La position d’OVHcloud en tant que premier fournisseur européen de cloud remonte à sa fondation en 1999 en tant que société d’hébergement Internet en France. Au cours des vingt-six dernières années, OVHcloud s’est considérablement développé, d’abord en accroissant son infrastructure et en élargissant sa présence en Europe, puis en diversifiant ses offres de cloud et en étendant ses activités à l’échelle mondiale.

Le cloud computing consiste à fournir aux utilisateurs des ressources de stockage, de calcul et de réseau, à la demande. Les ressources du cloud sont situées dans des datacenters qui abritent des serveurs et des équipements utilisés pour traiter, stocker et transmettre des données. Les utilisateurs de services de cloud computing peuvent accéder aux données stockées et donner des instructions aux unités de traitement pour qu’elles exécutent des fonctions de calcul automatiquement, sans avoir besoin d’une interaction humaine, ce qui réduit au minimum les capacités de calcul et de stockage nécessaires sur leurs appareils (tels que les ordinateurs personnels, les tablettes et les téléphones mobiles). Où qu’ils se trouvent, tant qu’ils disposent d’une connexion Internet, les utilisateurs peuvent accéder aux services informatiques par le biais du cloud. 

Les entreprises peuvent créer et exploiter leurs propres datacenters en faisant appel à du personnel informatique interne, ou elles peuvent externaliser tout ou partie des fonctions à des fournisseurs de services de cloud computing tels qu’OVHcloud. Pour de nombreuses entreprises, le temps et l’investissement financier requis rendent le cloud computing propriétaire moins attrayant que l’externalisation, qui implique de ne payer que pour les ressources qu’elles utilisent réellement. En outre, il peut être difficile pour les entreprises qui ne sont pas spécialisées dans les services informatiques d’innover aux niveaux requis afin de garantir que leur infrastructure de cloud computing leur offre des services et des protections adéquats, tels que la sécurité des données. Les systèmes informatiques internes peuvent également ne pas être suffisamment évolutifs pour répondre aux demandes de charge de pointe (à moins que les entreprises ne maintiennent une capacité excédentaire coûteuse).

Les serveurs maintenus dans les datacenters peuvent être utilisés pour de multiples fonctions, chacune d’entre elles étant accessible par une « machine virtuelle » créée sur le serveur. Les machines virtuelles sont exploitées et séparées les unes des autres par une plateforme logicielle appelée « couche de virtualisation ». Chaque machine virtuelle peut avoir son propre système d’exploitation qui permet aux utilisateurs de développer et d’exécuter des applications. Grâce à une fonction appelée « hyperviseur », la capacité du serveur est allouée aux machines virtuelles en fonction des demandes des utilisateurs. Par ailleurs, des applications logicielles ont été écrites pour être regroupées dans des « conteneurs » qui s’exécutent directement sur le système d’exploitation du serveur lui-même, coordonnés par des plateformes connues sous le nom de systèmes d’« orchestration », qui prennent généralement moins de place et peuvent offrir de meilleures performances que les piles de virtualisation basées sur un hyperviseur. 

La possibilité de créer plusieurs machines virtuelles dans chaque serveur ou de déployer des systèmes basés sur des conteneurs permet à un fournisseur de services cloud de répartir sa capacité entre plusieurs groupes d’utilisateurs ou clients de manière sécurisée. Les fournisseurs de services peuvent dédier un serveur à un seul client (un système de « cloud privé »), en répartissant la capacité du serveur entre les groupes d’utilisateurs autorisés par le client. Un serveur peut également être partagé entre plusieurs clients (un système de « cloud public »). Les clients du cloud privé paient généralement des frais mensuels pour une capacité dédiée, qu’ils utilisent ou non cette capacité. Les clients du cloud public paient généralement pour la capacité qu’ils utilisent réellement. 

Afin d’optimiser le coût des services cloud, de nombreuses entreprises déploient des stratégies de « cloud hybride », dans lesquelles elles combinent une capacité de cloud privé sur site ou externalisé, pour leurs fonctions et données les plus sensibles, avec une capacité de cloud public pour leurs besoins moins sensibles. Les clients déploient également des stratégies « multi‐cloud », en achetant des services de cloud auprès de plusieurs fournisseurs. Pour répondre à la demande croissante de services de cloud hybride et multi‐cloud, un fournisseur de cloud doit proposer des packages qui permettent aux différentes solutions de fonctionner comme un tout intégré. 

Le cloud computing englobe une gamme de services comprenant la fourniture d’un accès à l’infrastructure (Infrastructure-as-a-Service ou « IaaS »), la sélection et l’exploitation de plateformes telles que des systèmes d’exploitation, des piles de virtualisation et des systèmes de sécurité (Platform-as-a-Service ou « PaaS »), et l’offre d’applications développées et pouvant fonctionner sur des plateformes cloud (Software-as-a-Service ou « SaaS »). Le graphique suivant illustre ces caractéristiques :

Le marché des solutions cloud comprend également des services web destinés principalement aux particuliers et aux petites et moyennes entreprises. Le marché du Web cloud comprend essentiellement l’hébergement de sites web et de domaines, y compris la location de serveurs pour les sites web, la vente de services secondaires (tels que des progiciels) et les services d’enregistrement, de renouvellement et de transfert de noms de domaine.

OVHcloud propose deux offres principales de cloud privé : le Bare Metal Cloud et le Hosted Private Cloud.

Le service de Bare Metal Cloud d’OVHcloud fournit des serveurs physiques dédiés aux clients, qui ont un contrôle total sur le serveur, y compris le choix du système d’exploitation. Le Bare Metal Cloud leur permet d’avoir une expérience similaire à celle qu’ils auraient avec des solutions sur site gérées par leurs équipes internes, tout en profitant des avantages offerts par l’externalisation. 

L’offre principale de Bare Metal Cloud d’OVHcloud commercialise des serveurs haut de gamme et des offres de services de moyen à haut niveau. OVHcloud dispose également d’une offre à prix attractif commercialisée sous la gamme « Eco » utilisant des serveurs rénovés qui fournissent des services de qualité à un coût réduit, tout en améliorant l’efficacité environnementale. 

Les services de Bare Metal Cloud offrent aux entreprises clientes une puissance informatique de haut niveau et des accords de niveau de service stricts, dans un environnement sécurisé adapté aux applications sensibles. Le serveur peut être personnalisé pour répondre aux besoins du client, et peut être exploité sans qu’il soit nécessaire d’allouer la capacité du serveur à des machines virtuelles par le biais d’un hyperviseur, ce qui permet au client d’utiliser la pleine capacité du serveur. Toute capacité inutilisée peut être déployée en quelques minutes, bien que la capacité totale soit limitée par celle du serveur dédié. 

Les clients du Bare Metal Cloud paient des frais mensuels qui dépendent des niveaux de performance qu’ils sélectionnent. Ils peuvent également choisir des options (telles que la personnalisation du serveur ou la sauvegarde des données) moyennant des frais supplémentaires. 

Les principaux usages des services Bare Metal Cloud comprennent le calcul de données complexes, les opérations à faible latence, le streaming, les jeux en ligne, les applications d’entreprise critiques telles que les ERP et CRM. 

En 2025, OVHcloud a lancé Bare Metal Pod, une infrastructure souveraine, qualifiée SecNumCloud 3.2 par l’ANSSI et dédiée, offrant la puissance du cloud combinée à l’isolation physique des serveurs Bare Metal, conçue pour héberger des environnements critiques ou sensibles.

OVHcloud propose des services de Hosted Private Cloud à ses clients professionnels, fournissant des serveurs entièrement gérés par OVHcloud, y compris le système d’exploitation et la couche de virtualisation, en partenariat avec les offres de VMware ou Nutanix. 

 1. VM : machine virtuelle.

Les services de Hosted Private Cloud d’OVHcloud fournissent aux clients un accès privé à des serveurs, à niveaux élevés de performance, qui peuvent être personnalisés pour satisfaire les exigences spécifiques du client. Ils répondent aux besoins des clients qui recherchent l’isolement et la sécurité, des ressources évolutives et la résilience.

Les principaux usages des services de Hosted Private Cloud comprennent le déploiement dans le cadre de stratégies de cloud hybride, l’encodage de médias, l’analyse de big data, la reprise après sinistre, ainsi que le stockage et le traitement de données sensibles dans des secteurs clés tels que la santé, la finance et le secteur public.

Depuis 2021, OVHcloud propose des offres Hosted Private Cloud qualifiées SecNumCloud. La qualification SecNumCloud apporte aux clients l’assurance de choisir des solutions qui respectent les plus hauts standards de sécurité de l’ANSSI, ainsi que la garantie de recourir à des solutions adaptées aux données sensibles des administrations et des entreprises.

En 2025, OVHcloud a lancé On-Prem Cloud Platform, une plateforme cloud prête à l’emploi et installée chez le client. Ce lancement s’est matérialisé par la signature d’un contrat commercial avec DEEP. Le 31 mars 2025, DEEP, filiale du groupe Post, le leader des services télécoms, ICT, postal et financier postal du Luxembourg, et OVHcloud ont signé un partenariat stratégique pour la mise en œuvre d’un cloud souverain au Luxembourg. Le cloud souverain DEEP s’appuiera sur la solution On-Prem Cloud Platform (OPCP) d’OVHcloud : une plateforme cloud intégrée (matérielle et logicielle) qui sera, en mode déconnecté, hébergée et opérée de façon autonome par DEEP dans ses propres centres de données certifiés « Tier IV » situés au Luxembourg.

OVHcloud propose des solutions de cloud public basées sur des technologies open source telles qu’OpenStack (une plateforme qui permet de déployer des ressources de traitement, de stockage et de mise en réseau) et Kubernetes (une plateforme d’orchestration de conteneurs, devenue un standard de marché). L’utilisation de ces plateformes standard offre aux clients une capacité de transfert de données facile et un accès volontairement transparent au code source, facilitant la réversibilité et éliminant le « verrouillage par le fournisseur ». Cette caractéristique de l’offre OVHcloud est particulièrement attrayante pour les clients qui cherchent à déployer des stratégies de multi‐cloud. 

Les solutions de cloud public offrent aux utilisateurs une capacité de calcul pratiquement illimitée, la seule contrainte étant la capacité totale installée du fournisseur de cloud. Il est possible de déployer de nouvelles instances de cloud public automatiquement et en quelques secondes. Comme le service de cloud public est basé sur des serveurs partagés, les options de personnalisation sont définies par OVHcloud. Les niveaux de service sont élevés étant donné la flexibilité de l’architecture matérielle. 

Les clients du cloud public paient des frais d’utilisation pour la capacité qu’ils utilisent réellement. Le modèle d’OVHcloud offre beaucoup plus de prévisibilité que les modèles utilisés par les hyperscalers et de nombreux autres concurrents. En particulier, contrairement aux hyperscalers, OVHcloud ne facture pas de frais supplémentaires pour les transferts de données sortants ou les appels API, sauf pour les stockages block et archive, et pour les services localisés en Asie‐Pacifique. 

L’offre de cloud public du Groupe fournit trois services de cloud computing de base : la performance informatique (le compute), le stockage et les capacités réseau. 

Les clients des solutions de cloud public OVHcloud peuvent choisir des services de cloud public entièrement évolutifs sur des machines virtuelles qui sont hébergées sur des serveurs et des réseaux partagés. 

Le service de cloud public d’OVHcloud est intéressant pour les clients qui recherchent des ressources hautement évolutives, avec des demandes de gestion de pics importants sur plusieurs sites d’accès, et un degré élevé de résilience. Ce service est utilisé pour les applications à forte demande et les services qui utilisent de grands volumes de données, comme le streaming vidéo et musical. 

Les clients du cloud public d’OVHcloud peuvent également choisir parmi un certain nombre de logiciels à la demande (SaaS) fonctionnant sur les serveurs du cloud public d’OVHcloud. En particulier, OVHcloud propose à ses clients des accès aux solutions de messagerie et de calendrier Microsoft Exchange, aux solutions de stockage et de gestion des données SharePoint et à la suite logicielle professionnelle Office365.

En 2025, OVHcloud propose les produits cloud public en 3-AZ dans la région de Paris. Cette région propose aux entreprises et organisations une présence dans trois datacenters (AZ ou Availability Zone) géographiquement proches afin qu’elles bénéficient d’une forte résilience et de faibles temps de latence entre les trois datacenters.

1. VM : machine virtuelle.

OVHcloud offre également une option de serveur privé virtuel, fournissant des capacités informatiques situées sur des serveurs partagés, mais avec des machines virtuelles isolées par l’utilisation de réseaux privés virtuels. 

L’option de serveur privé virtuel est intéressante pour les clients qui recherchent des ressources sur mesure, en particulier pour les opérations de courte durée avec des charges de travail et une demande de serveur volatiles. Les solutions de serveurs privés virtuels sont principalement utilisées pour les tests d’applications et autres projets ponctuels, la gestion des pics de charge de courte durée et les fonctions de sauvegarde. 

 1. VM : machine virtuelle.

Dans le cadre de sa stratégie de croissance, OVHcloud est en train de développer et de mettre en œuvre une offre PaaS complète, superposée aux produits IaaS de cloud privé et de cloud public. En plus de développer des produits en interne, OVHcloud a annoncé plusieurs partenariats et acquisitions, dans le but d’accélérer son plan de développement, ce qui lui permet de proposer plus de 80 solutions IaaS et PaaS à ses clients à la fin de l’exercice 2024, principalement dans les domaines suivants :

• ▶Storage. OVHcloud propose aujourd’hui à ses clients un portefeuille complet d’offres de stockage telles qu’Object Storage S3 (High Performance et Standard), Block Storage, File Storage, Snapshot & Backup et Archive ; 
• ▶Database‐as‐a‐Service. Les logiciels de gestion des données permettent aux utilisateurs de gérer leurs bases de données afin de permettre les requêtes et les mises à jour. Ils comprennent des programmes qui exécutent des requêtes sur les données et fournissent une représentation visuelle des données dans des formats tels que les feuilles de calcul, permettant aux utilisateurs de construire des applications plus rapidement et d’automatiser la gestion des bases de données. OVHcloud a annoncé un partenariat en avril 2021 avec MongoDB, et en juillet 2021 avec Aiven pour rendre disponibles plusieurs types de base de données sur l’infrastructure d’OVHcloud ;
• ▶AI, Machine Learning & Analytics. Les solutions d’intelligence artificielle et d’analytique comprennent des outils et des services soutenant l’analyse et la présentation des données. OVHcloud est particulièrement avancé dans les solutions de calcul haute performance pour l’intelligence artificielle et le machine learning, et entend poursuivre son développement dans ce domaine. En avril 2022, OVHcloud a annoncé l’acquisition de ForePaaS, une société spécialisée dans le domaine de l’analytics. Depuis deux ans, OVHcloud a renforcé son offre de produits liés à l’intelligence artificielle, comme AI Notebook, AI Deploy, AI Training, AI App Builder ou encore AI Endpoint, une plateforme donnant un accès facile, à travers une API (une interface de programmation d’application), à de nombreux modèles d’inteligence artificielle pré-entraînés (LLM, voix, images…) pour l’intégrer rapidement à des applications ;
• ▶Security & Encryption. OVHcloud élargit son offre de solutions de gestion de l’accès aux identités et de chiffrement, y compris le chiffrement de bout en bout qui sécurise les données des clients dans tous les états. En juillet 2021, OVHcloud a annoncé l’acquisition de BuyDRM, une société américaine spécialisée dans ce domaine ; 
• ▶Application platforms. Les plateformes d’applications sont des solutions logicielles de serveur back‐end fournissant aux développeurs un environnement d’exécution et de développement.

OVHcloud propose des services de Web cloud depuis sa création en 1999. Avec sa position de leader sur le marché français et de fortes positions ailleurs en Europe, l’offre Web cloud assure une base de revenus stable et récurrente et une croissance régulière.

OVHcloud offre trois solutions principales aux clients du Web cloud :

• ▶Web hosting et noms de domaine. Cela comprend la location de capacité d’hébergement sur des serveurs, permettant aux clients de connecter leurs sites web à Internet, ainsi que l’enregistrement, le renouvellement et le transfert de noms de domaine. Les clients peuvent choisir des forfaits de base offrant un ou quelques sites web seulement, ou des forfaits destinés aux professionnels et aux développeurs qui souhaitent héberger plusieurs sites web, ainsi que des adresses électroniques et des options de stockage. OVHcloud propose à ses clients des services supplémentaires, tels que les certificats SSL (Secure Socket Layer), qui permettent des connexions sécurisées entre un serveur web et un navigateur ; 
• ▶Téléphonie et connectivité. Les clients peuvent acheter des systèmes de VoIP (Voice over IP) leur permettant des utilisations telles que les standards téléphoniques et les systèmes de réponse vocale interactive. OVHcloud offre également à ses clients un accès à Internet via les réseaux ADSL et fibre optique, avec des forfaits de base et professionnels ;
• ▶Support et services. OVHcloud propose à ses clients des niveaux supplémentaires de support et de services, qui regroupent un ensemble de solutions d’assistance, d’expertises et de services en ligne. Les offres de support peuvent être Business, qui correspond au niveau adapté aux environnements de production ou Enterprise, qui propose une expérience grand compte pour les environnements de production critique. Les services additionnels sont proposés dans l’offre de Professional Services, qui donne accès à du support technique et des conseils lors de projets de migration d’infrastructure ou de modification d’architecture IT.

Les principaux clients d’OVHcloud dans le segment du Web cloud sont les petites et moyennes entreprises, ainsi que certains particuliers et entrepreneurs. Les clients du Web cloud sont généralement à la recherche de services web et de communication sécurisés et fiables, pour établir leur présence sur le web, et pour numériser les fonctions de l’entreprise.

Depuis 2021 et son introduction en bourse, OVHcloud a déployé sa feuille de route stratégique. Le Groupe a en effet réussi à :

• ▶développer des segments clés de clientèle avec une progression de l’ARPAC (3) moyen de + 60 % entre 2021 et 2025 ; 
• ▶adresser un marché plus large en proposant aujourd’hui à ses clients plus de 40 produits cloud public ;
• ▶étendre son empreinte géographique avec l’ouverture de 11 nouveaux datacenters depuis 2021 pour atteindre 44 datacenters à la fin de l’exercice 2025 ;
• ▶investir dans le développement interne avec un montant de capex de croissance cumulé d’environ 1 100 millions d’euros entre 2021 et 2025 et les opportunités de croissance externe avec 3 acquisitions depuis 2021 (BuyDRM, dans la sécurité, ForePaaS, dans la gestion des données, et gridscale, pour ouvrir des Local Zones avec une intensité capitalistique minimale).

À la suite de ces investissements significatifs, OVHcloud a présenté un nouveau plan, développé autour de 4 piliers stratégiques : (i) Être la référence pour la souveraineté des données, (ii) Innover pour les prochaines révolutions technologiques, (iii) Croître de manière profitable et durable, ainsi que (iv) Maximiser la génération de trésorerie.

OVHcloud bénéficie déjà d’un avantage structurel en étant immunisé aux lois extraterritoriales et a développé une stratégie de certifications auprès des régulateurs nationaux ou internationaux qui porte ses fruits.

Dans les prochaines années, le Groupe va continuer à étendre son offre de produits certifiés, notamment avec les projets d’extension de la qualification SecNumCloud en France à ses services de cloud public dès fin 2025. En outre, cette année, OVHcloud a lancé Bare Metal Pod, une infrastructure souveraine, qualifiée SecNumCloud 3.2 par l’ANSSI, et dédiée, offrant la puissance du cloud combinée à l’isolation physique des serveurs Bare metal, conçue pour héberger des environnements critiques ou sensibles.

Par ailleurs, des services spécifiques sont actuellement en développement afin de répondre de manière encore plus précise aux besoins de certaines verticales, notamment le secteur public et la santé.

L’innovation est au cœur de la proposition de valeur d’OVHcloud et le Groupe continuera d’investir pour innover et préparer les prochaines révolutions technologiques, telles que l’intelligence artificielle, déjà en cours, ou l’informatique quantique dans un horizon moyen terme.

Concernant l’intelligence artificielle, le Groupe continue à renforcer son offre, notamment en développant des solutions d’IA qui garantissent la confidentialité et la souveraineté des données des clients. En effet, OVHcloud met à disposition de ses clients une gamme complète de GPUs NVIDIA Tensor Core (H100, A100, L4, L40S) accessible dans le cloud public et de modèles IA de pointe avec l’intégration des derniers LLMs open-source, tels que Mistral 8x22B ou Llama3, qui sont notamment disponibles sur étagère via la solution serverless OVHcloud AI Endpoints. L’IA ouvre de nouveaux usages et est au cœur d’une révolution, qui crée des enjeux extrêmement forts notamment en matière de propriété intellectuelle et de confidentialité des données.

OVHcloud est également en avance de phase sur l’informatique quantique, qui constituera l’une des prochaines révolutions technologiques du 21e siècle. OVHcloud est le seul fournisseur cloud européen à proposer à ses clients 5 notebooks quantiques et 1 émulateur quantique. Le Groupe accompagne 14 start-ups leaders sur le quantique et possède 1 ordinateur photonique de Quandela.

Par ailleurs, en septembre 2025, OVHcloud est devenu le premier acteur mondial à renforcer la sécurité des accès web grâce à un ordinateur quantique.​
En association avec Quandela, le groupe a introduit des certificats SSL enrichis par entropie quantique, améliorant la génération aléatoire des clés de chiffrement.

Depuis 2021, OVHcloud a ouvert 11 nouveaux datacenters, a investi significativement dans le développement de nouveaux produits et a notamment mis en place un programme visant à améliorer la résilience de ses infrastructures. 

Pour les prochaines années, OVHcloud prévoit d’optimiser le taux d’utilisation de ses datacenters, qui est à 66 % au 31 août 2025, en augmentation de 6 points comparé à 2024, d’améliorer la gestion des stocks et de stabiliser, en valeur absolue, les investissements dans les nouveaux produits.

Enfin, le Groupe prévoit une réduction des investissements exceptionnels (Plan d’hyper-résilience, achats d’IPv4 ou amélioration des stocks liés aux tensions sur les chaînes d’approvisionnement) d’ici 2026.

OVHcloud a multiplié par 2,3 son Unlevered Free Cash-flow à 57,6 millions d’euros sur l’année 2025, comparé à celui de l’exercice 2024. Le Groupe vise une génération de Free Cash-flow dès 2026.

OVHcloud est le leader européen du cloud et seul acteur non américain ou non chinois parmi les 10 plus grands fournisseurs mondiaux de services cloud (4). OVHcloud est le seul acteur de taille à ne pas être soumis à des lois extraterritoriales.

En plus de son différenciant structurel, OVHcloud a développé un très grand nombre de certifications à travers le monde afin de répondre aux différentes réglementations nationales ou internationales.

En tant que fournisseur de services cloud français, OVHcloud est soumis aux réglementations européennes dans un grand nombre de domaines, notamment les services informatiques (« IT »), la cybersécurité, la modération des contenus en ligne et la protection des données. OVHcloud peut également être soumis à des régimes réglementaires sectoriels applicables à certains clients et à des réglementations généralement applicables telles que le droit des contrats et les règles de protection des consommateurs.

OVHcloud est soumis à la réglementation européenne visant à renforcer la cybersécurité dans l’ensemble de l’Union européenne (l’« UE »). Transposée en droit français le 26 février 2018, la directive UE 2016/1148 du 9 juillet 2016 a établi des exigences pour les fournisseurs de services cloud en matière de sécurité des réseaux et des systèmes d’information. Selon la loi française (5) transposant la directive UE 2016/1148, les fournisseurs de services cloud sont classés comme des fournisseurs de services numériques. En tant que prestataire de services numériques, OVHcloud doit garantir un niveau de sécurité des informations adapté aux risques pertinents et adopter des mesures organisationnelles et techniques appropriées. En cas d’incident de sécurité ayant un impact significatif sur la prestation de services, une déclaration doit être faite auprès de l’Agence nationale de la sécurité des systèmes d’information (« ANSSI »). Le Premier ministre français peut également ouvrir des enquêtes à la réception d’informations faisant état d’un manquement du prestataire de services numériques aux obligations de sécurité. Les amendes pour non‐respect des obligations de sécurité vont de 50 000 à 100 000 euros. 

L’ANSSI a adopté des normes de sécurité pour les fournisseurs de services cloud (6). Les entreprises du cloud doivent notamment mettre en place une politique de sécurité pour les informations relatives au service et procéder à une évaluation des risques couvrant l’ensemble du service. Si les normes de sécurité applicables sont respectées, l’ANSSI délivre une qualification appelée « SecNumCloud » certifiant un niveau de sécurité renforcé pour le stockage d’informations sensibles. En octobre 2022, l’ANSSI a prolongé un visa de sécurité à OVHcloud pour la qualification « SecNumCloud » pour son Hosted Private Cloud, valable jusqu’en décembre 2023. Pour la protection des systèmes d’information critiques, l’ANSSI recommande aux opérateurs de services essentiels (par exemple, les sociétés d’approvisionnement en gaz, les transporteurs aériens, les établissements de santé, les banques) d’utiliser des produits et services de sécurité disposant d’un visa de sécurité de l’ANSSI. 

Le rôle de l’Agence de l’Union européenne pour la cybersécurité (l’« ENISA ») a été renforcé par le règlement UE 2019/881 du 17 avril 2019 (la « loi sur la cybersécurité »). L’ENISA est chargée d’établir et de maintenir un système de certification de cybersécurité à l’échelle européenne applicable aux fournisseurs de services cloud, y compris un ensemble complet de règles, d’exigences techniques, de normes et de procédures. En juillet 2020, l’ENISA a publié une proposition qui permettrait aux fournisseurs de services cloud d’obtenir des certifications à travers l’UE attestant du niveau de sécurité de leurs services. 

La Commission européenne a dévoilé en septembre 2022 sa proposition de Cyber Resilience Act (« CRA »). Cette proposition fixe une série d’exigences générales et organisationnelles en matière de cybersécurité pour les produits contenant des éléments numériques (par exemple : logiciels, produits matériels, solutions de traitement de données). Il vise à adopter un socle commun au sein de l’Union européenne pour limiter les cyberattaques. Le CRA s’applique de manière différenciée aux acteurs de la chaîne d’approvisionnement : fabricants, importateurs ou distributeurs. Le texte doit encore être examiné par le Parlement européen puis par le Conseil de l’Union européenne ; lors de cette procédure, qui peut prendre jusqu’à deux ans, le texte actuel sera très probablement amené à évoluer. Il est donc encore prématuré de se prononcer sur les impacts potentiels de ce texte sur OVHcloud. 

En tant que fournisseur de services de cloud et de télécommunications, OVHcloud traite, stocke et transfère une quantité substantielle de données personnelles. En conséquence, OVHcloud doit se conformer à un ensemble de réglementations européennes et de lois nationales relatives à la protection des données personnelles. 

Pierre angulaire de la protection des données personnelles dans l’Union européenne depuis son entrée en vigueur en mai 2018, le RGPD poursuit trois objectifs principaux : (i) établir des règles relatives à la protection des personnes dans le cadre du traitement de leurs données personnelles ainsi que des règles relatives à la libre circulation de ces données, (ii) renforcer l’application de la réglementation grâce à un cadre juridique unifié pour les organisations traitant des données personnelles, et enfin (iii) renforcer la responsabilité des acteurs traitant des données à caractère personnel (responsables de traitements et sous-traitants) en imposant une obligation de documentation des traitements et des outils/applications utilisés.

Le RGPD soumet les organisations à des obligations strictes en termes d’information et de transparence sur les traitements réalisés sur les données personnelles, qu’elles traitent pour leur propre compte ou le compte d’autrui. 

Il confère également plusieurs droits aux personnes concernées sur le traitement de leurs données personnelles tels que le droit d’accès, le droit à la modification ou le droit à l’effacement (« droit à l’oubli ») permettant à celles-ci de bénéficier d’un contrôle accru sur l’utilisation de leurs données personnelles.

En outre, le RGPD impose aux organisations, dès la conception d’un nouveau produit ou service, la mise en place de mesures de sécurité techniques et organisationnelles adéquates aux traitements de données personnelles, afin de garantir la sécurité et la confidentialité adaptées aux données personnelles traitées (« Privacy by design »).

Enfin, le RGPD oblige les organisations responsables de traitement, lorsqu’elles constatent une violation de données personnelles, à notifier à l’autorité de contrôle toute violation susceptible d’entraîner un risque pour les droits et libertés des personnes physiques et des personnes concernées.

Adoptée le 22 septembre 2021, la loi modernisant des dispositions législatives en matière de protection des renseignements personnels, dite « Loi 25 », apporte des modifications importantes à la loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP ») visant à offrir un meilleur contrôle aux citoyens sur leurs données personnelles et de responsabiliser davantage les organisations quant à leur gestion de ces renseignements. Cette loi établit de nouvelles obligations et règles de transparence pour les entreprises québécoises telles que la désignation d’un responsable de la protection des renseignements personnels, afin d’établir des politiques et des pratiques encadrant la gouvernance des données personnelles, réaliser des évaluations des facteurs relatifs à la vie privée (EFVP), respecter les nouveaux droits accordés aux personnes sur leurs données personnelles et notamment droit à la cessation de la diffusion, à la ré-indexation ou à la désindexation (droit à l’oubli) avant de communiquer des données personnelles en dehors du Québec ou encore prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public. 

Les nouvelles responsabilités et obligations applicables aux organisations traitant des données personnelles entrent en vigueur progressivement en septembre 2022, 2023 et 2024.

Afin d’assurer la conformité avec les réglementations applicables en matière de protection des données, OVHcloud a mis en place un système de gestion des données personnelles basé sur la norme ISO 27701. 

OVHcloud s’appuie également sur le Code de conduite Cloud Infrastructure Service Providers in Europe (CISPE), en étant certifié sur ses offres Bare Metal Cloud et Hosted Private Cloud powered by VMWare, pour garantir et démontrer la conformité de ses activités IaaS.

Le règlement UE 2018/1807 du 14 novembre 2018 (le « Règlement sur le libre flux des données à caractère non personnel ») vise à assurer la libre circulation des données non personnelles entre les États membres de l’UE (les « États membres ») et les systèmes informatiques dans l’UE. Les données non personnelles sont soit (i) des données non liées à des personnes physiques identifiées ou identifiables, soit (ii) des données personnelles anonymisées. Ce règlement permet le stockage et le traitement de données non personnelles partout dans l’UE, interdit la localisation des données et garantit la disponibilité des données pour les contrôles réglementaires.

Le Règlement sur le libre flux des données à caractère non personnel prévoit également que la Commission européenne doit encourager le développement de Codes de conduite autorégulateurs pour faciliter la portabilité entre les prestataires. À cette fin, OVHcloud a participé à la rédaction de deux Codes de conduite volontaires sur le changement de fournisseur de service cloud et la portabilité des données par le biais du groupe de travail sur le changement de prestataire de cloud et le portage des données (« SWIPO »). Publiés en juillet 2020, les Codes de conduite relatifs à l’Infrastructure‐as‐a‐Service (IaaS) et au Software‐as‐a‐Service (SaaS) offrent des conseils aux fournisseurs de services cloud et aux clients sur le changement de fournisseur de services cloud et le portage des données non personnelles. L’adoption de ces Codes de conduite vise à réduire les risques de verrouillage envers un fournisseur (c’est-à-dire les situations où les clients sont dépendants d’un prestataire particulier en raison de coûts de changement importants) par les fournisseurs de services cloud. Ils fournissent également des conseils aux clients sur le transfert des données non personnelles.

En tant que fournisseur de services d’hébergement, OVHcloud doit se conformer à de nombreuses législations en matière de lutte contre les contenus illicites, notamment celles qui concernent les infractions aux droits de propriété intellectuelle, la diffusion de contenus terroristes et les abus sexuels sur les mineurs. 

Le règlement UE 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (« Règlement sur les services numériques ») est entré en vigueur le 18 novembre 2022. Ce nouveau cadre a pour objectif d’harmoniser les règles applicables dans les différents États membres de l’Union européenne et remplace celui adopté en l’an 2000 en matière de responsabilité des intermédiaires vis-à-vis des contenus illicites tout en maintenant les principes fondamentaux de liberté d’expression et de libre prestation de services. 

Le règlement établit également de nouvelles obligations de diligence et de transparence pour les services d’hébergement tels qu’OVHcloud, tant vis-à-vis des autorités que des utilisateurs, en particulier sur le traitement des signalements de contenus illicites. Il renforce par ailleurs le niveau des sanctions pouvant être infligées en cas de manquement aux obligations établies par le règlement, avec des amendes pouvant représenter jusqu’à 6 % du chiffre d’affaires mondial annuel du fournisseur de services intermédiaires. Un certain nombre de mesures sont applicables de manière différée au cours des deux prochaines années et impliquent l’adoption de textes au niveau national. OVHcloud suivra avec attention leur publication afin de se conformer à ses obligations.

Le règlement UE 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives UE 2019/1937 et UE 2020/1828 (« Règlement sur les marchés numériques ») vise à rendre le secteur numérique plus équitable et plus compétitif, en instaurant des mesures préventives pour les grandes entreprises numériques en position de contrôleurs d’accès sur le marché européen. Le règlement prévoit notamment plusieurs obligations et interdictions à l’égard des plateformes en ligne en position de contrôleurs d’accès et renforce les pouvoirs de sanction de la Commission européenne, laquelle sera assistée d’un comité consultatif et d’un groupe de haut niveau. Ainsi, par exemple, les contrôleurs d’accès devront permettre aux utilisateurs de désinstaller facilement sur leurs appareils des logiciels préinstallés et de se désabonner facilement d’un service de plateforme essentiel tel qu’un service de cloud. Les contrôleurs d’accès ne pourront plus imposer des logiciels tels que des navigateurs Internet ou des moteurs de recherche par défaut, réutiliser les données personnelles d’un utilisateur à des fins de publicité ciblée sans son consentement explicite. 

Applicable à partir du 2 mai 2023, les entreprises concernées devront se signaler à la Commission européenne et se mettre en conformité au plus tard en mars 2024. La législation confère à la Commission le pouvoir exclusif de contrôler le respect de leurs obligations, et de nouvelles sanctions, notamment une amende pouvant atteindre jusqu’à 10 % du chiffre d’affaires total mondial réalisé par l’entreprise au cours de l’exercice précédent. 

L’adoption de cette nouvelle législation est une avancée positive pour réguler les pratiques des acteurs dominants du numérique sur le marché européen, mais son efficacité dépendra des moyens que la Commission européenne consacrera au service du respect de celle‐ci. OVHcloud suivra avec une attention particulière les précisions attendues sur les effectifs qui seront dédiés au contrôle des obligations des contrôleurs d’accès.

Les entités OVHcloud sont des opérateurs de télécommunications dans quatre (4) États membres : la Belgique, la France, l’Allemagne et l’Espagne. OVHcloud est soumis à des obligations spécifiques lorsque le Groupe fournit des services de télécommunications. Parce que l’UE et ses États membres réglementent le secteur des télécommunications depuis de nombreuses années, il existe une variété de mesures d’application, de directives et d’autorités différentes à travers l’UE. Les entités d’OVHcloud sont également des opérateurs de télécommunications au Royaume‐Uni et en Suisse, qui possèdent leur propre réglementation en matière de télécommunications. Le Royaume‐Uni a transposé les exigences du Code des communications électroniques européen dans son cadre réglementaire national avant le Brexit. 

La directive UE 2018/1972 du 11 décembre 2018 a établi le Code des communications électroniques européen. Bien que cette directive n’ait pas encore été transposée dans tous les États membres où OVHcloud agit en tant qu’opérateur, plusieurs autres directives applicables dans les secteurs des télécommunications, telles que les directives 2002/19/CE, 2002/20/CE, 2002/21/CE et 2002/22/CE du Parlement européen et du Conseil, ont été substantiellement modifiées. La directive 2018/1972 a été transposée en droit français en mai 2021 (7). L’objectif clé de ce Code européen des communications électroniques est de créer un ensemble complet de règles actualisées pour réglementer les communications électroniques et protéger les citoyens de l’UE lorsqu’ils communiquent par le biais de services traditionnels ou sur le web, d’encourager la concurrence entre les opérateurs de télécommunications et de garantir que les autorités réglementaires nationales sont protégées contre les interventions extérieures ou les pressions politiques.

En tant que fournisseur de services cloud, OVHcloud est soumis à des obligations lorsque le Groupe fournit des services à des organisations du secteur de la santé. Par exemple, la loi française impose aux hébergeurs de données de santé (c’est-à-dire toute personne hébergeant des données de santé à caractère personnel collectées dans le cadre d’activités de prévention, de diagnostic, de soins ou de suivi social et médical pour le compte de personnes physiques ou morales ayant produit ou collecté ces données ou pour le compte des patients eux‐mêmes) de respecter des obligations spécifiques. Ces obligations incluent l’obtention d’une certification appropriée ou d’un accord préalable des autorités publiques conformément au Code de la santé publique français, et la conclusion d’une convention avec les clients du secteur de la santé, fixant les dispositions obligatoires prescrites par l’article L. 1111‐8 du Code de la santé publique. OVHcloud est également soumis aux exigences des autres juridictions dans lesquelles il opère, telles que l’Italie, la Pologne, l’Allemagne et le Royaume‐Uni. 

En 2016, OVHcloud a bénéficié de l’agrément « Hébergeur de données de santé » et, depuis 2018, le Groupe exploite un système de gestion permettant à plusieurs de ses offres cloud de se conformer aux exigences de cet agrément. En 2019, OVHcloud a obtenu la certification française HDS (hébergeur de données de santé) pour son offre de Hosted Private Cloud. En 2020, cette certification a été étendue aux serveurs dédiés d’OVHcloud, puis à l’offre de cloud public d’OVHcloud et à Trusted Exchange en 2021. 

Les entreprises du secteur financier (y compris les établissements de crédit et les entreprises d’investissement) peuvent également être soumises à des obligations spécifiques au secteur qui peuvent se refléter sur OVHcloud dans le cadre de la fourniture de ses services. Notamment, en 2019, l’Autorité bancaire européenne (« ABE ») a publié des « Recommandations sur l’externalisation vers des fournisseurs de services cloud » applicables aux accords d’externalisation. Ces recommandations créent des obligations en matière de sécurité des systèmes d’information et de droits d’audit au profit des banques externalisatrices, qu’elles doivent imposer à leurs fournisseurs de services en cloud lorsqu’elles utilisent leurs services. OVHcloud s’efforce de proposer des conditions contractuelles applicables aux opérateurs de services financiers qui garantissent que les clients sont en mesure de mettre en œuvre une politique d’externalisation conforme aux recommandations de l’ABE et aux réglementations locales européennes. 

Les opérateurs de services financiers peuvent également exiger d’OVHcloud de se conformer à la réglementation nationale spécifique. Par exemple, OVHcloud peut avoir à se conformer aux réglementations françaises telles que celle de l’Autorité de contrôle prudentiel et de résolution (« ACPR ») sur les services essentiels externalisés comme les opérations bancaires. Les entreprises qui externalisent des services essentiels doivent s’assurer que les prestataires garantissent la protection des informations confidentielles, mettent en place des mécanismes de secours en cas de difficultés importantes affectant la continuité du service et permettent à l’ACPR, dans l’exercice de ses missions, d’accéder aux informations essentielles externalisées. En ce qui concerne les procédures internes de gestion de la sécurité des systèmes d’information, l’American Institute of Certified Public Accountants (« AICPA ») a délivré à OVHcloud les certifications SOC I‐II type 2. 

En ce qui concerne l’hébergement des données bancaires et la réduction de la fraude à la carte bancaire, la plus importante offre du Hosted Private Cloud d’OVHcloud est conforme à la norme de sécurité des données de l’industrie des cartes de paiement (« PCI DSS »). Les datacenters d’OVHcloud en France, au Canada, au Royaume‐Uni, en Allemagne et en Pologne sont conformes à la norme PCI‐DSS.

Le 27 novembre 2022, le Conseil de l’Union européenne a adopté le règlement sur la résilience opérationnelle numérique du secteur financier (« DORA »). Ce texte faisant suite à une proposition de la Commission européenne de 2020 impose un certain nombre d’exigences aux accords d’externalisation vers des fournisseurs de services cloud dans le secteur financier. Le règlement proposé couvre un large éventail d’entités financières réglementées, notamment les établissements de crédit (tels que les banques), les dépositaires centraux de titres, les compagnies d’assurance et certains gestionnaires de fonds, entre autres. Il impose à ces entités financières un certain nombre d’exigences en matière de gestion des risques liés aux technologies de l’information et des communications, dont certaines s’appliquent directement aux activités cloud externalisées. 

En particulier, les entités du secteur financier couvertes par le règlement proposé sont tenues de prendre un certain nombre de mesures pour faire face aux risques dans leurs relations avec des tiers, tels que les fournisseurs de services cloud, notamment en s’assurant que leurs contrats de services cloud fournissent une description complète des services proposés avec des objectifs de performance qualitatifs et quantitatifs, et comprennent des dispositions régissant l’intégrité, la sécurité, la protection des données personnelles, la récupération en cas de défaillance, les droits d’inspection et d’audit, et des dispositions de résiliation avec des stratégies de sortie claires. Le règlement envisage l’approbation de clauses contractuelles types par la Commission européenne. 

En outre, le règlement impose un nouveau cadre de surveillance aux prestataires de services tiers critiques (y compris les fournisseurs de services cloud), les soumettant à des plans de surveillance individuels adoptés par les organismes européens de réglementation financière chargés de la surveillance des banques, des marchés des valeurs mobilières ou des compagnies d’assurance, selon le secteur qui utilise principalement les services du prestataire concerné. La détermination des services critiques dépend de leur impact systémique potentiel, de la dépendance des entités financières à leur égard pour des fonctions critiques et de l’existence d’alternatives. Le plan de surveillance peut imposer des exigences dans des domaines tels que la sécurité et la qualité, les conditions contractuelles et la sous‐traitance, avec des sanctions financières en cas de non‐respect, pouvant aller jusqu’à 1 % du chiffre d’affaires mondial du prestataire au cours de l’année la plus récente. Les organismes de surveillance disposent de droits d’inspection et d’audit et de pouvoirs d’enquête étendus. Le règlement adopté interdit également aux entités financières de faire appel à un prestataire d’un pays situé en dehors de l’UE pour les fonctions critiques du cloud. 

Plusieurs des datacenters d’OVHcloud sont situés dans d’anciens bâtiments industriels, dont certains sont classés comme présentant des risques environnementaux ou autres en vertu de la législation française applicable. Les datacenters d’OVHcloud situés hors de France peuvent également être classés comme présentant des risques environnementaux en vertu des réglementations locales. Afin de se conformer aux réglementations applicables, OVHcloud est parfois tenu de soumettre des demandes et d’obtenir des autorisations d’exploitation. Dans le cadre du processus de demande, OVHcloud peut être tenu de prendre certaines mesures correctives. 

En outre, des permis d’exploitation sont requis dans la plupart des pays où OVHcloud exploite ses datacenters. Ces réglementations concernent principalement les émissions atmosphériques, la gestion des déchets industriels, la gestion de l’eau et des effluents, la gestion des risques d’incendie et la gestion du bruit.

L’organigramme simplifié ci‐après présente l’organisation juridique de la Société et de ses filiales consolidées à la date du présent document d’enregistrement universel. Les pourcentages indiqués ci‐dessous représentent les pourcentages du capital social. Il n’y a pas eu de variation significative de détention du capital depuis la clôture de l’exercice le 31 août 2024.

Au cœur du mécanisme de gouvernance, le dispositif de gestion des risques d’OVHcloud contribue à l’atteinte des objectifs stratégiques du Groupe et participe à la préservation de ses actifs et de sa réputation. Il permet également de mobiliser les collaborateurs autour d’une approche commune des risques. OVHcloud s’est engagé à évaluer régulièrement les risques et à mettre en place un contrôle interne et des plans d’action visant à leur atténuation.

Le dispositif de gestion des risques vise à identifier, analyser et piloter les principaux risques auxquels est exposé le Groupe. Il contribue à la maîtrise et à la sécurisation des activités, à l’efficacité des opérations et à l’utilisation efficiente des ressources.

Ce dispositif comprend un ensemble de processus, dont l’objectif est d’identifier les risques, de les évaluer et de les prioriser, de les prévenir et de les maîtriser, de diffuser la culture de la gestion des risques et de suivre les plans d’action permettant de les limiter. Il s’appuie sur les collaborateurs du Groupe, en particulier l’audit interne et la conformité, et au besoin sur des expertises externes. 

Pour les risques liés aux aspects RSE, se référer au chapitre 3 « État de durabilité » qui intègre les nouvelles exigences liées à la CSRD, du présent document d’enregistrement universel.

Le Groupe a établi dès 2020 une cartographie des risques, qui a été mise à jour en 2022 et 2023. En 2025, la cartographie a été revue avec le nouveau directeur général, dans le cadre de la gouvernance de suivi des risques. Des ajustements de certains niveaux ou dénominations de risques ont été effectués.

Le processus d’élaboration de la cartographie des risques, mené avec l’ensemble des composantes de l’entreprise, et en impliquant le top management de toutes les activités du Groupe, a permis d’identifier les principaux risques auxquels le Groupe est exposé et d’apprécier pour chacun d’eux leur impact potentiel, prenant en compte leur criticité et leur probabilité d’occurrence. La cartographie des risques du Groupe est également nourrie par des cartographies de risques spécifiques, telles que les cartographies cybersécurité ou anticorruption, et par un travail de veille sur les risques opérationnels et les risques émergents. 

Les risques les plus significatifs ont été rassemblés en différentes familles (stratégie et marchés, opérationnels, ressources humaines, financiers, réglementaires et juridiques, systèmes d’information) et font l’objet d’une description de leurs causes et impacts potentiels, ainsi que des actions déployées pour gérer les risques.

La direction du Groupe, le Conseil d’administration et le comité d’audit suivent avec attention la gestion des risques et en définissent la stratégie la plus appropriée. 

Pour chaque risque, un ou plusieurs responsables sont nommés. Ils ont pour rôle de compléter l’analyse du risque, d’identifier les actions et moyens nécessaires à sa réduction, et de piloter les plans d’action correspondants.

La pertinence et l’avancement des plans d’action sont suivis par des membres du comité exécutif du Groupe, dont le directeur général, le directeur financier et le directeur juridique, qui les revoient à un rythme trimestriel. La cartographie des risques et les plans d’action font l’objet d’une présentation annuelle au comité d’audit du Groupe, complétée sur demande de présentations ponctuelles.

La politique du Groupe en matière d’assurance vise à protéger ses collaborateurs, ses actifs, ses clients et ses actionnaires contre les conséquences financières d’événements majeurs.

Elle a pour finalité d’assurer la continuité d’activité et la résilience opérationnelle des services fournis aux clients, de réduire l’exposition financière du Groupe en cas de sinistre et de renforcer la confiance de l’ensemble de ses interlocuteurs.

Elle vient compléter les dispositifs de prévention et de maîtrise des risques mis en place par le Groupe, tels que :

• ▶la politique active de prévention et de protection de ses sites industriels notamment avec son plan de prévention « Hyper Résilience » (HYR), visant à les protéger contre les risques d’incendie. Le Groupe fait auditer annuellement la majorité de ses sites industriels par les ingénieurs préventionnistes de son courtier et de ses assureurs ;
• ▶les sessions de sensibilisation du risque incendie avec une approche technique et assurantielle auprès d’un panel large d’opérationnels ;
• ▶le développement de la prévention des risques, tels que les expositions aux catastrophes naturelles ou environnementales qui permet par ailleurs d’étoffer la couverture assurantielle existante.

La politique assurantielle s’inscrit dans la stratégie globale du Groupe en tenant compte des spécificités liées à son secteur d’activité, à sa croissance et à sa forte présence à l’international.

Afin de garantir la pertinence et l’adéquation du programme d’assurance, le département juridique travaille constamment à l’identification des risques susceptibles de faire l’objet d’une couverture assurantielle en lien avec l’ensemble des directions (financière, résilience et QSE, IT, ressources humaines, etc.). Parmi ces risques, nous pouvons citer :

• ▶l’ensemble des dommages liés aux infrastructures (incendie, explosion, événements naturels, etc.) ;
• ▶les risques cyber (dommage, vol, extorsion, piratage téléphonique, etc.) ;
• ▶les risques de responsabilité civile professionnelle et de responsabilité liée à l’exploitation du Groupe ;
• ▶les risques de responsabilité des dirigeants et mandataires sociaux ;
• ▶les risques liés à la sécurité des collaborateurs ;
• ▶les risques liés aux déplacements professionnels ;
• ▶les risques liés au transport de marchandises.

En s’appuyant sur le cadre de référence de l’AMF, OVHcloud met en place un dispositif de contrôle interne comprenant un ensemble de moyens, de politiques, de comportements, de procédures et d’actions adaptées, visant à s’assurer :

• ▶de l’application des instructions et des orientations fixées par la direction ;
• ▶du fonctionnement des processus internes permettant l’efficacité et la maîtrise des activités ;
• ▶de la fiabilité des informations comptables et financières ;
• ▶de la conformité aux lois et règlements ;
• ▶de la maîtrise des risques.

Un ensemble d’acteurs intervient dans le dispositif de contrôle interne.

Par délégation du Conseil d’administration, il incombe au comité d’audit de suivre le processus d’élaboration de l’information financière et de suivre l’efficacité des systèmes de contrôle interne et de gestion des risques et d’audit interne.

Le Conseil d’administration est informé par les membres du comité d’audit sur ces aspects.

Les missions détaillées du Conseil d’administration et du comité d’audit sont décrites dans le chapitre  4.1 « Présentation de la gouvernance ».

La direction générale est responsable du déploiement du dispositif de contrôle interne et du pilotage de la cartographie des risques. Pour ce faire, la direction générale s’appuie sur la direction financière et la direction de l’audit, contrôle interne et risques.

La 1re ligne de maîtrise est constituée par les opérations qui formalisent et mettent en œuvre des processus opérationnels pour assurer la maîtrise des opérations au quotidien et leur contrôle interne.

Le contrôle interne est intégré à la mission de chaque direction opérationnelle. Ainsi, le management des directions opérationnelles est chargé de vérifier la bonne application des procédures et contrôles de 1er niveau en réalisant des contrôles de 2e niveau, par exemple par des échantillonnages, par la mise en place de contrôles applicatifs, de circuits de validation. La fonction contrôle de gestion peut également être en charge de la réalisation de contrôles de 2e niveau.

Enfin, les directions fonctionnelles se chargent de définir des référentiels et contrôles applicables par toutes les entités commerciales et industrielles et de piloter les risques opérationnels sur leur périmètre respectif : par exemple, les directions juridiques, qualité, normes, sécurité et environnement de travail, cybersécurité, ressources humaines, finance, assurances. Ces directions fonctionnelles peuvent également être amenées à vérifier la bonne application des règles de 1er niveau par des campagnes de contrôles de 2e niveau.

Dans une optique de renforcement de son contrôle interne et de coordination, OVHcloud a créé une direction de l’audit, contrôle interne et risques, rattachée à la direction financière du Groupe. Cette direction assiste les directions opérationnelles et fonctionnelles dans la construction de leurs dispositifs de contrôles de 1er et 2e niveaux. La direction de l’audit, contrôle interne et risques réalise également des campagnes de contrôles internes basées sur l’autoévaluation par les directions opérationnelles de la bonne application des contrôles. Le comité d’audit suit le déploiement du dispositif de contrôle interne.

La 3e ligne de maîtrise est constituée par la direction de l’audit, contrôle interne et risques. Sur la base d’un plan d’audits annuels, validé par la direction générale et par le comité d’audit, des missions d’audit sont réalisées en toute indépendance et font l’objet d’un rapport de mission qui identifie les risques éventuels et les plans d’action nécessaires à la réduction du risque.

Les conclusions des missions d’audit interne sont restituées aux directions opérationnelles, ainsi qu’à la direction générale et au comité d’audit pour les principaux constats afin de donner une assurance raisonnable sur l’efficacité du dispositif de contrôle interne et de gestion des risques. 

Le suivi des plans d’action est présenté au comité exécutif ainsi qu’au comité d’audit, deux fois par an. Par ailleurs, l’audit interne dispose de toute l’indépendance pour effectuer, si cela devait s’avérer nécessaire, des alertes auprès de la direction générale et des administrateurs.

Cet état de durabilité pour l’exercice 2025 a été établi en conformité avec la directive de l’Union européenne (directive 022/2464) sur l’état de durabilité des entreprises (Corporate Sustainability Reporting Directive, CSRD) telle que transposée en France selon l’ordonnance de transposition n° 2023-1142 du 6 décembre 2023 et avec le règlement européen (règlement UE 2020/852) sur la taxonomie verte, qui établit un système de classification pour identifier les activités économiques durables sur le plan environnemental.

OVHcloud présente cette année ses informations de durabilité annuelles du Groupe consolidé selon les normes européennes ESRS (European Sustainability Reporting Standards) tel que requis par la directive CSRD.

Le périmètre de consolidation retenu est identique à celui des états financiers consolidés d’OVHcloud. Il sera précisé dans les différentes parties lorsqu’il y a des exclusions de périmètre.

L’analyse des enjeux de durabilité a par ailleurs été conduite sur la chaîne de valeur amont et aval du Groupe ; il en est de même pour la politique et les plans d’action quand cela s’applique.

L’état de durabilité porte sur l’ensemble des activités d’OVHcloud et couvre la chaîne de valeur amont et aval du Groupe. Les politiques, actions et cibles sont appliqués dans l’ensemble de la chaîne de valeur considérée, afin de traiter les impacts, risques et opportunités (IRO) dont le caractère matériel a été établi à l’issue de l’analyse de double matérialité.

Ce premier rapport a été établi au mieux de la compréhension des textes relatifs aux normes ESRS. Ce premier exercice d’application de la directive et de l’analyse de matérialité est caractérisé par des incertitudes sur l’interprétation des textes, l’absence de processus établit et de données comparatives dans quelques rares cas ainsi que quelques difficultés de collecte de données en particulier au sein de la chaîne de valeur.

OVHcloud n’a pas fait usage de l’option permettant d’omettre une information particulière relative à la propriété intellectuelle, au savoir-faire ou aux résultats d’innovations.

Sauf contre-indication spécifiée, les termes « court », « moyen » et « long » termes utilisés dans l’analyse sont définis en cohérence avec les dispositions énoncées dans l’ESRS 1. La période de référence pour cette analyse étant 2024, les échéances à court, moyen et long termes sont respectivement définies comme étant d’un an ou moins (2025), de deux à cinq ans (2026 à 2029) et dépassant cinq ans (à partir de 2030 et au-delà).

Le Groupe a, dans quelques cas, eu recours à des estimations notamment pour l’obtention d’information sur la chaîne de valeur dans le cas des émissions de GES (gaz à effet de serre) ou a procédé à des interprétations, notamment sur les métriques demandées sur les ressources entrantes dont il est impossible de mesurer l’exhaustivité. Ces estimations sont décrites dans la note méthodologique en section 3.2.5 « Note méthodologique d’évaluation de l’empreinte environnementale ».

À l’avant‑garde du cloud durable, OVHcloud intègre la durabilité au cœur de son modèle d’affaires depuis sa création en développant des innovations industrielles lui permettant de limiter son impact environnemental. Durant l’exercice 2025, OVHcloud a poursuivi sa trajectoire de performance en matière de climat. Fort de son engagement auprès de la SBTi, OVHcloud fait de l’atténuation du changement climatique un axe important de sa stratégie de Groupe.

OVHcloud a intégré des critères environnementaux directement liés à l’atteinte de ses objectifs ESG dans la rémunération variable de ses dirigeants (voir les sections 3.1.2.3 « GOV-3 – Intégration des performances en matière de durabilité dans les mécanismes d’incitation » et 4.5 « Rémunérations et avantages » du chapitre 4 du DEU).

Le tableau ci-dessous liste les IRO liés au changement climatique qu’OVHcloud a estimé comme matériels lors de l’analyse de double matérialité :

Parmi les risques identifiés dans l’analyse de la double matérialité :

• ▶deux risques physiques :
  • •événement physique ou climatique extrême causant des perturbations (voire des interruptions) de la croissance du Groupe du fait d’une rupture d’approvisionnement de la chaîne de valeur amont,
  • •événement physique ou climatique extrême (hors accès à l’eau) causant des perturbations (voire des interruptions) des opérations des datacenters, entraînant des dommages réputationnels, une perte de revenus et une hausse des coûts (pénalités, réparations de l’infrastructure) ;
• ▶un risque de transition :
  • •renforcement de la réglementation locale en matière d’adaptation au changement climatique, générant des coûts (ex. : investissements dans l’adaptation des infrastructures).

OVHcloud, dans son analyse, prend en considération les réalités environnementales liées à son modèle d’affaires, que ce soient les exigences externes de réduction des GES ou les risques liés au changement climatique sur son activité, ainsi que sur sa chaîne de valeur. Par risques liés au changement climatique, il est entendu les catastrophes naturelles et événements climatiques extrêmes, ainsi que le renforcement des réglementations encadrant les entreprises en matière d’adaptation au changement climatique. Dans ce cadre, une évaluation des risques climatiques a été menée sur la base de l’analyse des scénarios de risques climatiques décrite ci-après.

En 2024, OVHcloud a réalisé une analyse de risques climatiques sur tous ses sites industriels (datacenters et centres d’assemblage), ainsi que les bureaux de Roubaix et Croix (ceux-ci partagent les bâtiments avec des sites industriels).

Cette dernière, réalisée par un organisme externe, utilise une analyse des risques climatiques pour évaluer les risques physiques pour quatre scénarios de changement climatique évoqués par le GIEC (Groupe d’experts intergouvernemental sur l’évolution du climat), ainsi que la sinistralité régionale à quatre horizons temporels différents (2030, 2040, 2050, 2100), les risques variant suivant ces différents horizons (par exemple la fréquence des canicules augmente dès 2030, et la submersion marine en 2100). Les quatre scénarios, dits SSP (Shared Socio-economic Pathways) sont les suivants, allant du moins risqué au plus risqué :

• ▶le scénario SSP1 – 2.6 : le scénario décrit un avenir axé sur le développement durable, avec une transition mondiale vers une énergie propre, une gouvernance renforcée et des modes de vie sobres. Les émissions de CO2 diminuent, limitant le réchauffement à environ 1,8 °C d’ici 2100 par rapport à l’ère préindustrielle. Ce scénario réduit nettement l’intensité et la fréquence des événements climatiques extrêmes comparé à des trajectoires plus chaudes, tout en restant compatible avec l’accord de Paris ;
• ▶le scénario SSP2 – 4.5 : ce scénario prolonge les tendances socio-économiques actuelles, avec croissance modérée, progrès technologiques lents et inégalités persistantes. Les émissions de CO2 restent stables jusqu’à 2050 puis déclinent, entraînant un réchauffement moyen d’environ + 2,7 °C d’ici 2100 par rapport à l’ère préindustrielle. Les défis sont de niveau moyen à élevé pour la mitigation et l’adaptation ;
• ▶le scénario SSP3 – 7.0 : scénario marqué par un repli nationaliste, un faible investissement dans l’éducation et la technologie, ainsi qu’une croissance économique lente et inégalitaire. Les émissions de GES doublent d’ici 2100, menant à un réchauffement d’environ + 3,6 °C à + 4,6 °C. Les défis pour la mitigation et l’adaptation y sont très élevés ;
• ▶le scénario SSP5 – 8.5 : intensification des modes de vie à forte consommation énergétique, alimentés par une exploitation massive des énergies fossiles, tout en bénéficiant d’une forte croissance et de progrès technologiques. Les émissions de CO2 doublent déjà vers 2050, pouvant tripler en fin de siècle, et le réchauffement atteint environ + 4,4 °C en 2100 (entre + 3,3 °C et + 5,7 °C selon les modèles). Malgré des capacités adaptatives élevées, l’absence de politiques climatiques rend ce scénario très risqué.

En fonction des scénarios, de leur horizon temporel et de leur gravité, l’exposition potentielle aux risques physiques serait la suivante :

• ▶en matière de catastrophes naturelles extrêmes : augmentation des événements tels que les inondations, sécheresses, feux de forêt, cyclones, tsunamis, pouvant endommager les infrastructures et perturber les opérations ;
• ▶en matière de pénuries de ressources : risques de pénuries occasionnelles ou permanentes impactant les opérations et par conséquent un potentiel renforcement des réglementations (durcissement des normes sur la gestion de l’énergie, l’utilisation de l’eau et l’éco-conception).

Ces impacts climatiques peuvent entraîner subséquemment de potentiels risques financiers tels que :

• ▶des investissements accrus : l’environnement réglementaire devient plus complexe en termes de normes environnementales et de conformité, nécessitant des ressources supplémentaires pour assurer la conformité ;
• ▶des coûts opérationnels accrus : par exemple, les vagues de chaleur peuvent augmenter les coûts de fonctionnement des systèmes de refroidissement. Ce phénomène impacte aussi les locaux afin de conserver de bonnes conditions de travail pour les employés du Groupe ;
• ▶une perturbation des services : impossibilité de fournir les services selon les conditions contractuelles, entraînant des compensations financières ou des surcoûts ;
• ▶des pénuries de matières premières : le changement climatique peut provoquer des pénuries, rendant l’accès aux matières premières plus coûteux.

OVHcloud a identifié les IRO matériels liés au climat dans le cadre de son analyse de double matérialité comme évoqué précédemment.

Dans le cadre de son analyse et de son évaluation des risques physiques, le Groupe s’est basé sur les données historiques, majoritairement sur les scénarios optimistes et parfois sur les scénarios plus pessimistes, qui prévoient une augmentation de la fréquence et de l’intensité des événements climatiques extrêmes tels que les inondations, sécheresses, feux de forêt, cyclones, etc., pouvant endommager les infrastructures physiques et perturber les opérations du Groupe ou pouvant impacter négativement sa chaîne de valeur. Le scénario SSP1 – 2.6 a aussi été pris en considération dans le cadre d’un risque financier généré par le renforcement des réglementations environnementales occasionnant des coûts supplémentaires.

Dans le cadre de l’atténuation du changement climatique, les scénarios SSP1 et SSP2 ont été pris en considération. La matérialité a été établie en prenant en compte l’importance des émissions de GES telles qu’elles ressortent actuellement, sans moyen de remédiation et dans une approche plutôt business-as-usual. Sujet d’actualité, l’impact environnemental des datacenters et leurs émissions est immanquablement un sujet matériel pour le Groupe.

Concernant l’énergie, en raison de l’impact des datacenters sur l’appropriation d’énergie, notamment avec la croissance de l’IA (intelligence artificielle) générative, le Groupe a identifié deux impacts négatifs à la fois pour ses opérations propres mais aussi pour sa chaîne de valeur.

OVHcloud place la réduction de ses émissions de GES au cœur de ses ambitions, au travers de trois axes de travail :

• ▶réduction des émissions compressibles d’ici 2030 ;
• ▶implication de l’écosystème : partenaires, clients, fournisseurs, collaboratrices et collaborateurs dans une démarche de réduction de leur empreinte carbone ;
• ▶participation à l’augmentation des puits de carbone pour l’ensemble des émissions résiduelles.

OVHcloud a élaboré une stratégie de court terme menant aux objectifs décrits ci-dessus. Ces objectifs ont été élaborés en intégrant les ressources nécessaires à leur atteinte au business plan du Groupe.

Le bilan carbone établi en 2022 (année de référence) a fait l’objet d’une vérification par un organisme externe.

OVHcloud s’est engagé depuis 2023 dans sa démarche auprès de la SBTi, référentiel international permettant aux organisations d’aligner leur stratégie de décarbonation sur la trajectoire définie par l’accord de Paris.

La SBTi a jugé les deux objectifs de court terme d’OVHcloud établis selon un parcours sectoriel spécifique (softwares & services) comme étant compatibles avec l’objectif planétaire à 1,5 °C.

La réduction des émissions compressibles se traduit par les engagements de court terme pris et validés par l’organisation SBTi en fin 2024.

Les principaux objectifs de réduction sont décrits ci-après :

OVHcloud n’est pas engagé dans les activités répondant aux critères d’exclusion des articles 12.1 (1) et 12.2 (2) du règlement délégué UE 2020/1818 de la Commission du 17 juillet 2020.

OVHcloud n’a pas d’émissions verrouillées, car les actifs de l’entreprise sont principalement alimentés par les réseaux électriques.

Les principaux leviers de décarbonation sont les suivants :

• ▶décarbonation du mix énergétique et amélioration de l’efficacité énergétique (scopes 1&2) ;
• ▶achat d’équipement plus performant et mise en œuvre de la circularité (scope 3).

Une liste exhaustive des leviers de décarbonation ainsi que leur mise en œuvre est présentée dans la partie ci-dessous 3.2.1.6 « E1-3/E4 – Actions et objectifs liés aux politiques de changement climatique ».

Les engagements de court terme ont été approuvés par le comité exécutif et la direction générale du Groupe, signataires de la lettre d’engagement à SBTi et de la politique RSE du Groupe.

Sur le volet de l’adaptation, OVHcloud a priorisé l’adaptation aux risques physiques pouvant entraîner un arrêt d’activité.

Ces initiatives s’inscrivent dans une démarche proactive d’adaptation aux impacts du changement climatique, assurant ainsi la pérennité des infrastructures et des services d’OVHcloud.

Le Groupe a implémenté le programme « hyper résilience », visant à renforcer la sécurité physique et la continuité des services face aux événements extrêmes. Ce programme inclut la construction de centres de données répondant à des normes de sécurité renforcées.

De plus, l’analyse des scénarios climatiques a permis de définir des plans d’action spécifiques par site, présentés à la gouvernance de suivi des risques. Des mesures ont été prises afin de pallier les risques prévalents sur les différents lieux d’implantation des infrastructures du Groupe, afin de limiter le risque d’arrêt d’activité ou d’interruption de service (grêle, tempête, froid, inondations…). Par ailleurs, le Groupe réalise des analyses de risques avant d’acquérir de nouveaux sites.

Le Groupe étudie encore les priorités à moyen et long termes pour diminuer son exposition aux risques quantifiés au travers des différents scénarios.

Depuis 2022, OVHcloud a lancé sa démarche sur le changement climatique, affinant ses objectifs et structurant sa démarche, en mobilisant divers acteurs du Groupe et de sa chaîne de valeur. C’est dans cette optique que différentes directions du Groupe soutiennent cette transition en élaborant des politiques engagées.

La politique RSE couvre l’ensemble des entités du Groupe sur les thématiques environnementales et définit les objectifs environnementaux.

Le Code de conduite fournisseurs ainsi que la politique d’achat responsable viennent renforcer cette démarche en intégrant des critères relatifs au changement climatique. La direction des achats exige de ses fournisseurs de réduire leurs émissions de GES, en privilégiant les solutions bas carbone et en sensibilisant leurs salariés à l’enjeu climatique, et de fournir à OVHcloud les données nécessaires pour calculer ses propres émissions carbone de manière précise et dans des délais raisonnables. Elle exige par ailleurs de ses fournisseurs qu’ils s’engagent à améliorer leur efficacité énergétique.

Le tableau ci-dessous résume les actions et objectifs d’OVHcloud sur les thématiques du changement climatique :

Une attention constante est portée sur l’efficacité énergétique notamment sur le watercooling, fondement et pierre angulaire des technologies de refroidissement déployées depuis plus de 20 ans et utilisées à grande échelle. Cette technologie supprime le besoin de climatisation dans les salles de serveurs, ce qui présente des avantages significatifs en termes de gestion des coûts et de réduction des impacts environnementaux.

Le refroidissement direct par eau élimine la chaleur des composants les plus énergivores que sont les processeurs (CPU, GPU) et l’air (qui est ensuite refroidi à l’intérieur du « rack », en utilisant de l’eau à travers un échangeur de chaleur), et élimine la chaleur des autres composants. L’eau réchauffée est ensuite refroidie à l’aide de tours de refroidissement sèches (Drycoolers). OVHcloud se distingue par son système en circuit fermé limitant la déperdition de liquides, mais également par l’utilisation de refroidisseurs à sec et l’absence d’air conditionné dans les salles de serveurs. Outre son efficacité en termes de consommation d’eau et d’énergie, la technologie watercooling d’OVHcloud présente des coûts de maintenance relativement faibles.

Le déploiement des derniers systèmes de refroidissement (5e génération) s’est poursuivi en 2025, permettant d’opérer l’infrastructure à des régimes de température d’eau plus élevée, à plus haut rendement (PUE partiel de 1,06).

Le déploiement des nouvelles tranches électriques fait l’objet d’installations d’équipements plus efficaces (UPS – Uninterrupted Power Supply ou onduleurs – à hauts rendements, gaines à barre).

Le plan de modernisation des datacenters les plus anciens, tels que RBX1 (Roubaix 1), est en cours de réalisation. Cette modernisation permettra d’améliorer l’efficacité énergétique du Groupe, les datacenters les plus anciens ayant une performance énergétique moins efficace que les datacenters récents.

Toujours dans le cadre de la chasse au gaspillage, les datacenters détenus en propre mettent en œuvre des réglages optimisés dans les salles qui demeurent climatisées (salles réseau, salles techniques ou batteries). Les serveurs non utilisés sont éteints pour éviter les consommations d’énergie inutiles.

La mise en œuvre du plan de performance énergétique, en concertation avec la DREAL (direction régionale de l’environnement, de l’aménagement et du logement), se poursuit à Gravelines, tandis que des études relatives à la récupération de la chaleur fatale sont réalisées sur les sites de Roubaix et Strasbourg.

Une fraction de cette chaleur fatale issue des serveurs informatiques est d’ores et déjà réutilisée en interne afin de :

• ▶chauffer les bureaux du site de Limburg (Allemagne), permettant des économies de gaz de l’ordre de 100 000 kWh ;
• ▶préchauffer les groupes électrogènes de Roubaix.

La performance énergétique peut s’évaluer selon les processus mis en œuvre au sein du Groupe ; elle est en amélioration constante comme en témoignent l’obtention de la certification ISO 50001 portant sur l’amélioration de la performance énergétique, et la progression continue de l’indicateur de performance énergétique PUE. Ce dernier s’établit en effet à 1,24 à la fin de l’exercice 2025 (contre 1,26 à la fin de l’exercice 2024).

À ce titre, OVHcloud a étendu cette année la certification ISO 50001 à ses datacenters européens (Erith (Royaume-Uni), Limburg (Allemagne), Ozarow (Pologne)) en plus des datacenters français, déjà certifiés les années précédentes.

OVHcloud participe également au Code de conduite européen pour l’efficacité énergétique, tous ses datacenters exploités en propre étant désormais inscrits, incluant même les datacenters nord-américains.

Les résultats en matière de PUE sont donnés ci-dessous :

La consommation d’énergie IT (consommation d’énergie électrique des systèmes informatiques) des datacenters opérés en propre est mesurée dans tous les datacenters à l’exception des premiers datacenters de Beauharnois (BHS). Le Groupe a estimé que cela représentait un panel pertinent et représentatif. Le taux de couverture de la mesure évoluera naturellement vers 100 % au gré des modernisations futures des premiers datacenters de BHS. 

La fourniture d’énergie renouvelable est un objectif en tant que tel pour OVHcloud. Pour ses datacenters détenus en propre, le Groupe s’est fixé pour objectif d’atteindre 100 % de fourniture d’électricité d’origine renouvelable d’ici à 2025.

À ce titre, plusieurs CPPA (Corporate Power Purchase Agreements) ont été signés, notamment :

• ▶en France, pour 40 GWh/an, en production depuis le 1er janvier 2025 ;
• ▶en Allemagne, pour 25 GWh/an, en production depuis le 1er janvier 2025 ;
• ▶en Pologne, pour 5 GWh/an, qui rentrera en production en 2026.

OVHcloud mettra en place d’autres CPPA afin de garantir son approvisionnement en électricité décarbonée et renouvelable.

Des EAC (Energy Attribute Certificates ou certificats d’attributs énergétiques) sont également acquis dans les différents pays dans lesquels OVHcloud opère ses datacenters.

En plus de l’électricité, les datacenters d’OVHcloud consomment, à la marge, du fioul domestique. Ce fioul domestique est utilisé à des fins de production d’électricité en ultime secours, via les groupes électrogènes de secours en place dans les datacenters.

Les consommations de fioul domestique, bien que faibles, sont (sauf en cas de coupure) dues aux maintenances et aux tests de coupure.

OVHcloud substitue peu à peu le carburant d’origine fossile (fioul domestique) de ses groupes électrogènes par du carburant de type « HVO » (Hydrotreated Vegetable Oil), issu de déchets et de résidus d’origine organique (et non concurrente des cultures alimentaires).

Les datacenters de Roubaix, Gravelines, Strasbourg et Erith en sont désormais dotés.

Les résultats en matière de REF sont détaillés ci-dessous :

La réduction des scopes 1 et 2 est essentiellement portée par les sujets décrits dans les deux paragraphes précédents :

• ▶l’amélioration de l’efficacité énergétique ;
• ▶l’acheminement d’énergie renouvelable et décarbonée.

Une autre source d’émissions de GES provient de l’utilisation de fluides frigorigènes (HFC) dans les datacenters. Des émissions fugitives, causées par des fuites fortuites de circuits de climatisation en sont la cause.

La majorité des fluides frigorigènes installés dans les datacenters en opérations propres d’OVHcloud est dans son datacenter le plus ancien, RBX1. Ce datacenter sera mis à niveau dans les années à venir, et bénéficiera des technologies de refroidissement watercooling, aujourd’hui en place dans les datacenters les plus récents. Ceci permettra d’une part d’en améliorer la performance énergétique, mais également de ne pas recourir aux HFC, supprimant donc le risque de fuite à la racine.

Plus généralement, une attention particulière est portée au respect du protocole de Kyoto et de l’amendement de Kigali : une utilisation de HFC en moindre quantité, et de meilleure qualité (ie avec des pouvoirs de réchauffement globaux moins importants). En effet, depuis 2011, les salles serveurs exploitées dans les datacenters en propre d’OVHcloud sont dépourvues de refroidissement par détente directe, et ne dépendent pas de HFC. Depuis 2020, les salles UPS sont également refroidies grâce au watercooling. Seules les salles batteries et les salles réseau sont aujourd’hui climatisées dans les datacenters OVHcloud, soit moins de 5 % de la chaleur à évacuer dans les datacenters.

La liste des actions concourant à la diminution des scopes 1 et 2 est synthétisée ci-dessous :

Première source d’émission du Groupe durant l’année de référence 2022 avec plus de 62 700 tCO2e, l’achat des composants informatiques est le principal poste sur lequel OVHcloud agit.

D’une part, l’empreinte carbone des composants informatiques a été calculée sur la base des données issues d’études comparatives menées par un tiers indépendant expert du numérique responsable et du Green IT.

OVHcloud a, depuis, mis en place un processus de collecte de données primaires auprès de ses fournisseurs afin de mieux caractériser ces achats de composants.

En 2025, le Groupe a obtenu le facteur d’émission de 64 % de ses composants informatiques auprès de ses fournisseurs (en pourcentage d’unités fonctionnelles). 

D’autre part, la collecte de données primaires auprès des fournisseurs permet de réaliser des arbitrages sur les achats de composants.

Un autre axe d’évitement consiste à mettre en œuvre l’économie circulaire, sur les bâtiments et les composants informatiques. Bien que cette partie soit détaillée dans la section 3.2.3 ESRS E5 « Utilisation des ressources et économie circulaire », les externalités positives sont aussi à mettre au bénéfice de l’empreinte carbone d’OVHcloud. Le taux de réutilisation des composants est un bon indicateur pour quantifier les émissions évitées, dans la mesure où un composant réutilisé est un composant non acheté.

Concernant le matériel interne, nécessaire aux collaborateurs, OVHcloud met en œuvre des actions volontaires dans le but de prolonger leur durée de vie : sensibilisation, maintenances préventives, réparations. Au 31 août 2025, environ 40 % des ordinateurs portables confiés aux collaborateurs ont plus de trois ans, et 65 % des smartphones ont plus de deux ans.

Concernant les déplacements domicile-travail, le Groupe met en place des actions de promotion des mobilités douces, gratifiant notamment les salariés se rendant au travail à vélo ou en transports en commun.

De manière générale, la liste des actions concourant à la diminution du scope 3 est synthétisée ci-après :

L’affichage environnemental est un outil puissant permettant aux utilisateurs de mesurer l’ampleur de l’impact des produits et des services consommés. C’est avec le souci d’offrir aux clients une meilleure compréhension de l’empreinte carbone de leur infrastructure cloud, et de les aider ainsi dans leur transition environnementale, et dans leur choix en matière de consommation, qu’OVHcloud a développé sa « calculatrice carbone » désormais appelée Impact Tracker. Son changement de nom intervient à la suite des travaux de recherche d’OVHcloud pour rendre cet outil multicritères (cf. sections 3.2.2 « ESRS E3 – Ressources aquatiques et marines » et 3.2.3 « ESRS E5 – Utilisation des ressources et économie circulaire »).

Cet outil est le fruit d’un processus rigoureux d’élaboration d’une méthodologie fiable, robuste et exhaustive, ainsi que d’un développement informatique rapide. La méthodologie, qui a été auditée et certifiée par une société de conseil indépendante spécialisée dans le numérique responsable, est fondée sur les principes de l’ACV (analyse de cycle de vie), des bases de données de référence pour les facteurs d’impact environnementaux, telles que la Base IMPACTS® 3.0 de l’ADEME (Agence de l’environnement et de la maîtrise de l’énergie), et les premières recommandations du Product Category Rules dédié aux services numériques de l’ADEME. Pour fiabiliser les résultats de l’affichage environnemental de ses solutions, OVHcloud a travaillé en collaboration avec ses fournisseurs les plus importants, le monde universitaire (INRIA) et associatif (Boavizta) afin d’affiner la connaissance de l’empreinte carbone de leurs activités. Le Groupe dispose désormais de données plus précises concernant la fourniture d’accès à l’énergie, permettant un affichage en location-based et en market-based, et une part significative de ses composants en prenant en compte le reconditionnement de ceux-ci.

OVHcloud a lancé une première version de sa calculatrice carbone en juillet 2023 pour la gamme Bare Metal Cloud. Un premier enrichissement pour les clients de la gamme Hosted Private Cloud a eu lieu au cours du premier trimestre de l’exercice 2024. Un trimestre à peine après la mise à disposition auprès des clients, OVHcloud a reçu le Trophée Green pour sa calculatrice carbone lors du forum The Big Green, événement dédié à la RSE. Ce trophée récompense le haut niveau de technicité de la méthodologie de la calculatrice et son exhaustivité, OVHcloud étant le premier à rendre disponible des informations environnementales aussi complètes à ses clients. Depuis, l’outil s’est enrichi d’éléments de calcul plus précis grâce au double affichage des émissions liées à la phase d’usage (market-based et location-based) mais également concernant la phase de fabrication grâce à la prise en compte du reconditionnement des composants.

Par suite de la mise en production de l’outil en 2023, et à son amélioration conséquente en 2024, OVHcloud a souhaité étendre le portefeuille de produits couverts par l’outil. Ainsi en 2025, l’univers du Public Cloud a intégré l’outil à travers les produits compute et storage. Cet univers représente une part croissante dans les revenus du Groupe et un défi méthodologique pour l’extension de l’outil (la couche physique des infrastructures est totalement abstraite/invisible pour les clients public cloud).

Accessible aux clients directement depuis leur espace OVHcloud, l’outil intègre la consommation électrique estimée des serveurs à partir de la surveillance des datacenters d’OVHcloud. Il établit ensuite une correspondance avec leur équivalent en émissions de carbone, en prenant en compte les systèmes de refroidissement et de réseau, ainsi que le transport, la fabrication, la fin de vie et la gestion des déchets, afin de fournir un tableau complet de l’empreinte carbone actuelle. Les résultats liés aux usages cloud, que chaque utilisateur peut télécharger, sont découpés selon trois postes d’émission :

• ▶la phase de fabrication : les émissions de GES amont liées à l’achat et l’assemblage des composants ;
• ▶la phase d’utilisation : les émissions liées à l’électricité ;
• ▶les émissions annexes : les autres émissions indirectes comme le fret, l’impact induit par les employés – appelées « opérations ».

Depuis sa mise en ligne, l’outil génère en moyenne environ 500 téléchargements par mois.

La volonté d’OVHcloud est de permettre l’instauration de bonnes pratiques au sein de la chaîne d’approvisionnement par capillarité, et notamment les arbitrages basés sur la donnée.

Le tableau ci-dessous représente la consommation énergétique des datacenters exploités en propre par OVHcloud. Celle-ci est exprimée en GWh et par type d’énergie :

La consommation d’énergie totale des datacenters non exploités en propre par OVHcloud est estimée à 28 GWh.

Le tableau ci-dessous présente les statistiques d’émissions de GES d’OVHcloud pour chacun des scopes 1, 2 et 3. L’année 2022 est également présentée en tant qu’année de référence. Il convient de noter que le Groupe mesure ses émissions de GES en application du GHG Protocol.

Scope 1 

• ▶Les émissions de scope 1 sont de 1 325 tCO2e en année fiscale 2025. Les émissions ont diminué depuis 2024 et sont stables par rapport à 2022. 
• ▶Les émissions fugitives (émissions non intentionnelles de gaz) liées aux fuites de fluides frigorigènes (HFC) reviennent au niveau de 2022 et 2023.
• ▶Les émissions liées à la flotte de véhicules sont stables.
• ▶Les émissions liées au fonctionnement des groupes électrogènes de secours augmentent au gré de la croissance du Groupe. Ceux-ci fonctionnent essentiellement pour des tests et des maintenances. Le carburant type « HVO » n’est, à date, pas encore comptabilisé.

Scope 2 

• ▶En location-based : malgré la croissance de consommation d’énergie électrique du Groupe, les émissions diminuent en raison de la performance accrue du parc électronucléaire français depuis 2024, compensant ainsi les émissions liées à la croissance dans les zones ayant une électricité plus carbonée. Les émissions de scope 2 en location-based s’élèvent à 58 087 tCO2e.
• ▶En market-based : l’achat d’EAC pour le site de Vint Hill en Virginie a permis la réduction des émissions en comparaison avec 2024. Tous les autres datacenters ayant été couverts les années précédentes. Les émissions résiduelles, non couvertes par des EAC, sont dues aux consommations d’énergie par les datacenters non opérés directement par le groupe OVHcloud, en collocation ou dans les Local Zones. Les émissions de scope 2 en market-based s’élèvent à 9 981 tCO2e.

Scope 3 

• ▶Catégorie 1 (Produits et services achetés) : les émissions se sont accrues du fait d’un recours plus important aux prestations externalisées.
• ▶Catégorie 2 (Biens immobilisés) : les émissions diminuent, ceci a été rendu possible par la politique d’achat mise en place permettant la prise en compte de l’empreinte carbone du matériel informatique utilisé pour la fabrication des serveurs, auprès des contructeurs.
• ▶Catégorie 3 (Activités associées à l’énergie et aux combustibles) : les émissions diminuent en location-based du fait de la performance accrue du parc électronucléaire français depuis 2024. Elles augmentent en market-based en raison d’un recours accru de biomasse pour l’énergie de Vint Hill. 
• ▶Catégorie 4 (Transport et distribution amont) : l’augmentation des émissions s’explique par un recours plus important au fret aérien cette année. Le Groupe œuvre actuellement à limiter cette pratique en privilégiant le fret maritime, notamment pour les transferts entre les sites de Croix et Beauharnois.
• ▶Catégorie 8 (Actifs en leasing amont) : les émissions diminuent, principalement grâce à une quantification plus précise des impacts liés au backbone d’OVHcloud. Auparavant, OVHcloud extrapolait les résultats provenant d’une étude révisée en 2021 (« Rapport : évaluation de l’empreinte carbone de la transmission d’un gigaoctet de données sur le réseau RENATER ») à son propre backbone.
• Cette année, OVHcloud a mis au point une nouvelle méthodologie, en évaluant séparément les impacts associés aux POP (Points of Presence) sur tout le cycle de vie, aux liens terrestres (fibres optiques) et aux câbles de télécommunications sous-marins.
• La page de blog suivante détaille la méthodologie employée : https://blog.ovhcloud.com/ovhcloud-backbone-network-environmental-impact-assessment-methodology/
• Les émissions dues aux consommations électriques des bureaux loués, comptabilisées dans cette catégorie, demeurent stables.
• ▶Catégorie 11 (Utilisation finale des produits vendus) : les émissions diminuent grâce à la performance accrue du parc électronucléaire français depuis 2024, diminuant les émissions liées aux usages des produits utilisés chez nos clients : standards téléphoniques, VOiP (Voice over Internet Protocol), modem.

Les autres catégories sont stables.

Au global, les émissions de scope 3 diminuent de plus de 9 % par rapport à l’année de référence et de 36 % en GEVA.

Par sa démarche et ses engagements en faveur des droits humains, la Politique sur les droits humains d’OVHcloud entend traduire une vision du monde et le type de société dans lequel chacun souhaite vivre. Elle repose sur les 10 principes directeurs du Pacte mondial des Nations unies et se décline selon les principes suivants :

• ▶assurer l’égalité des chances et un traitement équitable. OVHcloud s’engage ainsi à combattre toutes les formes de discrimination et de harcèlement en appliquant une politique de tolérance zéro en la matière. OVHcloud s’engage à promouvoir un environnement humain, empreint de respect et de diversité, et à accompagner ses travailleurs sur le seul critère de la compétence. OVHcloud se refuse à pratiquer toute discrimination ou harcèlement lié au sexe, au handicap, à la situation familiale, à l’engagement politique, à la confession religieuse, aux préférences sexuelles, aux activités syndicales et aux origines ethniques ;
• ▶garantir la liberté d’expression et de dialogue, avec les clients, les collaborateurs et les fournisseurs du Groupe ;
• ▶mettre en œuvre la liberté d’association et de négociation collective. OVHcloud accorde une grande importance au dialogue social, gage d’implication et de performance collective et entretient des relations constantes et de qualité avec les collaborateurs et leurs représentants au sein des instances créées à cet effet ;
• ▶assurer un lieu de travail exempt de toute forme de harcèlement moral et sexuel et ainsi échanger dans un environnement humain, empreint de diversité, qui stimule l’activité du Groupe. OVHcloud s’engage à maintenir un environnement de travail sûr et sain, en s’assurant que les procédures de sécurité sont connues de chaque collaborateur et que chacun des actes individuels n’entraîne aucun risque. Chaque collaborateur a le droit d’être considéré avec respect et dignité. Aussi le Groupe refuse d’ignorer toute situation pouvant aboutir à des cas de harcèlement ou de mal-être de ses salariés ;
• ▶mettre à disposition des espaces de travail sûrs et sains pour l’ensemble des employés évoluant sur les sites. Afin de favoriser la prévention des risques en matière de santé et de sécurité, OVHcloud a défini des procédures visant à respecter les exigences légales en matière de santé, sécurité et environnement dans tous les pays où le Groupe opère, et à mettre en œuvre toutes les mesures satisfaisantes pour préserver la santé et l’intégrité physique des travailleurs, des clients et des communautés riveraines pour protéger l’environnement. OVHcloud s’engage à maintenir un environnement de travail sûr et sain, en s’assurant que les procédures d’urgence sont connues de tous ses collaborateurs et que les actes individuels n’entraînent aucun risque. La mise en œuvre de ces procédures implique l’ensemble de la ligne hiérarchique et la responsabilisation de tous les travailleurs. Aussi, le Groupe veille à faire connaître et faire respecter les règles en matière d’hygiène, de sécurité et de conditions de travail et à ce que chacun signale à la direction tout comportement, installation ou situation porteur d’un caractère accidentogène (cf. section 3.3.2.4 « Gestion des impacts liés à la santé et la sécurité ») ;
• ▶lutter contre le travail des enfants, le travail forcé et la traite des êtres humains. OVHcloud n’emploie pas de mineurs ni d’enfants dans le cadre de ses activités et s’efforce de garantir que ses fournisseurs ne pratiquent pas le travail des enfants sous quelque forme que ce soit le long de leurs chaînes d’approvisionnement. OVHcloud ne recourt pas non plus au travail forcé, à la servitude ou à l’esclavage moderne et tous ses employés disposent d’un contrat de travail, auquel ils peuvent mettre fin à tout moment conformément aux lois applicables. Le Groupe respecte le droit du travail dans tous les pays où il est implanté ;
• ▶assurer la protection et la confidentialité des données confiées par les clients et plus généralement par toutes les parties prenantes. Le Groupe milite également pour un cloud européen, garant de l’indépendance technologique de l’Europe et de la souveraineté de ses données. Afin de garantir la protection des données confiées, OVHcloud déploie tous les moyens nécessaires en matière de cybersécurité et de protection physique de ses sites. Par ailleurs, des procédures internes de sécurité des systèmes d’information et de sensibilisation des salariés aux risques d’attaques informatiques, notamment au travers de campagnes de simulations, sont mises en place. Afin de garantir à ses clients la sécurité de leurs données et de garantir le respect du Règlement général sur la protection des données et de toutes les législations nationales qui lui sont opposables, telles que le Data Protection Act britannique, le Data Protection Act australien ou la loi 25 québécoise, OVHcloud a adopté une politique de traitement des données personnelles se conformant aux réglementations les plus strictes, applicable à l’ensemble de ses entités et de ses salariés ;
• ▶soutenir le droit à l’éducation. OVHcloud investit dans la formation et le développement humain en créant des parcours de formation adaptés aux besoins de ses collaborateurs (cf. section 3.3.2.5 « Gestion des impacts liés à la gestion des talents »).

Depuis 2023, la Politique sur les droits humains s’applique à toutes les entités et filiales d’OVHcloud (hors entités de droit États-Unien), quelle que soit leur implantation dans le monde, et à l’ensemble des parties prenantes.

La politique droits humains du groupe OVHcloud fait référence aux cadres internationaux suivants :

• ▶les 10 principes du Pacte mondial des Nations unies. Ces principes fondamentaux concernent les droits de l’homme, le droit du travail, le droit de l’environnement et la lutte contre la corruption ;
• ▶la Déclaration universelle des droits de l’homme ;
• ▶le Pacte international relatif aux droits civils et politiques ;
• ▶le Pacte international relatif aux droits économiques, sociaux et culturels ;
• ▶la Déclaration de l’Organisation internationale du travail relative aux principes de droits fondamentaux au travail ;
• ▶la Convention sur l’élimination de toutes les formes de discrimination à l’égard des femmes ;
• ▶la Convention relative aux droits de l’enfant ;
• ▶la Convention relative aux droits des personnes handicapées ;
• ▶la Convention internationale sur l’élimination de toutes les formes de discrimination raciale.

Elle s’inscrit également dans le respect des réglementations locales en matière de lutte contre l’esclavage moderne, notamment le Modern Slavery Act britannique.

Élaborée avec les différentes parties prenantes, la Politique sur les droits humains a été rédigée par la direction éthique et conformité, validée par le comité exécutif (comex) du Groupe et par le Conseil d’administration. Sur le plan opérationnel, la Politique sur les droits humains est mise en œuvre par différents contributeurs d’OVHcloud (comex, direction des ressources humaines, direction des achats, direction juridique…) et peut être renforcée par des politiques, chartes ou documents spécifiques (politique HSE – hygiène, sécurité et environnement, politique sur la diversité, etc.), ainsi que par des déclinaisons adaptées aux niveaux locaux.

Les engagements et le suivi de la Politique sur les droits humains sont élaborés et suivis par le comité de pilotage RSE, tel que décrit en section 3.1.2.1 « GOV-1 – Rôle des organes d’administration, de direction et de surveillance ».

Toutes les politiques et procédures du Groupe, qu’elles concernent ses collaborateurs, les travailleurs de sa chaîne de valeur ou ses clients s’inspirent des principes énoncés dans ce chapitre. Afin d’en assurer la bonne application et la diffusion, la politique est disponible et consultable sur le site corporate d’OVHcloud (2).

Conscient de ses devoirs envers les communautés, OVHcloud agit pour minimiser son impact sur l’environnement et apporter une contribution positive à ces dernières. OVHcloud s’engage dans une protection des droits de l’homme à tous les niveaux et à toutes les étapes de sa chaîne de valeur.

• ▶Par le code éthique qui décline de manière opérationnelle les engagements portés par le Groupe dans le quotidien avec ses parties prenantes.
• ▶En matière d’achats, OVHcloud demande à ses fournisseurs à travers son Code de conduite fournisseurs de respecter les droits de l’homme, et rappelle les obligations relatives au non-recours au travail des enfants et au travail forcé, à la lutte contre la discrimination et le harcèlement, à la liberté syndicale, ainsi qu’au respect des législations relatives aux horaires de travail et aux mesures d’hygiène et de sécurité. Tout manquement justifierait de plein droit l’arrêt des relations commerciales.
• ▶La plateforme « ROGER » (Respect OVHcloud Guidelines & Ethical Rules) permet aux travailleurs de la chaîne de valeur de signaler les atteintes en la matière. Le dispositif de signalement est accessible 24 heures sur 24 et 7 jours sur 7 (24/7) par ses parties prenantes.

De manière générale, OVHcloud traite tout signalement relatif à la Politique des droits humains émanant des communautés ou des clients.

Ces mesures permettent avant tout de s’assurer qu’OVHcloud mène ses activités de manière éthique et respectueuse des droits humains dans toutes les sphères de ses pratiques commerciales.

Aux États-Unis, OVHcloud US s’engage à respecter les droits humains par le biais de son code d’éthique et son règlement intérieur pour les employés, qui ont été élaborés par la direction juridique et la direction des ressources humaines de l’entité. Celle-ci s’engage à respecter en interne les règles d’égalité des chances, de traitement équitable, de respect de chacun afin de garantir un environnement sain et sécuritaire pour ses employés. Elle engage aussi ses collaborateurs à choisir des partenaires respectant de bonnes conditions de travail dans leurs pratiques (salaires décents, sécurité, etc.) et à signaler tout comportement non conforme.

Dans le cadre de l’identification et de l’évaluation des IRO matériels, le Groupe a identifié des impacts et des risques liés à la gouvernance, à la culture d’entreprise, à l’éthique et à sa chaîne d’approvisionnement.

La procédure d’identification des IRO matériels est détaillée dans la section 3.1.4.1 « IRO-1 – Description des procédures d’identification et d’évaluation des IRO matériels ». OVHcloud a identifié les IRO matériels liés à la gouvernance suivants :

Dans le cadre de son analyse de double matérialité, OVHcloud a identifié des enjeux de cybersécurité, de protection et souveraineté des données comme étant matériels pour le Groupe, tant en termes d’impacts sur ses clients qu’en termes d’impacts financiers pour ce dernier.

La cybersécurité représente un enjeu central dans l’activité du Groupe. Les failles de sécurité et la violation des données ont un impact potentiel majeur à la fois sur les clients du Groupe et sur le Groupe lui-même. Mais c’est aussi une opportunité car il se dote de systèmes haute performance en termes de sécurité pour répondre aux besoins de ses clients.

Par ailleurs, la souveraineté des données est aussi un des piliers majeurs de la stratégie d’OVHcloud et représente un avantage face à ses concurrents. Elle permet aux clients du Groupe de confier leurs données à un système les protégeant des ingérences extraterritoriales et ce sur une bonne partie de ses implantations.

Rapport de certification des informations en matière de durabilité et de contrôle des exigences de publication des informations prévues à l'article 8 du règlement (UE) 2020/852 d’OVH Groupe S.A., relatives à l’exercice clos le 31 août 2025

À l’assemblée générale de la société,

Le présent rapport est émis en notre qualité de commissaire aux comptes d’OVH Groupe S.A.. Il porte sur les informations en matière de durabilité et les informations prévues à l'article 8 du règlement (UE) 2020/852, relatives à l’exercice clos le 31 août 2025 et incluses dans la section 5 du rapport sur la gestion du groupe et présentées en partie 3 « État de durabilité » figurant dans le Document d’Enregistrement Universel (ci-après l’« État de durabilité »).

En application de l’article L. 233-28-4 du code de commerce, OVH Groupe S.A. est tenu d’inclure les informations précitées au sein d’une section distincte du rapport sur la gestion du groupe. Ces informations ont été établies dans un contexte de première application des articles précités caractérisé par des incertitudes sur l’interprétation des textes, le recours à des estimations significatives, l’absence de pratiques et de cadre établis notamment pour l’analyse de double matérialité ainsi que par un dispositif de contrôle interne évolutif. Elles permettent de comprendre les impacts de l'activité du groupe sur les enjeux de durabilité, ainsi que la manière dont ces enjeux influent sur l'évolution des affaires du groupe, de ses résultats et de sa situation. Les enjeux de durabilité comprennent les enjeux environnementaux, sociaux et de gouvernement d'entreprise.

En application du II de l’article L. 821-54 du code précité notre mission consiste à mettre en œuvre les travaux nécessaires à l’émission d’un avis, exprimant une assurance limitée, portant sur :

• ▶la conformité aux normes d'information en matière de durabilité adoptées en vertu de l'article 29 ter de la directive (UE) 2013/34 du Parlement européen et du Conseil du 14 décembre 2022 ; (ci-après ESRS pour European Sustainability Reporting Standards) du processus mis en œuvre par OVH Groupe S.A. pour déterminer les informations publiées, et le respect de l'obligation de consultation du comité social et économique prévue au sixième alinéa de l'article L. 2312-17 du code du travail ;
• ▶la conformité des informations en matière de durabilité incluses dans l’État de durabilité avec les exigences de l’article L. 233-28-4 du code de commerce, y compris avec les ESRS ; et
• ▶le respect des exigences de publication des informations prévues à l'article 8 du règlement (UE) 2020/852.

L’exercice de cette mission est réalisé en conformité avec les règles déontologiques, y compris d’indépendance, et les règles de qualité prescrites par le code de commerce.

Il est également régi par les lignes directrices de la Haute Autorité de l’Audit « Mission de certification des informations en matière de durabilité et de contrôle des exigences de publication des informations prévues à l’article 8 du règlement (UE) 2020/852 ».

Dans les trois parties distinctes du rapport qui suivent, nous présentons, pour chacun des axes de notre mission, la nature des vérifications que nous avons opérées, les conclusions que nous en avons tirées, et, à l’appui de ces conclusions, les éléments qui ont fait l’objet, de notre part, d’une attention particulière et les diligences que nous avons mises en œuvre au titre de ces éléments. Nous attirons votre attention sur le fait que nous n’exprimons pas de conclusion sur ces éléments pris isolément et qu’il convient de considérer que les diligences explicitées s’inscrivent dans le contexte global de la formation des conclusions émises sur chacun des trois axes de notre mission.

Enfin, lorsqu’il nous semble nécessaire d’attirer votre attention sur une ou plusieurs informations en matière de durabilité fournies par OVH Groupe S.A. dans le rapport sur la gestion du groupe, nous formulons un paragraphe d’observations.

Notre mission ayant pour objectif d’exprimer une assurance limitée, la nature (choix des techniques de contrôle) des travaux, leur étendue (amplitude), et leur durée, sont moindres que ceux nécessaires à l’obtention d’une assurance raisonnable.

En outre, cette mission ne consiste pas à garantir la viabilité ou la qualité de la gestion d’OVH Groupe S.A., notamment à porter une appréciation, qui dépasserait la conformité aux prescriptions d’information des ESRS sur la pertinence des choix opérés par OVH Groupe S.A. en termes de plans d’action, de cibles, de politiques, d’analyses de scénarios et de plans de transition.

Elle permet cependant d’exprimer des conclusions concernant le processus de détermination des informations en matière de durabilité publiées, les informations elles-mêmes, et les informations publiées en application de l'article 8 du règlement (UE) 2020/852, quant à l’absence d’identification ou, au contraire, l’identification, d’erreurs, omissions ou incohérences d’une importance telle qu’elles seraient susceptibles d’influencer les décisions que pourraient prendre les lecteurs des informations objet de nos vérifications.

Notre mission ne porte pas sur les éventuelles données comparatives.

Depuis l’admission des actions de la Société aux négociations sur le marché réglementé d’Euronext Paris, en octobre 2021, la Société se réfère et se conforme aux recommandations du Code de gouvernement d’entreprise des sociétés cotées élaboré par l’Association française des entreprises privées (l’« AFEP ») et le Mouvement des entreprises de France (le « MEDEF ») dans sa version mise à jour en décembre 2022 (le « Code AFEP-MEDEF »).

Le Code AFEP-MEDEF auquel la Société se réfère peut être consulté sur Internet aux adresses suivantes : http://www.medef.com ou http://www.afep.com. La Société tient à la disposition permanente des membres de ses organes sociaux des copies de ce Code. 

Le Conseil d’Administration du 20 octobre 2025 a pris acte de la décision de mettre fin à la gouvernance dissociée, sur recommandation du Comité des Nominations, Rémunérations et de la Gouvernance, et a décidé de nommer M. Octave Klaba Président-directeur général de la Société. Le mandat de M. Benjamin Revcolevschi a pris fin automatiquement à cette date.

La loi prévoit que le Conseil d’administration élit parmi ses membres un Président, personne physique, dont le rôle est décrit au 4.1.9.7 supra.

Le Conseil d’administration confie la direction générale de la Société soit au Président du Conseil d’administration (qui porte le titre de Président-directeur général), soit à une autre personne physique, administrateur ou non, portant le titre de directeur général.

Comme le rappelle le Code AFEP-MEDEF, la loi ne privilégie aucune formule et il appartient au Conseil d’administration de la Société de choisir entre les deux modalités d’exercice de la direction générale unifiée ou dissociée, selon ses impératifs particuliers.

Mode de gouvernance

Le Conseil d’administration du 20 octobre 2025 a décidé de mettre fin à la gouvernance dissociée des fonctions de Président du Conseil d’administration et de directeur général et a décidé de nommer M. Octave Klaba, Président-directeur général.

La décision de mettre fin à la dissociation des fonctions a vocation à constituer la modalité d’exercice de la direction générale la plus efficace dans la mise en œuvre d’un nouveau plan stratégique de la Société, afin de renforcer le lien entre la vision, la stratégie et l’exécution de ce plan. Par ailleurs, l’unicité des fonctions est davantage adaptée à OVHcloud dans ce contexte, en ce qu’elle permet une efficacité accrue dans la conduite de la stratégie et le fonctionnement de la gouvernance qui sera ainsi facilité et fluidifié autour d’un Conseil d’administration resserré.

Conformément à la loi, le directeur général est investi des pouvoirs les plus étendus pour agir en toutes circonstances au nom de la Société. Il exerce ses pouvoirs dans la limite de l’objet social. Toutefois, à titre de règles d’ordre interne, le directeur général exerce ses pouvoirs dans les limites prévues par le règlement intérieur du Conseil d’administration. À ce titre, sont soumises à autorisation préalable du Conseil d’administration les décisions suivantes du directeur général :

• ▶le budget annuel détaillé du Groupe, le business plan du Groupe ainsi que toute modification ;
• ▶toute décision portant sur toute dépense d’investissement d’un montant individuel qui ferait dépasser de 7,5 % les dépenses du budget annuel ;
• ▶toute acquisition ou cession d’actifs (y compris les brevets et droits de propriété intellectuelle), de fonds de commerce ou d’actions par une société du Groupe, non comprise dans le budget annuel, pour un montant individuel supérieur à 25 millions d’euros ;
• ▶l’autorisation de l’octroi par le Président de cautions, avals et garanties ;
• ▶toute modification des statuts de la Société dans les conditions prévues par la loi ; et
• ▶toute décision prise par une société du Groupe de souscrire auprès d’un tiers (autre qu’une société du Groupe) tout financement externe autre que dans le cadre d’un Revolving Credit Facility existant d’un montant supérieur à 25 millions d’euros et non compris dans le budget annuel.

À la connaissance de la Société, les transactions suivantes ont été réalisées au cours de l’exercice écoulé sur les actions de la Société par les personnes visées à l’article L. 621-18-2 du Code monétaire et financier :

Les informations afférentes au gouvernement d’entreprise et constitutives du rapport du Conseil d’administration sur ce sujet sont déjà présentes dans d’autres parties du présent document d’enregistrement universel. Afin d’en limiter la répétition, la table de concordance ci-dessous permet de faire le lien entre chaque rubrique dudit rapport et le paragraphe correspondant du présent document.

Conformément aux dispositions du code AFEP-MEDEF, le Conseil d’administration, sur les recommandations de son comité des nominations, rémunérations et gouvernance, procède à la revue annuelle de l’ensemble des éléments de rémunération des dirigeants mandataires sociaux.

Il veille en particulier à ce que la politique de rémunération soit alignée sur la stratégie du Groupe et à prendre en compte la répartition appropriée entre les composantes de sa rémunération (rémunération fixe et variable annuelle, plan de rémunération long terme et autres avantages ou éléments de rémunération complémentaires). La revue des éléments de rémunération du Président du Conseil d’administration et du directeur général prend également en compte les études et benchmarks se rapportant aux rémunérations applicables dans les sociétés comparables à OVH Groupe et dans celles qui font partie du SBF 120.

Le récapitulatif des éléments de la rémunération des dirigeants mandataires sociaux, versée au cours de l’exercice 2025 ou attribuée au titre de cet exercice ainsi que la politique de rémunération 2026, soumis au vote des actionnaires lors de l’assemblée générale mixte du 12 février 2026, sont détaillés ci-après.

Il est rappelé que le Conseil d’administration d’OVH Groupe, réuni le 20 octobre 2025, a confirmé que le Code AFEP-MEDEF est celui auquel la Société se réfère, notamment concernant la rémunération des dirigeants mandataires sociaux. Le présent document d’enregistrement universel et en particulier les tableaux figurant à la section 4.5.2.2 (options de souscription et/ou d’achat d’actions, actions gratuites, actions de performance), ont été établis selon le format préconisé par le Code AFEP-MEDEF et la recommandation de l’AMF 2012-02.

Les principes et critères de détermination, de répartition et d’attribution des éléments fixes, variables et exceptionnels composant la rémunération totale et les avantages de toute nature attribuable aux dirigeants mandataires sociaux en raison de leur mandat constituant la politique de rémunération les concernant sont arrêtés par le Conseil d’administration sur recommandations du comité des nominations, des rémunérations et de la gouvernance, et sont soumis à l’approbation des actionnaires (« vote sur la politique de rémunération ex ante ») lors de l’assemblée générale des actionnaires conformément à l’article L. 22-10-8 du Code de commerce. 

Par ailleurs, en application de l’article L. 22-10-34 du Code de commerce, l’assemblée générale des actionnaires statue sur : (i) les éléments fixes, variables et exceptionnels composant la rémunération totale et (ii) les avantages de toute nature versés au cours de l’exercice écoulé ou attribués au titre du même exercice aux dirigeants mandataires sociaux (« vote sur la rémunération ex post au titre de l’exercice antérieur »). En conséquence, le versement des éléments de rémunération variables ou exceptionnels au titre d’un exercice est conditionné à leur approbation par l’assemblée générale des actionnaires appelée à statuer sur les comptes dudit exercice.

Les entités apparentées comprennent principalement des sociétés contrôlées par M. Octave Klaba, fondateur et Président du Conseil d’administration de la société OVH Groupe, et d’autres entités contrôlées par d’autres membres de la famille Klaba, associés directs ou indirects de la Société, ou par le Président d’OVH SAS et le directeur général d’OVH Groupe. 

Au titre des conventions décrites ci-dessous conclues avec des parties liées et se rapportant à la conduite de l’activité, le Groupe a comptabilisé un montant total de charges opérationnelles à hauteur de 10 227 582 euros pour l’exercice 2025, contre 5 922 055 euros pour l’exercice 2024 et, au titre du résultat financier (IFRS 16), - 72 028 euros pour l’exercice 2025, contre - 77 756 euros pour l’exercice 2024. Les chiffres plus détaillés concernant les opérations avec des apparentés figureront dans les états financiers consolidés pour l’exercice clos le 31 août 2025.

Les principales conventions avec les parties liées sont décrites dans le présent chapitre.

Néant.

Les assemblées d’actionnaires d’OVH sont convoquées et délibèrent dans les conditions prévues par la loi et dans les statuts.

Les dispositions statutaires d’OVH relatives aux assemblées générales et aux modalités d’exercice des droits de vote en assemblée générale sont prévues au Titre IV – assemblées générales – Article 22 – Réunions, Composition, Délibérations, des statuts d’OVH, lesquels sont mis en ligne sur le site
www.corporate.ovhcloud.com, rubrique Gouvernance.

Le tableau suivant présente les chiffres clés de l’exercice 2025.

OVHcloud a atteint l’ensemble de ses objectifs FY2025, avec un résultat net positif.

• ▶Chiffre d’affaires au-dessus du seuil du milliard d’euros, en hausse de + 9,3 % par rapport à 2024, en données comparables.
• ▶Marge d’EBITDA ajusté supérieure à 40 %.
• ▶Doublement du Unlevered Free cash-flow (EBITDA ajusté diminué des capex, du besoin de fonds de roulement et des impôts payés).
• ▶Les capex récurrents et de croissance atteignent respectivement 12 % et 21 % du chiffre d’affaires de l’exercice.

Octave Klaba, Président-directeur général d’OVHcloud, a déclaré :

« En 2025, OVHcloud franchit la barre symbolique du milliard d’euros de chiffre d’affaires. Les objectifs de l’année ont été atteints. Je remercie Benjamin Revcolevschi pour son engagement durant cette dernière année du plan stratégique 2021-2025. Durant ces cinq ans, entre autres, nous avons construit avec succès le segment Corporate où nous réalisons désormais plus de 200 millions d’euros de chiffre d’affaires. Nous avons développé et mis en production les 40 produits du cloud public qui génèrent aujourd’hui plus de 100 millions d’euros de chiffre d’affaires. Nous avons également réussi à établir une forte présence aux États-Unis où nous faisons plus de 100 millions d’euros de chiffre d’affaires. Ces résultats sont le fruit d’un plein engagement des équipes que je félicite et tiens à remercier, ainsi que du soutien de nos partenaires financiers qui nous font confiance depuis notre introduction en bourse en 2021.

Le contexte géopolitique, l’essor du marché du cloud et de l’IA nous demandent de nous développer plus rapidement afin de garder un temps d’avance. C’est la raison pour laquelle, le Conseil d’administration a décidé de rapprocher vision, stratégie et exécution en me nommant Président-directeur général. Je présenterai dans les tout prochains mois notre plan stratégique 2026-2030 « Step Ahead » pour guider les équipes et accompagner nos clients, tout en générant de la valeur pour nos actionnaires. »

Au cours de l’année 2025, OVHcloud s’est refinancé avec succès et a ainsi pu diversifier ses sources de financement. Ces nouveaux financements sont composés de :

• ▶une obligation senior non garantie de 500 millions d’euros à 4,75 % avec une échéance en 2030, conclue le 5 février 2025. Cette émission inaugurale a permis de refinancer une partie de la dette existante du Groupe. Elle est notée BB- par S&P et Ba3 par Moody’s ;
• ▶un Prêt Vert (Green Loan) de 450 millions d’euros avec une échéance fin 2029. OVHcloud devient le premier acteur du cloud en Europe à mettre en place un Green Loan aligné à la taxonomie européenne ;
• ▶une ligne de crédit bancaire tirable multi-purpose de 200 millions d’euros (non tirée à ce jour), avec une échéance fin 2029 ;

OVHcloud a développé Bare Metal Pod, une plateforme de cloud privé qui offre à ses utilisateurs une autonomie complète dans la création et la gestion de leur cloud. Qualifiée SecNumCloud, elle intègre nativement les briques essentielles de sécurité : chiffrement des données, gestion des clés, isolation réseau et contrôle des accès.

Le 31 mars 2025, DEEP, filiale du groupe Post, le leader des services télécoms, ICT, postal et financier postal du Luxembourg, et OVHcloud ont signé un partenariat stratégique pour la mise en œuvre d’un cloud souverain au Luxembourg. Le cloud souverain DEEP s’appuiera sur la solution On-Prem Cloud Platform (OPCP) d’OVHcloud : une plateforme cloud intégrée (matérielle et logicielle) qui sera, en mode déconnecté, hébergée et opérée de façon autonome par DEEP dans ses propres centres de données certifiés « Tier IV » situés au Luxembourg.

Alors que Kubernetes devient la base des infrastructures cloud natives, OVHcloud a lancé Managed Kubernetes Service (MKS) Standard, une plateforme managée conçue pour répondre aux exigences des applications critiques dans des environnements multicloud. Cette nouvelle offre dans l’univers Public Cloud est aujourd’hui disponible dans la région 3-AZ Paris avant d’être déployée cet automne dans la région 3-AZ Milan.

Pensée pour les petites et moyennes entreprises, la solution Public VCF as-a-Service permet une modernisation facilitée des charges de travail VMware, afin de permettre aux PME de continuer à tirer profit de leurs investissements VMware.

OVHcloud renforce son partenariat avec Nutanix grâce à NC2. Avec cette solution, il est désormais possible de déployer, migrer et opérer des clusters Nutanix sur les solutions d’infrastructures souveraines d’OVHcloud directement depuis le portail client de Nutanix, et en bénéficiant notamment d’une facturation unifiée.

Aucun évènement significatif n’est à signaler.

Pour l’année 2026, OVHcloud vise une croissance organique de son chiffre d’affaires comprise entre 5 et 7 %, une marge d’EBITDA ajusté supérieure à 2025 et des capex compris entre 30 et 32 % du chiffre d’affaires.

Par ailleurs, OVHcloud vise également un levered Free Cash-Flow positif.