

En outre, le règlement impose un nouveau cadre de surveillance aux prestataires de services tiers critiques (y compris les fournisseurs de services cloud), les soumettant à des plans de surveillance individuels adoptés par les organismes européens de réglementation financière chargés de la surveillance des banques, des marchés des valeurs mobilières ou des compagnies d’assurance, selon le secteur qui utilise principalement les services du prestataire concerné. La détermination des services critiques dépend de leur impact systémique potentiel, de la dépendance des entités financières à leur égard pour des fonctions critiques et de l’existence d’alternatives. Le plan de surveillance peut imposer des exigences dans des domaines tels que la sécurité et la qualité, les conditions contractuelles et la sous-traitance, avec des sanctions financières en cas de non-respect, pouvant aller jusqu’à 1 % du chiffre d’affaires mondial du prestataire au cours de l’année la plus récente. Les organismes de surveillance disposent de droits d’inspection et d’audit et de pouvoirs d’enquête étendus. Le règlement adopté interdit également aux entités financières de faire appel à un prestataire d’un pays situé en dehors de l’UE pour les fonctions critiques du cloud.

Plusieurs des centres de données d’OVHcloud sont situés dans d’anciens bâtiments industriels, dont certains sont classés comme présentant des risques environnementaux ou autres en vertu de la législation française applicable. Les centres de données d’OVHcloud situés hors de France peuvent également être classés comme présentant des risques environnementaux en vertu des réglementations locales. Afin de se conformer aux réglementations applicables, OVHcloud est parfois tenue de soumettre des demandes et d’obtenir des autorisations d’exploitation. Dans le cadre du processus de demande, OVHcloud peut être tenue de prendre certaines mesures correctives.

En outre, des permis d’exploitation sont requis dans la plupart des pays où OVHcloud exploite ses centres de données. Ces réglementations concernent principalement les émissions atmosphériques, la gestion des déchets industriels, la gestion de l’eau et des effluents, la gestion des risques d’incendie et la gestion du bruit.

L’organigramme simplifié ci-après présente l’organisation juridique de la Société et de ses filiales consolidées à la date du présent document d’enregistrement universel. Les pourcentages indiqués ci-dessous représentent les pourcentages du capital social•. Il n'y a pas eu de variation significative de détention du capital depuis la clôture de l'exercice le 31 août 2022.

La gestion des risques est suivie avec attention par la direction du Groupe. La mission principale de la gestion des risques est d’identifier, d’évaluer et de prioriser (en fonction de l’impact potentiel et de la probabilité d’occurrence) les risques, ainsi que d’assister la direction du Groupe dans le choix de la stratégie de gestion des risques la plus appropriée et, afin de limiter les risques significatifs résiduels, définir et assurer le suivi des plans d’action liés.

Pour les risques liés aux aspects RSE, se référer à la « Déclaration de Performance Extra-Financière » en chapitre 3 du présent document d’enregistrement universel.

Le Groupe a mis au point une cartographie des risques afin de prévenir les risques majeurs relatifs à son activité avec l'assistance d’un consultant externe spécialisé sur ces sujets. Le processus d’élaboration de la cartographie des risques, qui a été initié en 2020, et qui a fait l'objet d'une  mise à jour en 2022, a permis d’identifier les principaux risques auxquels le Groupe est exposé et d’apprécier pour chacun d’eux leur impact potentiel, prenant en compte leur criticité, c’est-à-dire leur gravité potentielle et leur probabilité d’occurrence.

Le processus d’élaboration de la cartographie des risques implique fortement le management de l’ensemble des activités et fonctions du Groupe, permettant de tenir compte des objectifs et des enjeux de toutes les parties prenantes. L’exercice consiste notamment à identifier les risques les plus significatifs pour le Groupe, rassemblés en différentes familles (stratégie et marchés, opérationnel, ressources humaines, financier, réglementaire et juridique, systèmes d’information). Une description des risques et de leurs causes est réalisée et pour chacun de ces risques, leur probabilité de réalisation, leurs impacts potentiels sur le Groupe, ainsi que leur degré de maîtrise actuel sont évalués. À la suite de l’évaluation de la maîtrise de ces risques, des plans d’action sont définis.

L’avancement de la mise en place des plans d’action est de la responsabilité du comité exécutif de la Société, qui les revoit à un rythme bimensuel. La cartographie des risques et les plans d’action font l’objet d’une présentation au comité d’audit de la Société.

Les contrats d’assurance sont soit souscrits par la Société, pour son propre compte et pour le compte de ses filiales, soit directement souscrits par les filiales, par l’intermédiaire de courtiers mandatés pour négocier auprès des principales compagnies d’assurances la mise en place ou le renouvellement des garanties les plus adaptées aux besoins de couverture des risques. Les compagnies d’assurance sont sélectionnées sur le fondement de critères tels que le montant des cotisations, l’étendue des garanties proposées, la capacité à mettre en place des programmes intégrés de type polices masters, la durée de l’engagement, leur disponibilité pour assurer les risques considérés au vu de l’ensemble de leurs autres engagements sur le secteur et le marché considéré ou la faculté à proposer un accompagnement qualitatif afin d’appréhender au mieux la gestion des risques.

OVHcloud adapte sa couverture assurantielle en fonction de l’évolution des risques liés à ses activités habituelles.

Les garanties sont en principe renouvelées chaque année, sauf pour certains contrats à échéance unique souscrits dans le cadre de projets ponctuels couvrant une période donnée. Les contrats d’assurance ayant pour échéance les 6 et 15 octobre 2021 et le 1er janvier 2022 ont été renouvelés. Les contrats d’assurance ayant pour échéance fin août/début septembre 2022 ont été étendus à garanties identiques ou réévalués selon les besoins, jusqu’au 31 décembre 2022 afin d’harmoniser les échéances de tous les contrats d’assurance. A la publication de ce document OVHcloud a obtenu un accord de principe quant au renouvellement des polices d'assurances arrivant à échéance au 31 décembre 2022.

Figure ci-dessous une synthèse des principales polices d’assurance contractées par OVHcloud. OVHcloud privilégie la souscription de polices masters afin de pouvoir mutualiser les garanties au sein du Groupe. Pour des raisons réglementaires ou factuelles telles que la taille d’une filiale ou la nécessité d’obtenir des garanties, OVHcloud a recours à des polices locales ou standalone souscrites directement par ses filiales.

Le Groupe dispose également de polices d’assurance couvrant la responsabilité des dirigeants (police « D&O »), les risques relatifs aux installations de bureaux, à sa flotte automobile, aux déplacements de ses salariés utilisant leur propre véhicule pour des déplacements professionnels et occasionnels, aux missions professionnelles, aux travaux de construction, d’installation d’équipement ou d’aménagement dans ses centres de données ou bureaux ou encore au transport de marchandises (principalement en matériel technologique et informatique). Le Groupe dispose de nombreuses polices d’assurances multirisques habitation couvrant des habitations louées et mises à disposition du personnel lors de déplacements professionnels ponctuels au siège social, mais aussi du cabinet médical du médecin exerçant aussi pour le compte d’OVHcloud. Le Groupe dispose également par l’intermédiaire de ses filiales de nombreuses polices d’assurances couvrant les dommages matériels, la responsabilité civile et employeur et l’indemnisation des salariés, de ses bureaux et centres de données internationaux.

Le contrat d’assurance dommages d’OVHcloud repose sur le principe du « tous risques sauf » garantissant tous les dommages matériels non exclus. Ce contrat est souscrit par la Société et s’applique à certaines filiales présentes en France, en Allemagne, en Belgique et au Royaume-Uni.

Ce contrat a été renouvelé le 1er septembre 2021 auprès d’AXA, en tant qu’apériteur avec 35 % des parts du risque et sept coassureurs se partageant 65 % du risque restant et selon les conditions d’un plan de prévention établi et étendu sous les mêmes garanties jusqu’au 31 décembre 2022. A la publication de ce document OVHcloud a obtenu un accord de principe quant au renouvellement des polices d'assurances arrivant à échéance au 31 décembre 2022.

Cette police d’assurance couvre en particulier les dommages matériels directs des biens garantis d’origine accidentelle, dont les bâtiments, mobiliers, matériel et/ou risques locatifs mobiliers/matériels, les frais et pertes divers consécutifs aux dommages matériels garantis, les conséquences pécuniaires de la responsabilité civile à la suite d’un incendie, une explosion, des dégâts des eaux, d’attentats et d’actes de terrorisme en France ainsi que les frais de reprise d’activité consécutifs aux dommages matériels garantis et les honoraires d’expert suite aux dommages matériels.

L’indemnité maximum due au titre de l’ensemble des préjudices couverts (incluant les dommages directs, les frais de reprise d’activité toutes garanties confondues y compris les frais et pertes et responsabilités) s’élève à 140 millions d’euros par sinistre. Des limites et sous-limites de garanties sont applicables en fonction de la nature du dommage subi ou de la catégorie de bien assuré. La franchise pour tous dommages s’élève à 3 millions d’euros. En l’absence d’installations de protections automatiques conformément aux préconisations d’AXA, cette franchise est portée à 15 millions d’euros pour les sites de Roubaix, Gravelines et Strasbourg, à 6 millions d’euros pour le site de Croix et une franchise additionnelle de 10 millions d’euros pour les sites de Erith (Royaume-Uni) et de Limburg (Allemagne) portant la franchise à 13 millions d’euros, ainsi que de 3 millions d’euros pour le site de Paris 19e portant la franchise à 6 millions d’euros. Ces franchises seront réduites à 3 millions d’euros lors de l’achèvement d’un programme d’investissement convenu avec les assureurs et selon leurs préconisations, dont le montant est d’ores et déjà inclus dans le budget d’investissement pour les prochains exercices (voir la section 1.4.5 « Objectifs de moyen terme » du présent document d’enregistrement universel). En outre, sur les sites de Roubaix, Gravelines, Strasbourg et Croix, la Société doit maintenir en place trois mesures complémentaires spécifiques relatives aux moyens de prévention incendie (gardiennage, permis de feu et moyens d’intervention en charge dans les locaux), faute de quoi la franchise de base serait augmentée de 100 % en cas de sinistre. Une disposition contractuelle supplémentaire de résiliation de la police d’assurance était donnée à l’assureur lors du renouvellement du 1er septembre 2021. La faculté de résiliation était conditionnée à l’absence de réalisation d’un certain nombre de recommandations d’ordre humain et organisationnel ou de la passation de commandes relatives à la mise en place des protections complètes sur les sites de Roubaix, Strasbourg, Gravelines, Croix, Erith et Limburg, conformément aux préconisations de l’assureur et selon une procédure incluant l’assureur pour la validation de ces projets, avant le 31 décembre 2021.  L’ensemble des recommandations d’ordre humain et organisationnel ont été réalisées succesivement au 31 décembre 2021 et au 30 avril 2022.  AXA a confirmé le 30 avril 2022 que OVHcloud avait donné satisfaction sur ses obligations contractuelles en matière de prévention des risques conformément à ses préconisations, la faculté de résiliation anticipée a donc été annulée.

Les exclusions sont conformes aux standards de marché et incluent notamment les pénalités de retard, les amendes, pénalités et autres sanctions pénales, les pertes de marchés et de clientèle, les pertes d’exploitation et les dommages consécutifs à une épidémie, à une pandémie ou à une épizootie ainsi que les frais et pertes, les pertes d’exploitation et les dommages consécutifs aux mesures administratives, aux mesures sanitaires, à la fermeture totale ou partielle ou au retrait d’autorisation administrative, à l’impossibilité, à la restriction ou à la difficulté d’accès, qui en résultent.

Le montant de la prime du contrat d’assurance pour la période d’assurance du 1er septembre 2022 au 31 décembre 2022 sera calculé au prorata et sous réserve de l’augmentation des capitaux assurés dû à l’intégration de nouveaux centres de données sur la police.

La gestion opérationnelle des risques relève des directions éthique et conformité et protection des données, placées sous le contrôle de la direction juridique, ainsi que des directions qualité, santé, environnement et sécurité des systèmes d’information, placées sous le contrôle de la direction des opérations.

Le Groupe porte une attention stricte à la conformité de ses procédures et des pratiques de ses salariés aux réglementations applicables. Le Groupe a ainsi déployé des codes éthique et anti-corruption avec des formations associées. Par ailleurs, le Groupe sensibilise ses collaborateurs aux sujets de whistleblowing, dans le cadre notamment des mesures mises en place conformément à la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et le trafic d’influence et à la modernisation de la vie économique (loi dite « Sapin II »). Une plateforme accessible à tout moment a été mise en place sur laquelle les collaborateurs peuvent déclarer tout acte observé violant le code éthique du Groupe : « ROGER » (Respect OVHcloud Guidelines and Ethical Rules).

Sous la supervision de son délégué à la protection des données (DPO), le Groupe met en œuvre une politique rigoureuse de protection des données personnelles. Une politique d’utilisation des données à caractère personnel a été établie qui décrit précisément les traitements qu’OVHcloud peut être amené à réaliser sur les données concernant les clients, fournisseurs et partenaires, ainsi que les conditions de leur réalisation.

Dans le cadre des traitements visés par la politique d’utilisation des données à caractère personnel, OVHcloud se conforme, en qualité de responsable de traitement, à la réglementation en vigueur, notamment au RGPD, ainsi qu’à toute réglementation des États membres de l’Union européenne qui trouverait à s’appliquer auxdits traitements, notamment la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée.

À ce titre, OVHcloud s’engage notamment à :

• ▶ne collecter que des données à caractère personnel nécessaires dans le cadre des finalités susvisées ;
• ▶mettre en œuvre des processus de nature à s’assurer de l’exactitude et de la mise à jour des données utilisées dans le cadre desdits traitements, ainsi que de leur effacement lorsqu’elles sont plus utiles aux finalités poursuivies ;
• ▶ne pas traiter les données à caractère personnel en sa possession pour d’autres finalités que celles mentionnées dans le cadre de la présente politique, sauf à obtenir le consentement des personnes concernées, ou à les en informer préalablement concernant les traitements fondés sur d’autres fondements légaux que le consentement ;
• ▶documenter les traitements réalisés au sein d’un registre et procéder à toutes les analyses d’impact nécessaires préalablement à leur mise en œuvre ;
• ▶mettre en place un processus de gestion des incidents et des violations de données, et en cas de violation, notifier l’autorité de protection dans les conditions de l’article 33 du RGPD, et informer les personnes concernées, conformément à l’article 34 du RGPD lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés ; ainsi que
• ▶mettre en place des mesures techniques et organisationnelles de nature à protéger les données à caractère personnel contre les risques de sécurité, telles que définies dans la politique de sécurité des systèmes d’information d’OVHcloud.

La sécurité de l’information fait l’objet d’un programme et d’engagements développés au sein de la politique de sécurité des systèmes d’information d’OVHcloud (« ISSP »). Cette politique met en avant des principes d’application dont les principaux sont les suivants :

• ▶déployer une approche industrielle, à grande échelle, de la sécurité ;
• ▶placer OVHcloud comme un acteur de confiance dans l’écosystème ;
• ▶opérer un cloud sécurisé pour tous ;
• ▶mise en place de systèmes de management de la sécurité (ISMS) et de la vie privée (PIMS);
• ▶approche de la sécurité par les risques ;
• ▶démonstration de la sécurité via la certification, le contrôle interne et l’audit externe ;
• ▶réponse unifiée aux incidents de sécurité et aux violations de données à caractère personnel ;
• ▶intégration des enjeux de sécurité et de protection de la vie privée dans l’évolution des produits ; et
• ▶évaluation de la sécurité et mise en place d’amélioration continue.

La politique de sécurité des systèmes d’information (« PSSI »), sous la responsabilité du directeur de la sécurité des systèmes d’information (« CISO »), est revue par le comité exécutif qui vérifie l’adéquation de son contenu avec les objectifs stratégiques du Groupe. Elle est révisée une fois par an. La PSSI s’applique à l’ensemble des sociétés du Groupe, aux salariés, aux fournisseurs, aux prestataires, aux sous-traitants et aux utilisateurs du système d’information, quel que soit leur statut.

Sous la responsabilité du directeur de la sécurité des systèmes d’information (« CISO »), l’équipe sécurité d’OVHcloud est elle-même composée de trois équipes :

• ▶Sécurité des outils, en charge de développer et opérer les outils support de la politique de sécurité ;
• ▶Sécurité des opérations, en charge de veiller à la mise en œuvre de bonnes pratiques de sécurité au sein des opérations et à la mise en œuvre de processus formels de gestion de la sécurité, d’apporter son soutien à l’intégration des outils de sécurité et à l’alignement des dispositifs de sécurité au sein de l’entreprise ; et
• ▶Sécurité.cert, en charge de surveiller les sources de menaces, d’identifier les outils de cyberattaque et les méthodes pour les anticiper, et de gérer les incidents de sécurité.

OVHcloud veille à la sensibilisation des employés aux enjeux de la sécurité informatique et, plus particulièrement, aux enjeux de la cybersécurité. Dans cette optique, le Groupe mène régulièrement des campagnes de simulations d’attaques cyber (phishing) conçues sur la base de scénarios sophistiqués. Les dernières campagnes ont montré des résultats de très bon niveau avec un taux de succès de 91 %.

Au travers de sa politique Santé et Sécurité, OVHcloud encadre la mise en œuvre des mesures visant à offrir des espaces de travail sûrs et sains pour tous ses employés et parties prenantes, ses sites et ses produits. La politique de gestion des risques industriels du Groupe s’articule autour de deux axes : (i) la prévention par des audits réalisés par des organismes extérieurs sur chacun des sites qui donnent lieu à l’élaboration de rapports avec des recommandations tant humaines que matérielles et (ii) la protection par l’élaboration de plans de réduction des risques, intégrant des investissements à court et moyen terme ainsi que des actions d’organisation ou de management.

Enfin, le comité d’audit de la Société joue un rôle en matière de gestion des risques et de contrôle interne. Il s’assure de la pertinence, de la fiabilité et de la mise en œuvre des procédures de contrôle interne, d’identification, de couverture et de gestion des risques de la Société relatifs à ses activités et à l’information comptable financière et extra-financière. La cartographie des risques du Groupe et les plans d’action mis en œuvre font l’objet d’un reporting deux fois par an, effectué par le directeur financier du Groupe.

Le modèle d’affaires d’OVHcloud est détaillé en introduction du présent document d’enregistrement universel.

Au cours de l’exercice fiscal 2022, OVHcloud a entrepris un travail visant à structurer sa démarche RSE. Avec près de 2 800 collaborateurs et une empreinte industrielle et commerciale mondiale, le Groupe a pleinement conscience de sa responsabilité dans un monde où les données ont un impact majeur sur les vies privées, sociales et professionnelles, sur les plans économique, géopolitique, éthique et environnemental. Elles impactent les relations entre les personnes et leur utilisation traduit une vision du monde et le type de société dans lequel chacun souhaite vivre. Porté par son ambition : « leading the data revolution for a responsible future » (conduire la révolution des données pour un avenir responsable), OVHcloud s’est donné pour mission de construire un cloud ouvert et de confiance, permettant aux entreprises et à la société de tirer le meilleur parti de la révolution des données tout en minimisant ses impacts environnementaux.

Cette vision et la mission qui lui est associée se traduisent par une politique RSE, étroitement intégrée à la stratégie du Groupe. Cette politique s’articule autour de trois piliers d’engagement qui se déclinent chacun à leur tour en trois axes d’action :

• ▶Garantir la liberté et la souveraineté des données

OVHcloud est au cœur de la révolution numérique, qui ouvre la voie à une multitude d'opportunités en matière d’applications et de technologie. Dans ce contexte, le Groupe propose à ses clients des solutions cloud couvrant l’ensemble de leurs usages, qu’il s’agisse de les accompagner dans leur transformation numérique, de leur permettre d’innover en construisant des applications « cloud native » ou de les aider à tirer parti de la puissance de la donnée. Dans l’accomplissement de cette mission, le Groupe offre à ses clients la liberté de construire leurs projets les plus ambitieux, dans un environnement cloud sécurisé, conforme et durable, suivant trois axes d’action :

• •Défendre la souveraineté des données, la sécurité et la confidentialité ;
• •Garantir la liberté de choix et la réversibilité ;
• •Offrir un prix prévisible et transparent.

• ▶Être pionnier du cloud durable

A l’avant-garde du cloud durable, OVHcloud intègre la durabilité au cœur de son modèle d’affaires depuis sa création, visant à minimiser son impact environnemental à chaque étape. L’action environnementale d’OVHcloud s’articule autour de trois axes :

• •Inscrire l'innovation au cœur de son modèle industriel ;
• •Contribuer au Net Zéro planétaire d’ici 2030 ;
• •Sensibiliser les parties prenantes à l’ensemble des impacts du cloud, afin d’enclencher une démarche collective de réduction de l’empreinte environnementale.

• ▶Faire progresser collectivement le cloud au bénéfice de la société

Chez OVHcloud tout commence par l’humain. Les femmes et les hommes font sa richesse : ce sont les talents qui assurent sa réussite. Le “travailler ensemble” est l’une des valeurs fondamentales du Groupe. Cette dimension collective trouve son prolongement dans son écosystème, et dans la volonté de faire grandir toute la filière du cloud européen. Ce troisième pilier d’engagement se décline en trois voies d’action :

• •Attirer et faire grandir les talents dans une aventure collective au sein d’une entreprise diverse et inclusive ;
• •Collaborer et développer des coalitions avec les parties prenantes de l’écosystème du cloud européen ;
• •Favoriser l’ancrage local et l’engagement sociétal en œuvrant à l’insertion par le numérique.

Pour piloter ses ambitions en matière de responsabilité sociétale d’entreprise (RSE), OVHcloud a mis en place une gouvernance dédiée, étroitement associée au pilotage de la stratégie globale du Groupe.

Le conseil d’administration s’attache à promouvoir la création de valeur à long terme par la Société en considérant les enjeux sociaux et environnementaux de ses activités. Il examine régulièrement, en lien avec la stratégie qu’il a définie, les opportunités et les risques tels que les risques financiers, juridiques, opérationnels, sociaux et environnementaux ainsi que les mesures prises en conséquence. Les priorités et objectifs à moyen terme en matière de Responsabilité Sociétale d’Entreprise ont été approuvés par le conseil d’administration en 2022. Leur suivi est assuré en s’appuyant sur les travaux de ses comités. 

Instauré dès l’introduction en bourse du Groupe en 2021, le comité stratégique et RSE a la mission de préparer le travail et de faciliter le processus de décision du conseil d’administration sur les enjeux stratégiques et RSE. En matière RSE, il a notamment la charge de :

• ▶S’assurer de la prise en compte des sujets relevant de la responsabilité sociale et environnementale (telles que les politiques de diversité et de non‑discrimination et les politiques de conformité et d’éthique) dans la stratégie du Groupe et dans sa mise en œuvre ;
• ▶Examiner la déclaration de performance extra‑financière en matière sociale et environnementale prévue à l’article L. 22‑10‑36 du Code de commerce ;
• ▶Examiner les avis émis par les investisseurs, analystes et autres tiers et, le cas échéant, le potentiel plan d’action établi par la Société aux fins d’améliorer les points soulevés en matière sociale et environnementale ;
• ▶Examiner et d’évaluer la pertinence des engagements et des orientations stratégiques du Groupe en matière sociale et environnementale, au regard des enjeux propres à son activité et à ses objectifs, et de suivre leur mise en œuvre.

Le comité d’audit s’assure de l’efficacité du dispositif de suivi des risques et de contrôle interne opérationnel, incluant les risques en matière RSE, ainsi que de l’examen et du suivi des dispositifs et procédures en place pour garantir la diffusion et l’application des politiques et règles de bonnes pratiques en matière d’éthique, de concurrence, de fraude et de corruption et plus globalement de conformité aux réglementations en vigueur. 

Enfin le comité des nominations, des rémunérations et de la gouvernance se charge, entre autres missions, de la revue annuelle de la politique de diversité du conseil d’administration ainsi que du suivi du taux de parité, de l’âge et de la diversité des compétences.

Le rôle et les travaux du comité d’administration et de ses comités sont détaillés dans les sections 4.1.5 et 4.1.6 du présent Document d’Enregistrement Universel.

La direction de la stratégie et de la RSE, rattachée au Directeur général, a la charge de l’implémentation des grandes orientations stratégiques du Groupe, qu’elle contribue à définir, ainsi que du développement et de la coordination de la politique RSE, avec pour objectif d’engager l’entreprise dans une démarche d’amélioration continue, de valoriser ses engagements et de mesurer les effets du programme RSE. La directrice de la stratégie et de la RSE, qui est membre du comité exécutif, rend régulièrement compte à celui-ci des avancées du programme RSE, de ses principales initiatives et de leurs mises à jour.

Les engagements du programme RSE sont élaborés et suivis par le comité de pilotage RSE. Présidé par la directrice de la stratégie et de la RSE, il est composé d’une équipe RSE centrale et de représentants des directions opérationnelles associées à l’implémentation du plan d’action RSE. Le comité se réunit à un rythme hebdomadaire afin de définir, suivre et ajuster les plans d’action RSE.

OVHcloud a mis au point une cartographie des risques Groupe en 2020, revue et mise à jour en 2022 (se référer au chapitre 2 du présent document d'enregistrement universel pour une description des facteurs de risque Groupe), et a construit sa première matrice de matérialité en 2022.

En 2022, OVHcloud a construit sa première matrice de matérialité en interrogeant ses parties prenantes externes et internes, en vue de déterminer les enjeux RSE les plus matériels pour le Groupe, c’est-à-dire ceux qui ont ou pourraient avoir une incidence sur la capacité du Groupe à créer ou protéger de la valeur financière et extra-financière, pour lui-même et ses parties prenantes.

Cet exercice s’est déroulé en quatre étapes : identification des enjeux RSE potentiels, confrontation de ces enjeux avec les parties prenantes externes et internes, consolidation des résultats et principaux enseignements tirés de l’analyse de ces résultats.

OVHcloud a défini une liste de 24 enjeux RSE potentiels, subdivisés en trois catégories : environnement, conduite des affaires et social / sociétal.

OVHcloud a confronté cette liste d’enjeux potentiels à ses parties prenantes internes et externes au cours d’entretiens, menés notamment auprès de ses clients, fournisseurs, investisseurs, représentants de son écosystème (associations, ONG, partenaires, …) ainsi que les directeurs et responsables du Groupe, dont le Comité Exécutif, afin de récolter leur point de vue et leurs attentes vis-à-vis de chacun des enjeux. Les entretiens ont été conduits par les équipes d’OVHcloud, à l’exception des investisseurs, consultés par le biais d’une étude de perception réalisée par un prestataire externe. OVHcloud a par ailleurs consulté ses collaborateurs (hors Comité exécutif et autres responsables) à travers un sondage en ligne.

Un guide d’entretien a été construit pour encadrer les différents entretiens. Ce guide a servi de base pour établir l’outil de sondage en ligne. 

La question centrale portait sur la notation des enjeux en fonction du niveau d’attente pour chacun d’eux, selon la grille suivante :

• ▶0 : pas d’attente. OVHcloud n’a pas à s’engager particulièrement sur cet enjeu ;
• ▶1 : limité. Enjeu pour lequel OVHcloud peut mettre en place quelques actions, sans pour autant les intégrer à sa stratégie ;
• ▶2 : important. OVHcloud devrait adopter une politique, des objectifs et un plan d’action concernant cet enjeu ;
• ▶3 : prioritaire. Cet enjeu doit constituer une priorité stratégique majeure pour OVHcloud.

Au total, 231 personnes ont été consultées dont : 

• ▶Management (représenté sur l’axe des abscisses de la matrice)
  • •Le Président du conseil d’administration
  • •18 représentants de la direction dont le directeur général et l’ensemble du comité exécutif ainsi que les principaux directeurs de zone
• ▶Parties Prenantes (représentées sur l’axe des ordonnées de la matrice)
  • •34 représentants des parties prenantes externes : clients, fournisseurs, pouvoirs publics, investisseurs, membres de l’écosystème d’OVHcloud (associations, partenaires, ONG, …)
  • •178 salariés consultés par sondage

La voix des pouvoirs publics a été exprimée par la personne responsable des affaires publiques chez OVHcloud.

Concernant les investisseurs, la notation a été faite en transposant l’étude de perception « Investisseurs ESG » 2022 réalisée par un prestataire externe sur une grille de notation similaire et une liste d’enjeux un peu plus restreinte. 

L’analyse des données quantitatives et qualitatives a été réalisée avec l’appui d’un cabinet de conseil en RSE, selon la méthodologie suivante :

• Consolidation des résultats : Concernant les parties prenantes internes et externes, la notation moyenne des enjeux a été établie sur la base d’une équi-pondération des résultats au sein de chaque catégorie de parties prenantes, puis entre les catégories. Pour le management, les notations attribuées par le Président et le Directeur général ont fait l’objet d’une surpondération par rapport aux réponses des représentants de la direction ;
• Formalisation de la matrice : Les notations ainsi obtenues ont permis de placer chaque enjeu sur l’axe des abscisses (moyenne attribuée par le management) et sur l’axe des ordonnées (moyenne attribuée par les parties prenantes internes et externes) ;
• Analyse des résultats : les enseignements clés sont tirés de la compilation et l’analyse (corrélations, dispersions, classements des enjeux, comparaison selon les parties prenantes) des résultats.

* Pour le libellé détaillé des enjeux, se reporter au tableau dans la section consacrée à l’identification des enjeux page 60.

• ▶Les parties prenantes internes et externes sont globalement alignées sur les enjeux les plus matériels, notamment ceux liés au cœur de métier du Groupe, signe d’une bonne compréhension entre OVHcloud et son écosystème. Il s’agit des enjeux relatifs à al souveraineté des données, la trajectoire bas carbone, la gestion efficiente de l’énergie, la cybersécurité et la protection des données, l’affichage environnemental et la transparence carbone, la sécurisation des approvisionnements stratégiques.
• ▶3 enjeux majeurs se distinguent plus particulièrement, cohérents avec la vision et les orientations stratégiques du Groupe :
  • •Souveraineté des données
  • •Trajectoire bas-carbone
  • •Gestion efficiente de l’énergie
• ▶Sur les enjeux importants, un alignement est également constaté sur des enjeux plus génériques mais fondamentaux pour le fonctionnement de l’entreprise : chaîne d’approvisionnement responsable, éco-design, éthique des affaires, gestion responsable de l’eau, attractivité et fidélisation des talents, fiabilité et confiance du client, santé, sécurité au travail et bien-être des employés, diversité et inclusion, innovation et R&D pour Green IT.
• ▶Concernant les écarts (qui restent limités), on constate que là où le management accorde une importance particulière à l’attraction des talents et à la confiance client, les parties prenantes ont plutôt des attentes fortes concernant la continuité de service – en matière de cybersécurité et de résilience au changement climatique – ainsi que l’affichage environnemental.
• ▶OVHcloud est clairement reconnu sur les enjeux de différenciation de l’offre, liés à sa proposition de valeur : la transparence des prix, l’éco-conception, la démarche responsable de gestion des ressources et surtout la souveraineté des données. Les attentes sont néanmoins très fortes sur ces enjeux, qui figurent parmi les plus matériels.
• ▶À la question des enjeux sur lesquels OVHcloud dispose de marges de progrès, les parties prenantes se sont généralement moins exprimées que le mangement. Les enjeux les plus cités ont été : cybersécurité et protection des données, affichage environnemental, diversité et l’inclusion, attraction et la fidélisation des talents et contribution à la transition numérique et accessibilité du numérique.

Leader européen du cloud, OVHcloud est au cœur de la révolution numérique, qui ouvre la voie à une multitude d'opportunités en matière d’applications et de technologie. Dans ce contexte, le Groupe propose à ses clients des solutions cloud couvrant l’ensemble de leurs usages, qu’il s’agisse de les accompagner dans leur transformation numérique, de leur permettre d’innover en construisant des applications « cloud native » ou de les aider à tirer parti de la puissance de la donnée. Dans l’accomplissement de cette mission, le Groupe offre à ses clients la liberté de construire leurs projets les plus ambitieux, dans un environnement cloud sécurisé, conforme et durable. Pour OVHcloud, chacun doit pouvoir garder le contrôle de ses données et avoir la garantie qu’elles sont en sécurité. Le libre choix et l’ouverture, en matière de services et d’innovation, constituent le socle de la relation de confiance établie avec ses clients et partenaires. Celle-ci passe également par une offre de services proposant le meilleur rapport prix-performance et des tarifs transparents et prévisibles.

Les activités d’OVHcloud s’articulent autour de la capacité de calcul, du stockage, du traitement et du transfert de données de ses clients, dont des données personnelles, ainsi que des données critiques pour l’entreprise. La souveraineté, la sécurité et la confidentialité des données constituent le socle de la proposition de valeur du Groupe et le fondement de la relation de confiance qui l’unit à ses clients. OVHcloud assure le plus haut niveau de protection des données. Ce niveau d’excellence est soutenu par un système de gouvernance de la donnée efficace. Le Groupe milite également pour un cloud européen, garant de l’indépendance technologique de l’Europe et de la souveraineté de ses données.

 Afin de garantir la protection des données qui lui sont confiées, OVHcloud déploie tous les moyens nécessaires en matière de cybersécurité et de protection physique de ses sites. Le Groupe a ainsi obtenu de nombreuses certifications nationales (SecNumCloud par l'ANSSI, Agid, G-Cloud, C5), internationales (ISO 27001, ISO 27791, PCI DSS, SOC 2) et spécifiques à certains secteurs (HDS pour la santé, finance), qui répondent aux plus hauts standards français, européens et internationaux en termes de protection des données.

Par ailleurs, OVHcloud dispose de procédures internes en matière de sécurité des systèmes d’information et sensibilise en permanence ses collaborateurs au risque d’attaque informatique, notamment en réalisant des campagnes de simulations d’attaques cyber. Le Groupe organise jusqu’à trois campagnes par semaine, construites à partir de scénarios sophistiqués inspirés de cas réels, testés sur des populations ciblées au hasard. Plusieurs indicateurs sont observés dont la part des effectifs testés, le taux de signalement et le taux de compromission (part des effectifs sur lesquels le phishing a fonctionné) et son inverse, le taux de succès des campagnes de simulation. C’est ce dernier indicateur qui constitue l’indicateur de performance de référence. En 2022, le taux de succès des campagnes de simulations d’attaques cyber s’est établi à 89 %, au même niveau que FY2021. 

Le cloud s’appuyant sur des infrastructures physiques, la sécurité des données passe aussi par la sécurisation des sites d’OVHcloud, avec une attention particulière portée à ses centres de données qui abritent les serveurs sur lesquels sont stockées ou transitent les données. Ces sites sont particulièrement importants pour garantir la continuité de l’activité des clients. OVHcloud met donc en place une multitude d’actions pour protéger ses sites, dont :

• ▶du gardiennage et une surveillance 24/7 ;
• ▶un système anti-intrusion ;
• ▶un contrôle des accès strict ;
• ▶des contacts réguliers avec les autorités.

Dans la nuit du 9 au 10 mars 2021, un incendie s’est déclaré dans l’un des quatre centres de données du site OVHcloud de Strasbourg. L’incident est détaillé dans le chapitre 2, facteurs de risque de ce Document d’Enregistrement Universel. A ce jour, l’enquête visant à déterminer la cause du sinistre est toujours en cours, la mission des experts judiciaires ayant été étendue jusqu’au 30 août 2023.

Suite à l’incendie, OVHcloud a mis en place un plan Hyper Résilience, visant, entre autres, à apporter des normes de sécurité au-dessus des standards réglementaires et des recommandations des assureurs. 

L’inauguration du nouveau centre de données de Strasbourg, SBG5, en septembre 2022, a permis de montrer la première concrétisation du plan hyper résilience. Fruit d’un investissement de 30 millions d’euros lancé en avril 2021, le site est le premier d’une nouvelle génération de centres de données hyper-résilients et plus durables. D’une superficie de 1 700m2, SBG5 totalise 19 salles isolées bénéficiant de maçonneries compartimentant les différents segments pour offrir une résistance de deux heures au feu. 

Communiqué de presse : https://corporate.ovhcloud.com/fr/newsroom/news/sbg5-opening/

Conformément à ses engagements, le Groupe lancera un nouveau centre de données dédié aux sauvegardes de données brutes (snapshots) et distant des sites d’exploitation des services. Déployé dans un premier temps pour les clients français, le Groupe prévoit de généraliser ce service afin de l’étendre à l’ensemble de ses solutions et de ses localisations.

La législation européenne protège les données à caractère personnel des citoyens européens et exige que les restrictions à cette protection respectent le principe de proportionnalité et s’opèrent dans les limites du strict nécessaire. 

Toute restriction doit être assortie de règles claires et précises circonscrivant sa portée et son application ainsi que d’exigences minimales, de telle sorte que les individus disposent de garanties suffisantes pour protéger efficacement leurs données contre les risques d’abus.

Certaines législations étrangères, et principalement la législation américaine, comportent des dispositions de portée extraterritoriale de nature à porter atteinte à la protection des données à caractère personnel (cf. section 2.1.2.5 du présent document d'enregistrement universel) 

C’est dans ce cadre que la Cour de Justice de l’Union Européenne, au travers des arrêts Schrems I (2015) et Schrems II (2020), a par deux fois annulé les décisions d’adéquation « Safe Harbor » et « Privacy Shield » entre l’Union Européenne et les USA.

La prise de conscience des clients européens du cloud des enjeux liés à la souveraineté numérique représente une forte opportunité pour les acteurs du cloud européen, au premier rang desquels OVHcloud.

En effet, un nombre croissant de sociétés européennes cherche des alternatives aux « Hyperscalers » américains et autres fournisseurs de cloud basés aux États-Unis afin de protéger leurs données, et notamment les données à caractère personnel, des risques d’ingérence des agences de renseignements américaines.

Afin de prévenir ce risque, OVHcloud a développé des offres de cloud souverain, permettant à ces clients d’héberger leurs données sur le territoire de l’Union Européenne, sans aucun transfert de données à caractère personnel vers un pays tiers et protégées des effets des législations de pays tiers à l’Union Européenne.

La souveraineté des données fait référence à la capacité d'une organisation, publique ou privée, à garder le contrôle de ses données et de celles que ses clients lui confient. En fonction des organisations concernées, cet enjeu croise deux nécessités. 

• ▶D'un côté, l'impératif de maîtriser les données stratégiques de son organisation (secret des affaires, données brutes sur le fonctionnement de son activité, propriété intellectuelle, données sur ses projets de recherche, etc.).
• ▶De l'autre, protéger les données à caractère personnel des salariés ou des clients et ainsi de rétablir la confiance des personnes vis-à-vis des services numériques qui vont traiter les données les concernant.

La souveraineté technologique fait référence à la capacité d'un pays comme la France ou d'une zone comme l'Union européenne à maîtriser les technologies qui leur sont stratégiques et ainsi garantir leur autonomie. Cette dimension interroge concrètement les politiques publiques mises en place en France ou par l'Union Européenne pour contrôler (ou reprendre le contrôle) les composants stratégiques de sa souveraineté, de bout en bout. La partie matérielle (composants électroniques, capacité à fabriquer des serveurs dans l'UE), mais aussi la partie logicielle (systèmes d'exploitation, logiciels dans les domaines de la cybersécurité, de l'intelligence artificielle et de l'informatique quantique) sont alors à prendre en compte

Le traitement éthique de la donnée, depuis toujours au cœur du modèle d’affaires d’OVHcloud, est formalisé par quatre engagements :

Afin de porter ces différents chantiers et engagements, OVHcloud s’est doté de plusieurs instances permettant une gouvernance fédérée de la donnée :

• ▶Le comité gouvernance de données réunit les responsables métier de la donnée qui mettent en place les processus et les pratiques garantissant une gouvernance fédérée.
• ▶Le comité de coordination des données garantit un contrôle strict de la qualité de la donnée et sa cohérence en renforçant nos standards des normes ISO 27001 et ISO 27701

OVHcloud défend un modèle européen du cloud ouvert, qui garantit la protection des données des citoyens et organisations européennes et qui assure la souveraineté numérique comme l’indépendance stratégique de l’Europe. 

À ce titre, OVHcloud a participé à la création de Gaia-X, une initiative européenne lancée en 2020 dont l’objectif est de construire un écosystème numérique fédéré, ouvert, sécurisé et transparent. Elle vise à permettre aux utilisateurs de bénéficier de services de cloud répondant à leurs besoins tant sur le plan technique que juridique et leur offrant des garanties adaptées en termes, notamment, de protection des données, d’interopérabilité, de sécurité ou d’immunité aux lois extraterritoriales. 

OVHcloud entend pleinement assumer son rôle de leader du cloud européen et milite pour le développement d’un écosystème de fournisseurs de cloud européen. Cela se traduit par des actions de pédagogie telles que :

• ▶La création de contenus (vidéos, articles, etc.) et des interventions afin d’expliquer les enjeux que soulèvent le traitement des données et l’importance, pour les organisations, d’assurer la maîtrise de leurs données les plus sensibles;
• ▶L’organisation, tout au long de la Présidence française du Conseil de l’union européenne, d’un tour d’Europe autour de la souveraineté numérique. Ce « Roadshow », a notamment donné lieu à la participation à la conférence internationale "Construire la souveraineté numérique de l'Europe", organisée les 7 et 8 février 2022 par le Gouvernement français et l’organisation de 5 tables rondes en Allemagne, Pologne, Espagne, Estonie et Italie sur ce thème. Il a donné lieu à la publication du « Consensus de Rome », une feuille de route pragmatique pour assurer la souveraineté numérique de l’Union européenne et le développement d’un écosystème européen de champions du numérique.

Ce modèle européen du cloud implique nécessairement une vision européenne de la protection des données personnelles, qui ne peut se traiter qu’à l’échelle de l’écosystème, européen comme national. A ce titre, le Groupe a participé à la fondation du CISPE (Cloud Infrastructure Service Providers in Europe), qui a établi une charte de bonnes pratiques visant à garantir le plus haut degré de protection des données personnelles. OVHcloud a aussi créé le label “Open Trusted Cloud", qui compte aujourd’hui 75 membres actifs (contre 60 en 2021). Ce label certifie que leurs solutions sont ouvertes et conformes aux normes européennes en matière de protection des données personnelles, et leur permet d’être hébergées par OVHcloud.

OVHcloud est également membre fondateur de l’European Alliance for Industrial Data, Edge, and Cloud, une initiative lancée par la Commission européenne et qui regroupe près de 50 acteurs industriels européens mobilisés pour renforcer la capacité de l’Europe à développer sa propre technologie cloud et edge, en tenant notamment compte des enjeux de souveraineté et de développement durable

Fort de ces engagements, le Groupe soutient les projets législatifs et initiatives à même de soutenir la souveraineté numérique européenne et l’établissement de règles du jeu équitables pour le marché du cloud en Europe comme le Digital Markets Act (DMA), le Data Act, l’élaboration d’un schéma européen de cybersécurité pour la certification des services cloud, dit EUCS. 

À l’avant-garde du cloud durable, OVHcloud intègre la durabilité au cœur de son modèle d’affaires depuis sa création en développant des innovations industrielles lui permettant de limiter son impact environnemental. Le Groupe s’est doté d’objectifs ambitieux qui structurent son action.

• ▶contribuer au Net Zéro planétaire  (scopes 1 et 2) à horizon 2025, en s'inscrivant dans une trajectoire de réduction compatible avec un réchauffement de 1,5°C, soit équilibrer les émissions de carbone et les actions de compensation à la fois sur les émissions directes (scope 1) et certaines émissions indirectes (scope 2);
• ▶contribuer au Net Zéro planétaire  à horizon 2030, en s'inscrivant dans une trajectoire de réduction compatible avec un réchauffement de 1,5°C, soit équilibrer les émissions de carbone et les actions de compensation sur l’ensemble des scopes 1, 2 et 3 ;
• ▶utiliser 100 % d’énergies bas carbone d’ici 2025* ;
• ▶zéro déchet en décharge depuis les centres de production d’ici 2025.

(*) Revu en 2022, remplaçant l'objectif de 100 % énergies renouvelables en 2025, compte tenu du mix énergétique actuel qui favorise déjà le recours à l’énergie bas carbone comme le nucléaire (France) et l’hydroélectricité (Québec). 

L’action environnementale d’OVHcloud s’articule autour de trois piliers :

• ▶l’innovation, au cœur de son modèle industriel ;
• ▶la contribution à l’atteinte du Net Zéro planétaire d’ici 2030 ;
• ▶la communication et la sensibilisation à l’ensemble des impacts du cloud, afin de guider les choix en matière de consommation.

Chez OVHcloud tout commence par l’humain. Les femmes et les hommes font sa richesse : ce sont les talents qui assurent sa réussite. Le “travailler ensemble” est l’une des valeurs fondamentales du Groupe. Cette dimension collective trouve son prolongement dans son écosystème, et dans la volonté de faire grandir toute la filière du cloud européen. Conscient de son impact, et de sa responsabilité, OVHcloud entend faire du numérique un levier du développement socio-économique.

Dans un contexte de pénurie et de concurrence pour les talents dans le domaine de l’IT, attirer et faire grandir de nouvelles compétences est une priorité stratégique pour OVHcloud.

Au cours de l’exercice 2022, le Groupe a réussi à répondre à ses ambitions en termes de croissance avec le recrutement de 661 personnes, soit 18% de plus que l’exercice précédent, qui s’était lui-même inscrit en hausse de 15% par rapport à FY2020. A l’appui de cette évolution, le Groupe a renforcé ses équipes de recrutement pour disposer d’une capacité d’action accrue localement, dans les régions où les tensions sont les plus fortes, et par métier.

Au-delà du recrutement, la fidélisation des talents constitue un second enjeu clé, afin de capitaliser sur les savoirs et de permettre la montée en compétences globale des équipes. L’indicateur de performance de référence pour en assurer le suivi est le loyalty rate, qui mesure le taux de collaborateurs présents dans le Groupe un an après leur arrivée. Ce taux a progressé de deux points en 2022 pour s’établir à 79 %. Le Groupe suit également le taux de départs volontaires, qui permet de mesurer le rythme de renouvellement de l'effectif. En 2022, ce taux s’élève à 14,6 %, en progression annuelle de 3,6 points, traduisant principalement une normalisation post crise sanitaire. Ce niveau, en ligne avec l’objectif de maintenir un taux de départs volontaires inférieur ou égal à 15 %, demeure conforme aux niveaux constatés dans l’industrie IT. Par ailleurs, l’ancienneté moyenne des départs volontaires en FY2022 ressort à 3,6 années contre 3 années en FY2021. 

Enfin, OVHcloud mesure régulièrement le niveau d'engagement de ses collaborateurs à partir des résultats d’enquêtes internes menées chaque année via un logiciel de sondage (Peakon). Le score d’engagement pour l’année fiscale 2022 s’établit à 7,5, en progression de 20 points de base par rapport à l’exercice précédent. Le taux de participation à la dernière enquête réalisée en FY2022 s’est quant à lui établi à 84 %, témoignant également du niveau d’engagement des collaborateurs. Le score d’engagement des collaborateurs est un indicateur clé de performance qui entre dans la composition de la rémunération variable annuelle des dirigeants mandataires sociaux et des membres du comité exécutif  en 2022 (à hauteur de 15 %).

OVHcloud se distingue par les engagements phares qu’il porte, en faveur de la souveraineté des données notamment, et par une culture d’entreprise forte, soutenue par des valeurs communes qui guident chacune des actions du Groupe :

• ▶La confiance : elle engage OVHcloud auprès de son écosystème et permet à ses collaborateurs d’exprimer leur talent ;
• ▶Travailler ensemble : OVHcloud a la conviction profonde qu’il n’y a de réussite individuelle qu’au service de la réussite collective et que le tout est plus grand que la somme des parties. La dimension collective est essentielle pour explorer et construire le cloud de demain. Pour cela, chacun est important et contribue à son échelle. ;
• ▶La passion : La passion de la technologie et de l’aventure est cardinale chez OVHcloud. Elle favorise l’innovation et le dépassement de soi ;
• ▶La disruption : OVHcloud cherche sans cesse à simplifier ses processus et ses organisations pour être plus performant et réduire les coûts. Réfléchir autrement est encouragé par le Groupe pour créer toujours plus de valeur pour les clients et l’écosystème ;
• ▶La responsabilité : OVHcloud prend ses responsabilités. Le Groupe est conscient que chaque innovation peut être positive ou négative en fonction de l’usage qui en est fait.

La marque employeur d’OVHcloud constitue le cœur de sa proposition de valeur pour les employés et a pour objectif d’attirer et de fidéliser les talents.

La marque employeur d’OVHcloud est construite autour de cinq piliers qui font écho aux valeurs du Groupe : 

• “Chez nous tout commence par l’humain” : l'humain est au cœur de l’ADN du Groupe, c'est pourquoi OVHcloud a développé des services et des avantages pour améliorer la qualité de vie au travail de tous. De la conciergerie à la crèche d’entreprise, du télétravail contractualisé à des espaces pensés pour le collaboratif, tout est fait pour que chacun trouve sa place, à son rythme et dans le respect de ses valeurs.
• “Une communauté d’experts aux idées plein la tech” : un expert OVHcloud, c’est celui qui a acquis des compétences pointues tout en gardant l’envie d’explorer, de défricher et d’innover. OVHcloud recrute des gens passionnés et passionnants qui ont envie de faire et de transmettre.
• “Grandir et se réaliser” : avancer au rythme des technologies et sortir des sentiers battus, c’est ce qui caractérise OVHcloud. Changement de poste ou de métier, il n’y a pas de trajectoire toute faite chez OVHCloud. L’objectif est d’offrir à chacun la possibilité de s’intéresser à un nouveau domaine, pour étendre ses compétences et penser sa nouvelle expertise au prisme de son expérience.
• “Construire ensemble le monde de demain” : penser le cloud de demain, c’est une question de disruption. Et pour ça, OVHcloud mise sur la collaboration de tous. Pour aller chaque jour de l’avant et changer les règles du jeu, le Groupe compte sur ses atouts : un écosystème dynamique, des échanges ouverts et transparents.
• “Une équipe où l’innovation est reine et la confiance règne” : être à l’écoute de chacun pour faire évoluer tout le monde et construire l’OVHcloud de demain.

Le nouveau site Carrière, dont la première version a été mise en ligne en 2022 et une nouvelle version est prévue pour 2023, a permis de mettre en valeur et de promouvoir la marque-employeur OVHcloud. Par ailleurs, au cours de l’exercice 2022, le Groupe a participé à plus de 50 évènements marque employeur ainsi qu’à des évènements écoles et forum emploi.

Conscient de l’importance de cultiver son capital humain, OVHcloud a formé 73% de ses effectifs en 2022 (soit 2035 personnes) et ainsi dépassé son objectif de former au moins 70 % de ses collaborateurs. Au-delà des obligations, le Groupe investit dans la formation autour de trois axes :

• ▶L’excellence opérationnelle en développant les compétences sur les différentes méthodes de gestion de projet afin d’optimiser son efficacité d’exécution et de déployer l’agilité en entreprise (gestion de projet, gestion de crise, etc). Plus de 100 personnes sont formées en moyenne chaque année sur l’excellence opérationnelle.
• ▶Un programme destiné aux managers, co-construit avec l’EDHEC, destiné aux managers sur le leadership, la finance et la communication, et avec un accompagnement de 4 jours pour tous les primo-managers.
• ▶Les formations techniques pour permettre de développer les solutions d’OVHcloud et de renforcer l’expertise de ses collaborateurs avec la possibilité de certifier ses compétences. Plus de 10% des personnes formées ont été certifiées en 2022.

Afin d’accueillir les nouveaux collaborateurs, OVHcloud a également instauré une semaine d’intégration systématique durant laquelle ils ont l’opportunité de découvrir le Groupe dans toutes ses dimensions. Elle a recueilli un taux de satisfaction de 4.56/5.0. 

*Nombre d'accidents du travail par million d'heures travaillées

La sécurité au travail pour OVHcloud constitue une priorité centrale et est un indicateur clé de performance de la politique RSE. Au cours de l’exercice fiscal 2022, le nombre d’accidents avec et sans arrêt de travail a régressé, de même que les taux de fréquence correspondants. Afin de favoriser la prévention des risques en matière de santé et de sécurité, le Groupe a défini une politique autour de trois objectifs clés :  

• ▶Diminuer au maximum les accidents au travail ;
• ▶Se conformer aux exigences légales en matière de Santé Sécurité Environnement (SSE) et aux autres exigences applicables dans tous les pays ;
• ▶Mettre en œuvre toutes les mesures satisfaisantes pour préserver la santé et l’intégrité physique des collaborateurs, des clients et communautés riveraines des activités du groupe et protéger l’environnement.

Les mesures de mise en œuvre de cette politique sont élaborées autour des principes directeurs suivants :

• ▶Impliquer toute la ligne managériale dans l’engagement de sa politique de Santé Prévention des risques et Environnement ;
• ▶Responsabiliser tous les salariés à maintenir un lieu de travail sain et sécuritaire ;
• ▶Déployer auprès de tous les collaborateurs la culture du professionnalisme, de la rigueur et du respect des règles ;
• ▶Assurer le déploiement du programme Santé Sécurité « Be Smart, Be Safe ! ».

Afin de renforcer la culture sécurité au sein du Groupe, des événements internes de sensibilisation sont organisés tels la « World Safety Week » qui se tient chaque année sur tous les sites OVHcloud, à laquelle sont conviés tous les employés et les contractuels permanents. En 2022, celle-ci s’est tenue du 13 au 17 juin autour du thème “Les dix règles d'or de la sécurité”. OVHcloud a en effet défini dix règles d’or en matière de sécurité s’inscrivant dans sa démarche #StaySafe. Cette démarche est un état d’esprit à adopter pour repérer et éviter les dangers. Elle suit quatre étapes : 

• ▶Scruter l’environnement de travail et repérer les dangers
• ▶Analyser les conséquences des dangers et anticiper les mesures de protection individuelle et/ou collective nécessaires
• ▶Fiabiliser en mettant en place les mesures de prévention avec l’aide du département santé sécurité, les donneurs d’ordres ou les managers
• ▶Exécuter le travail une fois toutes les conditions de sécurité réunies.

Les dix règles d’or traitent de :

• ▶permis de travail
• ▶vigilance partagée et coactivité
• ▶environnement de travail
• ▶prévention et évacuation incendie
• ▶circulation piétons
• ▶circulation d’engins
• ▶équipements de protection individuelle et collective
• ▶travail en hauteur
• ▶énergies et consignation
• ▶gestes et postures

OVHcloud s’engage en matière de santé des collaborateurs et investit notamment dans la prévention. Le site de Roubaix dispose depuis 2016 d’un centre médical dédié rassemblant divers professionnels de santé (ostéopathe, diététicien, kiné, opticien, etc.) à disposition des collaborateurs. Des conférences de sensibilisation animées par des spécialistes de santé et ouvertes à tous les collaborateurs sont régulièrement organisées sur des sujets divers. Par exemple, dans le cadre d’Octobre Rose, le mois de prévention du cancer du sein, une conférence de sensibilisation au cancer du sein et du col de l’utérus a été proposée.

Le Groupe met également en œuvre diverses actions :

• ▶téléconsultation médicale avec Qare en France et Dialogue au Canada ;
• ▶actions en faveur d’une pratique sportive régulière (salles de sport, animations des coaches, accompagnements bilans sportifs) ;
• ▶assistance psychologique, sociale et juridique avec Qualisocial.

Afin de favoriser la qualité de vie au travail, OVHcloud s’engage notamment en faveur de la parentalité. Le Groupe accompagne par exemple les parents dans leur recherche de crèches et centres de loisir : OVHcloud dispose notamment d’une crèche d’entreprise depuis dix ans à Roubaix et a noué un partenariat national avec Babilou(9). OVHcloud a également mis au point un kit parentalité visant notamment pour les collaborateurs concernés, à préparer un congé maternité ou paternité, et pour l’ensemble des équipes, à accompagner et gérer l’annonce d’une grossesse en entreprise. Le Groupe a proposé cinq ateliers sur la parentalité à ses collaborateurs en 2022.

Plusieurs prix sont venus récompenser les efforts menés par le Groupe en France cette année : 

• ▶Le Trophée Compensations & Benefits du club Oras(10) pour son programme sur le bien-être de ses collaborateurs ;
• ▶Le titre de 7e meilleur employeur High-Tech en France selon le magazine Capital ;
• ▶Le prix d'or aux Victoires des leaders du capital humain sur le thème de la qualité de vie au travail ;
• ▶Le label HappyIndex®Trainees & HappyIndex®Trainees Alternance 2021-2022, qui récompense les entreprises prenant soin de leurs stagiaires et alternants, reçu pour la deuxième année consécutive.

À l’international, la politique d’OVHcloud en matière de qualité de vie au travail a également été reconnue en Pologne, où le Groupe a reçu cette année le "Wellbeing Leader Certificate" de l'Institut polonais du bien-être. En Allemagne, OVHcloud a remporté le prix Top Company 2022 Kununu.

Convaincu que chacun a un rôle à jouer pour relever les grands défis sociétaux de notre époque, OVHcloud souhaite accompagner ses collaborateurs dans leur parcours de vie, afin que chacun puisse s'épanouir dans un environnement bienveillant. Dans cet esprit, le Groupe s’est engagé à lutter contre toutes les formes de discriminations et à proposer un environnement de travail respectueux des différences permettant à chacun d’exprimer pleinement ses talents. OVHcloud a structuré une politique de diversité et inclusion en 2022 qu’il entend renforcer au cours de l’exercice 2023. Une charte interne est relayée via son intranet et disponible pour tous les collaborateurs du Groupe.

• ▶La diversité et l’intelligence collective sont des moteurs clés pour l’innovation et atteindre l’excellence. L’internationalisation des équipes en est une composante. En 2022, plus de 60 nationalités étaient représentées au sein du groupe.
• ▶La féminisation des équipes, qui constitue un enjeu majeur pour les métiers de la Tech, est une priorité forte et un indicateur de performance pour la politique RSE du Groupe. Un plan d’action Egalité Hommes Femmes est établi et revu régulièrement avec les représentants du personnel en France. Ce plan traite des sujets de recrutement, d’évolution professionnelle, de rémunération et d’équilibre entre vie professionnelle et personnelle. Au cours des dernières années, la proportion des femmes dans l’effectif du Groupe a régulièrement progressé. En 2022, la part des femmes dans l’effectif total gagne encore un point pour atteindre 21 %. La part des femmes dans le management quant à elle s’améliore de deux points à 20%. Concernant le comité exécutif, le taux de l’exercice 2022 reflète une situation temporaire au 31 août (période de vacance transitoire pour l’une des fonctions). Dès septembre 2022, le taux est remonté à 31 % (4 femmes représentées au sein d’un comité exécutif de 13 membres).
• ▶Faciliter l’accès à l’emploi des personnes en situation de handicap est un second axe important des initiatives menées en faveur de la diversité et de l’inclusion. Parmi les actions mises en place, le Groupe a fait appel à des ergonomes pour adapter et aménager les postes de travail aux personnes en situation de handicap, alloue des chèques emploi service d’une valeur de 350 € par an aux travailleurs en situation de handicap et publie ses offres d’emploi sur le site de l’AGEFIPH(11). Afin de mesurer son niveau de progression par rapport aux exigences du décret sur l’accessibilité numérique RGAA(12), OVHcloud a réalisé des audits sur deux sites commerciaux et deux sites de production.

• ▶Plusieurs évènements de sensibilisation des équipes internes aux enjeux en matière de diversité et inclusion ont été organisés au cours de l’année. Notamment, en juin 2022, une semaine de la diversité a été organisée. Celle-ci a été l’occasion de mener des actions de sensibilisation autour de sujets comme l’inclusion des personnes LGBTQIA+(13) et de rappeler à l’ensemble des collaborateurs qu’OVHcloud garantit le droit au respect des orientations et identités sexuelles de ses collaborateurs et un accès égal aux droits et avantages accordés par l’entreprise dans le cadre de la situation matrimoniale et de la parentalité. Des sessions de sensibilisation aux droits des femmes sont également organisées, dont la première a mis à l’honneur Anastasia Mikova en mars 2022.

OVHcloud a réalisé en 2022 un audit avec Gloria, entreprise spécialisée sur les enjeux de la diversité et de l'inclusion en entreprise sur sa communication et ses pratiques, dont les recrutements, afin de déceler d’éventuels biais ou pratiques discriminatoires. Cette démarche s’est accompagnée d’une formation sur la diversité de manière générale, avec un accent sur les biais inconscients à destination des recruteurs. Le Groupe a pour objectif d’étendre ce programme à l’ensemble des managers.

OVHcloud attache une grande importance au dialogue social, gage d’implication et de performance collective, et entretient des relations de grande qualité avec ses collaborateurs et leurs représentants

En France, la représentation des salariés est organisée au sein d’une unité économique et sociale. Un Comité Social et Economique (CSE) a été élu en 2019, actuellement composé de 24 membres (titulaires et suppléants confondus). Par ailleurs, des représentants de proximité ont été désignés dans les sites qui n’ont pas d’élu au CSE. Il n’y a pas d’organisation syndicale désignée en France. Une Commission Consultative d’Entreprise (CCE) est également en place en Tunisie.

En ce qui concerne la représentation du personnel dans les instances dirigeantes, deux administrateurs représentant les salariés ont été désignés au sein du Conseil d'administration en 2022, ainsi que cela avait été annoncé lors de l’introduction en bourse le 15 octobre 2021.

Pour OVHcloud, le “travailler ensemble” passe également par le fait d’associer le plus possible les collaborateurs aux les résultats de l’entreprise. A l’occasion de son introduction en bourse sur Euronext Paris le 15 octobre 2021, le Groupe a mis en place son premier plan collectif d’actionnariat salarié, ouvert à plus de 2 000 collaborateurs en France et à l’étranger. 97,8% des salariés éligibles à cette date sont ainsi devenus actionnaires d’OVHcloud (77,6 % ayant investi volontairement). Le Groupe a été récompensé en 2021 par le Grand prix FAS(14), qui met à l’honneur les entreprises développant les meilleures pratiques en matière d’actionnariat salarié. En 2022, 0,6 % du capital est détenu par les collaborateurs au travers du FCPE.

En France, un accord de participation s’applique au niveau de l’unité économique et sociale, lequel prévoit de répartir entre les salariés éligibles une part du bénéfice des entreprises parties à l’unité économique et sociale, calculée sur la base de la formule légale. La répartition est effectuée au prorata du temps de présence au cours de l’exercice fiscal.

Un nouvel accord d’intéressement a été signé avec le Comité Social et Economique en 2022 applicable jusqu’en 2024. Il concerne tous les collaborateurs au niveau global (à l’exception des stagiaires, intérimaires et prestataires) ayant au moins trois mois d’ancienneté. Les indicateurs de performance retenus pour calculer la part des bénéfices attribuable aux salariés éligibles intègrent, comme pour le plan précédent, des indicateurs relatifs à l’EBITDA ajusté et à la croissance du chiffre d’affaires, auxquels s’ajoutent désormais les mêmes critères RSE que ceux retenus pour les dirigeants mandataires sociaux et le comité exécutif (se référer à la section 4.2.2.2 du présent document d'enregistrement pour de plus amples détails).

En France, il existe au sein de l’unité économique et sociale :

• ▶un plan d’épargne groupe, qui permet aux salariés éligibles d’investir leur épargne, y compris les versements effectués au titre de l’accord de participation et de l’accord d’intéressement, dans des fonds d’investissement diversifiés et de bénéficier de certains avantages sociaux et fiscaux en échange d’une période d’indisponibilité de généralement cinq ans ;
• ▶un Compte Epargne-Temps (CET), qui permet aux salariés éligibles d’épargner des jours de repos non pris (certains congés, RTT…) ou une partie de leur 13e mois convertie en jours. Ils peuvent ensuite à tout moment prendre ces jours, demander à se les faire payer ou les transférer sur un autre dispositif pour préparer leur retraite ;
• ▶un Plan d’Epargne Retraite Collectif (PERCO), qui permet aux salariés éligibles d’investir les versements de l’accord de participation et de l’accord d’intéressement dans des fonds d’investissement diversifiés en vue de leur retraite. Ce dispositif offre aux salariés la possibilité de bénéficier de certains avantages sociaux et fiscaux en contrepartie d’une période d’indisponibilité jusqu’à la retraite. C’est aussi un moyen pour les salariés de préparer leur retraite en réalisant des versements volontaires ou en transférant des jours de leur CET sur le PERCO (dans la limite de 10 jours par an). Ce transfert est alors abondé par leur employeur.

Le Règlement Taxonomie constitue un élément clé du plan d’action de la Commission européenne qui vise à réorienter les flux de capitaux vers une économie plus durable. En effet, il représente une étape importante vers l’atteinte de la neutralité carbone d’ici 2050, conformément aux objectifs de l’UE, car la taxonomie est un système de classification des activités économiques durables sur le plan environnemental.

Dans la section ci-après, il est présenté, en tant que société mère non financière, la part du revenu, des dépenses d’investissement (capex) et des charges d’exploitation (opex) du Groupe, pour l’exercice 2022, associée à des activités économiques éligibles à la taxonomie et liées aux deux premiers objectifs environnementaux (atténuation du changement climatique et adaptation au changement climatique), conformément à l’article 8 du Règlement Taxonomie et à l’article 10 (2) de l’Acte délégué complétant l’article 8 du Règlement Taxonomie.

Sur la base des analyses menées, une part importante des activités des groupes est éligible à la Taxonomie au titre de l’activité 8.1. ‒ Traitement de données, hébergement et activités connexes décrite dans l’Annexe I de l’Acte délégué relative à l’objectif d’atténuation du changement climatique. 

Les parts éligibles des trois indicateurs financiers requis par le texte ‒ le revenu, les capex et les opex ‒ sont présentées ci-dessous sur la base des données consolidées IFRS de l’exercice clos le 31 août 2022. 

L’éligibilité étant uniquement basée sur la description des activités et ne prenant pas en compte les critères de contribution substantielle, le fait de « ne pas causer de préjudice important » ou les garanties sociales minimales, les indicateurs alignés à la Taxonomie européenne qui seront présentés en 2023 pourraient être plus faibles que les indicateurs éligibles présentés dans la présente section.

Par « activité économique éligible à la taxonomie », il est entendu toute activité économique décrite dans les actes délégués complétant le Règlement Taxonomie (à savoir, actuellement, l’Acte délégué relatif au volet climatique de la taxonomie), qu’elle remplisse ou non une partie ou l’ensemble des critères d’examen technique énoncés dans ces actes délégués.

Les activités économiques éligibles du Groupe ont été analysées sur la base des offres de services d’OVHcloud (telles que détaillées en chapitre 1 du présent document d’enregistrement universel) et elles ont été assignées aux activités économiques suivantes, conformément aux annexes I et II de l’Acte délégué relatif au volet climatique de la taxonomie. Le tableau ci-dessous indique pour quel objectif environnemental les activités sont considérées comme éligibles :

Une part importante des activités du Groupe est considérée comme éligible à l’activité 8.1 ‒ Traitement de données, hébergement et activités connexes de l’objectif d’atténuation du changement climatique. En effet, les offres basées principalement sur des services de mise à disposition de capacité de stockage (« hébergement »)  répondent à la description de cette activité. Les offres ainsi considérées comme éligibles sont les suivantes :

• ▶Les offres de Cloud privé (Baremetal cloud et Hosted Private cloud) dans leur intégralité, celles-ci correspondant à des offres de mise à disposition soit de serveurs physiques dédiés, soit de capacités de cloud fonctionnant sur des serveurs physiques dédiés (se référer à la section 1.3.1.1 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le groupe) ;
• ▶Les offres de Cloud public dans leur intégralité, (se référer à la section 1.3.1.2 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le groupe). Les solutions PaaS et SaaS proposées par OVHcloud et directement hébergées sur les infrastructures du groupe sont jugées éligibles dans la mesure où OVHcloud à le contrôle sur les équipements physiques et peut agir sur leur efficacité énergétique ;
• ▶Les offres de « Web cloud et autres » uniquement pour la partie « Web hosting » et « Services », correspondant à l’hébergement des sites web clients sur les serveurs physiques du groupe et à l’assistance nécessaire au bon fonctionnement des équipements et au respect des engagements du Groupe dans le cadre de l’ensemble de ses offres (se référer à la section 1.3.1.3 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le groupe). Les offres ou solutions relatives aux noms de domaine, à la téléphonie et connectivité ne sont pas jugées éligibles à date car non directement liées aux serveurs physiques.

De manière générale, toutes les solutions proposées par le groupe OVHcloud directement hébergées sur des serveurs physiques appartenant au groupe ou étant contrôlés directement par le groupe, ont été jugées éligibles à la Taxonomie européenne au titre de l’activité 8.1. de l’objectif d’atténuation du changement climatique. 

OVHcloud développe également certaines solutions (comme une calculette carbone, qui permettra aux clients d'estimer l'empreinte carbone associée à l'utilisation de certains des produits OVHcloud), qui pourraient être éligibles au titre de l’activité 8.2. ‒ Solutions fondées sur des données en vue de réductions des émissions de GES. Le revenu et les capex liés à ces solutions étant non significatifs sur l’exercice, cette activité n’a pas été prise en compte dans les indicateurs 2022 mais pourrait l’être à l’avenir. 

Le périmètre considéré pour l’estimation des trois indicateurs est le périmètre consolidé Groupe tel que défini à la note 5.5. des états financiers consolidés 2022 présenté au chapitre 5 du présent document d’enregistrement universel.

La part d’activités économiques éligibles à la taxonomie dans le revenu consolidé d’OVHcloud a été obtenue en divisant la part du revenu générée par la vente de services associés à des activités économiques éligibles à la taxonomie (numérateur) par le revenu net (dénominateur), dans chaque cas pour l’exercice s’étendant du 1er septembre 2021 au 31 aout 2022.

Le dénominateur de l’indicateur revenu est basé sur le revenu consolidé d’OVHcloud (788 millions d'euros lors de l'exercice 2022), conformément à IAS 1.82 (a) (se référer à la note 4.3. des états financiers consolidés annuels 2022 présentés au chapitre 5 du présent document d’enregistrement universel).

Le numérateur de l’indicateur est défini comme la part du revenu net générée par des services associés aux activités économiques éligibles à la taxonomie, telles que décrites ci-dessus dans la partie Détermination des activités économiques du groupe OVHcloud éligibles à la Taxonomie de la présente section. Cette part a été estimée sur la base des reportings de gestion du groupe OVHcloud intégrant le niveau de détail nécessaire en lecture directe. 

L’indicateur relatif aux capex est calculé en divisant les capex éligibles à la taxonomie (numérateur) par le total des capex (dénominateur).

Le dénominateur des capex (472 millions d'euros lors de l'exercice 2022) comprend les acquisitions d’immobilisations corporelles et incorporelles réalisées au cours de l’exercice, avant amortissement et avant toute remesure, y compris les remesures résultant de réévaluations et de dépréciations, à l’exclusion des variations de la juste valeur. Il comprend les acquisitions d’immobilisations corporelles (IAS 16), d’immobilisations incorporelles (IAS 38), d’actifs au titre du droit d’utilisation (IFRS 16) et d’immeubles de placement (IAS 40), ainsi que les entrées résultant de regroupements d’entreprises (se référer aux notes 4.10, 4.11 et 4.23 des états financiers consolidés annuels 2022 présentés au chapitre 5 du présent document d’enregistrement universel).

Le numérateur est uniquement constitué des capex liées à des actifs ou processus essentiels à l’exécution des activités économiques éligibles à la taxonomie, ceux-ci représentant la quasi-totalité des capex de l’exercice. Les capex n’étant pas suivies actuellement par offre de services dans les reportings du groupe, une analyse détaillée par type d’actif a été menée qui a conduit à considérer les capex suivants comme essentiels à l’exécution des activités économiques éligibles : 

• ▶Toutes les capex (acquisitions d’immobilisation ou augmentations des droits d’utilisation IFRS 16) relatives à des infrastructures (« hardware ») et à leur fonctionnement (fibre, réseau, adresses IP, composants, maintenance)
• ▶Une part des frais de R&D capitalisés estimée de la manière suivante :
  • •100 % des frais de R&D capitalisés relatifs à des projets d’amélioration de l’efficience des infrastructures (équipements ou logiciels) ;
  • •Une quote-part des frais de R&D capitalisés relatifs à des développements de logiciels dont l’utilisation est transverse à toutes les activités du groupe. Cette quote-part est fonction de la part de revenu éligible à la Taxonomie ;
• ▶L’intégralité des mouvements de périmètre impactant les immobilisations incorporelles et corporelles et relatifs à l’acquisition de ForePaaS venant renforcer les offres éligibles d’OVHcloud au titre de l’activité 8.1.
• ▶Une quote-part des capex relatives aux bureaux estimée en fonction de la part de revenu éligible.

L’indicateur relatif aux opex est calculé en divisant les opex éligibles à la taxonomie (numérateur) par le total des opex (dénominateur).

Le total des opex telles que définies par la Taxonomie correspondent aux coûts non capitalisés relatifs à la recherche‑développement, aux mesures de rénovation des bâtiments, aux contrats de location à court terme, à la maintenance et aux réparations, et à toute autre dépense directe liée à l’utilisation quotidien des immobilisations corporelles.

Ainsi, le total opex tel que défini par la Taxonomie représente environ 8 % du total des opex du Groupe (soit 62,2 millions d'euros sur un total de 809 millions d'euros lors de l'exercice 2022), correspondant à la somme des charges de personnel, charges opérationnelles, dotations et amortissements et autres charges opérationnelles non courantes.

Étant donné que les opex du groupe OVHcloud ne sont aujourd’hui pas suivies dans les systèmes informatiques par offre de service, nous avons utilisé des clés d’allocation afin d’identifier la part des activités économiques éligibles à la taxonomie dans nos opex : 

• ▶Les coûts de maintenance et réparation ainsi que les frais liés aux contrats de location non capitalisés ont été alloués sur la base de la part du revenu éligible.

Les coûts de R&D ont été alloués proportionnellement à l’allocation des frais de R&D capitalisés.

La Déclaration de Performance Extra Financière 2022, présentée dans le présent document d’enregistrement universel, s’attache à produire les informations extra-financières les plus pertinentes pour le Groupe au regard de son modèle d’affaires, de ses activités, de ses enjeux majeurs issus de la matrice de matérialité et des principaux risques du Groupe. Ainsi, OVHcloud s’est concentré sur les enjeux et risques identifiés comme étant prioritaires et a exclu de son champ d’analyse les thématiques suivantes :

• ▶Lutte contre le gaspillage alimentaire
• ▶Lutte contre la précarité alimentaire
• ▶Respect du bien-être animal
• ▶Respect d’une alimentation responsable, équitable et durable

OVHcloud mesure la progression du Groupe en matière de RSE sur les trois domaines suivants : Environnement, Conduite des affaires, Social et Sociétal. Treize indicateurs, présentés dans le tableau ci-dessous, ont été retenus et audités pas l’Organisme Tiers Indépendant.

Un quatorzième indicateur : le taux de signature du code de conduite fournisseurs, relevant de la catégorie Conduite des affaires, a été présenté dans le tableau de synthèse des indicateurs (Introduction – Analyse de matérialité et évaluation des risques RSE) et dans le paragraphe relatif aux fournisseurs (section 3.3.2.2 du présent document d’enregistrement universel). Il a fait l’objet d’une revue qualitative et sera intégré dans la liste des indicateurs de performance pour la DPEF de l’exercice fiscal 2023.

Chaque indicateur est décrit dans cette note méthodologique, précisant :

• ▶Le mode de calcul de l’indicateur ;
• ▶Le processus de production des données.

Un tableau de synthèse présentant les indicateurs et leurs valeurs pour les exercices 2020, 2021 et 2022 se trouve dans le chapitre introductif de la DPEF au sein de la section « Analyse de matérialité et évaluation des risques RSE ».

Exercice clos le 31 août 2022

À l’assemblée générale,

En notre qualité de commissaire aux comptes de votre société (ci-après « entité ») désigné organisme tiers indépendant ou OTI (« tierce partie »), accrédité par le COFRAC sous le numéro 3-1884(20), nous avons mené des travaux visant à formuler un avis motivé exprimant une conclusion d’assurance modérée sur les informations historiques (constatées ou extrapolées) de la déclaration consolidée de performance extra-financière, préparées selon les procédures de l’entité (ci-après le « Référentiel »), pour l’exercice clos le 31 août 2022 (ci-après respectivement les « Informations » et la « Déclaration »), présentée dans le rapport de gestion du Groupe en application des dispositions des articles L. 225-102-1, R. 225-105 et R. 225-105-1 du code de commerce.

Sur la base des procédures que nous avons mises en œuvre, telles que décrites dans la partie « Nature et étendue des travaux », et des éléments que nous avons collectés, nous n’avons pas relevé d’anomalie significative de nature à remettre en cause le fait que la Déclaration est conforme aux dispositions réglementaires applicables et que les Informations, prises dans leur ensemble, sont présentées, de manière sincère, conformément au Référentiel.

Depuis l’admission des actions de la Société aux négociations sur le marché réglementé d’Euronext Paris, en octobre•2021, la Société se réfère et se conforme aux recommandations du Code de gouvernement d’entreprise des sociétés cotées élaboré par l’Association française des entreprises privées (l’«•AFEP•») et le Mouvement des entreprises de France (le «•MEDEF•») dans sa version mise à jour en janvier•2020 (le «•Code AFEP-MEDEF•»), à l'exception de la recommandation de l'article 11.3 pour les raisons détaillées ci-dessous.

Le Code AFEP-MEDEF auquel la Société se réfère peut être consulté sur Internet aux adresses suivantes : http://www.medef.com ou http://www.afep.com. La Société tient à la disposition permanente des membres de ses organes sociaux des copies de ce Code.

Depuis la publication du document d’enregistrement universel 2021, il n’y a pas eu de modification de la composition du Conseil d’administration et de ses comités hormis la nomination de deux administrateurs représentant les salariés nommés au Conseil le 5 avril 2022.

À la date du présent document d’enregistrement universel, la Société est dotée d’un Conseil d’administration composé de onze (11) membres dont une majorité d'administrateurs indépendants et de deux (2) censeurs  :

• ▶Quatre (4) administrateurs nommés sur proposition de la famille Klaba :
  • •M. Octave Klaba (Président du Conseil d'administration),
  • •M. Miroslaw Klaba,
  • •M. Henryk Klaba, et
  • •M. Michel Paulin (Directeur général).
• ▶Cinq (5) administrateurs indépendants :
  • •M. Bernard Gault (Administrateur référent),
  • •Mme Isabelle Tribotté,
  • •Mme Corinne Fornara,
  • •Mme Diana Einterz, et
  • •Mme Sophie Stabile.
• ▶Deux (2) administrateurs représentant les salariés :
  • •Mme Pauline Wauquier,
  • •M. Hugues Bodin.
• ▶Deux (2) censeurs :
  • •M. Karim Saddi
  • •M. Jean-Pierre Saad

Le tableau ci-après présente la composition du Conseil d’administration à la date du présent document d’enregistrement universel :

L’assemblée générale des actionnaires de la Société du 14 octobre 2021 a décidé la modification de la durée des mandats d’administrateurs afin de permettre le renouvellement échelonné, sous condition suspensive de l’admission des actions aux négociations sur le marché réglementé d’Euronext Paris. Ainsi, la durée des mandats des administrateurs a été modifiée comme suit :

• ▶Miroslaw Klaba : 1 an, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2022 ;
• ▶Isabelle Tribotté : 1 an, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2022 ;
• ▶Henryk Klaba : 2 ans, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2023 ;
• ▶Sophie Stabile : 2 ans, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2023 ;
• ▶Corinne Fornara : 3 ans, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2024 ;
• ▶Bernard Gault : 3 ans, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2024 ; et
• ▶Diana Einterz : 3 ans, soit jusqu’à l’issue de l’assemblée générale ordinaire annuelle appelée à statuer sur les comptes de l’exercice clos le 31 août 2024 ;

La durée des mandats d’administrateurs de Michel Paulin et de Octave Klaba demeurant inchangée.

Par ailleurs, deux administrateurs représentant les salariés ont été désignés le 13 avril 2022, conformément à l’article 13.3 des statuts de la Société et à l’article L. 225-27-1 du Code de commerce et l'un d'eux, Monsieur Hugues Bodin a rejoint le Comité des nominations, des rémunérations et de la gouvernance le 27 octobre 2022 en tant que membre.

Le Conseil d’administration est également composé de deux (2) censeurs dont les profils sont présentés ci-après. MM. Karim Saddi et Jean-Pierre Saad ont été nommés en qualité de censeurs du Conseil d’administration le 18 octobre 2021 et la décision a été ratifiée par l’assemblée générale du 15 février 2022. Les censeurs ne sont pas rémunérés. Les censeurs participeront aux travaux du Conseil d’administration sans disposer d’une voix délibérative et ne bénéficieront pas, à ce stade, de missions spécifiques.

Le récapitulatif des éléments de la rémunération des dirigeants mandataires sociaux, M. Octave Klaba et M. Michel Paulin, versée au cours de l’exercice 2022 ou attribuée au titre de cet exercice ainsi que la politique de rémunération 2023, soumis au vote des actionnaires lors de l’assemblée générale mixte du 16 février 2023, figurent à la section 4.2.2.2.

La rémunération globale versée durant l’exercice 2022 ou attribuée au titre du même exercice au président du conseil d’administration et du directeur général, aux administrateurs et aux autres dirigeants non-mandataires sociaux, tant par la Société que par les sociétés contrôlées au sens de l’article L. 233-16 du Code de commerce, est détaillée ci-après. Il est rappelé que le conseil d’administration d’OVH Groupe, réuni le 15 décembre 2022, a confirmé que le code AFEP-MEDEF est celui auquel la Société se réfère, notamment concernant la rémunération des dirigeants mandataires sociaux. Le présent document d’enregistrement universel et en particulier les tableaux figurant à la section 4.2.2.2 (options de souscription et/ou d’achat d’actions, actions gratuites, actions de performance), ont été établis selon le format préconisé par le code AFEP-MEDEF et la recommandation de l’AMF 2012-02.

Les principes et critères de détermination, de répartition et d’attribution des éléments fixes, variables et exceptionnels composant la rémunération totale et les avantages de toute nature attribuable aux dirigeants mandataires sociaux (1) en raison de leur mandat constituant la politique de rémunération les concernant sont arrêtés par le conseil d’administration sur recommandations du comité des nominations, rémunérations et gouvernance, et sont soumis à l’approbation des actionnaires (« vote sur la politique de rémunération ex ante ») lors de l’assemblée générale des actionnaires conformément à l’article L. 225-37-2 du Code de commerce.

Par ailleurs en application de l’article L. 22-10-34 du Code de commerce, l’assemblée générale des actionnaires statue sur : (i) les éléments fixes, variables et exceptionnels composant la rémunération totale et (ii) les avantages de toute nature versés au cours de l’exercice écoulé ou attribués au titre du même exercice aux dirigeants mandataires sociaux (« vote sur la rémunération ex post au titre de l’exercice antérieur »). En conséquence, le versement des éléments de rémunération variables ou exceptionnels au titre d’un exercice est conditionné à leur approbation par l’assemblée générale des actionnaires appelée à statuer sur les comptes dudit exercice.

M. Octave Klaba en sa qualité de président du conseil d’administration et M. Michel Paulin en sa qualité de directeur général sont les seuls dirigeants mandataires sociaux.

Les entités apparentées comprennent principalement des sociétés contrôlées par M. Octave Klaba, fondateur et Président du Conseil d'administration actuel de la Société, et d’autres entités contrôlées par d’autres membres de la famille Klaba, associés directs ou indirects de la Société. La Société est actuellement contrôlée par la famille Klaba.

Au titre des conventions décrites ci-dessous conclues avec des parties liées et se rapportant à la conduite de l’activité, le Groupe a comptabilisé un montant total de charges opérationnelles à hauteur de 13 895 000 euros pour l’exercice 2022, contre 7 523 000 euros pour l’exercice 2021 et, au titre du résultat financier (IFRS 16), (125 000) euros pour l’exercice 2022 contre (140 000) euros pour l’exercice 2020. Des chiffres plus détaillés concernant les opérations avec des apparentés figurent à la note 5.3 des états financiers consolidés pour l’exercice clos le 31 août 2022, figurant au chapitre 5 du présent document d’enregistrement universel.

Les principales conventions avec les parties liées sont décrites dans le présent chapitre.

Conventions conclues dans le cadre de l’introduction en bourse de la Société

1. ▶Contrat de garantie (ou « Underwriting Agreement »)

Le placement des actions de la Société dans le cadre de son introduction en bourse a fait l’objet d’une garantie par un groupe d’établissements financiers composé de BNP Paribas, Citigroup Global Markets Europe AG, J.P. Morgan AG et KKR Capital Markets (Ireland) Limited en qualité de coordinateurs globaux (les « Coordinateurs Globaux »), chefs de file et teneurs de livre associés, de Crédit Suisse Bank (Europe) S.A., Goldman Sachs Bank Europe SE, Morgan Stanley Europe SE et Société Générale en qualité de chefs de file et teneurs de livre associés et de Crédit Industriel et Commercial S.A. en qualité de chef de file associé (les « Etablissements Garants ») portant sur l’intégralité des actions offertes aux termes d’un contrat en langue anglaise intitulé « Underwriting Agreement » (le « Contrat de Garantie »).

Ce contrat a été conclu le 14 octobre 2021 entre la Société, BNP Paribas Securities Services (« BP2S », agissant en qualité de cédant, pour le compte notamment de personnes physiques auprès desquelles BP2S a acquis des actions de la Société) et les autres actionnaires cédants, à savoir Spiral Holdings SCA, Spiral Holdings BV, Deep Code SAS et Digital Scale SAS (ensemble avec BP2S, les « Actionnaires Cédants »), d’une part, et les Etablissements Garants d’autre part, ces derniers s’étant engagé chacun à concurrence d’un nombre maximum d’actions offertes précisé dans ledit contrat, à faire acquérir et payer, souscrire et libérer, ou le cas échéant à acquérir et payer, souscrire et libérer eux-mêmes, les actions offertes dans le cadre de l’introduction en bourse au prix de l’offre à la date de règlement-livraison.

Le montant maximum de commissions à la charge de la Société au titre du Contrat de Garantie s’élève à environ 9,7 millions d’euros HT.

La conclusion du Contrat de Garantie a été autorisé par le conseil d’administration de la Société lors de sa réunion du 14 octobre 2021. Les administrateurs intéressés à savoir Messieurs Octave Klaba, Miroslaw Klaba, Michel Paulin, Bernard Gault, Daniel Bernard et Jean-Pierre Saad se sont abstenus de participer au vote.

• ▶Indemnité de non-concurrence du directeur général

La Société bénéficie d’une clause de non-concurrence de Michel Paulin, directeur général de la société, pendant une durée d’un an à l’issue de la cessation de son mandat et ce en contrepartie d’une rémunération égale à 50 % de la rémunération (fixe + variable) au titre de l’exercice précédant le départ. Cette clause ne sera pas applicable en cas de départ à la retraite et en cas d’atteinte de l’âge de 65 ans. 

Cet engagement sera applicable dans le Territoire (défini comme le monde entier) pendant toute la durée du mandat (y compris en cas de renouvellement) et pendant une période d’une année, à compter de la date de la cessation des fonctions de Directeur Général. 

La Société se réserve la faculté de renoncer unilatéralement à cet engagement de non-concurrence à compter de la date de notification de la cessation des fonctions, auquel cas le directeur général sera libre et aucune indemnité ne lui sera due.

Il est de l’intérêt de la société de pouvoir s’assurer, en cas de départ de Monsieur Michel Paulin, que la société puisse lui interdire de faire concurrence à l’entreprise, dans les conditions prévues par la clause de non-concurrence.

Cette convention a fait l’objet d’une autorisation préalable du conseil d’administration en date du 28 septembre 2021 et d’un rapport spécial en date du 29 septembre 2021. Cette convention a été approuvée par l’assemblée générale mixte des actionnaires du 14 octobre 2021. M. Michel Paulin s'est abstenu de participer au vote.

Le Conseil d'administration du 15 décembre 2022 a examiné les conventions et engagements autorisés et conclus au cours d'exercices antérieurs dont l'exécution a été poursuivie au cours de l'exercice 2022, conformément à l'article L.225-40 -1 du Code de commerce.

Néant.

a. Contrat de prestation de service dit "TSA" par OVH SAS au bénéfice de Shadow SAS (anciennement dénommé Hubic SAS)

Aux termes d’un contrat d’achat d’actions en date du 18 décembre 2020, OVH SAS a cédé à Jezby Ventures SAS, société contrôlée par Octave Klaba, l’intégralité du capital de la société Hubic SAS, alors filiale créée par OVH SAS pour opérer son offre dénommée « Hubic ». Le Groupe a cessé de développer cette activité dans la mesure où elle ne constituait pas une activité considérée comme stratégique pour le Groupe. Hubic SAS fut renommée « Shadow SAS » en juillet 2021, désormais détenu Indirectement par MM Octave et Miroslaw Klaba. Shadow SAS offre des services de stockage de fichiers ainsi que d’autres services digitaux connexes aux particuliers.

Dans ce cadre, un accord de prestations de services transitoire a été conclu le 11 février 2021 entre OVH SAS et Shadow SAS aux termes duquel OVH SAS s’est engagé à fournir des services administratifs à Shadow SAS. Cet accord a été modifié par avenant conclu en septembre 2021 et en mars 2022 pour ajuster les services fournis et la rémunération associée.

Le montant facturé par OVH SAS au cours de l’exercice 2022 au titre de ce contrat s’élève à €131 987,10 HT.

Les contrats entre Shadow SAS et OVH SAS sont des conventions dont les bénéficiaires ultimes sont Octave et Miroslaw Klaba pour Shadow SAS et OVH SAS, dont ils détiennent indirectement plus de 10% du capital.

La fourniture de ces prestations, accessoire à la cession de Hubic SA, reste exceptionnelle pour OVH SAS puisqu’elles ont vocation à accompagner la reprise des actifs cédés de façon à assurer la meilleure transition possible. Ces conventions correspondent à des opérations ne présentant pas le caractère de conventions courantes et entrent donc dans le champ des conventions réglementées pour l'entité OVH SAS.

b. Contrat d'acquisition d'équipements entre la société Shadow SAS et la Société OVH SAS à la suite de la reprise de la société Blade SAS

À la suite de la reprise par Shadow SAS de la société Blade en avril 2021 dans le cadre de la procédure de redressement judiciaire de Blade SAS, Shadow a acquis des équipements d’occasion qu’elle ne souhaitait pas exploiter directement mais qui pouvaient être utilisés par OVH SAS. OVH SAS et Shadow ont donc conclu un contrat d’acquisition (« Purchase agreement ») le 9 juin 2022 pour un montant de 1 912 808 euros H.T fixant les conditions d’achat par OVH SAS de ce matériel informatique d’occasion localisé en France.

Ce contrat prévoit l’acquisition d’équipements d’occasion afin d’en effectuer la migration au sein de ces centres de données et de les réutiliser.

Ces opérations d’acquisitions de matériel de seconde vie et leur migration dans les centres de données d’OVH SAS ne sont pas courantes pour la société. Elles sont toutefois cohérentes avec les ambitions d’OVH Groupe SA de limiter son impact environnemental, notamment en exploitant des équipements et composants existants et dont les performances permettent la réutilisation. 

c. Prestation d’émission d’avoirs et de remboursements par OVH SAS pour des clients de Shadow SAS 

Dans le cadre des activités de Hubic acquises par Shadow SAS (en 2021, la société Shadow SAS souhaite migrer la commercialisation de la plateforme existante « Hubic » et offre à ses clients de migrer sur un nouveau service de stockage de données, dénommé « Shadow Drive ». 

À cette fin, Shadow SAS a commandé le 23 aout 2022 à OVH SAS une prestation d’émission d’avoirs et remboursement de certains clients pour son compte, puisque cette dernière procède à l’émission des factures et à l’encaissement des créances au titre du service historique « Hubic » dans le cadre du contrat de services TSA.

Cette prestation sera effectuée sur l’exercice comptable 2023, et OVH SAS facturera ces opérations pour un montant total s’élevant à €8 900 H.T.

Cette prestation d’émission d’avoir et de remboursement pour un tiers ne fait pas partie de l’activité courante d’OVH SAS mais est un accessoire du contrat dit « TSA ».

d. Contrat de retrofit conclu entre OVH SAS et Shadow SAS

Shadow SAS a conclu un contrat avec OVH SAS aux fins de réaliser une prestation de service sur du matériel informatique, visant notamment à assembler des composants informatiques pour en faire des serveurs à compter du 5 juillet 2021.

OVH SAS possède une usine permettant d’assembler des composants informatiques afin de construire ses propres serveurs, et a dans ce cadre développé une activité de « retrofit » permettant de désassembler puis réassembler les composants d’équipements existants. Un contrat a donc été conclu avec Shadow SAS pour le désassemblage puis réassemblage (retrofit), le stockage et le transport de certains composants informatiques. 

OVH SAS ne propose pas usuellement ce type de services pour des tiers.

Le montant de cette prestation s’élève à €21 151,78 HT.

Les assemblées d’actionnaires d’OVH sont convoquées et délibèrent dans les conditions prévues par la loi et dans les statuts.

Les dispositions statutaires d’OVH relatives aux assemblées générales et aux modalités d’exercice des droits de vote en assemblée générale sont prévues aux Titre IV – Assemblées générales - Article 22 - Réunions, Composition, Délibérations, des statuts d’OVH, lesquels sont mis en ligne sur le site www.corporate.ovhcloud.com, rubrique Gouvernance).

Le tableau suivant présente les chiffres clés de l’exercice 2022.

• ▶Chiffre d’affaires de 788 millions d’euros en 2022, en forte croissance de 18,8 % comparé à 2021. Croissance comparable du chiffre d’affaires de 12,4 %
• ▶EBITDA ajusté de 308 millions d’euros, soit une marge de 39,0 %, et croissance de 17,4 % en données publiées par rapport à l’exercice précédent
• ▶Les capex récurrents et de croissance atteignent respectivement 19 % et 36(1) % du chiffres d’affaires de l’exercice
• ▶Trajectoire d’accélération confirmée pour 2023 avec un objectif de croissance organique du chiffre d’affaires compris entre +14 % à +16 %, et une marge d’EBITDA en ligne avec 2022
• ▶En 2023, OVHcloud vise des capex récurrents et de croissance respectivement compris entre 16 % et 20 % et entre 28 % et 32 % du chiffre d’affaires de l’année 2023
• ▶Confirmation des objectifs de moyen terme avec une croissance organique du chiffre d’affaires aux alentours de 25%, une marge d’EBITDA ajustée d’environ 42%, et des capex récurrents et de croissance respectivement compris entre 14 % et 16% et entre 28 % et 32 %

Michel Paulin, Directeur Général d’OVHcloud a déclaré : 

« Les résultats de l’année 2022 démontrent la capacité d’OVHcloud à délivrer une stratégie d’accélération de croissance forte, durable et profitable. Dans un marché du cloud en hyper-croissance, notre positionnement de leader européen nous a permis d’accélérer sur le déploiement de nos solutions souveraines avec une responsabilité environnementale toujours plus forte. Forts de nos compétences, mais aussi de partenariats robustes et innovants, notre expansion se confirme tout particulièrement via l’enrichissement rapide de notre portefeuille de produits et le développement de nos clients à l’international. Notre modèle opérationnel intégré et notre offre de confiance nous permettent d’absorber avec succès la volatilité de l’environnement actuel. Nous sommes à ce titre particulièrement confiants sur nos capacités à poursuivre cette dynamique tout au long de l’année 2023 et au-delà, vers nos objectifs 2025. »

En 2022, OVHcloud a confirmé sa position de leader pour un Cloud durable avec des engagements de moyen-terme ambitieux et des indicateurs clés de performance dans les meilleurs du marché.

Des engagements de moyen-terme ambitieux :

• ▶100 % d’énergie bas-carbone d’ici 2025, avec pour objectif de limiter l’utilisation d’énergie carbonée en favorisant les énergies renouvelables mais aussi les autres sources d’énergie bas-carbone ;
• ▶Contribution au NetZero mondial sur les scopes 1 & 2 d’ici 2025, les scopes 1 & 2 représentant près de 40 % de l’empreinte carbone d’OVHcloud
• ▶Contribution au NetZero mondial sur l’intégralité des scopes d’ici 2030, le scope 3 étant principalement lié à la fabrication des composants
• ▶0 % d’enfouissement d’ici 2025, concernant les déchets liés aux processus d’OVHcloud, à périmètre géographique constant.

De la même manière, OVHcloud dispose d’une politique de ressources humaines ambitieuse et reconnue. A fin août 2022, le Groupe compte 2 800 employés, dont 60 % de profils tech. OVHcloud apporte un soin particulier au bien-être de ses collaborateurs, ce que le score d’engagement (7,5 sur 10, en progression de 0,2 point par rapport à 2021) et le taux de fidélité (loyalty rate) de 79% traduisent. Ces très bons scores permettent au Groupe de mettre en œuvre sereinement son plan d’accélération de la croissance.

Strasbourg 5 : la première concrétisation du plan hyper résilience

SBG5, symbole fort de la stratégie industrielle du Groupe, est le premier centre de données dont la conception est issue du plan hyper résilience. Le site, d’une superficie de 1 700m2, totalise 19 salles isolées bénéficiant de maçonneries compartimentant les différents segments pour offrir une résistance de deux heures au feu. Le système d’extinction des incendies au gaz répond au standard APSAD R13 et les détecteurs de fumées VESDA respectent le standard APSAD R7. Les sept salles de puissance et les trois salles dédiées aux batteries sont situées à l’extérieur du bâtiment.

De plus, dans un souci de maîtrise de l’impact environnemental, le site SBG5 bénéficie des principes de frugalité et d’efficacité perfectionnés depuis plus de 20 ans par OVHcloud, particulièrement son système de refroidissement des composants des serveurs par eau (watercooling) qui permet d’atteindre un indice d’efficience en eau (WUE) inférieur à 0,2 L/kWh, soit l’équivalent d’un verre d’eau pour refroidir un serveur pour 10 heures d’utilisation. OVHcloud se distingue par son système en circuit fermé limitant la déperdition de liquides, mais également par l’utilisation de refroidisseurs à sec et l’absence d’air conditionné dans les salles serveurs.

Performance commerciale

L’année 2022 a été couronnée de succès commerciaux, avec par exemple au quatrième trimestre la signature de nouveaux contrats ou clients tels que l’AIFE (Agence pour l’informatique financière de l’Etat), Mastercard, Arianespace, Alstom, Fencecore, EQS Group ou Efalia. La croissance est notamment tirée par une amélioration continue de l’ARPAC(2) et le développement de partenariats forts avec des intégrateurs tels que Capgemini, Accenture ou Sopra Steria. OVHcloud a aussi enregistré une croissance à deux chiffres des ventes réalisées avec ses partenaires mondiaux et locaux, dont le nombre dépasse désormais 1 100, avec plus de 500 internationaux. Enfin, à la fin août 2022, OVHcloud propose 81 solutions IaaS et PaaS à ses clients, avec un doublement, au cours de l’année, du nombre de solutions PaaS disponibles. Par ailleurs, le développement du PaaS est en ligne avec le business plan initial du Groupe. La capacité d’OVHcloud à croître avec ses clients se traduit par un taux de rétention net du chiffre d’affaires de 114 % sur l’année 2022. Il atteint 108 % en données comparables, en nette progression depuis l’an passé. 

Cette année 2022 démontre également le succès de la stratégie mise en œuvre par OVHcloud. Le Groupe est porté par la poursuite d’une solide dynamique commerciale, notamment dans le Cloud public et le Cloud privé, du développement des cas d’usages PaaS par ses clients, d’un développement à l’international soutenu et une offre souveraine qui porte ses fruits avec plus de 35 clients pour son offre SecNumCloud, en forte progression sur le quatrième trimestre.

La bonne dynamique de cette année se retrouve également dans l’évolution du business mix en faveur du Cloud public et Cloud privé et dans la part croissante de l’international dans le chiffre d’affaires du Groupe, qui atteint 51 % sur l’année. De plus, en atteignant une part de 54% du chiffre d’affaires sur l’année, en progression de 2 points par rapport à l’année précédente, le segment Entreprise confirme sa bonne performance et l’efficacité de la stratégie de croissance dédiée.

Étendre et renforcer son empreinte mondiale

OVHcloud confirme le déploiement du volet industriel de son plan d’accélération de croissance. Ce dernier comprend l’extension de sites historiques, mais aussi de nouveaux sites et nouveaux pays :

• ▶Le campus de Roubaix se verra renforcé par un dixième centre de données
• ▶À Gravelines, OVHcloud déploiera de nouvelles capacités avec un nouvel espace dédié
• ▶Une région AZ (availability zone) de trois centres de données en Ile-de -France sera mise en service en 2023
• ▶Outre Rhin, le campus de Limburg ouvrira un nouveau centre de données au troisième trimestre 2023 afin d’accompagner la croissance locale et un nouveau site distant a été lancé pour ouverture en 2024
• ▶En conséquence de la forte croissance en Amérique du Nord, le Groupe prévoit de doter le campus de Beauharnois de son neuvième centre de données et d’ouvrir un nouveau centre de données en 2023 à Toronto
• ▶Sur la zone Asie, également en forte croissance chez OVHcloud, le Groupe a déployé en 2022 son premier centre de données en Inde à Mumbai. Dès 2023 le Groupe compte déployer un deuxième centre de données à Singapour.

ForePaas : acquisition de briques technologiques complémentaires

Dans le cadre de sa politique de croissance externe, et notamment dans sa volonté de cibler des startups avec des bases de clients actives ou des technologies permettant des synergies avec le reste du portefeuille d’OVHcloud et d’accélérer le développement de son offre Platform as a Service (PaaS), le Groupe a acquis en avril 2022 la société ForePaaS. La société ForePaas est une plateforme unifiée spécialiste des projets de data analytics, machine learning, et d’intelligence artificielle au service des entreprises. Ce rapprochement contribuera activement au déploiement de la stratégie d’accélération de croissance d’OVHcloud grâce à l’enrichissement de son offre (PaaS).

Environnement macroéconomique

L’environnement macroéconomique actuel est particulièrement dégradé par les tendances inflationnistes (notamment l’augmentation des coûts de l’énergie), et par la guerre en Ukraine.

Le Groupe dispose de plusieurs atouts clés dans cette dynamique inflationniste : 

• ▶OVHcloud opère selon un modèle verticalement intégré, ce qui lui confère la maîtrise de sa chaîne de valeur ;
• ▶le Groupe a mis en place deux contrats d’échange de taux (swaps de taux d’intérêt, échangeant le taux variable de l’emprunt à terme contre des taux fixes) (Note aux comptes consolidés 4.19) lui permettant de limiter le risque induit par la fluctuation des taux d’intérêt ;
• ▶le Groupe utilise des contrats de change à terme (Note aux comptes consolidés 4.20) permettant de limiter son exposition aux potentielles fluctuations de devises ;
• ▶le Groupe s’approvisionne grâce à des contrats d’achats à terme, à un prix fixe ou indexé, afin de réduire son exposition aux risques de hausse du prix d’achat d’énergie. Aussi, OVHcloud a conclu un contrat d’achat d’énergie avec le groupe EDF Renouvelables, prévoyant la mise à disposition par EDFR d’électricité issue d’un parc agrivoltaïque, au bénéfice exclusif du Groupe. OVHcloud prévoit ainsi de consommer 100 % de l’énergie verte produite par ce parc, à compter de janvier 2025, représentant environ 25 % des besoins annuels d’électricité en France. Ce contrat donne une visibilité à long terme du prix de l’électricité qui sera fournie.

Concernant le contexte géopolitique actuel entre la Russie et l’Ukraine, le Groupe assure un suivi constant de ses clients domestiques en Russie, Biélorussie et Ukraine. Dans ce cadre, le Groupe précise qu’il respecte de façon rigoureuse les réglementations en vigueur. Le Groupe précise également que :

• ▶le chiffre d’affaires réalisé en Russie, Biélorussie et Ukraine représente environ 1,5 % du chiffre d’affaires du Groupe au 31 août 2022 ;
• ▶le Groupe n’emploie pas de collaborateurs en Ukraine, ni en Russie ou en Biélorussie ;
• ▶le Groupe n’a pas de prestataires (personnes physiques) basés en Ukraine ;
• ▶il ne possède pas d’infrastructures dans ces 3 pays ;
• ▶il n’existe pas de risque matériel de recouvrement des créances dues au 31 août 2022.

L’année 2022 confirme la capacité du Groupe à mettre en œuvre son plan stratégique et sa trajectoire d’accélération de croissance.

Perspectives pour l’exercice 2023

Pour l’année 2023, OVHcloud vise une croissance organique de son chiffre d’affaires comprise entre 14 % et 16 %, en accélération par rapport à l’année 2022. 

Le coût de l’électricité, notamment en Europe, est l’un des éléments inflationnistes les plus importants. Grâce à sa politique active de couverture en électricité et des décisions gouvernementales, le Groupe connaît dès à présent le coût de 90 % de sa consommation électrique pour l’année fiscale 2023. Cette visibilité permet à OVHcloud d’anticiper que ses coûts d’électricité en 2023 seront compris entre 5 % et 10 % (mid to high-single digit) de son chiffre d’affaires, en hausse par rapport à 2022 (mid-single digit). Dans ce contexte, le Groupe a annoncé des hausses de prix progressives, en ligne avec les hausses réalisées dans toute l’industrie mondiale du cloud, qui permettront à OVHcloud de maintenir en 2023, sa marge d’EBITDA ajusté en ligne avec 2022. OVHcloud n’a pas constaté de changement de dynamique commerciale de la part de ses clients depuis ces annonces. 

Enfin, le Groupe vise des Capex récurrents compris entre 16 % et 20 % du chiffre d’affaires et des Capex de croissance entre 28 % et 32 % du chiffre d’affaires. L’abaissement de la fourchette des Capex de croissance est rendu possible par la baisse programmée du stock de composants, qui avait beaucoup crû durant l’année fiscale 2022 afin de pallier les pénuries, par une efficacité opérationnelle accrue notamment grâce à SAP, mis en place en décembre 2021, et une anticipation de stabilité du prix moyen des composants par rapport à une année fiscale 2022 particulièrement inflationniste.

Perspectives à moyen terme confirmées

Le Groupe confirme ses objectifs financiers à moyen terme et vise l’atteinte des résultats suivants d’ici 2025 :

• ▶une accélération de la croissance organique du chiffre d’affaires aux alentours de 25 % à horizon 2025, portée par une évolution de son mix d’activités, le déploiement de sa stratégie « Move to PaaS », son expansion internationale et le bénéfice de l’évolution du marché vers les clouds hybrides et multiples, ainsi que l’accent mis sur la souveraineté des données ;
• ▶une marge d’EBITDA ajusté autour de 42 %, ceci en réinvestissant en partie les économies d’échelle obtenues notamment grâce à une meilleure absorption des coûts fixes sur la période ;
• ▶les capex récurrents devraient tirer parti des améliorations de la productivité et donc baisser en pourcentage du chiffre d’affaires vers une fourchette de 14 % à 16 %, de la même manière les capex de croissance, exprimés en pourcentage du chiffre d’affaires, seront compris entre 28 % à 32 %.

Le Groupe OVHcloud est un acteur mondial et le leader européen du Cloud, actif sur 5 continents. Depuis plus de 20 ans, le Groupe s’appuie sur un modèle intégré qui lui confère la maîtrise complète de sa chaîne de valeur, de la conception de ses serveurs à celle des solutions de plateforme cloud qu’il met à la disposition de ses clients, en passant par la construction et le pilotage de ses centres de données (« Datacenters ») ou l’orchestration de son réseau de fibre optique. Cette approche unique lui permet de couvrir en toute indépendance l’ensemble des usages de ses clients. Le Groupe propose aujourd’hui à ses clients des solutions de dernière génération alliant performance, prévisibilité des prix et une totale souveraineté sur leurs données pour accompagner leur croissance en toute liberté.

Les termes « OVHcloud » et le « Groupe », tels qu’utilisés dans les états financiers consolidés, sauf précision contraire expresse, désignent la Société ainsi que ses filiales et participations directes et indirectes.

L’entité mère du groupe OVHcloud (le « Groupe ») est OVH Groupe (la « Société »), créée en 1999 en France, et ayant son siège au 2, rue Kellermann, 59100 Roubaix, France.

Les états financiers consolidés du Groupe au 31 août 2022 ont été arrêtés par le Conseil d’Administration du Groupe en date du 25 octobre 2022. 

Les états financiers consolidés sont présentés en milliers d’euros (sauf mention contraire). Les montants sont indiqués sans décimales et les arrondis au millier d’euros le plus proche peuvent, dans certains cas, conduire à des écarts non matériels au niveau des totaux et des sous-totaux figurant dans les tableaux.