Présentation du Groupe

1.1L’histoire

La position d’OVHcloud en tant que premier fournisseur européen de cloud remonte à sa fondation en 1999 en tant que société d’hébergement Internet en France. Au cours des vingt-six dernières années, OVHcloud s’est considérablement développé, d’abord en accroissant son infrastructure et en élargissant sa présence en Europe, puis en diversifiant ses offres de cloud et en étendant ses activités à l’échelle mondiale.

Développements clés

1.2Le marché du cloud computing

1.2.1Le cloud computing

Le cloud computing consiste à fournir aux utilisateurs des ressources de stockage, de calcul et de réseau, à la demande. Les ressources du cloud sont situées dans des datacenters qui abritent des serveurs et des équipements utilisés pour traiter, stocker et transmettre des données. Les utilisateurs de services de cloud computing peuvent accéder aux données stockées et donner des instructions aux unités de traitement pour qu’elles exécutent des fonctions de calcul automatiquement, sans avoir besoin d’une interaction humaine, ce qui réduit au minimum les capacités de calcul et de stockage nécessaires sur leurs appareils (tels que les ordinateurs personnels, les tablettes et les téléphones mobiles). Où qu’ils se trouvent, tant qu’ils disposent d’une connexion Internet, les utilisateurs peuvent accéder aux services informatiques par le biais du cloud. 

Les entreprises peuvent créer et exploiter leurs propres datacenters en faisant appel à du personnel informatique interne, ou elles peuvent externaliser tout ou partie des fonctions à des fournisseurs de services de cloud computing tels qu’OVHcloud. Pour de nombreuses entreprises, le temps et l’investissement financier requis rendent le cloud computing propriétaire moins attrayant que l’externalisation, qui implique de ne payer que pour les ressources qu’elles utilisent réellement. En outre, il peut être difficile pour les entreprises qui ne sont pas spécialisées dans les services informatiques d’innover aux niveaux requis afin de garantir que leur infrastructure de cloud computing leur offre des services et des protections adéquats, tels que la sécurité des données. Les systèmes informatiques internes peuvent également ne pas être suffisamment évolutifs pour répondre aux demandes de charge de pointe (à moins que les entreprises ne maintiennent une capacité excédentaire coûteuse).

Les serveurs maintenus dans les datacenters peuvent être utilisés pour de multiples fonctions, chacune d’entre elles étant accessible par une « machine virtuelle » créée sur le serveur. Les machines virtuelles sont exploitées et séparées les unes des autres par une plateforme logicielle appelée « couche de virtualisation ». Chaque machine virtuelle peut avoir son propre système d’exploitation qui permet aux utilisateurs de développer et d’exécuter des applications. Grâce à une fonction appelée « hyperviseur », la capacité du serveur est allouée aux machines virtuelles en fonction des demandes des utilisateurs. Par ailleurs, des applications logicielles ont été écrites pour être regroupées dans des « conteneurs » qui s’exécutent directement sur le système d’exploitation du serveur lui-même, coordonnés par des plateformes connues sous le nom de systèmes d’« orchestration », qui prennent généralement moins de place et peuvent offrir de meilleures performances que les piles de virtualisation basées sur un hyperviseur. 

La possibilité de créer plusieurs machines virtuelles dans chaque serveur ou de déployer des systèmes basés sur des conteneurs permet à un fournisseur de services cloud de répartir sa capacité entre plusieurs groupes d’utilisateurs ou clients de manière sécurisée. Les fournisseurs de services peuvent dédier un serveur à un seul client (un système de « cloud privé »), en répartissant la capacité du serveur entre les groupes d’utilisateurs autorisés par le client. Un serveur peut également être partagé entre plusieurs clients (un système de « cloud public »). Les clients du cloud privé paient généralement des frais mensuels pour une capacité dédiée, qu’ils utilisent ou non cette capacité. Les clients du cloud public paient généralement pour la capacité qu’ils utilisent réellement. 

Afin d’optimiser le coût des services cloud, de nombreuses entreprises déploient des stratégies de « cloud hybride », dans lesquelles elles combinent une capacité de cloud privé sur site ou externalisé, pour leurs fonctions et données les plus sensibles, avec une capacité de cloud public pour leurs besoins moins sensibles. Les clients déploient également des stratégies « multi‐cloud », en achetant des services de cloud auprès de plusieurs fournisseurs. Pour répondre à la demande croissante de services de cloud hybride et multi‐cloud, un fournisseur de cloud doit proposer des packages qui permettent aux différentes solutions de fonctionner comme un tout intégré. 

Le cloud computing englobe une gamme de services comprenant la fourniture d’un accès à l’infrastructure (Infrastructure-as-a-Service ou « IaaS »), la sélection et l’exploitation de plateformes telles que des systèmes d’exploitation, des piles de virtualisation et des systèmes de sécurité (Platform-as-a-Service ou « PaaS »), et l’offre d’applications développées et pouvant fonctionner sur des plateformes cloud (Software-as-a-Service ou « SaaS »). Le graphique suivant illustre ces caractéristiques :

 

Le marché des solutions cloud comprend également des services web destinés principalement aux particuliers et aux petites et moyennes entreprises. Le marché du Web cloud comprend essentiellement l’hébergement de sites web et de domaines, y compris la location de serveurs pour les sites web, la vente de services secondaires (tels que des progiciels) et les services d’enregistrement, de renouvellement et de transfert de noms de domaine.

1.2.2Un marché important et en forte croissance (1)

1.2.2.1Aperçu du marché du cloud

Taille du marché en 2025

 

OVHcloud détient des positions de leader en Europe, sur la base du chiffre d’affaires, dans les services de cloud privé. OVHcloud est également reconnu par IDC et Forrester pour la force de ses offres de cloud public et de cloud privé.

Les chiffres de marché et de la croissance potentielle estimée qui sont présentés ci‐dessous sont nécessairement sujets à des incertitudes, et la croissance réelle peut s’avérer différente (éventuellement de manière significative). 

 

 

En 2025, le marché mondial des offres de cloud IaaS et PaaS est estimé à environ 401‐425 milliards d’euros. Cela comprend un marché de l’IaaS estimé à 215‐229 milliards d’euros et un marché du PaaS estimé à 186‐196 milliards d’euros. 

Le marché IaaS comprend un montant estimé à 30,5-34,5 milliards d’euros en 2025 pour les services de cloud privé (y compris Bare Metal Cloud) et le reste pour le cloud public. 

Les segments liés aux services publics, à la santé, aux services financiers, aux services professionnels et les télécommunications sont particulièrement sensibles à la souveraineté des données. Cette thématique recouvre notamment l’importance d’assurer aux clients la pleine maîtrise de la gestion et de la localisation de leurs données par les fournisseurs de cloud.

Le marché européen de la souveraineté de la donnée atteint plus de 10 milliards d’euros en 2025, représente environ 15 % du marché total européen et est attendu en croissance de 76 % par an sur la période 2022-2027 (2).

Ainsi, depuis plusieurs années, OVHcloud développe une offre de confiance, conforme aux référentiels de sécurité des États membres de l’Union européenne. En France, depuis 2021, OVHcloud est qualifié SecNumCloud par l’ANSSI (le référentiel de cybersécurité français assurant une protection contre les lois extra‐européennes). Cette qualification a été renouvelée pour 3 ans en décembre 2023. OVHcloud a construit sur celle-ci son offre Hosted Private Cloud powered by VMware en 2021. De plus, en 2025, la nouvelle offre Bare Metal Pod (rack autonome de serveurs dédié à chaque client) a reçu la qualification SecNumCloud 3.2 par l’ANSSI. En Europe, le Groupe a fait certifier plusieurs de ses produits sur des référentiels de confiance, en Italie (ACN), en Espagne (ENS) et en Allemagne (C5), par exemple. 

1.2.2.2Tendances du marché du cloud privé et public

OVHcloud estime que la tendance de forte croissance du marché du cloud devrait se poursuivre dans les années à venir car le marché bénéficie de leviers structurels robustes : 

• la dynamique de « Move to Cloud » pour la plupart des entreprises et des usagers ;
• l’essor du multi-cloud (avoir plusieurs fournisseurs cloud) et du cloud hybride (avoir plusieurs types de cloud) ;
• la forte demande autour de l’intelligence artificielle ;
• la montée en puissance de la souveraineté des données ;
• de plus en plus de clients à la recherche d’un cloud abordable.

Les marchés mondiaux de l’IaaS et du PaaS devraient ainsi connaître une croissance annuelle composée aux alentours de 20 % entre 2024 et 2027. 

OVHcloud estime que la croissance du marché a été tirée, et devrait continuer à l’être, par une augmentation constante des dépenses informatiques des entreprises, et une tendance continue à l’externalisation, notamment en ce qui concerne les dépenses informatiques consacrées au cloud. 

Bien qu’OVHcloud s’attende à une croissance importante dans chacun des segments du marché, le taux de croissance peut varier significativement selon les segments, en fonction des usages spécifiques et des exigences des clients :

• le cloud public devrait être le segment le plus dynamique, avec une croissance annuelle supérieure à 20 % de 2024 à 2027 à l’échelle mondiale, grâce à une grande évolutivité et au large éventail d’utilisations potentielles des services de cloud public ; 
• le cloud privé devrait également connaître une croissance importante, car les entreprises cherchent à combiner les besoins d’externalisation et de confidentialité des données. OVHcloud estime que cette croissance sera alimentée par une tendance continue à l’externalisation, le développement de solutions de cloud hybride et multi‐cloud, et un besoin croissant de solutions dédiées et sécurisées avec de solides protections de la confidentialité des données, qui sont plus difficiles à assurer sur le cloud public.

Le marché du PaaS devrait connaître une croissance de plus de 20 %, tirée notamment par l’intelligence artificielle et la gestion des bases de données.

Le marché des services cloud évolue également rapidement, modifiant certains des principaux facteurs de croissance du marché, en particulier pour les clients professionnels. Alors que la croissance globale reflète un besoin de stocker et de traiter des quantités toujours plus importantes de données, OVHcloud pense que le marché met davantage l’accent sur des sujets tels que la souveraineté des données, la sécurité des données et l’impact environnemental de la gestion des datacenters.

1.2.2.3Le marché des services Web cloud

Le marché de l’hébergement de sites Internet et de domaines était estimé, en 2025, à environ 6,5 milliards d’euros au niveau mondial. OVHcloud opère sur le marché du Web cloud à travers l’hébergement de sites Internet et l’enregistrement de noms de domaine, ainsi qu’à travers la fourniture de services d’accès à Internet et de solutions de protocole voix sur Internet. 

Le marché du Web cloud en Europe est plus mature que le marché du cloud privé et public. OVHcloud s’attend à ce que le marché de l’hébergement de sites Internet et de domaines en Europe continue à croître au cours des prochaines années, bien que peut-être à un rythme légèrement plus lent que précédemment.

OVHcloud estime que la croissance future du marché sera stimulée par le fait qu’une présence sur le web est considérée comme essentielle pour de nombreuses entreprises, ainsi que par les possibilités de vente croisée et de vente de services supplémentaires aux utilisateurs actuels du Web cloud.

1.2.3Une position de leader européen du cloud

Le marché mondial du cloud privé est fragmenté, les cinq premiers acteurs représentant moins de la moitié du marché. OVHcloud estime être l’un des deux principaux fournisseurs de services de cloud privé en Europe continentale, avec IBM Cloud.

Tout récemment, OVHcloud a été reconnu Leader du Blueprint 2025-2026 sur les solutions de cloud de confiance par Exaegis, un cabinet d’audit et de notation spécialisé dans l’évaluation des fournisseurs numériques. L’étude Blueprint® Solutions Cloud de Confiance est un outil d’aide à la décision incontournable pour les dirigeants et DSI français. Cette distinction récompense l’engagement collectif des équipes d’OVHcloud pour un cloud souverain, sécurisé et durable.

Le marché du cloud public est dominé par les « hyperscalers », Amazon Web Services, Microsoft Azure et Google Cloud Platform, qui représentaient ensemble près de 70 % du marché mondial du cloud public en mars 2024. 

Sur la base de retours clients, OVHcloud estime que les facteurs clés qui déterminent le choix d’un fournisseur de services cloud comprennent le rapport prix/performance, la continuité et la fiabilité du service, la performance technique, la sécurité/souveraineté des données et la localisation du datacenter. Le rapport prix/performance est le critère le plus significatif dans le segment du Bare Metal Cloud, tandis que la continuité et la fiabilité ont une importance à peu près égale au rapport prix/performance dans le segment de l’Hosted Private Cloud, et représentent le facteur le plus important dans le segment du cloud public. Dans ce dernier segment de marché sont également prises en compte, dans le choix du fournisseur, la réversibilité et la flexibilité apportées, respectivement, par l’utilisation de technologies open source et le modèle de paiement à l’usage.

OVHcloud propose actuellement des offres PaaS dans des domaines tels que le stockage, la gestion des données et l’intelligence artificielle intégrées à ses offres IaaS, et est en train d’étendre sa présence sur le marché du PaaS. Dans le cadre de sa stratégie de croissance, OVHcloud prévoit de continuer à étendre les composantes PaaS de ses offres et de poursuivre son développement dans le domaine de l’intelligence artificielle. Grâce à la complémentarité de ces offres PaaS et son très large catalogue IaaS, OVHcloud offre une alternative attrayante à sa clientèle, cible composée de grandes entreprises et de sociétés technologiques.

1.3L’activité

1.3.1Une offre complète de solutions

1.3.1.1Cloud privé

OVHcloud propose deux offres principales de cloud privé : le Bare Metal Cloud et le Hosted Private Cloud.

Bare Metal Cloud

Le service de Bare Metal Cloud d’OVHcloud fournit des serveurs physiques dédiés aux clients, qui ont un contrôle total sur le serveur, y compris le choix du système d’exploitation. Le Bare Metal Cloud leur permet d’avoir une expérience similaire à celle qu’ils auraient avec des solutions sur site gérées par leurs équipes internes, tout en profitant des avantages offerts par l’externalisation. 

 

L’offre principale de Bare Metal Cloud d’OVHcloud commercialise des serveurs haut de gamme et des offres de services de moyen à haut niveau. OVHcloud dispose également d’une offre à prix attractif commercialisée sous la gamme « Eco » utilisant des serveurs rénovés qui fournissent des services de qualité à un coût réduit, tout en améliorant l’efficacité environnementale. 

Les services de Bare Metal Cloud offrent aux entreprises clientes une puissance informatique de haut niveau et des accords de niveau de service stricts, dans un environnement sécurisé adapté aux applications sensibles. Le serveur peut être personnalisé pour répondre aux besoins du client, et peut être exploité sans qu’il soit nécessaire d’allouer la capacité du serveur à des machines virtuelles par le biais d’un hyperviseur, ce qui permet au client d’utiliser la pleine capacité du serveur. Toute capacité inutilisée peut être déployée en quelques minutes, bien que la capacité totale soit limitée par celle du serveur dédié. 

Les clients du Bare Metal Cloud paient des frais mensuels qui dépendent des niveaux de performance qu’ils sélectionnent. Ils peuvent également choisir des options (telles que la personnalisation du serveur ou la sauvegarde des données) moyennant des frais supplémentaires. 

Les principaux usages des services Bare Metal Cloud comprennent le calcul de données complexes, les opérations à faible latence, le streaming, les jeux en ligne, les applications d’entreprise critiques telles que les ERP et CRM. 

En 2025, OVHcloud a lancé Bare Metal Pod, une infrastructure souveraine, qualifiée SecNumCloud 3.2 par l’ANSSI et dédiée, offrant la puissance du cloud combinée à l’isolation physique des serveurs Bare Metal, conçue pour héberger des environnements critiques ou sensibles.

Hosted Private Cloud

OVHcloud propose des services de Hosted Private Cloud à ses clients professionnels, fournissant des serveurs entièrement gérés par OVHcloud, y compris le système d’exploitation et la couche de virtualisation, en partenariat avec les offres de VMware ou Nutanix. 

 1. VM : machine virtuelle.

Les services de Hosted Private Cloud d’OVHcloud fournissent aux clients un accès privé à des serveurs, à niveaux élevés de performance, qui peuvent être personnalisés pour satisfaire les exigences spécifiques du client. Ils répondent aux besoins des clients qui recherchent l’isolement et la sécurité, des ressources évolutives et la résilience.

Les principaux usages des services de Hosted Private Cloud comprennent le déploiement dans le cadre de stratégies de cloud hybride, l’encodage de médias, l’analyse de big data, la reprise après sinistre, ainsi que le stockage et le traitement de données sensibles dans des secteurs clés tels que la santé, la finance et le secteur public.

Depuis 2021, OVHcloud propose des offres Hosted Private Cloud qualifiées SecNumCloud. La qualification SecNumCloud apporte aux clients l’assurance de choisir des solutions qui respectent les plus hauts standards de sécurité de l’ANSSI, ainsi que la garantie de recourir à des solutions adaptées aux données sensibles des administrations et des entreprises.

On-Prem Cloud Platform

En 2025, OVHcloud a lancé On-Prem Cloud Platform, une plateforme cloud prête à l’emploi et installée chez le client. Ce lancement s’est matérialisé par la signature d’un contrat commercial avec DEEP. Le 31 mars 2025, DEEP, filiale du groupe Post, le leader des services télécoms, ICT, postal et financier postal du Luxembourg, et OVHcloud ont signé un partenariat stratégique pour la mise en œuvre d’un cloud souverain au Luxembourg. Le cloud souverain DEEP s’appuiera sur la solution On-Prem Cloud Platform (OPCP) d’OVHcloud : une plateforme cloud intégrée (matérielle et logicielle) qui sera, en mode déconnecté, hébergée et opérée de façon autonome par DEEP dans ses propres centres de données certifiés « Tier IV » situés au Luxembourg.

1.3.1.2Cloud public

OVHcloud propose des solutions de cloud public basées sur des technologies open source telles qu’OpenStack (une plateforme qui permet de déployer des ressources de traitement, de stockage et de mise en réseau) et Kubernetes (une plateforme d’orchestration de conteneurs, devenue un standard de marché). L’utilisation de ces plateformes standard offre aux clients une capacité de transfert de données facile et un accès volontairement transparent au code source, facilitant la réversibilité et éliminant le « verrouillage par le fournisseur ». Cette caractéristique de l’offre OVHcloud est particulièrement attrayante pour les clients qui cherchent à déployer des stratégies de multi‐cloud. 

Les solutions de cloud public offrent aux utilisateurs une capacité de calcul pratiquement illimitée, la seule contrainte étant la capacité totale installée du fournisseur de cloud. Il est possible de déployer de nouvelles instances de cloud public automatiquement et en quelques secondes. Comme le service de cloud public est basé sur des serveurs partagés, les options de personnalisation sont définies par OVHcloud. Les niveaux de service sont élevés étant donné la flexibilité de l’architecture matérielle. 

Les clients du cloud public paient des frais d’utilisation pour la capacité qu’ils utilisent réellement. Le modèle d’OVHcloud offre beaucoup plus de prévisibilité que les modèles utilisés par les hyperscalers et de nombreux autres concurrents. En particulier, contrairement aux hyperscalers, OVHcloud ne facture pas de frais supplémentaires pour les transferts de données sortants ou les appels API, sauf pour les stockages block et archive, et pour les services localisés en Asie‐Pacifique. 

L’offre de cloud public du Groupe fournit trois services de cloud computing de base : la performance informatique (le compute), le stockage et les capacités réseau. 

Les clients des solutions de cloud public OVHcloud peuvent choisir des services de cloud public entièrement évolutifs sur des machines virtuelles qui sont hébergées sur des serveurs et des réseaux partagés. 

Le service de cloud public d’OVHcloud est intéressant pour les clients qui recherchent des ressources hautement évolutives, avec des demandes de gestion de pics importants sur plusieurs sites d’accès, et un degré élevé de résilience. Ce service est utilisé pour les applications à forte demande et les services qui utilisent de grands volumes de données, comme le streaming vidéo et musical. 

Les clients du cloud public d’OVHcloud peuvent également choisir parmi un certain nombre de logiciels à la demande (SaaS) fonctionnant sur les serveurs du cloud public d’OVHcloud. En particulier, OVHcloud propose à ses clients des accès aux solutions de messagerie et de calendrier Microsoft Exchange, aux solutions de stockage et de gestion des données SharePoint et à la suite logicielle professionnelle Office365.

En 2025, OVHcloud propose les produits cloud public en 3-AZ dans la région de Paris. Cette région propose aux entreprises et organisations une présence dans trois datacenters (AZ ou Availability Zone) géographiquement proches afin qu’elles bénéficient d’une forte résilience et de faibles temps de latence entre les trois datacenters.

1. VM : machine virtuelle.

Serveur privé virtuel 

OVHcloud offre également une option de serveur privé virtuel, fournissant des capacités informatiques situées sur des serveurs partagés, mais avec des machines virtuelles isolées par l’utilisation de réseaux privés virtuels. 

L’option de serveur privé virtuel est intéressante pour les clients qui recherchent des ressources sur mesure, en particulier pour les opérations de courte durée avec des charges de travail et une demande de serveur volatiles. Les solutions de serveurs privés virtuels sont principalement utilisées pour les tests d’applications et autres projets ponctuels, la gestion des pics de charge de courte durée et les fonctions de sauvegarde. 

 1. VM : machine virtuelle.

Platform-as-a-Service (PaaS)

Dans le cadre de sa stratégie de croissance, OVHcloud est en train de développer et de mettre en œuvre une offre PaaS complète, superposée aux produits IaaS de cloud privé et de cloud public. En plus de développer des produits en interne, OVHcloud a annoncé plusieurs partenariats et acquisitions, dans le but d’accélérer son plan de développement, ce qui lui permet de proposer plus de 80 solutions IaaS et PaaS à ses clients à la fin de l’exercice 2024, principalement dans les domaines suivants :

• Storage. OVHcloud propose aujourd’hui à ses clients un portefeuille complet d’offres de stockage telles qu’Object Storage S3 (High Performance et Standard), Block Storage, File Storage, Snapshot & Backup et Archive ; 
• Database‐as‐a‐Service. Les logiciels de gestion des données permettent aux utilisateurs de gérer leurs bases de données afin de permettre les requêtes et les mises à jour. Ils comprennent des programmes qui exécutent des requêtes sur les données et fournissent une représentation visuelle des données dans des formats tels que les feuilles de calcul, permettant aux utilisateurs de construire des applications plus rapidement et d’automatiser la gestion des bases de données. OVHcloud a annoncé un partenariat en avril 2021 avec MongoDB, et en juillet 2021 avec Aiven pour rendre disponibles plusieurs types de base de données sur l’infrastructure d’OVHcloud ;
• AI, Machine Learning & Analytics. Les solutions d’intelligence artificielle et d’analytique comprennent des outils et des services soutenant l’analyse et la présentation des données. OVHcloud est particulièrement avancé dans les solutions de calcul haute performance pour l’intelligence artificielle et le machine learning, et entend poursuivre son développement dans ce domaine. En avril 2022, OVHcloud a annoncé l’acquisition de ForePaaS, une société spécialisée dans le domaine de l’analytics. Depuis deux ans, OVHcloud a renforcé son offre de produits liés à l’intelligence artificielle, comme AI Notebook, AI Deploy, AI Training, AI App Builder ou encore AI Endpoint, une plateforme donnant un accès facile, à travers une API (une interface de programmation d’application), à de nombreux modèles d’inteligence artificielle pré-entraînés (LLM, voix, images…) pour l’intégrer rapidement à des applications ;
• Security & Encryption. OVHcloud élargit son offre de solutions de gestion de l’accès aux identités et de chiffrement, y compris le chiffrement de bout en bout qui sécurise les données des clients dans tous les états. En juillet 2021, OVHcloud a annoncé l’acquisition de BuyDRM, une société américaine spécialisée dans ce domaine ; 
• Application platforms. Les plateformes d’applications sont des solutions logicielles de serveur back‐end fournissant aux développeurs un environnement d’exécution et de développement.

1.3.1.3Web cloud et autres

OVHcloud propose des services de Web cloud depuis sa création en 1999. Avec sa position de leader sur le marché français et de fortes positions ailleurs en Europe, l’offre Web cloud assure une base de revenus stable et récurrente et une croissance régulière.

OVHcloud offre trois solutions principales aux clients du Web cloud :

• Web hosting et noms de domaine. Cela comprend la location de capacité d’hébergement sur des serveurs, permettant aux clients de connecter leurs sites web à Internet, ainsi que l’enregistrement, le renouvellement et le transfert de noms de domaine. Les clients peuvent choisir des forfaits de base offrant un ou quelques sites web seulement, ou des forfaits destinés aux professionnels et aux développeurs qui souhaitent héberger plusieurs sites web, ainsi que des adresses électroniques et des options de stockage. OVHcloud propose à ses clients des services supplémentaires, tels que les certificats SSL (Secure Socket Layer), qui permettent des connexions sécurisées entre un serveur web et un navigateur ; 
• Téléphonie et connectivité. Les clients peuvent acheter des systèmes de VoIP (Voice over IP) leur permettant des utilisations telles que les standards téléphoniques et les systèmes de réponse vocale interactive. OVHcloud offre également à ses clients un accès à Internet via les réseaux ADSL et fibre optique, avec des forfaits de base et professionnels ;
• Support et services. OVHcloud propose à ses clients des niveaux supplémentaires de support et de services, qui regroupent un ensemble de solutions d’assistance, d’expertises et de services en ligne. Les offres de support peuvent être Business, qui correspond au niveau adapté aux environnements de production ou Enterprise, qui propose une expérience grand compte pour les environnements de production critique. Les services additionnels sont proposés dans l’offre de Professional Services, qui donne accès à du support technique et des conseils lors de projets de migration d’infrastructure ou de modification d’architecture IT.

Les principaux clients d’OVHcloud dans le segment du Web cloud sont les petites et moyennes entreprises, ainsi que certains particuliers et entrepreneurs. Les clients du Web cloud sont généralement à la recherche de services web et de communication sécurisés et fiables, pour établir leur présence sur le web, et pour numériser les fonctions de l’entreprise.

1.3.2La segmentation client

OVHcloud sert environ 1,6 million de clients, dont des grandes entreprises, des entités publiques, des petites et moyennes entreprises, et un large éventail de clients particuliers. 

La clientèle est très diversifiée, les 50 premiers clients représentant environ 11 % du chiffre d’affaires de l’exercice 2025, et les 500 premiers clients représentant environ 26 % du chiffre d’affaires de l’exercice 2025. 

Afin de comprendre et de répondre au mieux aux demandes de cette clientèle, la stratégie commerciale d’OVHcloud s’articule autour de trois canaux de vente, chacun ayant sa propre stratégie de vente : Digital Starters, Digital Scalers et Corporate.

Digital Starters

OVHcloud a historiquement occupé une position forte auprès des Digital Starters, qu’ils soient ou non spécialisés dans la technologie. Ce canal de vente Digital Starters concerne les clients adressés par un canal digital et qui réalisent moins de 25 000 euros d’Annual Recurring Revenue (ARR). OVHcloud leur propose des solutions au meilleur rapport performance-prix, rapides et flexibles grâce à un parcours 100 % numérique, sans contact humain direct.

Ces clients s’abonnent aux produits et services d’OVHcloud par le biais de canaux de marketing numérique, attirés par un accès rapide aux services et la possibilité de choisir parmi une large gamme de solutions qui peuvent être personnalisées sur le site Internet d’OVHcloud pour répondre à leurs besoins. Le parcours du client sur le site est soigneusement structuré et après la vente, les clients à fort potentiel sont identifiés pour capitaliser sur les opportunités de vente additionnelle (up-sell) et de vente transversale (cross-sell).

La stratégie de vente pour ce canal est particulièrement efficace pour pénétrer de nouvelles zones géographiques, car il permet à OVHcloud de débuter progressivement sur des nouveaux marchés, avec un engagement financier limité, avant de se développer avec des équipes commerciales physiques locales. 

Le canal Digital Starters représente environ 53 % du chiffre d’affaires de 2025 et a connu un taux de croissance annuel composé (CAGR) de 4,6 % de son activité au cours des trois dernières années.

Digital Scalers

Le canal Digital Scalers regroupe les clients adressés via des canaux digitaux dont les revenus récurrents dépassent 25 000 euros d’ARR.

Ces clients, majoritairement des acteurs du numérique en forte croissance, recherchent des solutions cloud hautement performantes et sécurisées. En réponse à leurs besoins techniques avancés et à leur forte capacité d’innovation, OVHcloud valorise le potentiel des clients Digital Scalers en leur offrant un accompagnement sur mesure, piloté par des account managers dédiés tout au long du cycle client.

Pour soutenir davantage ces entreprises innovantes, OVHcloud a développé des programmes spécifiques, tels que son programme dédié aux start-ups et l’initiative Open Trusted Cloud.

Le canal Digital Scalers représente environ 28 % du chiffre d’affaires de 2025 et a connu un taux de croissance annuel composé (CAGR) de 20,8 % de son activité au cours des trois dernières années.

Corporate

La stratégie Corporate d’OVHcloud combine ventes directes et indirectes pour répondre aux besoins des grandes entreprises, PME et entités publiques engagées dans leur migration vers le cloud.

Ce canal s’appuie sur une force commerciale interne et sur son vaste réseau de plus de 1 300 partenaires intégrateurs – incluant des acteurs de référence tels qu’Accenture et Capgemini. Il cible principalement les enterprsies du secteur public et les entreprises traditionnelles de taille moyenne ou grande, non natives du numérique, en recherche de performance, de sécurité, de souveraineté et d’un accompagnement renforcé dans leur transformation digitale.

Ce modèle est particulièrement adapté pour les marchés publics et les secteurs hautement réglementés comme la santé ou la finance. OVHcloud, en tant que leader européen de la souveraineté des données, répond aux exigences de conformité les plus strictes :

• offres qualifiées SecNumCloud, conformes aux standards de l’ANSSI pour le secteur public ;
• certifications HDS en France et HIPAA aux États-Unis pour l’hébergement de données de santé.

Au global, les Corporate représentent environ 19 % du chiffre d’affaires de 2025 et a connu un taux de croissance annuel composé (CAGR) de 12,0 % de son activité au cours des trois dernières années.

1.3.3Empreinte géographique

OVHcloud a développé une empreinte mondiale avec une forte base de clients en Europe, aux États‐Unis et en Asie. L’expansion géographique est un élément important de la stratégie de croissance d’OVHcloud. 

Pendant l’exercice 2025, OVHcloud a réalisé 48,0 % de son chiffre d’affaires auprès de clients situés en France, 29,2 % auprès de clients situés ailleurs en Europe et 22,8 % auprès de clients situés dans le reste du monde. 

Dans le cadre de sa stratégie d’expansion géographique, OVHcloud a établi des regroupements géographiques en pôles basés sur des caractéristiques communes telles que les langues et les tendances d’utilisation du cloud.

Les pôles de vente fonctionnent sur la base d’une stratégie qui combine efficacité mondiale et service local. Dans ses pôles, OVHcloud offre des services tels que des sites de vente digitale et un support en langue locale, des programmes dédiés aux partenaires et aux start‐ups, ainsi que des équipes commerciales locales à l’écoute des tendances des marchés qu’elles servent.

1.4Stratégie et objectifs

1.4.1Une stratégie développée autour de 4 piliers

Depuis 2021 et son introduction en bourse, OVHcloud a déployé sa feuille de route stratégique. Le Groupe a en effet réussi à :

• développer des segments clés de clientèle avec une progression de l’ARPAC (3) moyen de + 60 % entre 2021 et 2025 ; 
• adresser un marché plus large en proposant aujourd’hui à ses clients plus de 40 produits cloud public ;
• étendre son empreinte géographique avec l’ouverture de 11 nouveaux datacenters depuis 2021 pour atteindre 44 datacenters à la fin de l’exercice 2025 ;
• investir dans le développement interne avec un montant de capex de croissance cumulé d’environ 1 100 millions d’euros entre 2021 et 2025 et les opportunités de croissance externe avec 3 acquisitions depuis 2021 (BuyDRM, dans la sécurité, ForePaaS, dans la gestion des données, et gridscale, pour ouvrir des Local Zones avec une intensité capitalistique minimale).

À la suite de ces investissements significatifs, OVHcloud a présenté un nouveau plan, développé autour de 4 piliers stratégiques : (i) Être la référence pour la souveraineté des données, (ii) Innover pour les prochaines révolutions technologiques, (iii) Croître de manière profitable et durable, ainsi que (iv) Maximiser la génération de trésorerie.

Être la référence pour la souveraineté des données

OVHcloud bénéficie déjà d’un avantage structurel en étant immunisé aux lois extraterritoriales et a développé une stratégie de certifications auprès des régulateurs nationaux ou internationaux qui porte ses fruits.

Dans les prochaines années, le Groupe va continuer à étendre son offre de produits certifiés, notamment avec les projets d’extension de la qualification SecNumCloud en France à ses services de cloud public dès fin 2025. En outre, cette année, OVHcloud a lancé Bare Metal Pod, une infrastructure souveraine, qualifiée SecNumCloud 3.2 par l’ANSSI, et dédiée, offrant la puissance du cloud combinée à l’isolation physique des serveurs Bare metal, conçue pour héberger des environnements critiques ou sensibles.

Par ailleurs, des services spécifiques sont actuellement en développement afin de répondre de manière encore plus précise aux besoins de certaines verticales, notamment le secteur public et la santé.

Innover pour les prochaines révolutions technologiques 

L’innovation est au cœur de la proposition de valeur d’OVHcloud et le Groupe continuera d’investir pour innover et préparer les prochaines révolutions technologiques, telles que l’intelligence artificielle, déjà en cours, ou l’informatique quantique dans un horizon moyen terme.

Concernant l’intelligence artificielle, le Groupe continue à renforcer son offre, notamment en développant des solutions d’IA qui garantissent la confidentialité et la souveraineté des données des clients. En effet, OVHcloud met à disposition de ses clients une gamme complète de GPUs NVIDIA Tensor Core (H100, A100, L4, L40S) accessible dans le cloud public et de modèles IA de pointe avec l’intégration des derniers LLMs open-source, tels que Mistral 8x22B ou Llama3, qui sont notamment disponibles sur étagère via la solution serverless OVHcloud AI Endpoints. L’IA ouvre de nouveaux usages et est au cœur d’une révolution, qui crée des enjeux extrêmement forts notamment en matière de propriété intellectuelle et de confidentialité des données.

OVHcloud est également en avance de phase sur l’informatique quantique, qui constituera l’une des prochaines révolutions technologiques du 21e siècle. OVHcloud est le seul fournisseur cloud européen à proposer à ses clients 5 notebooks quantiques et 1 émulateur quantique. Le Groupe accompagne 14 start-ups leaders sur le quantique et possède 1 ordinateur photonique de Quandela.

Par ailleurs, en septembre 2025, OVHcloud est devenu le premier acteur mondial à renforcer la sécurité des accès web grâce à un ordinateur quantique.​
En association avec Quandela, le groupe a introduit des certificats SSL enrichis par entropie quantique, améliorant la génération aléatoire des clés de chiffrement.

Croître de manière profitable et durable et maximiser la génération de trésorerie 

Depuis 2021, OVHcloud a ouvert 11 nouveaux datacenters, a investi significativement dans le développement de nouveaux produits et a notamment mis en place un programme visant à améliorer la résilience de ses infrastructures. 

Pour les prochaines années, OVHcloud prévoit d’optimiser le taux d’utilisation de ses datacenters, qui est à 66 % au 31 août 2025, en augmentation de 6 points comparé à 2024, d’améliorer la gestion des stocks et de stabiliser, en valeur absolue, les investissements dans les nouveaux produits.

Enfin, le Groupe prévoit une réduction des investissements exceptionnels (Plan d’hyper-résilience, achats d’IPv4 ou amélioration des stocks liés aux tensions sur les chaînes d’approvisionnement) d’ici 2026.

OVHcloud a multiplié par 2,3 son Unlevered Free Cash-flow à 57,6 millions d’euros sur l’année 2025, comparé à celui de l’exercice 2024. Le Groupe vise une génération de Free Cash-flow dès 2026.

1.4.2Un plan qui se matérialise par 3 axes de croissance

Le plan de développement se matérialise par 3 axes de croissance : 

1. les produits : 
   • adresser un marché plus important, en développant notamment une gamme de produits PaaS toujours plus large,
   • proposer des solutions d’intelligence artificielle qui respectent la confidentialité des données des clients,
   • étendre les produits certifiés pour la souveraineté des données ;
2. les clients : 
   • animer l’acquisition de nouveaux clients notamment via le canal Digital Starters,
   • accompagner la croissance des clients en poursuivant le développement du canal Digital Scalers,
   • renforcer le canal de vente via les partenaires pour répondre aux besoins grandissants des Corporate pour le cloud souverain ;
3. les géographies : 
   • améliorer le taux d’occupation des datacenters déjà ouverts à travers le monde,
   • déployer de nouveaux emplacements avec une intensité capitalistique réduite.

 

1.4.3Objectifs financiers 2026

Après une période d’investissements majeurs, OVHcloud vise les objectifs financiers suivants pour l’exercice 2026 :

• croissance organique du chiffre d’affaires comprise entre 5 % et 7 % par rapport à l’année 2025 ;
• marge d’EBITDA ajusté supérieure à celle de l’exerice 2025 ;
• capex compris entre 30 % à 32 % du chiffre d’affaires ;
• Levered Free Cash Flow positif.

 

1.5Les atouts concurrentiels d’OVHcloud

1.5.1Le champion de la souveraineté des données avec une présence mondiale

OVHcloud est le leader européen du cloud et seul acteur non américain ou non chinois parmi les 10 plus grands fournisseurs mondiaux de services cloud (4). OVHcloud est le seul acteur de taille à ne pas être soumis à des lois extraterritoriales.

En plus de son différenciant structurel, OVHcloud a développé un très grand nombre de certifications à travers le monde afin de répondre aux différentes réglementations nationales ou internationales.

1.5.2Un prix prédictible et transparent

OVHcloud propose des prix prédictibles et transparents, c’est-à-dire sans frais cachés et faciles à comprendre et ne pratique pas de lock-in économique (pas d’Egress Fees) ni technologique. Enfin, le prix affiché pour les clients intègre les coûts liés aux réseaux, souvent l’une des principales surprises dans les factures mensuelles des clients.

1.5.3Un modèle industriel intégré qui démontre son efficacité économique

OVHcloud a développé un modèle industriel entièrement intégré qui lui permet d’être plus efficient économiquement. Le Groupe acquiert des composants électroniques, assemble les serveurs, exploite les datacenters et développe sa technologie de cloud (en interne ou open source). Ce modèle intégré permet une optimisation tout au long de la chaîne et limite les marges d’intermédiaires, tout en permettant la mise en place de technologies d’avant-garde notamment le refroidissement à eau (watercooling). 

 

 

Par ailleurs, grâce à ce modèle durable, OVHcloud peut recycler ses serveurs, leur offrant ainsi une deuxième et une troisième vie commerciale avec un retrofit. Le modèle permet également de proposer une customisation aux clients et donc une profondeur d’offre particulièrement importante.

OVHcloud dispose de deux sites de production dédiés – en France et au Canada – pour assembler les différents composants matériels en serveurs. Une fois les différents composants assemblés, ils sont transportés vers le datacenter et personnalisés si nécessaire avant d’être livrés au client.

Comme OVHcloud fabrique ses serveurs en interne, le Groupe ne dépend pas d’un fabricant tiers, ce qui réduit le risque de rupture de la chaîne d’approvisionnement.

En outre, en étant propriétaire et exploitant de ses datacenters, OVHcloud a davantage de contrôle sur chaque étape du processus de production, ce qui, à son tour, offre à ses clients davantage de possibilités de personnalisation. Avec des datacenters répartis sur 18 sites dans 10 pays à travers le monde, OVHcloud est en mesure de livrer des serveurs à ses clients dans des délais courts : dans les sites européens et nord‐américains d’OVHcloud, il faut environ 14 jours entre la production des serveurs et leur livraison. Les datacenters d’OVHcloud sont généralement hébergés dans d’anciens bâtiments industriels, ce qui lui a procuré un avantage en termes de coûts et a permis de réduire son impact environnemental en réutilisant les ressources existantes.

Utilisée depuis plus de 20 ans, la technologie de refroidissement à l’eau d’OVHcloud combine des serveurs refroidis à l’eau avec des datacenters refroidis à l’air, supprimant ainsi le besoin de climatisation, ce qui présente des avantages significatifs en termes de coûts et d’impact environnemental. Elle utilise le refroidissement direct par eau pour éliminer la chaleur des processeurs (CPU), et l’air – qui est ensuite refroidi à l’intérieur du rack en utilisant de l’eau à travers un échangeur de chaleur – pour éliminer la chaleur des autres composants. L’eau chauffée est ensuite refroidie à l’aide de tours de refroidissement sèches. En plus d’être très efficace en termes d’énergie et d’eau, la technologie de refroidissement par eau d’OVHcloud a également des coûts de maintenance relativement faibles.

1.5.4Un des meilleurs rapports performance-prix de l’industrie

Grâce à son modèle intégré, OVHcloud est capable d’afficher l’un des meilleurs rapports performance-prix de l’industrie du cloud.

1.5.5Un cloud durable

Le contrôle complet de la chaîne de valeur permet à OVHcloud d’être, de par sa conception, un pionner du cloud durable. Sa technologie de watercooling lui permet de consommer moins d’électricité et moins d’eau. En plus de l’avantage économique induit, le Groupe affiche parmi les meilleurs ratios environnementaux (audités) de l’industrie avec un PUE (Power Usage Effectiveness) de 1,24 et un WUE (Water Usage Effectiveness) de 0,34 L/kWh en 2025.

Brevets 

Afin de soutenir ses initiatives de recherche et développement, OVHcloud est proactif dans la recherche des brevets nécessaires à la protection de sa propriété intellectuelle. Au 31 août 2025, OVHcloud détenait 223 familles de brevets, qui peuvent être largement regroupées dans les catégories suivantes :

• Logiciel (software). Les brevets logiciels couvrent les technologies liées aux logiciels utilisés dans le contexte de l’installation, du déploiement, de la configuration, de l’exploitation, de la surveillance et de la maintenance des serveurs et des équipements exploités dans les datacenters. Ces technologies liées aux logiciels couvrent une grande variété de domaines, tels que l’orchestration de réseaux, la configuration et la gestion du stockage, la gestion de l’alimentation électrique, la surveillance de l’état de santé, les techniques d’intelligence artificielle utilisées dans le contexte de l’exploitation des datacenters et les applications logicielles de niveau supérieur, telles que les applications web. Ils constituent le plus grand pourcentage du portefeuille d’OVHcloud : au 31 août 2025, ils représentaient environ 35 % du portefeuille de brevets d’OVHcloud ; 
• Refroidissement. Les brevets sur le refroidissement couvrent les technologies relatives aux systèmes et méthodes d’extraction de la chaleur des composants électroniques, en particulier des serveurs fonctionnant dans des racks empilés dans des datacenters. Les technologies couvertes vont de l’extraction de l’énergie thermique des composants électroniques au rejet de l’énergie thermique extraite dans un environnement extérieur. Cette catégorie comprend le refroidissement par air, le refroidissement par liquide et le refroidissement immersif. Au 31 août 2025, ces brevets représentaient environ 41 % du portefeuille de brevets d’OVHcloud ; 
• Électronique. Les brevets électroniques couvrent les technologies relatives aux composants électroniques facilitant le déploiement et le fonctionnement des serveurs dans les datacenters. Ces composants électroniques fournissent des fonctionnalités telles que des interfaces d’échange de données, une alimentation électrique et/ou un contrôle du refroidissement. Ces brevets représentaient environ 12 % du portefeuille de brevets d’OVHcloud au 31 août 2025 ; 
• Mécanique. Ces brevets, qui représentaient environ 12 % du portefeuille de brevets d’OVHcloud au 31 août 2025, couvrent des technologies relatives à la conception structurelle des racks, au support des racks, aux outils à utiliser dans le cadre de l’installation des racks et aux composants structurels des échangeurs de chaleur.

 

1.5.6Des valeurs qui favorisent une culture de collaboration et d’entreprise

OVHcloud a été fondé en 1999 par M. Octave Klaba, son actuel Président, qui a développé l’entreprise depuis ses origines en tant que groupe d’hébergement de sites Internet jusqu’à sa position actuelle de fournisseur de cloud de premier plan. Les membres de l’équipe de direction ont une expérience significative dans certaines des entreprises de croissance les plus dynamiques, offrant au Groupe une équipe de direction solide et expérimentée qui est bien placée pour conduire la réalisation du plan de croissance stratégique d’OVHcloud.

Le Groupe compte à fin août 2025 près de 3 000 collaborateurs, répartis dans 15 pays différents, et représentant plus de 60 nationalités. Les enquêtes d’opinion menées auprès des collaborateurs montrent un score d’engagement qui demeure très fort avec un résultat à 7,2. Le taux de départ volontaire a quant à lui diminué et s’établit à 7,9 % pour l’exercice 2025.

1.6Environnement législatif et réglementaire

1.6.1Législation et réglementation dans l’Union européenne

En tant que fournisseur de services cloud français, OVHcloud est soumis aux réglementations européennes dans un grand nombre de domaines, notamment les services informatiques (« IT »), la cybersécurité, la modération des contenus en ligne et la protection des données. OVHcloud peut également être soumis à des régimes réglementaires sectoriels applicables à certains clients et à des réglementations généralement applicables telles que le droit des contrats et les règles de protection des consommateurs.

 

1.6.1.1Cybersécurité

OVHcloud est soumis à la réglementation européenne visant à renforcer la cybersécurité dans l’ensemble de l’Union européenne (l’« UE »). Transposée en droit français le 26 février 2018, la directive UE 2016/1148 du 9 juillet 2016 a établi des exigences pour les fournisseurs de services cloud en matière de sécurité des réseaux et des systèmes d’information. Selon la loi française (5) transposant la directive UE 2016/1148, les fournisseurs de services cloud sont classés comme des fournisseurs de services numériques. En tant que prestataire de services numériques, OVHcloud doit garantir un niveau de sécurité des informations adapté aux risques pertinents et adopter des mesures organisationnelles et techniques appropriées. En cas d’incident de sécurité ayant un impact significatif sur la prestation de services, une déclaration doit être faite auprès de l’Agence nationale de la sécurité des systèmes d’information (« ANSSI »). Le Premier ministre français peut également ouvrir des enquêtes à la réception d’informations faisant état d’un manquement du prestataire de services numériques aux obligations de sécurité. Les amendes pour non‐respect des obligations de sécurité vont de 50 000 à 100 000 euros. 

L’ANSSI a adopté des normes de sécurité pour les fournisseurs de services cloud (6). Les entreprises du cloud doivent notamment mettre en place une politique de sécurité pour les informations relatives au service et procéder à une évaluation des risques couvrant l’ensemble du service. Si les normes de sécurité applicables sont respectées, l’ANSSI délivre une qualification appelée « SecNumCloud » certifiant un niveau de sécurité renforcé pour le stockage d’informations sensibles. En octobre 2022, l’ANSSI a prolongé un visa de sécurité à OVHcloud pour la qualification « SecNumCloud » pour son Hosted Private Cloud, valable jusqu’en décembre 2023. Pour la protection des systèmes d’information critiques, l’ANSSI recommande aux opérateurs de services essentiels (par exemple, les sociétés d’approvisionnement en gaz, les transporteurs aériens, les établissements de santé, les banques) d’utiliser des produits et services de sécurité disposant d’un visa de sécurité de l’ANSSI. 

Le rôle de l’Agence de l’Union européenne pour la cybersécurité (l’« ENISA ») a été renforcé par le règlement UE 2019/881 du 17 avril 2019 (la « loi sur la cybersécurité »). L’ENISA est chargée d’établir et de maintenir un système de certification de cybersécurité à l’échelle européenne applicable aux fournisseurs de services cloud, y compris un ensemble complet de règles, d’exigences techniques, de normes et de procédures. En juillet 2020, l’ENISA a publié une proposition qui permettrait aux fournisseurs de services cloud d’obtenir des certifications à travers l’UE attestant du niveau de sécurité de leurs services. 

La Commission européenne a dévoilé en septembre 2022 sa proposition de Cyber Resilience Act (« CRA »). Cette proposition fixe une série d’exigences générales et organisationnelles en matière de cybersécurité pour les produits contenant des éléments numériques (par exemple : logiciels, produits matériels, solutions de traitement de données). Il vise à adopter un socle commun au sein de l’Union européenne pour limiter les cyberattaques. Le CRA s’applique de manière différenciée aux acteurs de la chaîne d’approvisionnement : fabricants, importateurs ou distributeurs. Le texte doit encore être examiné par le Parlement européen puis par le Conseil de l’Union européenne ; lors de cette procédure, qui peut prendre jusqu’à deux ans, le texte actuel sera très probablement amené à évoluer. Il est donc encore prématuré de se prononcer sur les impacts potentiels de ce texte sur OVHcloud. 

1.6.1.2Protection des données

En tant que fournisseur de services de cloud et de télécommunications, OVHcloud traite, stocke et transfère une quantité substantielle de données personnelles. En conséquence, OVHcloud doit se conformer à un ensemble de réglementations européennes et de lois nationales relatives à la protection des données personnelles. 

Union européenne – Le Règlement général sur la protection des données (RGPD)

Pierre angulaire de la protection des données personnelles dans l’Union européenne depuis son entrée en vigueur en mai 2018, le RGPD poursuit trois objectifs principaux : (i) établir des règles relatives à la protection des personnes dans le cadre du traitement de leurs données personnelles ainsi que des règles relatives à la libre circulation de ces données, (ii) renforcer l’application de la réglementation grâce à un cadre juridique unifié pour les organisations traitant des données personnelles, et enfin (iii) renforcer la responsabilité des acteurs traitant des données à caractère personnel (responsables de traitements et sous-traitants) en imposant une obligation de documentation des traitements et des outils/applications utilisés.

Le RGPD soumet les organisations à des obligations strictes en termes d’information et de transparence sur les traitements réalisés sur les données personnelles, qu’elles traitent pour leur propre compte ou le compte d’autrui. 

Il confère également plusieurs droits aux personnes concernées sur le traitement de leurs données personnelles tels que le droit d’accès, le droit à la modification ou le droit à l’effacement (« droit à l’oubli ») permettant à celles-ci de bénéficier d’un contrôle accru sur l’utilisation de leurs données personnelles.

En outre, le RGPD impose aux organisations, dès la conception d’un nouveau produit ou service, la mise en place de mesures de sécurité techniques et organisationnelles adéquates aux traitements de données personnelles, afin de garantir la sécurité et la confidentialité adaptées aux données personnelles traitées (« Privacy by design »).

Enfin, le RGPD oblige les organisations responsables de traitement, lorsqu’elles constatent une violation de données personnelles, à notifier à l’autorité de contrôle toute violation susceptible d’entraîner un risque pour les droits et libertés des personnes physiques et des personnes concernées.

Canada, Province de Québec - Loi modernisant des dispositions législatives en matière de protection des renseignements personnels

Adoptée le 22 septembre 2021, la loi modernisant des dispositions législatives en matière de protection des renseignements personnels, dite « Loi 25 », apporte des modifications importantes à la loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP ») visant à offrir un meilleur contrôle aux citoyens sur leurs données personnelles et de responsabiliser davantage les organisations quant à leur gestion de ces renseignements. Cette loi établit de nouvelles obligations et règles de transparence pour les entreprises québécoises telles que la désignation d’un responsable de la protection des renseignements personnels, afin d’établir des politiques et des pratiques encadrant la gouvernance des données personnelles, réaliser des évaluations des facteurs relatifs à la vie privée (EFVP), respecter les nouveaux droits accordés aux personnes sur leurs données personnelles et notamment droit à la cessation de la diffusion, à la ré-indexation ou à la désindexation (droit à l’oubli) avant de communiquer des données personnelles en dehors du Québec ou encore prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public. 

Les nouvelles responsabilités et obligations applicables aux organisations traitant des données personnelles entrent en vigueur progressivement en septembre 2022, 2023 et 2024.

Outils de conformité 

Afin d’assurer la conformité avec les réglementations applicables en matière de protection des données, OVHcloud a mis en place un système de gestion des données personnelles basé sur la norme ISO 27701. 

OVHcloud s’appuie également sur le Code de conduite Cloud Infrastructure Service Providers in Europe (CISPE), en étant certifié sur ses offres Bare Metal Cloud et Hosted Private Cloud powered by VMWare, pour garantir et démontrer la conformité de ses activités IaaS.

1.6.1.3Libre circulation des données non personnelles

Le règlement UE 2018/1807 du 14 novembre 2018 (le « Règlement sur le libre flux des données à caractère non personnel ») vise à assurer la libre circulation des données non personnelles entre les États membres de l’UE (les « États membres ») et les systèmes informatiques dans l’UE. Les données non personnelles sont soit (i) des données non liées à des personnes physiques identifiées ou identifiables, soit (ii) des données personnelles anonymisées. Ce règlement permet le stockage et le traitement de données non personnelles partout dans l’UE, interdit la localisation des données et garantit la disponibilité des données pour les contrôles réglementaires.

Le Règlement sur le libre flux des données à caractère non personnel prévoit également que la Commission européenne doit encourager le développement de Codes de conduite autorégulateurs pour faciliter la portabilité entre les prestataires. À cette fin, OVHcloud a participé à la rédaction de deux Codes de conduite volontaires sur le changement de fournisseur de service cloud et la portabilité des données par le biais du groupe de travail sur le changement de prestataire de cloud et le portage des données (« SWIPO »). Publiés en juillet 2020, les Codes de conduite relatifs à l’Infrastructure‐as‐a‐Service (IaaS) et au Software‐as‐a‐Service (SaaS) offrent des conseils aux fournisseurs de services cloud et aux clients sur le changement de fournisseur de services cloud et le portage des données non personnelles. L’adoption de ces Codes de conduite vise à réduire les risques de verrouillage envers un fournisseur (c’est-à-dire les situations où les clients sont dépendants d’un prestataire particulier en raison de coûts de changement importants) par les fournisseurs de services cloud. Ils fournissent également des conseils aux clients sur le transfert des données non personnelles.

1.6.1.4Lutte contre les contenus illicites en ligne

En tant que fournisseur de services d’hébergement, OVHcloud doit se conformer à de nombreuses législations en matière de lutte contre les contenus illicites, notamment celles qui concernent les infractions aux droits de propriété intellectuelle, la diffusion de contenus terroristes et les abus sexuels sur les mineurs. 

Législation européenne sur les services numériques (Digital Services Act, « DSA ») 

Le règlement UE 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (« Règlement sur les services numériques ») est entré en vigueur le 18 novembre 2022. Ce nouveau cadre a pour objectif d’harmoniser les règles applicables dans les différents États membres de l’Union européenne et remplace celui adopté en l’an 2000 en matière de responsabilité des intermédiaires vis-à-vis des contenus illicites tout en maintenant les principes fondamentaux de liberté d’expression et de libre prestation de services. 

Le règlement établit également de nouvelles obligations de diligence et de transparence pour les services d’hébergement tels qu’OVHcloud, tant vis-à-vis des autorités que des utilisateurs, en particulier sur le traitement des signalements de contenus illicites. Il renforce par ailleurs le niveau des sanctions pouvant être infligées en cas de manquement aux obligations établies par le règlement, avec des amendes pouvant représenter jusqu’à 6 % du chiffre d’affaires mondial annuel du fournisseur de services intermédiaires. Un certain nombre de mesures sont applicables de manière différée au cours des deux prochaines années et impliquent l’adoption de textes au niveau national. OVHcloud suivra avec attention leur publication afin de se conformer à ses obligations.

1.6.1.5Lutte contre les pratiques anticoncurrentielles sur les marchés numériques

Législation européenne sur les marchés numériques (Digital Markets Act, « DMA ») 

Le règlement UE 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives UE 2019/1937 et UE 2020/1828 (« Règlement sur les marchés numériques ») vise à rendre le secteur numérique plus équitable et plus compétitif, en instaurant des mesures préventives pour les grandes entreprises numériques en position de contrôleurs d’accès sur le marché européen. Le règlement prévoit notamment plusieurs obligations et interdictions à l’égard des plateformes en ligne en position de contrôleurs d’accès et renforce les pouvoirs de sanction de la Commission européenne, laquelle sera assistée d’un comité consultatif et d’un groupe de haut niveau. Ainsi, par exemple, les contrôleurs d’accès devront permettre aux utilisateurs de désinstaller facilement sur leurs appareils des logiciels préinstallés et de se désabonner facilement d’un service de plateforme essentiel tel qu’un service de cloud. Les contrôleurs d’accès ne pourront plus imposer des logiciels tels que des navigateurs Internet ou des moteurs de recherche par défaut, réutiliser les données personnelles d’un utilisateur à des fins de publicité ciblée sans son consentement explicite. 

Applicable à partir du 2 mai 2023, les entreprises concernées devront se signaler à la Commission européenne et se mettre en conformité au plus tard en mars 2024. La législation confère à la Commission le pouvoir exclusif de contrôler le respect de leurs obligations, et de nouvelles sanctions, notamment une amende pouvant atteindre jusqu’à 10 % du chiffre d’affaires total mondial réalisé par l’entreprise au cours de l’exercice précédent. 

L’adoption de cette nouvelle législation est une avancée positive pour réguler les pratiques des acteurs dominants du numérique sur le marché européen, mais son efficacité dépendra des moyens que la Commission européenne consacrera au service du respect de celle‐ci. OVHcloud suivra avec une attention particulière les précisions attendues sur les effectifs qui seront dédiés au contrôle des obligations des contrôleurs d’accès.

1.6.1.6Autres règlements et initiatives applicables

Secteur des télécommunications 

Les entités OVHcloud sont des opérateurs de télécommunications dans quatre (4) États membres : la Belgique, la France, l’Allemagne et l’Espagne. OVHcloud est soumis à des obligations spécifiques lorsque le Groupe fournit des services de télécommunications. Parce que l’UE et ses États membres réglementent le secteur des télécommunications depuis de nombreuses années, il existe une variété de mesures d’application, de directives et d’autorités différentes à travers l’UE. Les entités d’OVHcloud sont également des opérateurs de télécommunications au Royaume‐Uni et en Suisse, qui possèdent leur propre réglementation en matière de télécommunications. Le Royaume‐Uni a transposé les exigences du Code des communications électroniques européen dans son cadre réglementaire national avant le Brexit. 

La directive UE 2018/1972 du 11 décembre 2018 a établi le Code des communications électroniques européen. Bien que cette directive n’ait pas encore été transposée dans tous les États membres où OVHcloud agit en tant qu’opérateur, plusieurs autres directives applicables dans les secteurs des télécommunications, telles que les directives 2002/19/CE, 2002/20/CE, 2002/21/CE et 2002/22/CE du Parlement européen et du Conseil, ont été substantiellement modifiées. La directive 2018/1972 a été transposée en droit français en mai 2021 (7). L’objectif clé de ce Code européen des communications électroniques est de créer un ensemble complet de règles actualisées pour réglementer les communications électroniques et protéger les citoyens de l’UE lorsqu’ils communiquent par le biais de services traditionnels ou sur le web, d’encourager la concurrence entre les opérateurs de télécommunications et de garantir que les autorités réglementaires nationales sont protégées contre les interventions extérieures ou les pressions politiques.

Secteur de la santé 

En tant que fournisseur de services cloud, OVHcloud est soumis à des obligations lorsque le Groupe fournit des services à des organisations du secteur de la santé. Par exemple, la loi française impose aux hébergeurs de données de santé (c’est-à-dire toute personne hébergeant des données de santé à caractère personnel collectées dans le cadre d’activités de prévention, de diagnostic, de soins ou de suivi social et médical pour le compte de personnes physiques ou morales ayant produit ou collecté ces données ou pour le compte des patients eux‐mêmes) de respecter des obligations spécifiques. Ces obligations incluent l’obtention d’une certification appropriée ou d’un accord préalable des autorités publiques conformément au Code de la santé publique français, et la conclusion d’une convention avec les clients du secteur de la santé, fixant les dispositions obligatoires prescrites par l’article L. 1111‐8 du Code de la santé publique. OVHcloud est également soumis aux exigences des autres juridictions dans lesquelles il opère, telles que l’Italie, la Pologne, l’Allemagne et le Royaume‐Uni. 

En 2016, OVHcloud a bénéficié de l’agrément « Hébergeur de données de santé » et, depuis 2018, le Groupe exploite un système de gestion permettant à plusieurs de ses offres cloud de se conformer aux exigences de cet agrément. En 2019, OVHcloud a obtenu la certification française HDS (hébergeur de données de santé) pour son offre de Hosted Private Cloud. En 2020, cette certification a été étendue aux serveurs dédiés d’OVHcloud, puis à l’offre de cloud public d’OVHcloud et à Trusted Exchange en 2021. 

Secteur financier 

Les entreprises du secteur financier (y compris les établissements de crédit et les entreprises d’investissement) peuvent également être soumises à des obligations spécifiques au secteur qui peuvent se refléter sur OVHcloud dans le cadre de la fourniture de ses services. Notamment, en 2019, l’Autorité bancaire européenne (« ABE ») a publié des « Recommandations sur l’externalisation vers des fournisseurs de services cloud » applicables aux accords d’externalisation. Ces recommandations créent des obligations en matière de sécurité des systèmes d’information et de droits d’audit au profit des banques externalisatrices, qu’elles doivent imposer à leurs fournisseurs de services en cloud lorsqu’elles utilisent leurs services. OVHcloud s’efforce de proposer des conditions contractuelles applicables aux opérateurs de services financiers qui garantissent que les clients sont en mesure de mettre en œuvre une politique d’externalisation conforme aux recommandations de l’ABE et aux réglementations locales européennes. 

Les opérateurs de services financiers peuvent également exiger d’OVHcloud de se conformer à la réglementation nationale spécifique. Par exemple, OVHcloud peut avoir à se conformer aux réglementations françaises telles que celle de l’Autorité de contrôle prudentiel et de résolution (« ACPR ») sur les services essentiels externalisés comme les opérations bancaires. Les entreprises qui externalisent des services essentiels doivent s’assurer que les prestataires garantissent la protection des informations confidentielles, mettent en place des mécanismes de secours en cas de difficultés importantes affectant la continuité du service et permettent à l’ACPR, dans l’exercice de ses missions, d’accéder aux informations essentielles externalisées. En ce qui concerne les procédures internes de gestion de la sécurité des systèmes d’information, l’American Institute of Certified Public Accountants (« AICPA ») a délivré à OVHcloud les certifications SOC I‐II type 2. 

En ce qui concerne l’hébergement des données bancaires et la réduction de la fraude à la carte bancaire, la plus importante offre du Hosted Private Cloud d’OVHcloud est conforme à la norme de sécurité des données de l’industrie des cartes de paiement (« PCI DSS »). Les datacenters d’OVHcloud en France, au Canada, au Royaume‐Uni, en Allemagne et en Pologne sont conformes à la norme PCI‐DSS.

Le 27 novembre 2022, le Conseil de l’Union européenne a adopté le règlement sur la résilience opérationnelle numérique du secteur financier (« DORA »). Ce texte faisant suite à une proposition de la Commission européenne de 2020 impose un certain nombre d’exigences aux accords d’externalisation vers des fournisseurs de services cloud dans le secteur financier. Le règlement proposé couvre un large éventail d’entités financières réglementées, notamment les établissements de crédit (tels que les banques), les dépositaires centraux de titres, les compagnies d’assurance et certains gestionnaires de fonds, entre autres. Il impose à ces entités financières un certain nombre d’exigences en matière de gestion des risques liés aux technologies de l’information et des communications, dont certaines s’appliquent directement aux activités cloud externalisées. 

En particulier, les entités du secteur financier couvertes par le règlement proposé sont tenues de prendre un certain nombre de mesures pour faire face aux risques dans leurs relations avec des tiers, tels que les fournisseurs de services cloud, notamment en s’assurant que leurs contrats de services cloud fournissent une description complète des services proposés avec des objectifs de performance qualitatifs et quantitatifs, et comprennent des dispositions régissant l’intégrité, la sécurité, la protection des données personnelles, la récupération en cas de défaillance, les droits d’inspection et d’audit, et des dispositions de résiliation avec des stratégies de sortie claires. Le règlement envisage l’approbation de clauses contractuelles types par la Commission européenne. 

En outre, le règlement impose un nouveau cadre de surveillance aux prestataires de services tiers critiques (y compris les fournisseurs de services cloud), les soumettant à des plans de surveillance individuels adoptés par les organismes européens de réglementation financière chargés de la surveillance des banques, des marchés des valeurs mobilières ou des compagnies d’assurance, selon le secteur qui utilise principalement les services du prestataire concerné. La détermination des services critiques dépend de leur impact systémique potentiel, de la dépendance des entités financières à leur égard pour des fonctions critiques et de l’existence d’alternatives. Le plan de surveillance peut imposer des exigences dans des domaines tels que la sécurité et la qualité, les conditions contractuelles et la sous‐traitance, avec des sanctions financières en cas de non‐respect, pouvant aller jusqu’à 1 % du chiffre d’affaires mondial du prestataire au cours de l’année la plus récente. Les organismes de surveillance disposent de droits d’inspection et d’audit et de pouvoirs d’enquête étendus. Le règlement adopté interdit également aux entités financières de faire appel à un prestataire d’un pays situé en dehors de l’UE pour les fonctions critiques du cloud. 

Risques environnementaux et industriels 

Plusieurs des datacenters d’OVHcloud sont situés dans d’anciens bâtiments industriels, dont certains sont classés comme présentant des risques environnementaux ou autres en vertu de la législation française applicable. Les datacenters d’OVHcloud situés hors de France peuvent également être classés comme présentant des risques environnementaux en vertu des réglementations locales. Afin de se conformer aux réglementations applicables, OVHcloud est parfois tenu de soumettre des demandes et d’obtenir des autorisations d’exploitation. Dans le cadre du processus de demande, OVHcloud peut être tenu de prendre certaines mesures correctives. 

En outre, des permis d’exploitation sont requis dans la plupart des pays où OVHcloud exploite ses datacenters. Ces réglementations concernent principalement les émissions atmosphériques, la gestion des déchets industriels, la gestion de l’eau et des effluents, la gestion des risques d’incendie et la gestion du bruit.

1.6.2Législation et réglementation aux États‐Unis

OVHcloud possède une filiale implantée aux États-Unis dont les activités sont totalement séparées de celles des autres filiales du groupe OVHcloud.

Cette filiale est également soumise aux réglementations américaines applicables aux prestataires de cloud au niveau local, étatique et fédéral. Ces réglementations comprennent celles qui visent à renforcer la confidentialité et la sécurité des données, ainsi que celles qui accordent des droits d’accès aux données à des fins de sécurité nationale. En plus des lois étatiques à travers les États‐Unis qui exigent une notification aux clients en cas de violation de données dans le cadre de laquelle leurs informations de données personnelles ont été divulguées, les deux principales réglementations américaines applicables à la filiale américaine d’OVHcloud sont le Cloud Act (tel que défini ci‐dessous), qui s’applique au niveau fédéral, et la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), qui s’applique au niveau de l’État de Californie. 

La ségrégation des activités de la filiale américaine d’OVHcloud par la mise en place d’une véritable « muraille de Chine » entre celle-ci et les autres entités du groupe évite l’opposabilité de ces textes à ces dernières. 

Le Cloud Act 

La loi américaine clarifiant l’usage légal des données hébergées à l’étranger (le Cloud Act) est une loi fédérale américaine, en vigueur depuis mars 2018, qui a modifié le Stored Communications Act de 1986 pour permettre aux forces de l’ordre américaines d’accéder aux informations électroniques détenues par des entreprises relevant de la compétence des États‐Unis à raison des personnes, y compris les fournisseurs de services cloud, dans le cadre d’une enquête pénale. Les forces de l’ordre américaines peuvent accéder à ces informations électroniques, qu’elles soient stockées à l’intérieur ou à l’extérieur des États‐Unis. 

Le Cloud Act permet également au gouvernement américain de conclure des accords d’accès aux données avec des États étrangers, grâce auxquels les forces de l’ordre des États participants peuvent demander des informations détenues par des entreprises soumises à la juridiction du pays partenaire. À la date du présent document d’enregistrement universel, le gouvernement américain a conclu des accords bilatéraux avec le Royaume‐Uni et l’Australie en vertu desquels les autorités policières américaines peuvent obtenir des informations électroniques stockées par des entreprises de cloud computing relevant de la compétence du Royaume‐Uni et de l’Australie. Les autorités policières britanniques et australiennes peuvent également obtenir des informations électroniques stockées par des entreprises de cloud computing relevant de la compétence des États‐Unis, telles que la filiale américaine d’OVHcloud. Il est à noter qu’au moment de la rédaction du présent document d’enregistrement universel aucune date d’entrée en vigueur de l’accord bilatéral entre les États-Unis et l’Australie n’a été rendue publique.

OVHcloud suit toute nouvelle potentielle décision de la Commission européenne relative à l’accord bilatéral entre les États‐Unis et le Royaume‐Uni et entend mettre en œuvre toute mesure technique et organisationnelle qui pourrait s’avérer nécessaire. En outre, OVHcloud n’héberge actuellement aucune donnée de clients au Royaume‐Uni, sauf si le client choisit expressément un service situé dans le datacenter d’OVHcloud au Royaume‐Uni. Par ailleurs, les possibilités pour l’équipe d’OVHcloud située au Royaume‐Uni d’accéder aux données hébergées par des clients européens dans des datacenters européens sont restreintes et contrôlées. 

Le gouvernement américain pourrait conclure des accords avec d’autres pays similaires à l’accord bilatéral entre le Royaume‐Uni et les États‐Unis, ce qui pourrait permettre aux forces de l’ordre américaines d’accéder aux informations électroniques détenues par les filiales du Groupe qui relèvent de la juridiction de cet État partenaire, et au gouvernement de l’État partenaire d’accéder aux informations électroniques détenues par la filiale américaine d’OVHcloud. En particulier, depuis le 25 septembre 2019, l’Union européenne et les États‐Unis ont entamé des négociations sur un futur traité visant à faciliter l’accès aux preuves numériques. 

Le California Consumer Privacy Act 

Depuis le 1er janvier 2020, la loi californienne sur la protection de la vie privée des consommateurs (le « CCPA ») exige que les entreprises qui traitent les données personnelles des résidents californiens notifient les résidents californiens de leurs pratiques de confidentialité. Le CCPA accorde également aux clients résidents de la Californie le droit d’accéder à – ou de supprimer–  certaines données personnelles collectées par la filiale américaine d’OVHcloud et leur donne plus de contrôle sur l’utilisation et la vente de leurs données personnelles. Les résidents californiens qui pensent que certains types de données personnelles ont été utilisés en violation de la CCPA auraient le droit d’intenter une action en justice contre la filiale américaine d’OVHcloud.

Le 1er juillet 2023, le CCPA a été modifié par l’entrée en vigueur du California Privacy Rights Act (le « CPRA ») qui élargit notamment les droits des clients concernant certaines de leurs données personnelles sensibles et crée une agence d’État pour la mise en œuvre et l’application du CCPA et du CPRA.

Le Virginia Consumer Data Privacy Act 

Entrée en vigueur le 1er janvier 2023, la loi sur la confidentialité des données des consommateurs de Virginie (Virginia Consumer Data Privacy Act) (le « CDPA ») accorde aux résidents de Virginie un contrôle supplémentaire sur leurs données personnelles, dont le droit de supprimer certaines données personnelles collectées par des entreprises, telles que la filiale américaine d’OVHcloud. Ils auront également le droit de refuser que leurs données personnelles fassent l’objet de certains types de traitement de données.

1.7Organisation du Groupe

1.7.1Organigramme simplifié 

Organigramme simplifié à la date du présent document d’enregistrement universel 

L’organigramme simplifié ci‐après présente l’organisation juridique de la Société et de ses filiales consolidées à la date du présent document d’enregistrement universel. Les pourcentages indiqués ci‐dessous représentent les pourcentages du capital social. Il n’y a pas eu de variation significative de détention du capital depuis la clôture de l’exercice le 31 août 2024.

1.7.2Filiales et participations 

Principales filiales 

À la date du présent document d’enregistrement universel, les principales filiales directes et indirectes de la Société sont décrites ci‐après :

• OVH SAS est une société par actions simplifiée de droit français dont le siège social est situé au 2, rue Kellermann, 59100 Roubaix, France, et immatriculée au Registre du commerce et des sociétés de Lille Métropole sous le numéro 424 761 419. La Société détient directement 100 % du capital et des droits de vote d’OVH SAS. Les principales activités d’OVH SAS comprennent les activités d’hébergement de datacenters, la fourniture de services cloud, la fabrication d’ordinateurs et de périphériques, les activités de marketing ainsi que la recherche et le développement ; 
• OVH Infrastructures Canada Inc. est une société par actions de droit canadien dont le siège social est situé au 50, rue de l’Aluminerie, Beauharnois Québec J6N0C2, Canada, et enregistrée auprès des registres des entreprises du Canada sous le numéro 1167756403. La Société détient indirectement 100 % du capital et des droits de vote d’OVH Infrastructures Canada Inc. par l’intermédiaire de sa société holding OVH Canada Inc. L’activité principale d’OVH Infrastructures Canada Inc. est l’hébergement de datacenters ;
• OVH Holding US Inc. est une société par actions de droit américain, immatriculée sous le n° 5103215, dont le siège social est situé au 2915 Ogletown Road, Newark, DE, 19713, États-Unis. La Société détient 100 % du capital et des droits de vote des sociétés OVH US LLC, Datacenter Vint Hill LLC, Datacenter West Coast LLC et OVH Data US LLC dont l’activité principale de ces sociétés est l’hébergement de datacenters.

 

Acquisitions au cours des derniers exercices

ForePaaS 

Le 21 avril 2022, OVHcloud a annoncé l’acquisition de ForePaaS, la plateforme française unifiée spécialiste des projets de « data analytics », « machine learning » et d’intelligence artificielle au service des entreprises. Les 23 collaborateurs des équipes ForePaaS ainsi que ses fondateurs ont rejoint les effectifs du Groupe pour construire ensemble une famille de solutions, qui contribuera activement au déploiement de la stratégie d’accélération de croissance d’OVHcloud grâce à l’enrichissement de son offre Platform-as-a-Service (PaaS). 

gridscale

Le 4 septembre 2023, sur l’année fiscale 2024, OVHcloud a annoncé l’acquisition de 100 % de la société allemande gridscale, spécialisée dans les infrastructures hyperconvergées. Cette acquisition marque une étape stratégique pour l’accélération de l’expansion géographique du Groupe en permettant de pénétrer le marché en forte croissance de l’Edge Computing.

Réorganisations 

La société ForePaaS SAS a fait l’objet d’une fusion-absorption en date du 1er avril 2024 au profit d’OVH SAS.

La société ForePaaS Inc., filiale de ForePaaS SAS, a été dissoute en date du 30 août 2023. 

La société BuyDRM a fait l’objet d’une fusion-absorption au profit de NFA Group Inc. effective au 6 octobre 2022.

Facteurs de risque 
et contrôle interne

Au cœur du mécanisme de gouvernance, le dispositif de gestion des risques d’OVHcloud contribue à l’atteinte des objectifs stratégiques du Groupe et participe à la préservation de ses actifs et de sa réputation. Il permet également de mobiliser les collaborateurs autour d’une approche commune des risques. OVHcloud s’est engagé à évaluer régulièrement les risques et à mettre en place un contrôle interne et des plans d’action visant à leur atténuation.

2.1Facteurs de risque /RFA/

2.1.1Dispositif de gestion des risques

Dispositif de gestion des risques

Le dispositif de gestion des risques vise à identifier, analyser et piloter les principaux risques auxquels est exposé le Groupe. Il contribue à la maîtrise et à la sécurisation des activités, à l’efficacité des opérations et à l’utilisation efficiente des ressources.

Ce dispositif comprend un ensemble de processus, dont l’objectif est d’identifier les risques, de les évaluer et de les prioriser, de les prévenir et de les maîtriser, de diffuser la culture de la gestion des risques et de suivre les plans d’action permettant de les limiter. Il s’appuie sur les collaborateurs du Groupe, en particulier l’audit interne et la conformité, et au besoin sur des expertises externes. 

Pour les risques liés aux aspects RSE, se référer au chapitre 3 « État de durabilité » qui intègre les nouvelles exigences liées à la CSRD, du présent document d’enregistrement universel.

Cartographie des risques

Le Groupe a établi dès 2020 une cartographie des risques, qui a été mise à jour en 2022 et 2023. En 2025, la cartographie a été revue avec le nouveau directeur général, dans le cadre de la gouvernance de suivi des risques. Des ajustements de certains niveaux ou dénominations de risques ont été effectués.

Le processus d’élaboration de la cartographie des risques, mené avec l’ensemble des composantes de l’entreprise, et en impliquant le top management de toutes les activités du Groupe, a permis d’identifier les principaux risques auxquels le Groupe est exposé et d’apprécier pour chacun d’eux leur impact potentiel, prenant en compte leur criticité et leur probabilité d’occurrence. La cartographie des risques du Groupe est également nourrie par des cartographies de risques spécifiques, telles que les cartographies cybersécurité ou anticorruption, et par un travail de veille sur les risques opérationnels et les risques émergents. 

Les risques les plus significatifs ont été rassemblés en différentes familles (stratégie et marchés, opérationnels, ressources humaines, financiers, réglementaires et juridiques, systèmes d’information) et font l’objet d’une description de leurs causes et impacts potentiels, ainsi que des actions déployées pour gérer les risques.

Gouvernance de suivi des risques

La direction du Groupe, le Conseil d’administration et le comité d’audit suivent avec attention la gestion des risques et en définissent la stratégie la plus appropriée. 

Pour chaque risque, un ou plusieurs responsables sont nommés. Ils ont pour rôle de compléter l’analyse du risque, d’identifier les actions et moyens nécessaires à sa réduction, et de piloter les plans d’action correspondants.

La pertinence et l’avancement des plans d’action sont suivis par des membres du comité exécutif du Groupe, dont le directeur général, le directeur financier et le directeur juridique, qui les revoient à un rythme trimestriel. La cartographie des risques et les plans d’action font l’objet d’une présentation annuelle au comité d’audit du Groupe, complétée sur demande de présentations ponctuelles.

 

2.1.2Principaux risques identifiés

Tableau de synthèse des principaux risques

Les facteurs de risque décrits dans cette section sont, à la date du présent document d’enregistrement universel, ceux que le Groupe considère comme susceptibles d’avoir un effet défavorable significatif sur OVHcloud, son activité, sa situation financière, ses résultats ou ses perspectives. La liste des risques présentée dans le présent chapitre n’est pas exhaustive, d’autres risques inconnus ou qu’OVHcloud ne juge pas être significatifs à ce jour pourraient avoir un tel effet défavorable. 

Les catégories de risques ne sont pas présentées par ordre d’importance. En revanche, au sein de chaque catégorie, les risques sont présentés selon un niveau de risque décroissant selon l’évaluation réalisée pour l’exercice 2025.  

2.1.2.1Risques liés à la stratégie et aux marchés d’OVHcloud

Risques liés au développement international

Description du risque

Dans le cadre de sa stratégie de croissance, OVHcloud cherche à développer ses revenus provenant d’autres régions, notamment en Europe (hors France), aux États-Unis et en Asie (voir chapitre 1 « Présentation du Groupe » qui détaille la répartition actuelle des activités et les axes de développement). 

OVHcloud peut être confronté à des défis importants dans ses efforts pour développer ses revenus internationaux. En dehors de son marché domestique français, OVHcloud dispose d’une moindre notoriété de marque, et ne bénéficie pas du leadership historique du marché de l’hébergement de sites Internet dont il jouit en France, ce qui réduit les opportunités de synergies commerciales. Les dynamiques de marché et les préférences des clients sur les marchés internationaux sont susceptibles d’être différentes de celles des marchés traditionnels d’OVHcloud et les politiques locales de patriotisme économique peuvent rendre difficile l’accès à de nouveaux territoires. Certains marchés qu’OVHcloud vise (par exemple les États-Unis) sont dominés par les hyperscalers, et l’expansion d’OVHcloud sur ces marchés dépendra de sa capacité à commercialiser des produits adaptés auprès de segments de clientèle prioritaires. 

Même si OVHcloud est en mesure de se développer à l’international, la gestion des opérations internationales nécessite une organisation plus structurée et des ressources plus importantes que la gestion des activités sur le marché national d’OVHcloud, ce qui pourrait augmenter les frais de fonctionnement d’OVHcloud, même s’il n’y a pas d’augmentation correspondante des revenus générés par ces nouveaux marchés. 

L’ouverture d‘infrastructures physiques et d’opérations internationales nécessite également une adaptation aux règles locales pour la conformité des opérations, ainsi qu’une adaptation de certains process internes, qui peuvent parfois ralentir l’expansion ou dégrader la profitabilité des opérations locales. Par ailleurs, l’expansion internationale peut être affectée par des mesures locales, tels que des droits de douanes, qui pourraient affecter la capacité à opérer ou la profitabilité des opérations.

Enfin, OVHcloud pourrait être confronté à des tensions géopolitiques dans certains pays ou certaines régions qui viendraient limiter sa capacité à développer son offre commerciale localement. Par conséquent, OVHcloud pourrait ne pas réaliser ses objectifs d’expansion internationale, et même si le Groupe le fait, il ne peut être assuré que la rentabilité de ses nouvelles activités internationales sera satisfaisante.

Gestion du risque

La stratégie du Groupe de développement à l’international lui permet de diluer le risque lié à un pays. Pour améliorer la capacité d’OVHcloud à se développer dans de nouvelles géographies, le Groupe a développé plusieurs programmes et initiatives afin de limiter les risques liés à son expansion internationale. 

La création de clusters commerciaux permet à OVHcloud d’avoir des équipes locales, expertes de leurs géographies et ayant connaissance des spécificités locales, afin de procéder à la définition des offres commerciales ou produits les plus en ligne avec les attentes des clients locaux. Cette organisation permet également de maîtriser et d’anticiper les éventuelles évolutions de marché, tant par le client final que par les pouvoirs publics locaux. L’existence de deux usines de production, en France et au Canada, permet par ailleurs de diluer le risque lié à des mesures douanières.

Le Groupe a également mis en place un programme dédié à l’évaluation et au suivi des projets d’ouverture de nouveaux centres de données (« GEOS program »). Ce programme implique toutes les équipes concernées par un projet d’ouverture de centre de données afin d’anticiper les éventuels freins opérationnels et réglementaires. OVHcloud a ainsi ouvert un centre de données en Inde en mars 2023. En 2024, OVHcloud a lancé le programme Local Zone pour accélérer son expansion internationale, en structurant un processus d’industrialisation de l’ouverture de ces Local Zones (31 ouvertures finalisées à la fin de l’exercice 2025). En 2025, le Groupe a annoncé l’ouverture d’un centre de données en 3AZ en Italie, à Milan.  

Afin d’assurer un niveau de performance des opérations internationales, OVHcloud poursuit également le déploiement de SAP et du contrôle interne, afin d’harmoniser ses process et de centraliser des opérations critiques.

Risques liés aux opérations d’acquisitions

Description du risque

OVHcloud a l’ambition de réaliser des acquisitions afin d’élargir son portefeuille d’offres de services, en particulier dans le domaine des services de plateforme logicielle, et son empreinte géographique. 

Lorsqu’OVHcloud procède à des acquisitions, le Groupe s’expose au risque qu’elles ne concourent pas à la mise en œuvre de la stratégie, ou qu’OVHcloud en retire un rendement insatisfaisant. Il existe aussi le risque qu’OVHcloud ait des difficultés à intégrer et à conserver de nouveaux employés, de nouveaux systèmes commerciaux et de nouvelles technologies, ou que l’acquisition détourne l’attention de la direction des autres activités d’OVHcloud. Il se peut aussi qu’il faille plus de temps que prévu pour réaliser tous les bénéfices attendus de ces opérations, tels que l’augmentation du chiffre d’affaires ou l’atteinte de synergies, ou que les avantages soient finalement moins importants que ce qu’OVHcloud avait prévu. Ces événements sont susceptibles d’avoir un impact défavorable sur l’activité, la situation financière et les résultats d’exploitation d’OVHcloud.

Gestion du risque

OVHcloud a renforcé les équipes financières dédiées aux acquisitions afin d’améliorer la recherche d’acquisitions potentielles et de structurer les processus internes de validation des cibles, comme ce fut le cas dernièrement lors du processus d’acquisition de Gridscale. Afin de limiter le risque lié à l’intégration des acquisitions, des équipes dédiées de plusieurs départements sont impliquées tout au long du processus d’acquisition afin d’anticiper et de suivre les évolutions des projets. Une revue régulière est maintenue après l’acquisition afin de s’assurer du bon fonctionnement du processus d’intégration. OVHcloud a procédé à plusieurs acquisitions ces dernières années, notamment celle d’API.video en 2025, ce qui a permis de renforcer les processus tout en améliorant l’expertise des équipes pour procéder à la sélection puis à l’intégration des sociétés et actifs acquis. 

Risques liés à l’offre produits ou services dans un marché concurrentiel

Description du risque

Les marchés sur lesquels OVHcloud opère évoluent rapidement et sont hautement concurrentiels. Afin d’être compétitif sur ces marchés, OVHcloud doit continuellement innover et adapter ses offres à l’évolution des besoins des clients (voir chapitre 1 « Présentation du Groupe » qui détaille la stratégie et le marché).

OVHcloud estime que le rythme de l’innovation en matière de produits et services cloud devrait continuer à s’accélérer, notamment autour de l’intelligence artificielle (IA). En effet, les clients fondent de plus en plus leurs achats d’offres de cloud sur leurs besoins en matière de fonctionnalités nouvelles et améliorées qui devraient représenter une part importante de la croissance future du marché. Le succès futur d’OVHcloud dépend de sa capacité à continuer à innover en réponse à ces demandes et à accroître l’adoption par les clients de ses offres de cloud. 

En outre, la concurrence s’intensifie sur les marchés sur lesquels OVHcloud opère. De nombreux concurrents d’OVHcloud sont des entreprises de cloud internationales, y compris les opérateurs dits « hyperscalers » (Amazon Web Services, Google Cloud Platform et Microsoft Azure), ainsi que d’autres prestataires de cloud établis tels qu’IBM Cloud et, en Asie, Alibaba Cloud. En Europe, OVHcloud est également en concurrence avec des spécialistes du cloud tels que Hetzner, Leaseweb et iomart, et d’autres prestataires de cloud émergents. À mesure qu’OVHcloud élargira son offre de plateformes logicielles, le Groupe sera en outre davantage en concurrence avec d’autres sociétés présentes sur ces marchés, comme Salesforce, Oracle, IBM et SAP. Il est probable que de nouveaux concurrents continueront à entrer sur le marché à mesure qu’il évolue.

De nombreux concurrents d’OVHcloud, en particulier en dehors de l’Europe et dans l’espace du cloud public, ont une plus grande notoriété de marque, des bases de clientèle plus étendues, des pratiques commerciales extrêmement agressives et de plus grandes ressources, notamment financières, humaines ou techniques. Ces mêmes concurrents sont susceptibles de pouvoir répondre plus rapidement qu’OVHcloud aux nouveautés et évolutions en matière de technologies, de normes, d’exigences des clients et de pratiques d’achat. Les hyperscalers, en particulier, comptent parmi les entreprises de technologie de l’information les plus importantes et les plus connues au monde, avec des relations établies à l’échelle mondiale, régionale et locale, et une notoriété de marque importante. Si OVHcloud n’est pas en mesure de concurrencer de manière différenciante les hyperscalers, ses perspectives de croissance pourraient en pâtir.

Par ailleurs, si OVHcloud n’est pas en mesure d’améliorer ses offres de cloud pour suivre le rythme des évolutions du marché, ou si des concurrents émergents sont capables de fournir des offres compétitives à des prix plus bas, de manière plus efficace, plus pratique ou plus sûre que les services cloud d’OVHcloud, l’activité, la situation financière et les résultats d’exploitation d’OVHcloud pourraient être affectés de manière défavorable.

Gestion du risque

OVHcloud se positionne par rapport à ses concurrents sur la base de divers facteurs, notamment : le prix, la performance, les tendances du multi-cloud et du cloud hybride, l’expérience et le support clients, l’extensibilité (scalabilité), la fiabilité, la souveraineté des données, la sécurité, le développement durable, la sobriété énergétique et la conformité avec les normes existantes. 

OVHcloud maintient une veille active des évolutions du marché et des pratiques clients. Le Groupe cherche ainsi à se développer sur des nouveaux segments de marché en élargissant son offre selon les besoins clients, par exemple sur l’intelligence artificielle, le quantique, le stockage froid ou encore sur le stockage des données de santé. 

Afin de continuer à proposer de nouvelles solutions et de maintenir son positionnement, OVHcloud a une stratégie de développement ouverte. Le Groupe peut par exemple s’appuyer sur des logiciels open source, acquérir de nouvelles briques technologiques en faisant l’acquisition de sociétés telles que ForePaaS en 2022 ou Gridscale en 2023. OVHcloud dispose également d’équipes en interne pour développer sa feuille de route produits et le Groupe peut nouer des partenariats avec des acteurs reconnus dans leurs domaines, s’il considère que les produits sont des standards attendus par ses clients. Lors de l’exercice 2025, OVHcloud a par exemple investi 163 millions d’euros en recherche et développement, comme détaillé en note 4.10 du chapitre 5 du présent document d’enregistrement universel, et le Groupe a renforcé la structure de pilotage de sa feuille de route. 

OVHcloud dispose également de facteurs différenciants comme un outil de production industrielle intégré et d’équipes dédiées à la recherche et au développement qui lui permettent d’adapter rapidement ses besoins de fabrication et d’approvisionnement pour accompagner les évolutions de ses produits.

Risques liés aux enjeux RSE

Description du risque

De par son secteur d’activité, son étendue géographique, et par l’évolution réglementaire, le Groupe est exposé à des enjeux RSE de plus en plus importants.

En effet, les sites physiques d’OVHcloud pourraient être exposés au changement climatique au travers de différentes causes :

• survenue de catastrophes naturelles extrêmes telles que des inondations, séismes, sécheresses extrêmes, feux « géants », glissements de terrain, cyclones ou tsunamis ;
• renforcement des réglementations sur la gestion de l’énergie (électrique), l’utilisation d’eau ou les normes d’éco-conception des produits ou de construction de bâtiments ;
• survenue de pénuries occasionnelles ou permanentes (eau, électricité…).

Ce risque est exacerbé par l’accélération des dérèglements climatiques. Des catastrophes naturelles de très grande ampleur ou répétitives pourraient conduire à des situations exceptionnelles de désorganisation des infrastructures physiques extérieures et des moyens de communication dont dépend OVHcloud pour exercer son activité, ou provoquer l’endommagement des infrastructures du Groupe. OVHcloud pourrait ainsi temporairement ne pas être en mesure de mettre en œuvre ses services selon les conditions définies par les contrats, avec de possibles compensations financières ou surcoûts de fonctionnement. Par exemple, la multiplication des événements de canicule pourrait renchérir le coût de fonctionnement des systèmes de refroidissement du Groupe.

Le changement climatique pourrait également occasionner des pénuries de matières premières, et ainsi renchérir l’accès à ces matières premières.

Le contexte de changement climatique engendre également un environnement réglementaire se complexifiant en termes de normes environnementales et de reporting lié à la responsabilité sociale et environnementale, notamment avec la mise en place de la CSRD. Les risques liés aux enjeux RSE sont décrits plus en détail dans le chapitre 3 « État de durabilité ».

Gestion du risque

OVHcloud a renforcé ses équipes RSE, au sein du département stratégie et dans les directions opérationnelles, afin de piloter les risques liés aux enjeux RSE. Le Groupe a également renforcé ses équipes liées au reporting environnemental pour se conformer aux obligations de la CSRD, avec la publication de son premier rapport de durabilité, qui a permis la mobilisation de l’ensemble des acteurs de l’enjeu RSE, la mesure des indicateurs clés et la mise en place d’actions et de cibles. 

OVHcloud investit continuellement dans sa recherche et développement afin de développer des innovations écologiques (réduction de la consommation d’énergie ou réduction des besoins en ressources naturelles comme l’eau) permettant d’avoir les meilleurs résultats du secteur en matière d’efficacité de l’utilisation de l’énergie (PUE) et s’est engagé à augmenter l’utilisation d’énergies renouvelables.

Les risques liés aux catastrophes naturelles sont intégrés aux travaux relatifs aux plans de continuité d’activité. Les audits de sites, ainsi que les dispositifs d’assurance complètent les mesures de gestion de ce type de risque. Ainsi, des études externes ont été menées pour cartographier le niveau d’exposition aux risques naturels de chacun des sites du Groupe. La synthèse de ces travaux a été présentée à la gouvernance de suivi des risques et des plans d’action par site ont été définis. OVHcloud continue d’intégrer les éléments suivants dans son exploitation, au travers du programme « hyper résilience » (voir « risques liés à un incident sur les infrastructures physiques »).

2.1.2.2Risques liés aux opérations d’OVHcloud

Risques liés à un incident sur les infrastructures physiques d’OVHcloud

Description du risque

L’activité de production et d’exploitation des datacenters est génératrice de risques liés aux infrastructures physiques, comme toute activité industrielle. OVHcloud est par exemple exposé à des risques électriques, incendie ou liés à la sécurité physique des bâtiments, pouvant impacter le service offert aux clients, et les coûts opérationnels. 

OVHcloud a une stratégie de réutilisation du parc industriel existant sur le territoire en réadaptant ces derniers à son activité. Cette stratégie permet de maîtriser les coûts de construction tout en réduisant son empreinte écologique. Selon l’âge de ces bâtiments, le secteur d’activité de l’ancien occupant et les secteurs d’activité des installations voisines, certains de ses centres et usines pourraient présenter des défauts structurels et environnementaux existants susceptibles de présenter des risques en matière de sécurité et de conformité ou obliger OVHcloud à dépenser des sommes importantes pour y remédier. 

OVHcloud est tenu d’obtenir des autorisations d’exploitation des autorités gouvernementales compétentes locales afin d’opérer ses activités. Ce processus administratif nécessite un suivi important et dans la durée pouvant entraîner des demandes complémentaires de prévention et protection par rapport à la législation applicable initialement. À date, le Groupe n’a fait l’objet d’aucune sanction administrative entraînant la mise à l’arrêt de ses datacenters. 

Les datacenters d’OVHcloud pourraient également être atteints par des événements naturels destructeurs qui impacteraient les activités du Groupe (voir « risques liés aux Enjeux RSE »).

OVHcloud dépend de l’accès à un approvisionnement suffisant et fiable en électricité, en eau, à Internet, et aux réseaux de télécommunications et de fibre optique pour mener à bien ses activités. En outre, le système exclusif de refroidissement par eau des serveurs d’OVHcloud nécessite qu’OVHcloud ait un accès à l’approvisionnement en eau dans ses datacenters. Toute interruption de ces services pourrait avoir pour conséquence qu’OVHcloud ne soit pas en mesure de fournir aux clients ses offres de cloud à des niveaux de performance adéquats, voire pas du tout. Par ailleurs, OVHcloud pourrait être exposé dans certains pays à un risque de délestage électrique pouvant entraîner une interruption temporaire de ses services. Toute interruption de ces services pourrait avoir pour conséquence qu’OVHcloud ne soit pas en mesure de fournir aux clients ses offres de cloud à des niveaux de performance adéquats. 

Enfin, OVHcloud a connu, et pourrait connaître à l’avenir, des litiges relatifs à l’état de ses installations ou aux nuisances (telles que le bruit et la chaleur) générées par ces installations, et ainsi devoir engager des coûts additionnels. 

Bien qu’OVHcloud ait pour politique de chercher à remédier à tout risque identifié, la mise en œuvre de cette politique pourrait s’avérer coûteuse et longue, l’éventuelle inexécution des réparations nécessaires ou le fait de ne pas achever les travaux requis pourrait nuire à la réputation d’OVHcloud, et ainsi exposer sa responsabilité et perturber ses activités.

Gestion du risque

OVHcloud missionne des audits environnementaux et de sécurité sur ses sites existants, et avant d’acquérir des sites pour des datacenters. Plus généralement, OVHcloud réalise avec ses assureurs des revues des installations afin de prévenir en amont les potentiels risques. En 2025, OVHcloud a par ailleurs poursuivi la démarche de cartographie des risques par site. 

À la suite de l’incendie de Strasbourg, OVHcloud a mis en place un plan « hyper résilience » afin, entre autres, d’apporter un renforcement du niveau de sécurité dans ses datacenters sur les bases de standards de référence du marché et au-dessus des standards réglementaires et des recommandations des assureurs.

Le Groupe a développé des procédures d’exploitation et de sécurité pour tous ses sites, et développe des mécanismes d’évaluation et d’amélioration de ces règles. Les datacenters ont par exemple une sécurité physique 24/7, une politique d’accès fortement encadrée et contrôlée, et possèdent des systèmes anti-intrusion dédiés. 

Le Groupe construit également des plans de continuité de l’activité afin de pouvoir maintenir l’exploitation. OVHcloud prévoit plusieurs mesures de redondance en cas de coupures électriques, avec par exemple la mise en place de plusieurs points de livraison d’électricité dans ses datacenters ou avec la présence de groupes électrogènes sur site, activables en cas de coupure. Notamment grâce à son modèle de refroidissement à eau, OVHcloud essaye de réduire en permanence sa consommation en électricité ainsi qu’en eau. De la même manière, le refroidissement à eau s’effectuant en circuit fermé, OVHcloud consomme ainsi beaucoup moins d’eau pour l’exploitation de ses datacenters comparé à un datacenter classique refroidi par un système de refroidissement de l’air par climatisation. 

Enfin, OVHcloud développe des relations avec les autorités locales, le voisinage, les forces de sécurité, afin de prendre en compte l’environnement extérieur de ses sites. OVHcloud avait ainsi fermé en 2023 son datacenter parisien et migré les services sur un autre site, afin de limiter les risques de litige avec le voisinage et de renforcer la sécurisation de ses opérations. 

Risques liés aux chaînes d’approvisionnement

Description du risque

OVHcloud pourrait être exposé à la défaillance d’un fournisseur clé ou à des difficultés à se fournir en composants clés. Les serveurs d’OVHcloud utilisent des composants provenant de grands fabricants, sur un marché mondial qui connaît des pénuries et des retards, bien que le risque ait diminué par rapport à 2022 et 2023.

Le Groupe pourrait subir des perturbations de ses chaînes d’approvisionnement, par exemple liées à la reprise de la pandémie de COVID-19, à l’inflation ou à des tensions géopolitiques ou climatiques, voire à cause de mesures douanières, qui impacteraient la production de serveurs et l’exploitation des datacenters. Malgré des contacts réguliers et de haut niveau, la taille d’OVHcloud sur le marché mondial limite sa capacité à signer des accords généralisés de livraison.

Le risque d’approvisionnement d’OVHcloud concerne également la capacité du Groupe à avoir accès aux solutions logicielles les plus performantes sur le marché et au moins équivalentes à celles de ses principaux concurrents, notamment les hyperscalers. Les solutions d’OVHcloud reposent sur des logiciels tiers. S’il existe des failles dans ce logiciel sous-jacent, ou si le logiciel cesse d’être disponible pour OVHcloud, le Groupe pourrait voir ses clients se tourner vers des offres concurrentes.

Gestion du risque

Grâce à son modèle verticalement intégré, OVHcloud peut maîtriser l’intégralité de la chaîne de valeur. OVHcloud constitue des stocks de précaution et peut avoir recours à plusieurs circuits de distribution, afin de pouvoir encaisser des perturbations temporaires, ou des mesures douanières pouvant impacter ses coûts de production et d’exploitation. Ainsi, en 2025, le Groupe a mené des analyses d’impacts liés à l’évolution des règlementations douanières et aux tensions géopolitiques, et a travaillé avec ses fournisseurs pour adapter les pays d’origine de ses composants afin de réduire le risque de rupture et d’inflation des coûts.

Par ailleurs, OVHcloud dispose d’une politique de recyclage qui s’appuie sur une chaîne logistique permettant la réutilisation des composants et équipements. Dans ce cadre, OVHcloud récupère les composants sur des équipements considérés en fin de vie, les soumet à des tests puis réutilise ceux qu’il estime pouvoir être assemblés sur une autre gamme de produits répondant à des critères de performance généralement moins exigeants.

Le modèle d’OVHcloud lui permet également de planifier et d’anticiper certaines commandes et lui garantit une flexibilité. Enfin, les équipes achats continuent de développer les relations commerciales avec les fournisseurs d’OVHcloud afin de négocier au niveau mondial des contrats d’approvisionnement. C’est en particulier le cas sur les composants permettant à OVHcloud de générer de la croissance sur des marchés à fort potentiel comme l’intelligence artificielle. 

En 2024, OVHcloud a ainsi défini une liste de fournisseurs stratégiques sur lesquels des analyses de risques ont été menées, tant sur la localisation des usines de production des fournisseurs, que sur les risques contractuels. Le Groupe effectue une analyse de la santé financière de ses principaux fournisseurs et du risque de dépendance économique pour prévenir d’éventuels déséquilibres. En 2025, les processus de contrôles économiques et environnementaux des fournisseurs ont encore été renforcés.

Risques liés à la qualité de services rendus aux clients

Description du risque

OVHcloud travaille continuellement pour proposer une offre de services large, la meilleure expérience clients, ainsi qu’un support clients avec une qualité optimale.

OVHcloud s’engage généralement envers ses clients dans ses contrats à ce que sa plateforme maintienne un niveau minimum de disponibilité. Par exemple, OVHcloud s’engage pour les offres Premier du segment Hosted Private Cloud de maintenir un niveau de service de 99,9 % de disponibilité. Dans les offres de cloud public d’OVHcloud, OVHcloud s’engage à des temps de récupération maximaux en cas de pannes. Si ces pannes sont causées par un événement en dehors du contrôle d’OVHcloud, il pourrait être difficile pour OVHcloud de respecter ses engagements en matière de niveau de service. Bien qu’OVHcloud considère avoir mis en place des mesures de sauvegarde adéquates en fonction des services souscrits, celles-ci pourraient s’avérer insuffisantes pour empêcher une interruption de service.

En outre, OVHcloud pourrait devoir faire face à des coûts liés à la réparation de cette interruption de service ou à la rétention de clients. Toutes les conséquences ci-dessus sont susceptibles d’avoir un impact défavorable sur l’activité, la situation financière et les résultats d’exploitation d’OVHcloud.

Gestion du risque

OVHcloud améliore continuellement la qualité des services rendus à ses clients et met au cœur de sa politique la satisfaction de ces derniers. Cette stratégie porte ses fruits et permet à OVHcloud d’afficher un taux de rétention net de 105 % sur l’année 2025.

OVHcloud évalue l’expérience fournie à ses clients à travers des enquêtes de satisfaction.

En outre, OVHcloud renforce continuellement ses processus qualité et, dans une démarche d’amélioration continue, réalise systématiquement des analyses suite aux incidents significatifs rencontrés.

Afin de pouvoir intervenir au plus vite en cas de panne ou de requêtes exprimées par les clients, OVHcloud a organisé son support technique pour être disponible 24 heures sur 24, et 7 jours sur 7.

Dans les datacenters, des équipes opérationnelles sont organisées et formées pour réaliser en continu les opérations d’installation et de maintenance des serveurs. Les équipes « Tour de Contrôle » et « NOC (Network Operating Center) » assurent la surveillance centralisée des services proposés et coordonnent le traitement des incidents. Enfin, le Groupe a structuré également ses plans de continuité et de gestion de crise afin de pouvoir mobiliser les ressources critiques en interne.

2.1.2.3Risques liés aux ressources humaines

Risques liés aux recrutements, à l’intégration, au développement et à la rétention des ressources humaines

Description du risque

Il est important pour l’activité d’OVHcloud d’attirer un personnel hautement qualifié et international, en particulier des ingénieurs ayant une expertise dans le développement de logiciels, le codage, ou encore l’intelligence artificielle. Le marché est très concurrentiel et le personnel informatique qualifié est très demandé, ce qui peut rendre les efforts de recrutement et d’intégration à OVHcloud difficiles.

OVHcloud emploie près de 3 000 collaborateurs à fin août 2025, et pourrait être confronté à des départs de ressources clés pour son organisation, ou à un déficit de compétences techniques pointues pour répondre aux évolutions du marché.

Si la culture d’entreprise d’OVHcloud change ou est perçue négativement, ou si OVHcloud n’est pas en mesure de développer sa marque employeur ou ses compétences internes, le Groupe pourrait faire face à des difficultés pour attirer, intégrer et retenir le personnel. Le cas échéant, OVHcloud pourrait ne pas être en mesure d’atteindre ses objectifs commerciaux, et son activité, ses revenus et ses résultats financiers pourraient en pâtir.

Gestion du risque

OVHcloud, par son positionnement de leader européen du cloud, de défenseur de la souveraineté européenne et par son profil de croissance, offre une proposition de valeur unique pour de nombreuses recrues. De plus, le développement international continu du Groupe lui permet d’élargir le vivier de talents susceptibles de le rejoindre.

Afin de limiter les difficultés de recrutement, OVHcloud dispose d’une marque employeur forte, qui se développe en France et à l’international, et d’un cabinet de recrutement interne permettant de sourcer les candidats et candidates avec les bonnes compétences au bon moment. OVHcloud a mis en place un processus d’intégration qui permet de créer du lien entre les nouvelles recrues dès leurs premiers jours chez OVHcloud et d’engager les nouvelles recrues dans la culture d’OVHcloud.

OVHcloud est particulièrement vigilant sur l’adaptation des conditions de travail, la fidélisation des salariés, ainsi que les formations proposées. Des processus de ressources humaines sont en place afin d’accompagner les personnes au sein de l’entreprise, avec des suivis sur l’engagement des salariés, les évolutions de carrière et des programmes de formation continue, notamment autour de l’intelligence artificielle. Plusieurs leviers de fidélisation sont en place chez OVHcloud, notamment des mesures de condition de vie au travail ou de rétention des ressources clés.

Concernant les compétences les plus à risque, une cartographie des tensions de ressources humaines est en place et permet de suivre au plus près les évolutions des personnes clés.

Risques liés à la sécurité physique ou psychique

Description du risque

OVHcloud est exposé à des risques liés à la sécurité des collaborateurs dans ses installations industrielles ou ses bureaux. Le Groupe fait face à des situations à risques de type :

• physiques qui pourraient engendrer des accidents du travail au sein de ses bureaux ou de ses sites opérationnels ; 
• psychosociaux par exemple à la suite d’une charge de travail trop conséquente ou une situation particulièrement stressante.

Gestion du risque

Le Groupe a créé une équipe « Quality, Environmental, Health and Safety » (« QEHS ») dédiée à ces sujets. En plus de proposer des équipements de protection individuels dans ses datacenters et de renforcer ses référentiels et les contrôles internes, le Groupe réalise une analyse des risques au poste de travail sur la majorité de ses sites dans le but de mettre en place des standards de travail sécuritaires pour ses employés. Le Groupe renforce continuellement ses référentiels en termes de sécurité pour l’ensemble de ses sites. Des audits, internes et externes, sont menés pour vérifier le respect de ces référentiels. 

L’analyse de risques prend également en compte les risques psychosociaux, et a mis en place plusieurs mesures telles qu’un audit psychosocial permettant de cartographier les risques associés ou encore l’existence d’un outil d’alerte. Des sondages sont réalisés régulièrement auprès des salariés afin de travailler sur les éventuels signaux faibles.

2.1.2.4Risques financiers

Risques de liquidité

Description du risque

Le risque de liquidité est le risque qu’OVHcloud ne dispose pas des fonds nécessaires pour faire face aux engagements à leur échéance. Dans une situation de tension sur le marché du crédit, le Groupe pourrait ne pas être en capacité d’obtenir les financements ou refinancements nécessaires pour mettre en œuvre son plan de croissance et cela pourrait avoir un effet négatif sur les activités, les résultats d’exploitation, les perspectives et/ou la situation financière d’OVHcloud.

Gestion du risque

Le Groupe veille à maintenir un niveau de liquidité suffisant pour faire face à ses engagements financiers et assurer le financement de son plan de développement. En 2025, OVHcloud a renforcé sa structure financière à la suite du refinancement global de sa dette, marqué par l’émission d’une obligation senior inaugurale de 500 millions d’euros à taux fixe de 4,75 % arrivant à échéance en 2031 et par la mise en place d’un prêt vert (« Green Loan ») de 450 millions d’euros à échéance 2030. Ces opérations ont permis au Groupe d’allonger la maturité moyenne de son endettement et de diversifier ses sources de financement.

Par ailleurs, OVHcloud dispose d’une ligne de crédit « Multi-purpose » non-tirée de 200 millions d’euros à échéance 2030, lui assurant une flexibilité supplémentaire pour couvrir ses besoins de liquidité.

Ainsi, après ces opérations et à la fin de son année fiscale 2025, le levier d’endettement net d’OVHcloud atteint 2,7x son EBITDA ajusté. Ce niveau est largement inférieur aux covenants existants dans les contrats de crédits du Groupe et en ligne avec la politique du Groupe.

Risques liés à l’inflation, aux taux de change et taux d’intérêt

Description du risque

La profitabilité d’OVHcloud pourrait être affectée par plusieurs facteurs exogènes, notamment l’inflation et l’évolution des taux de change et d’intérêt.

Dans un contexte économique d’inflation, OVHcloud pourrait subir des effets directs négatifs sur son profil financier et dégrader ses marges. OVHcloud est notamment exposé à la poursuite de l’augmentation des coûts d’électricité ou des composants. Le Groupe pourrait ne pas réussir à passer des hausses de prix assez significatives à ses clients pour couvrir la hausse généralisée de sa base de coûts.

Les états financiers d’OVHcloud sont présentés en euros, alors qu’une partie de ses revenus, dépenses, actifs et passifs sont libellés dans d’autres devises, ce qui expose les résultats d’exploitation et la situation financière d’OVHcloud au risque de change. Au cours de l’exercice 2025, environ 30 % du chiffre d’affaires d’OVHcloud a été réalisé dans des devises autres que l’euro, principalement en dollar américain, et dans une moindre mesure en dollar canadien, en livre sterling et en zloty polonais. Par ailleurs, une part importante des dépenses d’investissement d’OVHcloud (principalement pour les composants de serveurs) est engagée en dollar américain. Une évolution défavorable des taux de change aurait néanmoins un impact défavorable sur le résultat opérationnel d’OVHcloud. Par exemple, une variation défavorable de 10 % des taux de change aurait un impact défavorable d’environ 29 millions d’euros sur le chiffre d’affaires d’OVHcloud, sans mécanisme de couverture.

Enfin, les crédits contractés par le Groupe portent intérêt à un taux variable, ce qui expose OVHcloud au risque de dégradation de son résultat d’exploitation si le taux d’intérêt venait à augmenter, sans qu’OVHcloud n’ait été en mesure de se couvrir avec succès.

Gestion du risque

Afin de limiter les risques que représentent les variations de taux de change et d’intérêt, OVHcloud utilise des instruments de couverture. Par exemple, des achats à terme de dollars américains sont régulièrement effectués afin de couvrir les dépenses à venir dans cette devise au cours des 12 prochains mois.

Par ailleurs, au 31 août 2025, l’intégralité de la dette du Groupe est couverte à taux fixe afin de limiter les risques liés aux variations des taux d’intérêt.

Afin de se prémunir des risques d’inflation, le Groupe continue d’améliorer sa politique d’achat et sa stratégie logistique de manière à compenser des hausses potentielles, par exemple en cherchant à diversifier et anticiper ses approvisionnements (voir « risques liés aux chaînes d’approvisionnement »). OVHcloud a également une stratégie active concernant ses coûts d’électricité, ce qui lui permet d’afficher un taux de couverture de près de 95 % pour l’année calendaire 2025.

Risques liés à la fraude

Description du risque

OVHcloud pourrait être victime d’une fraude externe ou interne qui serait susceptible d’avoir un impact négatif sur les résultats financiers de l’entreprise, la qualité de services et la réputation du Groupe. Cette potentielle fraude pourrait être un acte volontaire, une utilisation inappropriée des biens du Groupe ou le non-respect de lois ou réglementations, par un collaborateur ou des relations d’affaires ou des clients.

Gestion du risque

OVHcloud met en place des procédures de contrôle interne, revues par des auditeurs externes. Des circuits de validation ont été mis en place pour contrôler et suivre la réalisation de transactions pouvant présenter des risques (paiements, avoirs, notes de frais, gestion des stocks…). L’audit interne intègre systématiquement le risque de fraude dans ses missions et s’assure de la mise en place des recommandations en cas de risque de fraude. Des informations ont aussi été partagées en interne sur les nouveaux risques de fraude liés à l’intelligence artificielle.

Concernant la fraude clients, une équipe est responsable du suivi et de l’anticipation des potentielles fraudes de paiement clients et à l’utilisation abusive des services d’OVHcloud. 

Enfin, OVHcloud a mis en place une procédure de signalement interne qui permet à tout collaborateur du Groupe et aux externes, de remonter, anonymement s’ils le souhaitent, tout comportement inapproprié ou illicite, y compris des comportements constitutifs de fraude ou tentative de fraude.

Risques liés à la fiscalité

Description du risque

Du fait de son activité internationale et de son expansion, le Groupe est soumis à une législation fiscale complexe et évolutive. Le Groupe détermine le montant des impôts qu’il est tenu de payer en fonction de son interprétation des traités, lois et réglementations applicables dans les pays dans lesquels il opère et qui peut faire l’objet d’une interprétation différente dans les différents pays où il opère (notamment en matière de prix de transfert, de taxes sur les ventes, de TVA et de taxes similaires). Les régimes fiscaux et de sécurité sociale appliqués aux activités commerciales du Groupe et aux réorganisations passées ou futures sont ou peuvent être interprétés par les autorités françaises ou étrangères compétentes d’une manière différente des hypothèses utilisées par le Groupe pour structurer ces activités et opérations. Le Groupe n’est dès lors pas en mesure de garantir que les autorités fiscales concernées seront en accord avec son interprétation de la législation applicable sur leurs territoires. En outre, les lois et réglementations fiscales ou autres prélèvements obligatoires, ainsi que leur interprétation et leur application par les pays ou administrations concernés peuvent changer, notamment dans le cadre d’initiatives communes prises à l’échelle internationale ou communautaire, ce qui pourrait faire évoluer la charge fiscale du Groupe.

En outre, plusieurs pays ont mis en œuvre une taxe sur les services numériques démontrant la tendance au niveau mondial d’évolutions rapides et imprévisibles de la législation fiscale (ou à une interprétation plus large du droit existant) applicable à certaines activités du Groupe. Le champ d’application de ces taxes diffère selon les pays et par conséquent le Groupe n’est pas concerné par l’ensemble de ces taxes. Des réglementations nouvelles ou modifiées pourraient soumettre le Groupe ou ses clients à des taxes supplémentaires. OVHcloud ne peut pas prédire l’effet de telles initiatives. Également, des nouvelles taxes ou des modifications de taxes existantes pourraient augmenter le coût des activités et les coûts internes du Groupe.

L’un ou l’autre des événements susmentionnés pourrait avoir un effet négatif sur les activités, les résultats d’exploitation, les perspectives et/ou la situation financière du Groupe.

Gestion du risque

OVHcloud et ses équipes fiscales juridiques veillent à être en conformité avec les législations fiscales où le Groupe opère. OVHcloud peut être accompagné par un cabinet d’expertise externe lorsque nécessaire.

Politique fiscale

La politique fiscale du groupe OVHcloud prévoit que le Groupe s’engage à appliquer les lois, réglementations et conventions fiscales en vigueur dans tous les pays dans lesquels il exerce ses activités.

Les valeurs et principes éthiques du Groupe, ainsi que ses exigences en matière de responsabilité sociétale l’amènent à :

• conduire ses opérations en conformité avec leur réalité économique ;
• refuser tout transfert artificiel de bénéfices et la valeur créés par ses activités vers des pays à faible imposition ;
• s’assurer que toutes les transactions réalisées entre les sociétés du Groupe sont effectuées au prix de marché, autrement-dit au « prix de pleine concurrence » ;
• refuser toute planification fiscale agressive ainsi que l’utilisation de structures artificielles localisées dans des « paradis fiscaux » ;
• coopérer avec les administrations fiscales locales à l’occasion de contrôles fiscaux.

Aucune des opérations réalisées par le groupe OVHcloud n’a pour objectif d’éluder le paiement de l’impôt. Le Groupe est en train de compiler l’ensemble de ces actions et dispositions en une politique fiscale formalisée.

2.1.2.5Risques juridiques et de conformité

Risques liés à la non-conformité à certaines lois et réglementations et à leur évolution

État des lieux de la réglementation applicable au Groupe

Les activités du Groupe sont soumises à diverses réglementations dans les pays où il exerce ses activités. Le Groupe est ainsi soumis à des législations qui s’appliquent à toute société (règles commerciales, droit de la propriété intellectuelle, protection des données personnelles, règles fiscales, etc.), mais également à des réglementations plus spécifiques à sa stature et son activité (droit boursier, loi Sapin II, communications électroniques, cybersécurité, responsabilité des intermédiaires techniques, souveraineté des données, obligations de coopération avec les autorités, etc.). Certaines de ces réglementations ont un impact sur les ambitions stratégiques du Groupe, notamment en matière de souveraineté digitale.

Ces réglementations peuvent aussi être soumises à des évolutions. En particulier, le secteur numérique, dans lequel le Groupe exerce son activité, connaît depuis plusieurs années une restructuration et un enrichissement importants de son cadre réglementaire.

À titre d’exemple est présentée ci-dessous une liste non exhaustive de textes européens ou internationaux, dont les dispositions sont susceptibles d’avoir un impact sur les activités d’OVHcloud :

• réglementation dans le domaine de la sécurité et de la lutte contre le terrorisme :
  • directive européenne de 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne (« UE ») (directive UE/2016/1148), transposée en droit français le 26 février 2018, et imposant des obligations en matière de protection de la cybersécurité,
  • règlement européen sur la résilience opérationnelle numérique pour le secteur financier (« DORA »), qui encadre les accords d’externalisation de cloud dans le secteur financier,
  • sanctions économiques internationales prononcées par l’ONU ou l’Union européenne, pouvant interdire au Groupe toute relation économique avec des personnes sanctionnées ;
• réglementation dans le domaine des communications électroniques :
  • projet de règlement « CSAM » (Child sexual abuse material) déposé par la Commission européenne en mai 2022, qui vise à mieux lutter contre la pédopornographie en ligne, et pourrait soumettre OVHcloud à de nouvelles obligations dans ce domaine (étant précisé qu’OVHcloud est déjà soumis à la loi française pour la confiance dans l’économie numérique de 2004),
  • règlement relatif à un marché intérieur des services numériques (communément appelé « Digital Service Act » ou DSA), adopté le 4 octobre 2022, qui renforce les obligations en matière de traitement des contenus illégaux ou dangereux ;
• réglementation visant à améliorer la concurrence dans le domaine numérique :
  • le règlement européen communément appelé « Digital Market Act » (DMA), adopté le 14 septembre 2022, qui fixe un cadre contraignant en faveur de l’innovation européenne, à travers notamment des règles de concurrence et d’interopérabilité pour les grandes plateformes considérées comme des « Gate keepers » ; OVHcloud n’est pas, à ce jour, un « Gate keeper », mais pourrait l’être dans le futur,
  • le règlement européen sur les données (« Data Act »), adopté le 11 janvier 2024, qui vise à renforcer le marché unique de la donnée, en améliorant la concurrence sur le marché du cloud ; plusieurs dispositions de ce règlement ont été reprises dans la loi française visant à sécuriser et réguler l’espace numérique (SREN) adoptée le 21 mai 2024 ;

• réglementation dans le domaine des données :
  • le règlement européen dénommé « Data Gouvernance Act » (DGA) adopté en juillet 2022 et qui encadre notamment l’utilisation de données détenues par les administrations publiques. Ces administrations étant clientes d’OVHcloud, cette dernière pourra être soumise à des effets indirects,
  • le règlement général européen sur la protection des données (« RGPD ») du 27 avril 2016, qui encadre le traitement des données personnelles des résidents de l’UE. Le RGPD a des effets tant sur OVHcloud que sur ses clients ; 

• réglementation dans le domaine de l’intelligence artificielle :
  • le règlement européen sur l’intelligence artificielle, dénommé « IA ACT », adopté le 13 juin 2024, qui fixe le cadre du développement, de la mise sur le marché, de la mise en service et de l’utilisation des systèmes d’intelligence artificielle dans l’Union européenne. L’objectif de ce règlement est de promouvoir l’adoption de l’intelligence artificielle (IA) au sein de l’Union tout en garantissant la sécurité des biens et des personnes, la protection des principes constitutifs de l’Union, notamment la protection des droits fondamentaux des personnes (tels que la protection de la vie privée et des données personnelles, la non-discrimination, la transparence, la responsabilité) ainsi que le respect des valeurs démocratiques européennes. L’entrée en vigueur de ce règlement se fait de manière progressive depuis le 2 février 2025. Il s’appliquera en totalité à compter du 2 août 2027.

Description du risque

Le Groupe doit identifier les règles qui lui sont applicables et s’adapter, afin de s’y conformer et de poursuivre le développement de ses activités. Il doit aussi détecter les éventuelles non-conformités afin d’y remédier rapidement. Le Groupe doit de même anticiper les évolutions de ces règles pour s’y adapter au mieux.

Une connaissance insuffisante des réglementations locales, ou un défaut de méthodologie de suivi des évolutions de celles-ci, aurait un effet important sur le Groupe. Cela pourrait remettre en cause sa capacité à se conformer à la loi, ce qui l’exposerait à des risques opérationnels et financiers. Cela pourrait aussi affaiblir sa position concurrentielle et nuire à son image.

Par ailleurs, certaines réglementations non européennes à portée extraterritoriale sont susceptibles d’entrer en conflit avec des législations européennes s’appliquant au Groupe, en particulier celles protégeant les données à caractère personnel. À titre d’illustration, la loi américaine dénommée « Cloud Act », promulguée en mars 2018, permet aux autorités américaines d’accéder aux informations détenues ou contrôlées par les fournisseurs de services de cloud relevant de la compétence américaine, même si ces informations sont situées en dehors des États-Unis.

Gestion du risque

OVHcloud dispose d’une organisation interne qui lui permet de connaître les réglementations applicables, et leurs évolutions, et ainsi d’anticiper et d’atténuer les risques liés à la non-conformité. Cette organisation repose notamment sur la direction juridique, le délégué à la protection des données (DPO) ainsi que les équipes en charge de la conformité juridique, qui s’entourent le cas échéant d’experts locaux et procèdent à une veille juridique active. Elle s’appuie également sur l’équipe en charge des affaires publiques, qui identifie en amont les processus législatifs pouvant affecter le Groupe et s’efforce de faire connaître les contraintes du Groupe afin qu’elles soient prises en compte dans ces processus. D’autre part, le Groupe fait réaliser des audits externes pour s’assurer de sa conformité.

OVHcloud s’assure par ailleurs de rester hors d’atteinte de réglementations non européennes à portée extraterritoriale lorsqu’elles sont susceptibles d’entrer en conflit avec la législation européenne, en particulier celle applicable en matière de protection des données à caractère personnel. À cette fin, OVHcloud s’est doté de différentes procédures. À titre d’exemple, les données hébergées sur des datacenters européens d’OVHcloud ne sont pas accessibles par des collaborateurs basés en dehors de l’Union européenne ou employés par sa filiale américaine.

En complément, les contrats conclus entre OVHcloud et ses clients comportent des stipulations contractuelles prévoyant que les clients sont responsables de la conformité réglementaire de leurs données et de leur activité. OVHcloud n’a en effet pas à connaître des données qui lui sont confiées par ses clients, à l’exception des cas limités dans lesquels la loi l’y oblige pour lutter contre les contenus illicites.

En outre, OVHcloud a des procédures internes de contrôle de l’identité de ses clients et fournisseurs, afin d’éviter de nouer des relations d’affaires avec des personnes sous le coup de sanctions internationales.

Cependant, OVHcloud ne peut être certain que ses procédures ou ses protections contractuelles seront pleinement efficaces, de sorte qu’il pourrait violer involontairement certaines réglementations ou identifier trop tardivement des évolutions législatives. De même, le Groupe ne peut pas garantir que de nouvelles lois ou réglementations ne viendraient pas mettre en danger ses opérations. Une telle violation pourrait donner lieu à des sanctions pécuniaires pouvant avoir un impact significatif sur la situation financière du Groupe. En outre, toute violation réelle ou alléguée d’une réglementation est susceptible d’avoir un impact sur la réputation d’OVHcloud.

Focus spécifique sur le domaine de la souveraineté des données

OVHcloud considère que, en tant que prestataire européen de services cloud et grâce à l’organisation qu’il a mise en place, il peut offrir à ses clients européens l’assurance que les données qui lui sont confiées ne sont pas accessibles par les autorités étrangères et en particulier américaines. En particulier, OVHcloud estime que les données stockées sur ses serveurs (autres que ceux de sa filiale américaine) ne peuvent être obtenues par les autorités américaines en vertu du Cloud Act, contrairement aux données stockées sur des serveurs contrôlés directement ou indirectement par des concurrents qui sont soumis à la compétence des autorités américaines. Cette garantie permet aux clients de limiter leur risque de conformité en matière de protection des données et de la vie privée.

Les enquêtes réalisées par OVHcloud ont montré que l’importance de la souveraineté des données est en augmentation pour les décideurs chez ses clients, mais que ce facteur demeure moins prioritaire que d’autres facteurs tels que la performance et le prix. En outre, les concurrents du Groupe pourraient structurer leurs activités de manière à être en mesure de fournir des garanties concernant la protection des données, auquel cas l’avantage concurrentiel d’OVHcloud pourrait être moins significatif que prévu. Par exemple, Microsoft et Orange ont annoncé un partenariat, qui vise à proposer une solution de cloud dit « souverain » de données qui, en cas de succès, pourrait accroître la pression concurrentielle sur OVHcloud.

Afin de limiter le risque lié au Cloud Act, OVHcloud a procédé à une séparation stricte de ses activités américaines par rapport au reste du Groupe, avec des organisations juridiques et techniques différenciées. Les employés américains n’ayant par exemple pas accès aux données des clients localisés en dehors des centres de données basés aux États-Unis.

Par ailleurs, les clients d’OVHcloud pourraient également être soumis à de nouvelles obligations. Si les clients d’OVHcloud ne sont pas en mesure de se conformer à ces réglementations ou s’ils déterminent que la conformité est trop coûteuse, leurs activités et leur situation financière pourraient être affectées de manière défavorable, et ils pourraient choisir de réduire ou d’éliminer les activités qui dépendent des services d’OVHcloud.

Risques liés à la propriété intellectuelle

Description du risque

Pour sécuriser ses activités, OVHcloud doit protéger sa technologie et son image, notamment par le biais de marques, de noms de domaine, de secrets d’affaires, de brevets, de droits d’auteur, de restrictions contractuelles et d’autres droits de propriété intellectuelle et procédures de confidentialité. Malgré les efforts d’OVHcloud pour mettre en œuvre de telles protections, celles-ci pourraient ne pas suffisamment protéger son activité ou ne pas lui procurer un avantage concurrentiel pour diverses raisons, notamment :

• une incapacité d’OVHcloud à obtenir des brevets et autres droits de propriété intellectuelle pour des innovations importantes ou à maintenir une confidentialité appropriée ou autres mesures de protection pour établir et conserver ses secrets d’affaires ;
• l’incertitude et l’évolution des normes juridiques relatives à la validité, au caractère exécutoire et à l’étendue de la protection des droits de propriété intellectuelle ;
• l’invalidation potentielle des droits de propriété intellectuelle d’OVHcloud du fait de processus administratifs ou de litiges ;
• des stratégies commerciales de tiers consistant à déclencher des contentieux infondés, mais très coûteux ;
• toute incapacité d’OVHcloud à détecter d’éventuelles violations, infractions ou autres utilisations illicites de ses droits de propriété intellectuelle par des tiers ; et
• d’autres limitations pratiques, de ressources ou commerciales à sa capacité à faire valoir ses droits.

En outre, les lois de certains pays peuvent ne pas fournir le même niveau de protection que la loi française en matière de données et droits de propriété exclusifs des entreprises, tels que la propriété intellectuelle, les secrets d’affaires, le savoir-faire. OVHcloud peut également être exposé à des risques importants d’utilisation ou d’appropriation illicites ou de « rétro-ingénierie » non autorisée de ses données ou autres éléments de propriété intellectuelle. Par ailleurs, si OVHcloud n’est pas en mesure d’empêcher la divulgation de ses secrets d’affaires à des tiers, ou si ses concurrents développent indépendamment l’un de ses secrets d’affaires, le Groupe pourrait ne pas être en mesure d’établir ou de maintenir un avantage concurrentiel sur le marché, ce qui pourrait sérieusement affecter son activité.

Un contentieux peut être nécessaire pour faire valoir la propriété intellectuelle ou les droits de propriété d’OVHcloud, protéger ses secrets d’affaires ou déterminer la validité et la portée des droits de propriété qui peuvent être revendiqués par des tiers. Tout litige, qu’il soit ou non tranché en faveur d’OVHcloud, pourrait entraîner des dépenses importantes pour OVHcloud, détourner les efforts des équipes (techniques et administratives) et donner lieu à d’éventuelles demandes de tiers alléguant d’une violation de droits de propriété intellectuelle par OVHcloud.

Gestion du risque

OVHcloud dispose d’une organisation interne qui permet d’atténuer les risques liés à la protection de ses droits de propriété intellectuelle ou à l’atteinte portée à ces droits.

Dans ce cadre, elle dispose d’une équipe juridique dédiée à la protection de son patrimoine immatériel, qui s’appuie sur des cabinets d’avocats spécialisés à travers le monde. En outre, OVHcloud a mis en œuvre une stratégie de dépôt de brevets ambitieuse à l’échelle du Groupe et sur plusieurs territoires, à des fins aussi bien défensives qu’offensives, et détient 210 familles de brevets au 31 août 2025. Pour sécuriser l’exploitation sereine de ses brevets, le Groupe a aussi conclu, indirectement via des associations ou directement, des accords d’immunité avec des détenteurs d’autres brevets ; au terme de ces accords, les détenteurs de brevets s’engagent à préserver OVHcloud contre toute réclamation de tiers qui viendraient à acquérir leurs brevets, et ce pour toute la durée de ces brevets ; cela permet de ne pas exposer le Groupe à des recours de tiers de mauvaise foi qui acquerraient à faible coût des brevets en fin de vie dans le but d’initier des actions contentieuses contestables. Le Groupe utilise aussi des prestataires et des outils de détection d’usages non autorisés de ses signes distinctifs (marques, noms de domaine) et de ses brevets, dans plusieurs pays. 

Risques liés à la gouvernance et aux parties liées

Description du risque

De par la croissance rapide et continue d’OVHcloud, tant en termes de chiffre d’affaires que d’expansion géographique, la gestion des opérations et de la gouvernance du Groupe se complexifie. Dans ce contexte, le Groupe pourrait ne pas avoir mis en place les éléments clés de gouvernance et de contrôle permettant de maîtriser ses opérations et d’éviter la survenue de potentiels conflits d’intérêts.

Gestion du risque

OVHcloud a formalisé ses éléments clés de gouvernance d’entreprise (voir chapitre 4 « Gouvernement d’entreprise »). 

Par ailleurs, un nouveau comité dénommé « comité des parties liées » a été constitué en juillet 2024. Il est composé du Président du Conseil et d’au moins trois administrateurs indépendants (dont l’administrateur référent), et le directeur général peut être invité à assister à ses réunions. Le comité des parties liées peut être saisi par le Président, l’administrateur référent ou le directeur général, en vue de formuler un avis consultatif sur des situations de conflits d’intérêts potentiels pour des activités liées. Les modalités de fonctionnement de ce comité figurent au règlement intérieur du Conseil d’administration (voir chapitre 4 « Gouvernement d’entreprise »).

OVHcloud a aussi mis en place des revues régulières des éléments clés de gouvernance de ses filiales, en parallèle de la structuration du contrôle interne du Groupe qui concourt à l’harmonisation des pratiques et à la clarification de la gouvernance opérationnelle des activités.

OVHcloud a conclu, et peut continuer à conclure, certaines conventions avec des parties liées

Certains dirigeants et/ou actionnaires peuvent détenir des intérêts dans des sociétés qui sont par ailleurs des partenaires commerciaux d’OVHcloud, et pouvant dès lors être considérées comme des parties liées. En particulier, OVHcloud a conclu diverses conventions avec des sociétés contrôlées par M. Octave Klaba, fondateur du Groupe et actuel Président du Conseil d’administration, et des membres de la famille de M. Octave Klaba qui sont des actionnaires directs ou indirects du Groupe. La famille Klaba contrôle actuellement le Groupe.

Ainsi, OVHcloud s’approvisionne en composants métalliques pour la fabrication de ses serveurs auprès de la société AixMétal dans les domaines de la recherche et développement (comme le lancement de prototypes), la production de masse comme la fabrication en série pour les besoins de la production de serveurs et la fabrication de produits finis ou semi-finis pour les datacenters. AixMétal est contrôlée par des membres de la famille Klaba. De même, les murs de l’usine de production de serveurs, du centre de données et du siège social d’OVHcloud situés à Roubaix, en France, appartiennent à des sociétés contrôlées par la famille Klaba et sont loués à OVHcloud.

Bien qu’OVHcloud estime que tous ces accords ont été conclus pour les besoins de son activité courante, à des conditions de marché et selon des termes commercialement raisonnables, le Groupe n’a pas obtenu de proposition pour ces accords auprès de parties non liées. En outre, la flexibilité opérationnelle d’OVHcloud pour modifier ou mettre en œuvre des changements à l’égard de la description ou du prix de services fournis par des parties liées est susceptible d’être limitée : si un accord avec une partie liée est résilié, des perturbations pourraient s’ensuivre lors de la transition, et il ne peut être assuré qu’OVHcloud sera en mesure d’obtenir les mêmes produits au même coût ou à un coût inférieur. En particulier, si OVHcloud rencontre des difficultés avec les composants métalliques fournis par AixMétal, la recherche d’un autre fournisseur capable de produire des composants similaires à des conditions équivalentes pourrait être longue et complexe. Une telle situation pourrait engendrer un impact sur la capacité d’OVHcloud à fabriquer et déployer de nouveaux serveurs aussi rapidement qu’elle a été historiquement capable de le faire, impactant potentiellement la capacité d’OVHcloud à répondre aux besoins de ses clients.

Par ailleurs, OVHcloud est le fournisseur de services cloud principal des sociétés Shadow (représentant environ 1,9 % du chiffre d’affaires 2025 d’OVHcloud) et Qwant (représentant environ 0,1 % du chiffre d’affaires 2025 d’OVHcloud), contrôlées par des membres de la famille Klaba. Le chiffre d’affaires issu des contrats conclus avec les sociétés Shadow et Qwant est important pour OVHcloud et, comme pour l’ensemble de ses clients, OVHcloud ne peut garantir que ce chiffre d’affaires soit acquis de manière permanente au-delà des engagements contractuels en vigueur. De la même façon, les dépenses d’investissement engendrées par ces contrats sont significatives, et leur interruption prématurée affecterait le retour sur investissement attendu.

Les conventions avec les parties liées sont formalisées avec l’aide de la direction juridique et de la direction financière du Groupe, et de la direction des achats, qui s’efforcent de vérifier que le prix, les prestations et les conditions contractuelles objet des conventions sont comparables à ceux pratiqués sur le marché pour des volumes d’affaires équivalents.

OVHcloud apprécie la notion d’opération courante au regard de la conformité à l’objet social de la société en cause et de la nature de l’opération. La répétition et/ou l’habitude constituent une présomption du caractère courant mais ne sont pas à elles seules déterminantes. C’est dans ce cadre qu’OVHcloud a établi une charte sur les conventions courantes et réglementées afin d’apporter des précisions quant à la méthodologie appliquée en interne pour qualifier les différentes conventions conclues entre le groupe OVHcloud et ses parties liées. Cette charte détaille notamment la procédure permettant d’évaluer régulièrement les conventions courantes.

Ces conventions sont donc soumises aux règles d’approbation prévues par le droit français applicable, ainsi qu’aux règles internes de validation d’OVHcloud (approbation par le comité des « parties liées », le comité exécutif et, le cas échéant, par le Conseil d’administration). Les conventions avec les parties liées font en outre l’objet d’une revue semestrielle en comité d’audit.

Toutefois, il ne peut être assuré que, individuellement ou dans leur ensemble, ces conventions seraient conclues à des conditions similaires à celles qu’OVHcloud pourrait obtenir de parties non liées.

2.1.2.6Risques liés aux systèmes d’information

Risques liés à l’interruption d’un outil ou système informatique interne

Description du risque

OVHcloud peut être confronté à différentes causes d’interruption des services offerts aux clients ou pour son fonctionnement interne, du fait notamment d’un acte malveillant, d’un problème d’infrastructure ou applicatif, d’un niveau de sécurité insuffisant ou de la perte de connexion au réseau. 

OVHcloud pourrait ainsi ne pas être en mesure d’opérer son système d’information interne du fait de limites dans la performance de son infrastructure ou de son réseau, ce qui occasionnerait une interruption partielle ou totale des services offerts aux clients. Les plans de continuité et de reprise d’activité pourraient ne pas être suffisants pour permettre d’assurer le niveau de service attendu pour les clients et le fonctionnement interne. 

Malgré les tests des produits et des plateformes auxquels procède OVHcloud, les offres de cloud ainsi que les systèmes internes pourraient contenir des erreurs de codage ou de configuration susceptibles d’avoir un impact sur les fonctionnalités, la performance et la sécurité de ses solutions et entraîner des conséquences défavorables. La détection et la correction de toute erreur peuvent prendre du temps et être coûteuses. Les erreurs sont susceptibles d’affecter leur capacité à fonctionner de manière appropriée, à s’intégrer ou à opérer correctement. Elles sont également susceptibles d’engendrer des failles internes de sécurité dans les logiciels ou les plateformes d’OVHcloud et peuvent affecter défavorablement la pénétration sur le marché de ses offres de cloud.

Gestion du risque

OVHcloud a mis en place une revue régulière de son code et de ses infrastructures par une équipe d’auditeurs IT, qui réalise notamment des tests d’accès et de pénétration de ses systèmes. Le Groupe suit également des processus rigoureux d’évolution de ses applications pour anticiper les risques lors des développements. 

Concernant les systèmes IT internes à OVHcloud, le Groupe a mis en place des plans de continuité et de reprise d’activité intégrant une redondance de ses systèmes critiques. OVHcloud dispose d’une redondance de son réseau et réalise des sauvegardes régulières. Les mesures liées à la cybersécurité sont détaillées dans le risque afférent. 

Bien qu’OVHcloud considère avoir mis en place des mesures de gestion des risques, celles-ci pourraient néanmoins s’avérer insuffisantes pour empêcher une interruption de service.

Risques liés à la cybersécurité

Description du risque

OVHcloud est fortement exposé, en tant qu’entreprise digitale, à des risques d’interruptions de service liées à des cyberattaques.

La survenance d’un incident à grande échelle de cybersécurité pourrait affecter les systèmes internes d’OVHcloud ou le fonctionnement des serveurs et provoquer des arrêts ou des indisponibilités du service.

Comme les techniques utilisées pour obtenir un accès non autorisé aux systèmes informatiques ou pour les saboter changent fréquemment, deviennent plus complexes au fil du temps et ne sont souvent pas reconnues avant d’être lancées contre une cible, OVHcloud pourrait s’avérer incapable d’anticiper ou de mettre en œuvre des mesures adéquates pour se prémunir contre ces techniques. OVHcloud pourrait également ne pas découvrir immédiatement une violation de sécurité et une perte d’informations.

Après la découverte, OVHcloud pourrait avoir besoin de fermer les systèmes et de limiter l’accès des clients à ses services, ce qui pourrait avoir un impact défavorable sur les revenus et les coûts de fonctionnement du Groupe.

OVHcloud pourrait également subir des dommages importants sur sa marque et sa réputation si une cyberattaque ou un autre incident de sécurité permettait l’accès non autorisé ou la modification des données de ses clients, d’autres données externes ou de ses propres données ou systèmes informatiques, ou si les services que le Groupe fournit à ses clients étaient interrompus, ou si les serveurs d’OVHcloud étaient signalés comme ayant, ou perçus comme ayant, des failles de sécurité.

Au-delà de ses opérations internes, OVHcloud ne contrôle pas directement le pilotage de la cybersécurité de ses clients et pourrait être indirectement impacté par une attaque chez un de ses clients.

Par ailleurs, OVHcloud utilise des logiciels sous licence de tiers pour opérer ses serveurs et protéger ses systèmes informatiques. Bien qu’OVHcloud analyse le niveau de cybersécurité offert par ces logiciels tiers, le Groupe ne maîtrise pas totalement les mécanismes utilisés pour maintenir la sécurité de ces logiciels tiers. Si les systèmes de sécurité fournis par un tiers ne parvenaient pas à protéger adéquatement les systèmes d’OVHcloud ou les données ou systèmes de ses clients, OVHcloud pourrait subir des cyberattaques qui auraient un impact sur ses revenus et sa réputation commerciale, comme indiqué ci-dessus. En outre, si un autre client d’un fournisseur de solutions de sécurité devait subir un incident de cybersécurité, même s’il n’est pas lié aux activités d’OVHcloud, la confiance des clients d’OVHcloud pourrait être affectée.

Gestion du risque

OVHcloud a mis en place plusieurs mesures afin de limiter les risques liés à la cybersécurité, en cartographiant ses risques informatiques et en les pilotant dans une démarche d’amélioration continue par la direction cybersécurité.

OVHcloud a défini une stratégie cybersécurité et a développé un ensemble d’outils et de politiques pour assurer un niveau maximum de protection et de détection. L’architecture et les processus d’OVHcloud sont conçus pour limiter l’exposition en termes de systèmes.

Cela se traduit par plusieurs certifications comme ISO 27001, SOC 1, SOC 2, SecNumCloud ou PCI DSS. De plus, le Groupe a des contacts réguliers avec l’ANSSI (Agence nationale de la sécurité des systèmes d’information) afin d’anticiper de nouvelles attaques ou d’améliorer ses processus existants. En outre, OVHcloud réalise régulièrement des campagnes de simulations d’attaque cyber et des actions de sensibilisation auprès de ses collaborateurs et de ses dirigeants. Le résultat de ces tests est détaillé au chapitre 3 du présent document d’enregistrement universel.

Bien qu’OVHcloud s’attache à prendre des précautions pour se prémunir contre les incidents de cybersécurité, ces précautions pourraient s’avérer inefficaces ou ne pas réussir à empêcher des violations de sécurité significatives. En outre, OVHcloud peut être vulnérable à de nouvelles failles de sécurité qui n’ont pas encore été identifiées.

En tout état de cause, OVHcloud a également souscrit une police d’assurance cyber auprès d’un assureur de premier plan pour couvrir les effets d’un éventuel incident de cybersécurité. La mise en place de cette assurance a été conditionnée au respect par OVHcloud d’un cahier des charges contraignant imposé par l’assureur.

Risques liés à la protection, à la perte ou au vol de données

Description du risque

De nombreuses réglementations en matière de protection des données et de la vie privée imposent des exigences strictes aux clients d’OVHcloud, qui doivent assurer la protection des données de leurs propres clients, y compris les informations stockées sur les serveurs d’OVHcloud, ainsi que la protection des données OVHcloud. 

En cas d’incident lié à la perte ou au vol de données, OVHcloud pourrait voir sa réputation ainsi que ses revenus fortement impactés.

De plus, des projets de réglementation toujours plus stricts émergent et sont susceptibles d’avoir un impact significatif sur les entreprises technologiques qui représentent une part importante de la clientèle d’OVHcloud. De nouvelles réglementations pourraient impacter le fonctionnement d’OVHcloud et ses coûts.

Gestion du risque

OVHcloud suit en permanence les enjeux liés à la protection des données (voir « risques liés à la non-conformité à certaines lois et réglementations et à leur évolution »). OVHcloud a déployé une gouvernance interne permettant de s’assurer que les enjeux de protection des données sont systématiquement pris en compte dans ses projets.

Le Groupe procède au classement de ses données par niveau de risque afin de déterminer les mesures nécessaires pour limiter les pertes ou vols de ces données. Les processus de gestion des accès informatiques permettent de limiter la capacité à accéder aux données en fonction d’habilitations. Enfin, le Groupe se structure également sur l’évaluation globale des risques liés à l’intelligence artificielle sur ses données. Ainsi, des règles internes sur l’usage de l’intelligence artificielle générative afin d’assurer la protection des données internes ont été émises en 2025. 

Les mesures de réduction du risque cybersécurité, détaillées dans la partie « risques liés à la cybersécurité », contribuent à la réduction du risque lié à la perte de données, notamment grâce aux outils de monitoring à disposition, ou par exemple aux tests cybersécurité menés en interne et par des prestataires externes.

2.2Assurance et couverture des risques

2.2.1Politique d’assurance 

La politique du Groupe en matière d’assurance vise à protéger ses collaborateurs, ses actifs, ses clients et ses actionnaires contre les conséquences financières d’événements majeurs.

Elle a pour finalité d’assurer la continuité d’activité et la résilience opérationnelle des services fournis aux clients, de réduire l’exposition financière du Groupe en cas de sinistre et de renforcer la confiance de l’ensemble de ses interlocuteurs.

Elle vient compléter les dispositifs de prévention et de maîtrise des risques mis en place par le Groupe, tels que :

• la politique active de prévention et de protection de ses sites industriels notamment avec son plan de prévention « Hyper Résilience » (HYR), visant à les protéger contre les risques d’incendie. Le Groupe fait auditer annuellement la majorité de ses sites industriels par les ingénieurs préventionnistes de son courtier et de ses assureurs ;
• les sessions de sensibilisation du risque incendie avec une approche technique et assurantielle auprès d’un panel large d’opérationnels ;
• le développement de la prévention des risques, tels que les expositions aux catastrophes naturelles ou environnementales qui permet par ailleurs d’étoffer la couverture assurantielle existante.

La politique assurantielle s’inscrit dans la stratégie globale du Groupe en tenant compte des spécificités liées à son secteur d’activité, à sa croissance et à sa forte présence à l’international.

Afin de garantir la pertinence et l’adéquation du programme d’assurance, le département juridique travaille constamment à l’identification des risques susceptibles de faire l’objet d’une couverture assurantielle en lien avec l’ensemble des directions (financière, résilience et QSE, IT, ressources humaines, etc.). Parmi ces risques, nous pouvons citer :

• l’ensemble des dommages liés aux infrastructures (incendie, explosion, événements naturels, etc.) ;
• les risques cyber (dommage, vol, extorsion, piratage téléphonique, etc.) ;
• les risques de responsabilité civile professionnelle et de responsabilité liée à l’exploitation du Groupe ;
• les risques de responsabilité des dirigeants et mandataires sociaux ;
• les risques liés à la sécurité des collaborateurs ;
• les risques liés aux déplacements professionnels ;
• les risques liés au transport de marchandises.

 

2.2.2Suivi opérationnel, gestion et optimisation du dispositif assurantiel 

La gestion opérationnelle des différents programmes d’assurance est menée par la direction juridique du Groupe.

Elle repose sur la centralisation du suivi et de la négociation de l’ensemble des polices d’assurance du Groupe à l’exclusion des filiales implantées aux États-Unis, qui déterminent elles-mêmes leur politique assurantielle et souscrivent pour leur propre compte leurs polices d’assurance.

La dimension internationale du Groupe a conduit à la mise en place de programmes d’assurance structurés poursuivant un objectif de couverture homogène mais également adaptée à l’ensemble des entités qui le compose.

C’est pourquoi ces programmes sont établis autour de polices dites « master », souscrites par le Groupe pour l’ensemble de ses entités et complétées par des polices locales réintégrées ou souscrites de façon autonome directement par les filiales elles-mêmes et permettant ainsi de répondre aux exigences réglementaires de certains territoires.

Ces programmes d’assurance internationaux nécessitent l’accompagnement d’intermédiaires ayant un degré de maturité optimisé sur ces sujets. Ce sont ainsi des courtiers de renom qui sont mandatés pour négocier auprès des principales compagnies d’assurance la mise en place ou le renouvellement des garanties les plus adaptées aux besoins de couverture des risques.

Dans la mesure où elles deviennent de véritables partenaires, le Groupe applique des critères stricts pour sélectionner les compagnies d’assurance. Elles doivent présenter une solidité financière attestée par des agences de notation reconnues. L’implantation géographique du Groupe pousse à porter une attention particulière sur la capacité des compagnies d’assurance à opérer dans un cadre international et à émettre des programmes d’assurance composés de polices master et de polices locales réintégrées. Leur expertise dans le domaine des risques technologiques et cyber, ainsi que leur capacité à proposer des clauses contractuelles et des garanties adaptées aux spécificités des activités du Groupe constituent des critères déterminants dans le choix des assureurs.

L’optimisation du dispositif assurantiel est indispensable pour la préservation des intérêts du Groupe et comprend notamment :

• la mise en concurrence régulière des assureurs afin d’améliorer les conditions financières, la qualité de leurs garanties et de leur accompagnement ;
• l’adaptation, lors de chaque renouvellement annuel des polices, de la couverture assurantielle en fonction de l’évolution des risques liés à la croissance de ses activités habituelles et de l’augmentation constante de ses capitaux. Pour cela, le Groupe fait appel à un cabinet externe pour expertiser les capitaux de ses sites les plus importants ;
• la communication au marché de l’assurance et de la réassurance, lors de roadshows organisés par le Groupe, des informations détaillées sur le plan de prévention HYR ;
• le suivi des sinistres et l’analyse des retours d’expérience afin d’améliorer les dispositifs de prévention et de protection.

2.2.3Structure et couverture du programme d’assurance 

Les contrats d’assurance ont été renouvelés au 1er janvier 2025, à l’exception de quelques contrats dont les échéances demeurent en cours d’année.

Le Groupe privilégie la souscription de polices master afin de pouvoir mutualiser les garanties au sein du Groupe. Pour des raisons réglementaires ou factuelles telles que la taille d’une filiale ou la nécessité d’obtenir des garanties, le Groupe a recours à des polices locales ou standalone souscrites directement par ses filiales.

Le programme d’assurance est construit autour de plusieurs volets de garanties complémentaires, parmi lesquels : 

Les assurances de dommages aux biens

Les assurances de dommages aux biens qui couvrent les sites, installations et équipements que le Groupe possède en propre ou qui lui sont confiés, contre les sinistres majeurs et qui garantissent une continuité de service.

• Depuis l’incendie de Strasbourg en mars 2021, la négociation et le placement sur le marché du contrat d’assurance souscrit en France s’était avéré extrêmement difficile et avait fait l’objet de nombreuses conditions lors de son renouvellement du 1er septembre 2021, qui ont perduré lors des deux extensions du contrat des 1er septembre 2022 et 1er janvier 2023.
• La réalisation du plan de prévention HYR, qui était alors en cours lors des renouvellements des 1er juillet 2023 et 1er janvier 2025, a permis de lever les conditions contractuelles spécifiques qui avaient été imposées à la suite de l’incendie.
• L’aboutissement du plan de prévention HYR établi par le Groupe pour ses datacenters et sites associés selon les délais prévus a très largement convaincu les assureurs sur le niveau de prévention attendu et a permis d’obtenir des conditions de garanties optimales, tout en observant une diminution du montant de la prime d’assurance de l’ordre de 59 % pour l’exercice 2026 par rapport à la prime payée pour l’exercice 2025.
• Le Groupe va ainsi souscrire au 1er janvier 2026 pour vingt-quatre mois un nouveau programme d’assurance dommages aux biens et frais supplémentaires d’exploitation composé d’une police master en deux lignes offrant une capacité d’assurance à hauteur de 500 millions d’euros par sinistre qui correspond au sinistre maximal possible (SMP). Cette police master aura pour périmètre l’ensemble des capitaux des datacenters du Groupe situés en France, en Allemagne, en Belgique, au Royaume-Uni, en Italie et en Australie.
• Ce programme couvre en particulier les risques incendie, foudre, explosion, électrique, dégâts des eaux, vol, événements naturels, entraînant des dommages matériels directs des biens garantis, dont les bâtiments, mobiliers, matériel et/ou risques locatifs mobiliers/matériels. Les frais et pertes divers consécutifs aux dommages matériels garantis, les conséquences pécuniaires de la responsabilité civile, ainsi que les frais supplémentaires d’exploitation, sont également couverts.

Les assurances de responsabilité civile et cyber

Ce programme mondial combiné « responsabilité civile et cyber entreprise risk management pour les technologies de l’information et de la communication », souscrit pour toutes les filiales du Groupe à l’exception des filiales américaines, comprend notamment une couverture responsabilité civile exploitation professionnelle, du fait des produits, ainsi qu’une couverture contre les conséquences pécuniaires liées aux risques cyber.

Cette police master souscrite auprès de CNA, SOMPO et AIG est composée de quatre lignes permettant d’obtenir des garanties suffisantes en « responsabilité civile et cyber entreprise risk management ». Elle a été renouvelée au 1er janvier 2025 pour une période de deux années soumises à tacite reconduction.

Les montants maximaux d’indemnisation des principaux risques, au titre de ce programme, ont été augmentés et s’élèvent dorénavant à 25 millions d’euros par sinistre et par période d’assurance pour la responsabilité civile d’exploitation et à 20 millions d’euros par sinistre et par période d’assurance pour la responsabilité civile professionnelle et les risques cyber.

L’assurance de responsabilité civile des dirigeants (D&0)

Cette police master protège les mandataires sociaux contre les conséquences financières de leur responsabilité dans l’exercice de leurs fonctions.

En complément de ces dispositifs structurés au niveau international et au niveau local, le Groupe maintient un portefeuille d’assurances spécifiques couvrant l’ensemble de ses activités opérationnelles et de support.

Sont ainsi souscrites des polices multirisques bureaux, protégeant les locaux et les équipements, ainsi que des polices couvrant les risques liés aux déplacements et missions professionnelles des collaborateurs.

Le Groupe dispose également de polices d’assurance adaptées au transport de marchandises. 

Cet ensemble de polices, articulé avec les polices master, les polices locales réintégrées ou en standalone, assure une couverture étendue et cohérente, protégeant efficacement les ressources, les équipes et les activités du Groupe en conformité avec sa politique de maîtrise des risques.

2.3Dispositif de contrôle interne

2.3.1Cadre général du contrôle interne

2.3.1.1Définition et objectifs du dispositif de contrôle interne

En s’appuyant sur le cadre de référence de l’AMF, OVHcloud met en place un dispositif de contrôle interne comprenant un ensemble de moyens, de politiques, de comportements, de procédures et d’actions adaptées, visant à s’assurer :

• de l’application des instructions et des orientations fixées par la direction ;
• du fonctionnement des processus internes permettant l’efficacité et la maîtrise des activités ;
• de la fiabilité des informations comptables et financières ;
• de la conformité aux lois et règlements ;
• de la maîtrise des risques.

2.3.1.2Gouvernance du contrôle interne

Un ensemble d’acteurs intervient dans le dispositif de contrôle interne.

 

Conseil d’administration et comité d’audit

Par délégation du Conseil d’administration, il incombe au comité d’audit de suivre le processus d’élaboration de l’information financière et de suivre l’efficacité des systèmes de contrôle interne et de gestion des risques et d’audit interne.

Le Conseil d’administration est informé par les membres du comité d’audit sur ces aspects.

Les missions détaillées du Conseil d’administration et du comité d’audit sont décrites dans le chapitre  4.1 « Présentation de la gouvernance ».

Direction générale

La direction générale est responsable du déploiement du dispositif de contrôle interne et du pilotage de la cartographie des risques. Pour ce faire, la direction générale s’appuie sur la direction financière et la direction de l’audit, contrôle interne et risques.

Contrôles de 1er niveau

La 1re ligne de maîtrise est constituée par les opérations qui formalisent et mettent en œuvre des processus opérationnels pour assurer la maîtrise des opérations au quotidien et leur contrôle interne.

Contrôles de 2e niveau

Le contrôle interne est intégré à la mission de chaque direction opérationnelle. Ainsi, le management des directions opérationnelles est chargé de vérifier la bonne application des procédures et contrôles de 1er niveau en réalisant des contrôles de 2e niveau, par exemple par des échantillonnages, par la mise en place de contrôles applicatifs, de circuits de validation. La fonction contrôle de gestion peut également être en charge de la réalisation de contrôles de 2e niveau.

Enfin, les directions fonctionnelles se chargent de définir des référentiels et contrôles applicables par toutes les entités commerciales et industrielles et de piloter les risques opérationnels sur leur périmètre respectif : par exemple, les directions juridiques, qualité, normes, sécurité et environnement de travail, cybersécurité, ressources humaines, finance, assurances. Ces directions fonctionnelles peuvent également être amenées à vérifier la bonne application des règles de 1er niveau par des campagnes de contrôles de 2e niveau.

Dans une optique de renforcement de son contrôle interne et de coordination, OVHcloud a créé une direction de l’audit, contrôle interne et risques, rattachée à la direction financière du Groupe. Cette direction assiste les directions opérationnelles et fonctionnelles dans la construction de leurs dispositifs de contrôles de 1er et 2e niveaux. La direction de l’audit, contrôle interne et risques réalise également des campagnes de contrôles internes basées sur l’autoévaluation par les directions opérationnelles de la bonne application des contrôles. Le comité d’audit suit le déploiement du dispositif de contrôle interne.

Contrôles de 3e niveau

La 3e ligne de maîtrise est constituée par la direction de l’audit, contrôle interne et risques. Sur la base d’un plan d’audits annuels, validé par la direction générale et par le comité d’audit, des missions d’audit sont réalisées en toute indépendance et font l’objet d’un rapport de mission qui identifie les risques éventuels et les plans d’action nécessaires à la réduction du risque.

Les conclusions des missions d’audit interne sont restituées aux directions opérationnelles, ainsi qu’à la direction générale et au comité d’audit pour les principaux constats afin de donner une assurance raisonnable sur l’efficacité du dispositif de contrôle interne et de gestion des risques. 

Le suivi des plans d’action est présenté au comité exécutif ainsi qu’au comité d’audit, deux fois par an. Par ailleurs, l’audit interne dispose de toute l’indépendance pour effectuer, si cela devait s’avérer nécessaire, des alertes auprès de la direction générale et des administrateurs.

 

2.3.2Dispositif et environnement de contrôle interne

2.3.2.1Environnement de contrôle

L’objectif d’un environnement de contrôle est de créer un cadre de sécurisation pour OVHcloud, les collaborateurs et l’ensemble des parties prenantes. L’environnement de contrôle interne repose sur un cadre de valeurs régissant le comportement et l’éthique des collaborateurs et des tiers au Groupe. Afin de diffuser ces valeurs, le Groupe a mis en place les chartes et Code de conduite suivants :

• code éthique et anticorruption régissant les règles de comportement des collaborateurs mais aussi des partenaires/fournisseurs ;
• plateforme de signalement permettant de signaler les comportements contraires au référentiel éthique et toute situation ou fait grave constatés dans l’entreprise ou chez nos partenaires/fournisseurs en toute confiance et confidentialité ;
• valeurs d’OVHcloud partagées par l’ensemble des collaborateurs, dont notamment l’obligation d’agir responsablement, éthiquement. Ces valeurs fondatrices contribuent à la diffusion d’une culture d’entreprise respectueuse ;
• chartes informatique, communication et sécurité comprenant l’ensemble des règles et bonnes pratiques en matière de sécurité physique et logique des moyens informatiques du Groupe par les usagers ;
• charte de déontologie boursière, mise en place en 2021, conforme aux instructions de l’AMF, définissant les obligations incombant aux personnes détentrices d’informations privilégiées.

Le contrôle interne s’appuie particulièrement sur :

• la direction juridique Groupe qui conseille et assiste les directions opérationnelles et les filiales, sur les affaires juridiques significatives ;
• la direction fiscale Groupe qui conseille et assiste les directions opérationnelles et les filiales, sur les affaires fiscales significatives ;
• la direction des opérations financières Groupe qui s’assure de la mise en œuvre et du respect des procédures de reporting et d’établissement des comptes consolidés ;
• la direction des ressources humaines Groupe qui conseille et veille à la conformité des pratiques internes aux lois et aux réglementations relevant du droit social ;
• la direction des opérations du Groupe qui procède à des analyses spécifiques de risques et propose des plans d’action en matière de sécurité, de sûreté et de continuité d’exploitation ;
• la direction de l’audit, contrôle interne et risques qui enrichit continuellement le référentiel de contrôle interne, anime l’autoévaluation du contrôle interne par l’ensemble des directions du Groupe, et pilote la cartographie des risques.

Enfin, les commissaires aux comptes prennent connaissance du dispositif de contrôle interne et des risques identifiés par le Groupe dans l’évaluation.

2.3.2.2Référentiels de contrôle

Éthique et conformité

Le Groupe porte une attention stricte à la conformité de ses procédures et des pratiques de ses salariés aux réglementations applicables. Le Groupe a ainsi déployé des codes éthique et anticorruption avec des formations associées. Par ailleurs, le Groupe sensibilise ses collaborateurs concernant le whistleblowing, dans le cadre notamment des mesures mises en place conformément à la loi du 9 décembre 2016 relative à la transparence, la lutte contre la corruption et le trafic d’influence et la modernisation de la vie économique (loi dite « Sapin II »). Une plateforme accessible à tout moment a été mise en place sur laquelle les collaborateurs et tous tiers externes (partenaires, fournisseurs, clients…) peuvent déclarer tout acte observé violant le code éthique du Groupe : « ROGER » (Respect OVHcloud Guidelines and Ethical Rules). Le dispositif lié à l’éthique et la conduite des affaires est décrit dans la partie 3 de ce présent document. 

 

Protection des données

Sous la supervision de son délégué à la protection des données (DPO), le Groupe met en œuvre une politique rigoureuse de protection des données personnelles. Une politique d’utilisation des données à caractère personnel a été établie qui décrit précisément les traitements qu’OVHcloud peut être amené à réaliser sur les données concernant les clients, fournisseurs et partenaires, ainsi que les conditions de leur réalisation.

 

Sécurité des systèmes d’information

La sécurité de l’information fait l’objet d’un programme et d’engagements développés au sein de la politique de sécurité des systèmes d’information d’OVHcloud (« ISSP »). Cette politique met en avant des principes d’application dont les principaux sont les suivants :

• déployer une approche industrielle, à grande échelle, de la sécurité ;
• adapter les dispositifs de sécurité aux différents types de clients d’OVHcloud ;
• fournir les moyens et technologies pour que chaque client gère ses risques propres ;
• assurer la sécurité du système d’information en support des services durant toutes les phases de son cycle de vie ;
• mettre en place des systèmes de management de la sécurité (ISMS) et de la vie privée (PIMS) ;
• piloter la sécurité avec une approche par les risques ;
• démontrer le niveau de la sécurité via la certification, le contrôle interne et l’audit externe ;
• apporter une réponse unifiée aux incidents de sécurité et aux violations de données à caractère personnel ;

• intégrer les enjeux de sécurité et de protection de la vie privée dans l’évolution des produits ; et
• évaluer la sécurité et mettre en place un processus d’amélioration continue.

La politique de sécurité des systèmes d’information (« PSSI »), sous la responsabilité du directeur de la sécurité des systèmes d’information (« CISO »), est revue par le comité exécutif qui vérifie l’adéquation de son contenu avec les objectifs stratégiques du Groupe. Elle est révisée une fois par an. La PSSI s’applique à l’ensemble des sociétés du Groupe, aux salariés, aux fournisseurs, aux prestataires, aux sous-traitants et aux utilisateurs du système d’information, quel que soit leur statut.

Sous la responsabilité du directeur de la sécurité des systèmes d’information (« CISO »), l’équipe sécurité d’OVHcloud est elle-même composée de quatre équipes :

• « outils de sécurité », en charge de développer et d’opérer les outils support de la politique de sécurité ;
• « sécurité des opérations », en charge de veiller à la mise en œuvre de bonnes pratiques de sécurité au sein des opérations et à la mise en œuvre de processus formels de gestion de la sécurité, d’apporter son soutien à l’intégration des outils de sécurité et à l’alignement des dispositifs de sécurité au sein de l’entreprise ;
• « CERT », en charge de surveiller les sources de menaces, d’identifier les outils de cyberattaque et les méthodes pour les anticiper, et de gérer les incidents de sécurité ; et
• « sécurité client », en charge d’accompagner les équipes au contact des clients (support, commerce, etc.) pour gérer les sujets de sécurité dans la relation.

OVHcloud veille à la sensibilisation des employés aux enjeux de la sécurité informatique et, plus particulièrement, aux enjeux de la cybersécurité. Dans cette optique, le Groupe mène régulièrement des campagnes de simulations d’attaque cyber (phishing) conçues sur la base de scénarios sophistiqués et réalise des audits externes. 

 

Qualité, santé, environnement

Au travers de sa politique santé et sécurité, OVHcloud encadre la mise en œuvre des mesures visant à offrir des espaces de travail sûrs et sains pour tous ses employés et parties prenantes, ses sites et ses produits. La politique de gestion des risques industriels du Groupe s’articule autour de deux axes : (i) la prévention par des audits réalisés par des organismes extérieurs sur chacun des sites qui donnent lieu à l’élaboration de rapports avec des recommandations tant humaines que matérielles et (ii) la protection par l’élaboration de plans de réduction des risques, intégrant des investissements à court et moyen termes ainsi que des actions d’organisation ou de management.

 

Recueil de règles et de contrôles

La direction de l’audit, contrôle interne et risques constitue, au fur et à mesure de leur création, un recueil de procédures. En 2025, une autoévaluation a été lancée afin de demander aux directions de confirmer la bonne réalisation des principaux contrôles du Groupe, et de fournir une preuve de contrôle. Cette démarche s’inscrit dans un process d’amélioration continue du contrôle interne Groupe. 

2.3.2.3Procédures de contrôle interne relatives à l’élaboration et au traitement de l’information financière et comptable

Le pilotage de la fonction comptable et financière d’OVHcloud est assuré par la direction financière du Groupe, qui rend compte directement à la direction générale.

Les attributions de la direction financière Groupe recouvrent principalement la production des comptes, le contrôle de gestion, la fiscalité, les financements et la trésorerie, la participation à la communication financière, aux achats, le contrôle interne, l’audit interne et la gestion des risques.

Les IFRS, règles et méthodes comptables en vigueur au sein du Groupe, sont présentées dans les notes aux comptes consolidés du présent document. Le comité d’audit s’assure à chaque arrêté comptable de leur permanence auprès de la direction financière et des commissaires aux comptes.

Chaque semestre, après examen par le comité d’audit, le Conseil d’administration arrête les comptes de la période sur lesquels les commissaires aux comptes sont appelés à se prononcer.

 

Les systèmes d’information

Les systèmes d’information comptables et financiers déployés au sein du Groupe ont pour objectif de satisfaire aux exigences de conformité, de sécurité, de fiabilité, de disponibilité et de traçabilité de l’information.

OVHcloud a finalisé le déploiement de SAP pour qu’il devienne le seul système d’information et de gestion des données de gestion financière et de comptabilité. L’utilisation d’un outil unique permet de garantir une cohérence pour le traitement, la comparaison et le contrôle des informations comptables et financières. Par ailleurs, OVHcloud a déployé en 2024 l’outil HFM pour la consolidation des données financières.

Afin de renforcer le contrôle interne des systèmes, la direction organisation et systèmes d’information a renforcé le dispositif de séparation des tâches et a amélioré les contrôles des droits d’accès, notamment dans les systèmes critiques tels que SAP, à travers une revue annuelle formalisée sur tout le périmètre du Groupe.

 

La communication financière

La direction de la communication financière et des relations investisseurs, placée sous la supervision du directeur financier, gère la communication financière du Groupe.

Le Groupe diffuse l’information financière par différents moyens et notamment :

• les communiqués de presse ;
• le document d’enregistrement universel ;
• la présentation des résultats semestriels et annuels.

Le site Internet du Groupe a une rubrique dédiée Investisseurs qui regroupe les éléments précédemment cités, ainsi que d’autres éléments à caractère réglementaire ou d’information.

 

Les commissaires aux comptes

Dans le cadre de leur mission de certification des comptes, les commissaires aux comptes formulent des remarques. Au moment qu’ils jugent approprié, les commissaires aux comptes communiquent à la direction, au niveau de responsabilité approprié, les faiblesses du contrôle interne identifiées au cours de l’audit qu’ils estiment d’une importance suffisante pour mériter son attention. Les commissaires aux comptes communiquent les faiblesses significatives du contrôle interne aux organes mentionnés à l’article L. 823-16 du Code de commerce, au moment qu’ils jugent approprié, par écrit.

Dans le cadre de leur mission permanente, les commissaires aux comptes auditent les comptes et états, annuels et semestriels, des entités consolidées. L’établissement des comptes consolidés annuels du Groupe est réalisé par la direction des opérations financières sous la responsabilité du directeur financier du Groupe. Le directeur général et le directeur financier du Groupe certifient la régularité, la sincérité et l’image fidèle des comptes consolidés en signant une lettre d’affirmation adressée aux commissaires aux comptes.

État de durabilité

3.1ESRS 2 – Informations générales

3.1.1Base de préparation

3.1.1.1BP-1 – Base générale d’établissement des déclarations relatives à la durabilité

Cet état de durabilité pour l’exercice 2025 a été établi en conformité avec la directive de l’Union européenne (directive 022/2464) sur l’état de durabilité des entreprises (Corporate Sustainability Reporting Directive, CSRD) telle que transposée en France selon l’ordonnance de transposition n° 2023-1142 du 6 décembre 2023 et avec le règlement européen (règlement UE 2020/852) sur la taxonomie verte, qui établit un système de classification pour identifier les activités économiques durables sur le plan environnemental.

OVHcloud présente cette année ses informations de durabilité annuelles du Groupe consolidé selon les normes européennes ESRS (European Sustainability Reporting Standards) tel que requis par la directive CSRD.

Le périmètre de consolidation retenu est identique à celui des états financiers consolidés d’OVHcloud. Il sera précisé dans les différentes parties lorsqu’il y a des exclusions de périmètre.

L’analyse des enjeux de durabilité a par ailleurs été conduite sur la chaîne de valeur amont et aval du Groupe ; il en est de même pour la politique et les plans d’action quand cela s’applique.

L’état de durabilité porte sur l’ensemble des activités d’OVHcloud et couvre la chaîne de valeur amont et aval du Groupe. Les politiques, actions et cibles sont appliqués dans l’ensemble de la chaîne de valeur considérée, afin de traiter les impacts, risques et opportunités (IRO) dont le caractère matériel a été établi à l’issue de l’analyse de double matérialité.

Ce premier rapport a été établi au mieux de la compréhension des textes relatifs aux normes ESRS. Ce premier exercice d’application de la directive et de l’analyse de matérialité est caractérisé par des incertitudes sur l’interprétation des textes, l’absence de processus établit et de données comparatives dans quelques rares cas ainsi que quelques difficultés de collecte de données en particulier au sein de la chaîne de valeur.

OVHcloud n’a pas fait usage de l’option permettant d’omettre une information particulière relative à la propriété intellectuelle, au savoir-faire ou aux résultats d’innovations.

3.1.1.2BP-2 – Publications d’informations relatives à des circonstances particulières

Horizons temporels

Sauf contre-indication spécifiée, les termes « court », « moyen » et « long » termes utilisés dans l’analyse sont définis en cohérence avec les dispositions énoncées dans l’ESRS 1. La période de référence pour cette analyse étant 2024, les échéances à court, moyen et long termes sont respectivement définies comme étant d’un an ou moins (2025), de deux à cinq ans (2026 à 2029) et dépassant cinq ans (à partir de 2030 et au-delà).

Recours à des estimations

Le Groupe a, dans quelques cas, eu recours à des estimations notamment pour l’obtention d’information sur la chaîne de valeur dans le cas des émissions de GES (gaz à effet de serre) ou a procédé à des interprétations, notamment sur les métriques demandées sur les ressources entrantes dont il est impossible de mesurer l’exhaustivité. Ces estimations sont décrites dans la note méthodologique en section 3.2.5 « Note méthodologique d’évaluation de l’empreinte environnementale ».

 

Incorporation par référence

3.1.2Gouvernance

3.1.2.1GOV-1 – Rôle des organes d’administration, de direction et de surveillance

Les rôles et la composition des différents organes d’administration, de direction et de surveillance en matière de durabilité sont synthétisés dans le schéma suivant et décrits ci-dessous.

Il convient de noter que le Conseil d’administration, sur recommandation du CNRG (comité de nominations et gouvernance), a décidé d’unifier les fonctions de Président du Conseil d’administration et de directeur général. Il a ainsi nommé M. Octave Klaba Président-Directeur général du Groupe à partir du 20 octobre 2025, de sorte que M. Octave Klaba cumule les fonctions de Président du Conseil et de directeur général.

Composition du Conseil d’administration et de ses comités

Les informations requises en vertu des paragraphes 20 et 21 de la norme ESRS 2 sont incorporées par référence à la section 4.1.2.2 « Présentation détaillée des membres du Conseil d’administration » du présent DEU (document d’enregistrement universel) et à la section 4.1.12 « Missions, fonctionnement et travaux des comités ».

Le Conseil d’administration (CA)

Le Conseil d’administration du Groupe se compose de dix membres dont 40 % de femmes, quatre administrateurs indépendants, deux administrateurs représentant les salariés et un censeur. 

Pour sa composition et celle de ses comités, le Conseil d’administration applique une politique de diversité revue régulièrement. Cette politique vise à promouvoir la parité, la diversité des compétences, les nationalités, l’indépendance et les expériences internationales.

Le Conseil d’administration assume la responsabilité de veiller à ce que la stratégie du Groupe intègre les enjeux sociaux, environnementaux et climatiques. Il évalue régulièrement les risques et opportunités liés à ces thématiques, notamment les risques climatiques, et s’assure que les dirigeants exécutifs prennent les mesures appropriées. Les responsabilités du Conseil et de ses membres sur ces sujets sont formalisées dans le règlement intérieur du CA. Elles sont également suivies à travers des évaluations régulières de son fonctionnement et de celui de ses comités.

Le Conseil d’administration s’assure de la mise en place d’un dispositif de prévention et de détection de la corruption et du trafic d’influence.

En matière de compétences, le Conseil d’administration bénéficie de mécanismes de renforcement et de sensibilisation, notamment à travers l’organisation de rencontres avec des responsables économiques et politiques, ainsi que des visites de sites d’exploitation comprenant des échanges avec les équipes opérationnelles. Ces dispositifs visent à renforcer leur connaissance des métiers d’OVHcloud et des enjeux environnementaux et sociaux propres aux activités du Groupe.

Le comité stratégique et RSE (CSRSE)

Le comité stratégique et RSE est composé de cinq membres, dont trois administrateurs indépendants et 40 % de femmes. Ce comité joue un rôle central dans l’intégration des enjeux de durabilité dans la stratégie du Groupe. Il se réunit au moins quatre fois par an pour examiner les engagements et les orientations stratégiques en matière de RSE, en assurer le suivi opérationnel, et préparer les travaux du Conseil d’administration sur ces sujets.

Il s’assure de la prise en compte des sujets relevant des politiques de conformité et d’éthique dans la stratégie du Groupe et dans sa mise en œuvre.

Le CSRSE veille à ce que la stratégie du Groupe en matière climatique soit assortie d’objectifs précis, définis selon différents horizons temporels. Il examine annuellement les résultats obtenus et peut être consulté sur la présentation de cette stratégie à l’assemblée générale des actionnaires. Le comité reste attentif aux avis émis par les investisseurs et parties prenantes, et peut proposer des plans d’action en réponse à certaines préoccupations sociales ou environnementales.

Pour mener à bien ses missions, le CSRSE peut rencontrer des membres de la direction ou des salariés du Groupe ayant une expertise pertinente, et recourir à des experts externes si nécessaire. Bien que le directeur général ne soit pas membre du comité, il participe à ses travaux. Le Président du Conseil d’administration, quant à lui, est membre du CSRSE.

Le comité des nominations, des rémunérations et de la gouvernance (CNRG)

Le Comité des nominations, des rémunérations et de la gouvernance est composé de quatre membres, dont deux d’administrateurs indépendants et 50% de femmes. Ce comité assiste le Conseil dans la composition des instances dirigeantes du Groupe, ainsi que dans la définition et l’évaluation des politiques de rémunération. Il joue également un rôle important dans la supervision de la gouvernance liée à la RSE.

Le CNRG procède à une revue annuelle de la politique de diversité du Conseil d’administration et suit les indicateurs relatifs à la parité, à l’âge et à la diversité des compétences. Il surveille également la politique d’égalité professionnelle et salariale. Il évalue annuellement l’indépendance des membres du conseil d’administration. En matière de rémunération, le comité propose au Conseil les modalités de rémunération du Président- Directeur général et des autres dirigeants, en veillant à l’intégration de critères extra-financiers liés à la performance RSE. 

Le CNRG participe enfin à l’identification des tendances émergentes en matière de gouvernance et de durabilité, et veille à ce que le Groupe soit en mesure d’y répondre de manière proactive, en lien avec les enjeux propres à ses activités.

Le comité d’audit

Le comité d’audit se compose de trois membres, dont deux tiers sont des administrateurs indépendants et deux tiers sont des femmes. Ce comité est chargé du suivi du processus d’élaboration de l’information financière et de l’information en matière de durabilité. Il s’assure également de l’efficacité des dispositifs de contrôle interne, d’audit interne et de gestion des risques relatifs à ces deux volets.

Le comité d’audit suit les travaux des commissaires aux comptes, y compris ceux liés à la certification des données de durabilité, et s’assure que les dispositifs et procédures en place garantissent l’application des politiques de conformité, d’éthique, de lutte contre la corruption et la fraude. À ce titre, il joue un rôle transversal dans la surveillance des risques extra-financiers, en lien direct avec les exigences de transparence posées par la CSRD.

La gouvernance de suivi des risques

Un comité interne de suivi des risques, composé de membres du comité exécutif dédiés, est spécifiquement mobilisé sur le sujet de la CSRD. Ce comité réunit notamment le directeur général, les directrices ou directeurs des fonctions financière, juridique, commerciale, ressources humaines, industrielles, stratégie, audit, contrôle interne et contrôle extra-financier. La diversité au sein du comité exécutif est détaillée dans la section 3.3.2.9.2 dans le tableau « répartition par sexe, en nombre et en pourcentage, au niveau de l’encadrement supérieur » du présent document. 

Ce comité est en charge de valider les enjeux et les IRO (impacts, risques et opportunités) matériels propres au Groupe, de superviser l’analyse de la double matérialité et d’approuver les livrables issus de cette analyse. Il décide des principales orientations stratégiques qui en découlent, dans le cadre de la mise en œuvre des exigences réglementaires. L’ensemble des membres est sensibilisé à la matérialité des enjeux RSE pour le Groupe, son environnement et sa chaîne de valeur, ce qui garantit une supervision collégiale et informée de ces sujets.

3.1.2.2GOV-2 – Informations transmises aux organes d’administration, de direction et de surveillance

Les informations transmises aux organes d’administration sont décrites dans la section 4.1.9 « Pouvoirs, missions, fonctionnement et travaux du Conseil d’administration » du DEU dont les informations sur la durabilité.

Le Conseil d’administration est informé par le Président-Directeur général de ses actions en matière de RSE et de développement durable.

Interactions entre le Conseil d’administration, les comités et les groupes de travail sur les thèmes suivants : IRO (impacts, risques et opportunités) matériels et suivi des politiques, actions, mesures et objectifs

Le Conseil d’administration, les comités et les groupes de travail interagissent étroitement pour suivre et mettre en œuvre les politiques, actions, mesures et objectifs liés aux enjeux de durabilité. Le Conseil d’administration évalue régulièrement les principaux risques et mesures de gestion associées, tandis que le comité stratégique et RSE veille à l’intégration des enjeux de durabilité dans la stratégie du Groupe. La Direction de la stratégie et de la RSE contribue à définir les grandes orientations stratégiques et coordonne la politique RSE, en vue de valoriser les engagements et de mesurer les effets du programme RSE.

Une autre instance, le comité de pilotage RSE, participe à cette dynamique. Il est chargé de définir, suivre et ajuster les plans d’action RSE. Ce comité est composé de représentants des directions opérationnelles associées à l’implémentation du plan d’action RSE, tels que la stratégie, l’environnement, les ressources humaines, la finance, les achats, le juridique, les affaires publiques, la communication, l’audit et le contrôle interne. Le comité de pilotage RSE se réunit deux fois par mois pour suivre les progrès réalisés, identifier les défis à relever et ajuster les plans d’action permettant l’atteinte des objectifs fixés. Cette approche collaborative permet de garantir que les actions menées pour répondre aux enjeux de durabilité soient cohérentes et efficaces, et que les différentes directions opérationnelles soient impliquées dans la mise en œuvre du programme RSE.

Les interactions entre le Conseil d’administration, les comités et les groupes de travail, ainsi que le comité de pilotage RSE, permettent de garantir la cohérence et l’efficacité des actions menées pour répondre aux enjeux de durabilité. Les comités d’audit et de la gouvernance de suivi des risques assurent également l’efficacité du dispositif de suivi des risques et de contrôle interne, incluant le risque lié aux enjeux RSE auquel la CSRD est assimilée. Les interactions entre ces entités sont régulières et visent à assurer la mise en œuvre effective des politiques et des plans d’action RSE.

Prise en compte des IRO par le Conseil d’administration et par ses comités dans leur surveillance de la stratégie, des grandes décisions et du processus de gestion des risques

Au cours de la période, le Conseil d’administration et ses comités ont examiné les IRO matériels. Ils s’entretiennent régulièrement avec les responsables RSE, juridique et ressources humaines. Le comité exécutif examine les rapports et les propositions du programme RSE.

 

Le tableau ci-dessous établit une liste indicative des IRO traités pendant l’exercice 2025 :

3.1.2.3GOV-3 – Intégration des performances en matière de durabilité dans les mécanismes d’incitation

La rémunération du Président-Directeur général comprend une part fixe et une part variable annuelle, cette dernière étant fonction de critères de performance fixés par le Conseil d’administration, après avis du comité des nominations, des rémunérations et de la gouvernance, ces critères ayant vocation à être revus par le Conseil d’administration en principe annuellement.

Parmi ces critères de performance, deux sont liés aux performances ESG :

• le Power Usage Effectiveness (PUE). Cet indicateur représente 10 % de la rémunération variable. Il se déclenche à partir de 100 % d’atteinte de la cible (un PUE en dessous de 1,26) et est plafonné à 100 % en cas de surperformance ;
• l’engagement des collaborateurs, critère mesuré sur la base d’enquêtes réalisées à l’aide d’un logiciel de sondage (OVHcloud Spirit). Cet indicateur représente 15 % de la rémunération variable. Il se déclenche à partir d’une note de 7/10 (atteinte de 25 %) et progresse linéairement jusqu’à 7,3/10 qui correspond à 100 % d’atteinte (ainsi 7,1/10 correspond à 50 % d’atteinte et 7,2/10 à 75 % d’atteinte). Il est plafonné à 100 % en cas de surperformance.

Les mécanismes d’incitation sont décrits plus en détail dans la section 4.5.2 « Rémunérations et avantages versés aux dirigeants et mandataires sociaux ».

3.1.2.4GOV-4 – Déclaration sur la diligence raisonnable

Le tableau ci-dessous présente les éléments essentiels de la diligence raisonnable (en matière d’impact sur les personnes et sur l’environnement) relié aux paragraphes du rapport de durabilité d’OVHcloud dans lequel nous pouvons les identifier :

3.1.2.5GOV-5 – Gestion des risques et contrôles internes concernant l’information en matière de durabilité

3.1.2.5.1Principes généraux du système de gestion des risques et de contrôle interne

Le dispositif de gestion des risques et de contrôle interne de l’information en matière de durabilité s’intègre dans le dispositif global d’OVHcloud.

Dispositif intégré de gestion des risques

Le Groupe a mis en place des procédures d’identification et de pilotage des risques au travers de sa cartographie globale des risques décrite dans le chapitre 2 « Facteurs de risque et contrôle interne » du DEU.

Afin de faire le lien entre la cartographie globale des risques du Groupe et les travaux liés à la durabilité, le risque global, initialement dénommé « Risques liés aux implications du changement climatique » a été modifié en 2025 afin d’intégrer les enjeux de reporting de durabilité. Il est désormais nommé « Risques liés aux enjeux RSE », et le niveau de risque, basé sur la criticité et la probabilité, a été réévalué.

Par ailleurs, la direction de l’audit, du contrôle interne et des risques a été intégrée dans l’équipe de pilotage du projet de mise en place du rapport de durabilité. Ainsi, l’approche risques et contrôle interne a systématiquement été prise en compte à chaque étape du projet.

Communication périodique aux instances dirigeantes

Les organes de gouvernance du Groupe ont supervisé la mise en place du reporting de durabilité et ont été sollicités aux étapes clés du projet.

Le comité d’audit, en délégation du Conseil d’administration, a été consulté et a validé, dans le cadre de présentations régulières, le déploiement global du reporting de durabilité, notamment les principales étapes du projet, le choix des commissaires aux comptes, les enjeux et IRO matériels du Groupe, la matrice de matérialité ainsi que l’état de durabilité en lui-même.

Le comité exécutif, via la gouvernance de suivi des risques, a également été sollicité. Compte tenu des enjeux de la mise en place du premier état de durabilité et de la mobilisation collective nécessaire, le risque « Risques liés aux enjeux RSE » a été considéré comme un risque majeur et a été ainsi intégré à la gouvernance de suivi des risques décrite dans le chapitre 2 « Facteurs de risque et contrôle interne » du DEU. En matière de CSRD, la composition de cette gouvernance est décrite plus haut dans ce document.

Les éléments clés suivants du projet ont été présentés à la gouvernance des risques et au comité d’audit au cours de l’exercice 2025 :

• présentation du dispositif de pilotage du projet de reporting de durabilité ;
• synthèse des travaux de double matérialité afin d’obtenir la validation des dirigeants, notamment le directeur général et la directrice financière ;
• principaux risques liés au reporting de durabilité et dispositif de contrôle interne ;
• projet de rapport de durabilité.

3.1.2.5.2Approche d’évaluation des risques liés à l’information de durabilité

Une évaluation des risques propre à l’émission du rapport de durabilité a été menée. Cette évaluation couvre les thèmes de la stratégie RSE, du pilotage du projet, des normes et leur interprétation, et de la production des données et du présent rapport.

La méthodologie d’évaluation des risques utilisée est identique à celle de la cartographie des risques globale, avec un croisement entre l’impact du risque identifié et la probabilité d’occurrence. L’approche par assertion d’audit a également été utilisée pour s’assurer de la couverture de l’évaluation des risques : exhaustivité, mesure et évaluation, classification et compréhension, occurrence et droits et obligations.

3.1.2.5.3Principaux risques identifiés et stratégie de contrôle interne afin de couvrir les risques

Risques liés à un premier rapport de durabilité

Le principal risque identifié est lié aux risques de complétude, fiabilité et documentation de la donnée. En effet, s’agissant d’un premier exercice de rapport de durabilité, OVHcloud doit produire un ensemble de données quantitatives et qualitatives, dont certaines sont nouvelles, produites manuellement, potentiellement basées sur des estimations ou des données tierces. Par ailleurs, le Groupe doit mettre en place la documentation et l’archivage des données permettant la justification des éléments produits, et la validation de l’ensemble de son reporting par ses commissaires aux comptes.

Stratégie de contrôle interne visant à maîtriser les risques

La stratégie de contrôle interne du reporting de durabilité s’appuie sur le dispositif global de contrôle interne décrit dans le chapitre 2 « Facteurs de risque et contrôle interne » du DEU.

Le Groupe a construit un dispositif de contrôle interne afin de réduire le risque lié à la fiabilité, la complétude et la documentation des données de durabilité. Le dispositif s’articule de la manière suivante :

• un cadre de pilotage composé de la documentation centralisée du projet : analyse de double matérialité, « gap analysis » avec les normes, structure du rapport de durabilité, suivi d’avancement formalisé, et une gouvernance projet ;
• la documentation de chaque data point afin d’expliquer et de justifier l’entièreté du reporting de durabilité, y compris l’absence ou le report de publication ;
• un processus de collecte et d’archivage de la donnée.

En s’appuyant sur le cadre de référence de l’AMF (Autorité des marchés financiers) déjà appliqué sur les autres sujets de contrôle interne, OVHcloud a également structuré trois niveaux de contrôle :

• 1re ligne de maîtrise : les opérationnels en charge de produire des éléments de reporting formalisent des « fiches indicateurs » pour les éléments quantitatifs et formalisent les éléments qualitatifs sur la base de politiques, procédures et autres éléments factuels et tangibles ;
• 2e ligne de maîtrise :
  • le responsable de chaque périmètre de reporting valide formellement les éléments produits par les opérationnels via un ensemble de contrôles possibles : vérification du périmètre, contrôle de cohérence, relecture, mise en cohérence entre les éléments de reporting,
  • l’équipe de pilotage global du projet de reporting de durabilité effectue également une revue de chaque information produite et s’assure que chaque donnée est documentée ;
• 3e ligne de maîtrise : la direction de l’audit, du contrôle interne et des risques effectue les contrôles suivants :
  • revue sous l’angle des risques : relecture globale du reporting de durabilité pour s’assurer de la cohérence des informations produites avec la stratégie et avec le suivi global des risques du Groupe,
  • audit d’un échantillon du reporting de durabilité, en concertation avec les travaux réalisés par les commissaires aux comptes afin de donner de l’assurance au management sur le niveau de respect du cadre de contrôle interne.

L’ensemble des éléments du dispositif de contrôle permet à OVHcloud de réduire l’exposition aux risques identifiés.

3.1.3Stratégie

3.1.3.1SBM-1 – Stratégie, modèle économique et chaîne de valeur

La stratégie du Groupe est décrite précisément dans le chapitre 1 du DEU « Présentation du Groupe ».

3.1.3.1.1Éléments de la stratégie générale pouvant influer sur les enjeux de durabilité

Effectifs mondiaux

OVHcloud emploie aujourd’hui plus de 3 000 collaborateurs. Les effectifs sont détaillés dans la section 3.3.2 « ESRS S1 – Effectifs du Groupe » de ce présent document. Dans le monde, OVHcloud dispose de 44 datacenters et 2 usines d’assemblage, répartis dans 10 pays.

Description de la stratégie générale du Groupe

OVHcloud propose une gamme de solutions cloud pour les clients, notamment :

Cloud privé

Le cloud privé offre des services et des solutions qui sont hébergés sur des ressources dédiées aux clients. Cette offre de services se compose principalement de :

• Bare Metal Cloud : solution dédiée et administrée entièrement par le client selon ses besoins et sans contrainte car il en est le seul utilisateur. Les usages d’une solution Bare Metal sont multiples : big data, machine learning, hébergement de sites et applications web, stockage et sauvegarde, virtualisation d’infrastructures, cluster de serveurs, applications métier (CRM, ERP) ou encore hébergement de jeux en ligne ;
• Hosted Private Cloud : solution dédiée gérée par les équipes du groupe OVHcloud, intégrant les technologies de virtualisation et de sécurité de pointe qui permettent un continuum technologique avec les environnements de nos clients. L’offre Hosted Private Cloud est particulièrement adaptée à l’hébergement de données sensibles stratégiques telles que les données de santé ou financières.

Cloud public

Le cloud public est une offre de solutions cloud facturées à l’usage, basées sur des standards ouverts (OpenStack, Kubernetes, Object Storage, Database-as-a-Service et les technologies de virtualisation ouvertes). Les ressources, telles que la puissance de calcul ou le stockage, ainsi que l’infrastructure physique qui les fournit, sont mutualisées, flexibles, et donc partagées entre les utilisateurs du fournisseur de services cloud, c’est-à-dire ajustables aux besoins des clients et pouvant être déployées instantanément à grande échelle. Ces solutions sont généralement utilisées pour des applications dont la demande peut connaître des pics élevés, comme le commerce électronique, et les applications dont les besoins sont très importants, comme le streaming vidéo, la musique en continu ou les tests et le développement d’applications, ou encore la gestion de bases de données couverte par des offres spécifiques.

Web cloud & autres

OVHcloud propose à ses clients des solutions périphériques permettant la création et l’hébergement de site web en ligne comme la recherche et le renouvellement des noms de domaine, la création d’un site ou d’une boutique en ligne. OVHcloud propose aussi des solutions de collaboration telles que des messageries professionnelles, de la télécommunication ou des SMS.

Marchés et implantation géographique

OVHcloud a développé une empreinte mondiale avec une base importante de clients en Europe, aux États-Unis et en Asie.

 

Le tableau ci-dessous présente le revenu par zone géographique :

 

 

L’effectif moyen du Groupe est décrit dans le chapitre 3.3.2 « ESRS S1 - Effectifs du Groupe ».

 

 

 

 

3.1.3.1.2Aspects de la stratégie globale liés aux enjeux de durabilité

Chaîne de valeur (CV)

La chaîne de valeur, déterminée au travers d’une étude des activités et des relations du Groupe, est formalisée ci-dessous :

 

Description de la stratégie de durabilité du Groupe

La stratégie RSE d’OVHcloud repose sur trois piliers :

• garantir la liberté et la souveraineté des données ;
• être pionnier du cloud durable ;
• faire progresser collectivement le cloud au bénéfice de la société.

Poussé par une volonté d’agir de manière responsable envers la société et l’environnement, le Groupe a décliné ces trois piliers fondateurs dans la politique RSE. Celle-ci est consultable sur le site du Groupe (https://corporate.ovhcloud.com/fr/sustainability/environment/). La politique RSE du Groupe couvre l’ensemble des activités et des zones géographiques.

Garantir la liberté et la souveraineté des données

Leader européen du cloud, OVHcloud est au cœur de la révolution numérique, qui ouvre la voie à une multitude d’opportunités en matière d’applications et de technologie. Dans ce contexte, le Groupe propose à ses clients des solutions cloud couvrant l’ensemble de leurs usages, qu’il s’agisse de les accompagner dans leur transformation numérique, de leur permettre d’innover en construisant des applications cloud native ou de les aider à tirer parti de la puissance de la donnée. Dans l’accomplissement de cette mission, le Groupe offre à ses clients la liberté de construire leurs projets les plus ambitieux, dans un environnement cloud sécurisé, conforme et durable. Pour OVHcloud, chacun doit pouvoir garder le contrôle de ses données et avoir la garantie qu’elles sont en sécurité. Le libre choix et l’ouverture, en matière de services et d’innovation, constituent le socle de la relation de confiance établie avec ses clients et partenaires.

Être pionnier du cloud durable

OVHcloud intègre l’environnement au cœur de son modèle d’affaires depuis sa création en développant des innovations industrielles lui permettant de limiter son impact environnemental. OVHcloud poursuit sa trajectoire de performance en matière de climat en affinant ses objectifs environnementaux existants. À cet égard, le Groupe présente cette année ses objectifs quantifiés qui reflètent son engagement continu en faveur de pratiques durables et responsables. Les objectifs du Groupe ont été acceptés en 2024 par l’organisme de la Science Based Target Initiative (SBTi), organisation indépendante qui évalue et valide les objectifs de réduction des émissions de GES des entreprises en fonction de la science et des recommandations du GIEC (Groupe d’experts intergouvernemental sur l’évolution du climat). L’acceptation par la SBTi signifie que les objectifs de réduction des émissions de GES du Groupe sont alignés avec les recommandations scientifiques pour limiter le réchauffement climatique à 1,5 °C au-dessus des niveaux préindustriels, comme également prévu par l’accord de Paris sur le climat.

Par ailleurs, OVHcloud multiplie les initiatives visant à réduire son impact en adoptant des pratiques durables à chaque échelon de sa chaîne de valeur. Cela inclut le recours aux énergies renouvelables, l’optimisation de la consommation d’eau et d’électricité dans nos centres de données, ainsi que le réemploi de composants et la valorisation des déchets industriels afin de minimiser son taux d’enfouissement.

Faire progresser collectivement le cloud au bénéfice de la société

En termes de social et sociétal, le Groupe vise à offrir un environnement de travail sûr, inclusif et épanouissant, en luttant contre les discriminations et en promouvant la diversité et l’égalité des chances. Cela implique d’éliminer les discriminations, le harcèlement et le sexisme dans le milieu du travail, d’augmenter le taux de femmes dans les fonctions managériales et de garantir une expérience collaborateur inclusive. OVHcloud s’engage également à agir éthiquement et à respecter les lois et réglementations applicables, en garantissant une tolérance zéro à l’égard de la corruption et du trafic d’influence. Enfin, en matière de santé et sécurité, OVHcloud priorise la sécurité au travail et s’engage à garantir un lieu de travail sûr et sain pour ses collaborateurs, en respectant les exigences réglementaires et en mettant en œuvre des mesures pour préserver la santé et l’intégrité physique de ses collaborateurs, clients et communautés riveraines. Les objectifs et actions définis dans ce cadre visent à promouvoir une culture de responsabilité et de durabilité au sein du Groupe, en favorisant un environnement de travail positif et en contribuant à la création d’un avenir plus durable.

3.1.3.2SBM-2 – Intérêts et point de vue des parties prenantes

OVHcloud entretient un dialogue structuré, régulier et différencié avec ses parties prenantes, dans le but d’intégrer leurs attentes dans sa stratégie et son modèle d’affaires.

• Le dialogue client s’organise autour de plusieurs formats : comités opérationnels mensuels pilotés par les responsables de compte et TAM (Technical Account Managers), comités stratégiques annuels impliquant des membres du comité exécutif, « sponsors » des principaux clients et des représentants du management de ses principaux clients. De manière ad hoc des interventions ciblées d’experts (Customer Success Managers, Solutions Architects) sont faites pour faciliter la compréhension, l’adoption et l’amélioration des solutions. Le Groupe anime également des événements fédérateurs comme l’OVHcloud Summit ou l’OVHcloud Engage, pour stimuler la co-innovation avec son écosystème technologique. Par ailleurs, les intérêts et points de vue des consommateurs sont collectés grâce à des canaux plus opérationnels tels que décrits dans la section 3.3.4 « ESRS S4 – Clients et utilisateurs finaux".
• Avec ses fournisseurs, OVHcloud déploie une approche partenariale axée sur la performance globale et la durabilité. Des rencontres trimestrielles de suivi réunissent achats, produits, qualité et chaîne d’approvisionnement autour des fournisseurs stratégiques. Par ailleurs, des évaluations régulières sont menées selon sept critères, dont l’impact environnemental. Le Groupe organise également des rencontres avec les fournisseurs internationaux afin de leur présenter les roadmaps et renforcer les liens. Les fournisseurs clés sont aussi intégrés aux événements clés, tels que le Summit.
• Les collaborateurs bénéficient d’un dispositif d’écoute active combinant enquêtes d’engagement semestrielles, un système de signalement, des ateliers thématiques (diversité, management), un dialogue social structuré avec les partenaires sociaux, et des interactions régulières avec la direction générale par le biais d’une visioconférence mensuelle et d’interventions sur site. Les interactions sont décrites plus en détail dans la section 3.3.2 « ESRS S1 – Effectifs du Groupe » de l’état de durabilité.
• Le dialogue avec les actionnaires et investisseurs repose sur une transparence rigoureuse et un contact direct. Le management organise des conférences téléphoniques à chaque publication financière, participe à des roadshows et conférences, et a rencontré plus de 200 investisseurs institutionnels au cours de l’exercice 2025. Ce dialogue se prolonge également lors de l’assemblée générale annuelle.
• OVHcloud entretient un lien actif avec les pouvoirs publics sur des sujets clés comme la souveraineté numérique, la compétitivité du cloud ou l’impact environnemental des infrastructures. Le Groupe mène ces échanges de manière directe ou via des associations professionnelles, et organise régulièrement des visites de ses sites (datacenters, usines) à destination des décideurs publics pour les sensibiliser à ses enjeux opérationnels.
• OVHcloud entretient des relations avec la société civile par le biais de partenaires, tels que les associations ou organismes opérant sur des sujets sociaux et sociétaux comme le handicap, la défense des droits des femmes, l’accès aux métiers de la technologie, etc. Ces interactions sont gérées par les équipes responsables des différents projets.
• Enfin, OVHcloud est un acteur majeur de la communauté technologique, engagé à contribuer à l’avancement de la technologie et à promouvoir l’innovation. Le Groupe est actif dans les communautés open source, les événements technologiques et les initiatives de formation. Il partage ses connaissances et ses expériences pour améliorer les technologies qui façonnent l’avenir du numérique.

 

En 2022, OVHcloud avait mené une première analyse de matérialité intégrant les opinions des parties prenantes internes et externes. Ces thèmes ont servi à élaborer la stratégie RSE du Groupe désormais intégrée à sa stratégie et à son modèle d’affaires. Aujourd’hui, ces interactions continuent d’impacter la stratégie du Groupe en prenant en considération les attentes internes et externes sur les sujets environnementaux, sociaux et sociétaux, ainsi que sur la gouvernance.

3.1.3.3SBM-3 – Impacts, risques et opportunités matériels et leur lien avec la stratégie et le modèle d’affaires

Les tableaux ci-dessous détaillent les IRO matériels identifiés par le Groupe lors de l’analyse de double matérialité réalisée pendant l’exercice 2025, à l’échelle du Groupe. L’ensemble des IRO est couvert par les exigences de publication des ESRS. Les paramètres de l’évaluation sont décrits dans la section 3.1.4.1 « IRO-1 – Description des procédures d’identification et d’évaluation des impacts, risques et opportunités matériels ».

Pour réaliser son analyse de double matérialité, OVHcloud a analysé l’ensemble des thèmes des ESRS en prenant en compte tout son modèle d’affaires (opérations propres et chaînes de valeur amont et aval tel que décrits ci-dessus).

OVHcloud est un fournisseur de service cloud français avec une présence internationale, combinant une activité industrielle d’assemblage de serveurs et une activité de datacenters permettant à ses clients finaux de stocker des données, ainsi que d’accéder à des services et des solutions technologiques de pointe. Son activité peut générer un impact réel et potentiel sur l’environnement mais aussi sur la société. Réciproquement, les évolutions environnementales et sociétales peuvent affecter le Groupe sous la forme de risques et d’opportunités financiers.

OVHcloud s’efforce de suivre et d’analyser régulièrement les sujets et tendances susceptibles d’impacter son activité à court, moyen et long termes et de surveiller son impact environnemental et social sur ces mêmes termes, qu’il soit positif ou négatif. 

Comme décrit dans la section 3.1.2 « Gouvernance », les sujets de durabilité, qu’ils soient environnementaux, sociaux ou de gouvernance, sont pris en compte dans les décisions stratégiques du Groupe. Les IRO matériels sont présentés et intégrés par les instances dirigeantes et influencent directement l’élaboration de la stratégie du Groupe afin de limiter les risques, mais aussi de saisir les opportunités pouvant émaner des efforts environnementaux et sociétaux. 

Conformément à la directive CSRD, les risques matériels identifiés dans l’analyse de double matérialité sont analysés sans prise en compte des mesures d’atténuation existantes. À ce jour, le Groupe n’anticipe aucun impact significatif sur ses états financiers lié à ces risques. Par ailleurs, la direction intègre les enjeux climatiques et environnementaux dans ses jugements comptables, sans que cela n’entraîne de révisions des hypothèses clés ni de constatation de passifs environnementaux.

Le tableau ci-dessous fait état des IRO identifiés comme matériels dans l’analyse de double matérialité, ainsi que leur origine dans le modèle d’affaires et les réponses stratégiques que le Groupe offre à ces diverses problématiques :

Environnement

 

Social et sociétal

Gouvernance

3.1.4Gestion des impacts, risques et opportunités

3.1.4.1IRO-1 – Description des procédures d’identification et d’évaluation des impacts, risques et opportunités matériels

Processus de détermination des enjeux

OVHcloud a lancé son processus d’analyse de la double matérialité au début de l’exercice 2025, en conformité avec les lignes directrices dictées par le texte de l’EFRAG (European Financial Reporting Advisory Group, version de mai 2024) avec l’appui d’un cabinet externe spécialisé.

L’analyse de la double matérialité a été menée en suivant un processus spécifique établi en interne par OVHcloud et en application des règles définies par l’ESRS 1. Le Groupe a tenu compte de la liste des thématiques de durabilité abordées par la norme ESRS 1, Annexe A, AR16 et ce jusqu’au niveau de granularité des sous-sous-thèmes tels que définis par la norme. Certains sous-enjeux ont été écartés de fait, n’ayant pas de lien avec l’activité du Groupe (bien-être animal, extraction de ressources marines, services écosystémiques). D’autres, non couverts par le cadre normatif de l’ESRS 1, mais pertinents au regard de l’activité d’OVHcloud, ont été identifiés (la cybersécurité, la souveraineté des données et l’accès au numérique).

Les enjeux et sous-enjeux ont été identifiés en tenant compte de l’activité du Groupe grâce à l’étude approfondie du DEU, de documentations internes, d’interactions sur des sujets spécifiques et complexes de l’activité tout en respectant le cadre réglementaire de l’EFRAG, du GRI (Global Reporting Initiative) et du SASB (Sustainability Accounting Standards Board). Ceci a été appliqué à la chaîne de valeur du Groupe en tenant compte de l’ensemble des localisations du Groupe. Vingt enjeux ont résulté de cette première étape d’analyse. Ils s’inscrivent dans la continuité des vingt-quatre enjeux issus de la précédente matrice de matérialité. Toutes les thématiques ont été reprises. De nouveaux enjeux en lien avec le cadre normatif des ESRS ont été ajoutés à cette étude : pollutions environnementales, biodiversité et écosystèmes, conditions de travail et respect des droits fondamentaux des travailleurs de la chaîne de valeur. 

Processus de détermination des IRO

Chaque enjeu a été décliné en impacts, risques et opportunités par une approche holistique de l’activité du cloud ainsi qu’à la suite d’une étude des sujets pertinents pour les acteurs de ce secteur. La nature des activités du Groupe, ses relations d’affaires, sa présence géographique ont été pris en compte.

Les IRO ont été détaillés grâce à une étude des précédentes déclarations de performance extra-financière, d’une documentation interne, d’une recherche sur le secteur et des problématiques sectorielles.

Une première phase de validation a été initiée afin que le collège d’experts puisse évaluer leur pertinence et leur exactitude. Ils ont dans un second temps été reformulés, en partie, pour refléter au mieux l’activité du Groupe. 140 IRO ont été étudiés puis validés ou reformulés pour aboutir à un ensemble de 134 IRO retenus pour l’évaluation finale (74 impacts et 60 risques et opportunités).

Consultation des parties prenantes externes

OVHcloud n’a fait participer directement aucune partie prenante externe à l’analyse de double matérialité. Les délais courts pour l’appropriation de la norme et son analyse, ainsi que la contribution des parties prenantes en 2022 encore jugée pertinente ont justifié ce choix (Voir DEU 2024 - 3. « Analyse de matérialité et évaluation des risques RSE »). Le Groupe a choisi l’approche dite « d’Experts » en mobilisant les spécialistes internes sur chaque thématique afin de réaliser l’évaluation des IRO.

Évaluation des IRO

Une équipe projet a été désignée afin de mener le déploiement de la CSRD, composée des directions de la stratégie, du contrôle extra-financier et de l’audit et du contrôle interne.

• Les IRO ont été analysés et évalués par un collège d’experts dédié :
  • sous le prisme de l’impact des activités du Groupe et de sa chaîne de valeur sur la société et sur l’environnement ;
  • sous le prisme de l’impact de la société et de l’environnement sur les risques et opportunités du Groupe. Dans le cadre de l’évaluation financière, la dépendance aux matières premières et aux ressources humaines est prise en compte dans la formulation, la cotation et la justification des IRO ;
  • les impacts peuvent être réels ou potentiels conformément à la norme ESRS 1. Concernant le critère de probabilité d’occurrence, les impacts réels ont été immédiatement notés comme « certains ». 
• Cette analyse a été menée en considérant la nature des activités du Groupe :
  • sur sa chaîne de valeur amont : l’analyse considère les fournisseurs directs ainsi que les activités des fournisseurs de matières premières localisés dans des régions telles que l’Asie ou l’Afrique ;
  • sur ses opérations propres : le Groupe a pris en compte l’ensemble de ses entités et a adapté le périmètre ainsi que les activités concernées en fonction de leur pertinence au regard des thèmes analysés ;
  • sur sa chaîne de valeur aval : le Groupe a considéré l’ensemble de sa chaîne aval dans toute sa diversité.

Cette approche a permis de disposer d’une vision pertinente et ciblée des enjeux de durabilité sur l’activité du Groupe et sur son environnement.

L’évaluation des IRO a été effectuée en brut, ce qui signifie que les impacts, risques et opportunités ont été évalués sans tenir compte des mesures de prévention, de remédiation et d’atténuation d’impacts ou de risques mises en place.

Les critères utilisés pour la cotation des impacts s’appuient sur les principes définis par les Guiding Principles on Business and Human Rights des Nations unies et les Guidelines for Multinational Enterprises de l’OCDE (Organisation de coopération et de développement économiques).

Impact positif et négatif

Dans l’analyse de matérialité des impacts, ces derniers ont été qualifiés de « positifs » ou « négatifs », mais jamais les deux. Les impacts négatifs correspondent à des effets actuels ou potentiels générés par les opérations du Groupe ou de sa chaîne de valeur, susceptibles de porter atteinte à l’environnement, aux droits humains ou à d’autres parties prenantes. À l’inverse, les impacts positifs désignent les contributions intentionnelles ou structurelles du Groupe à la résolution de problématiques de durabilité, telles que la transition climatique ou l’inclusion sociale.

Calcul de notation des IRO

Le score de matérialité a été déterminé comme suit :

• matérialité d’impact = sévérité x probabilité x sévérité à long terme ;
• matérialité financière = effet financier à court ou moyen terme x probabilité x sévérité à long terme.

Matérialité d’impact

Conformément à l’ESRS 1, pour la matérialité d’impact, OVHcloud a évalué le score de sévérité en multipliant trois critères : l’ampleur, l’étendue et la réversibilité.

Des pondérations des critères (coefficient 1,5) ont été appliquées sur :

• l’« ampleur » de l’impact :
• Ce choix méthodologique s’explique par le fait que l’estimation de l’ampleur a fait l’objet d’une attention particulière par les équipes OVHcloud (notamment par rapport à l’« étendue », plus difficile à estimer au regard de la chaîne de valeur et de la localisation des activités) ;
• la « réversibilité » de l’impact :
• Ce choix méthodologique s’explique par la gravité renforcée d’un impact qui ne pourrait être réversible, quel que soit son ampleur et son périmètre. Ce principe s’appuie sur les principes directeurs de l’OCDE et des Nations unies, et a été repris par le Guide d’application des ESRS de l’Autorité des normes comptables.

Pour les scores finaux, les notes ont été ramenées à une échelle de 0 à 4 (4 étant le plus sévère) et ont été attribuées selon une échelle de criticité du plus faible ou restreint au plus grave ou étendu. Les appréciations de chaque note ont été fondées sur l’expertise des contributeurs, sur des études disponibles ainsi que l’appréciation des impacts sociétaux associés. Les appréciations pourront faire l’objet d’une revue ultérieure en cas d’évolution matérielle du Groupe et de ses pratiques.

La probabilité n’a été évaluée que pour les impacts potentiels. Elle a été évaluée par une notation allant de 2,5 à 4 (2,5 étant « peu probable » jusqu’à 4 « très probable ou certain ») pour la matérialité d’impact et la matérialité financière afin de conserver l’emphase sur la sévérité des impacts et les effets financiers à court-moyen terme des risques et opportunités. 

Une pondération de sévérité à long terme a été appliquée sur chaque IRO afin de prendre en compte l’évolution de la sévérité de l’impact ou de l’ampleur financière à long terme.

Les horizons temporels sont ceux décrits dans la section 3.1.1.2 « BP-2 – Publications d’informations relatives à des circonstances particulières » de ce document.

Matérialité financière

Afin d’évaluer la matérialité financière, OVHcloud a défini des risques et opportunités que pourrait rencontrer le Groupe, émanant des impacts définis dans l’analyse, de dépendances, des risques externes divers (aléas climatiques, changement de réglementation, etc.). Ces derniers ont été notés sur une échelle de 0 à 4 (4 étant le plus sévère) évaluant l’ampleur de l’effet financier sur des éléments tels que l’EBITDA (Earnings before interest, taxes, depreciation and amortisation) ou la variation de trésorerie. La probabilité d’occurrence est également cotée de 2,5 à 4 afin de garder l’accent sur l’effet financier évalué. Le tout a été pondéré par la sévérité à long terme. L’évaluation s’appuie sur une appréciation qualitative et quantitative réalisée conjointement par les experts de la direction financière et le collège d’experts sur les thématiques ESG du Groupe.

Précisions méthodologiques

Le score de chaque IRO a été calculé en utilisant une moyenne des critères ramenée à une échelle de 0 à 4. Un seuil de matérialité a été défini : 2,75 sur la matérialité d’impact et 2,25 sur la matérialité financière. Les IRO dont le score est strictement supérieur ou égal à ces seuils sont considérés matériels. À l’issue de ce travail, 48 IRO ont été déterminés comme matériels : 26 impacts et 22 risques et opportunités financiers.

Liens avec les procédures de contrôle interne

La direction des risques et du contrôle interne a participé à chaque étape de l’analyse de double matérialité. Une attention particulière a été portée sur la cohérence entre les résultats de l’analyse de double matérialité et la cartographie générale des risques.

3.1.4.2IRO-2 – Exigences de publication au titre des ESRS couvertes par l’état de durabilité

La table de correspondance est disponible en section 3.7 « Annexes » de ce document.

3.2Environnement

3.2.1ESRS E1 – Changement climatique

À l’avant‑garde du cloud durable, OVHcloud intègre la durabilité au cœur de son modèle d’affaires depuis sa création en développant des innovations industrielles lui permettant de limiter son impact environnemental. Durant l’exercice 2025, OVHcloud a poursuivi sa trajectoire de performance en matière de climat. Fort de son engagement auprès de la SBTi, OVHcloud fait de l’atténuation du changement climatique un axe important de sa stratégie de Groupe.

3.2.1.1GOV-3 – Intégration des performances ESG dans la rémunération des dirigeants

OVHcloud a intégré des critères environnementaux directement liés à l’atteinte de ses objectifs ESG dans la rémunération variable de ses dirigeants (voir les sections 3.1.2.3 « GOV-3 – Intégration des performances en matière de durabilité dans les mécanismes d’incitation » et 4.5 « Rémunérations et avantages » du chapitre 4 du DEU).

3.2.1.2SBM-3 – IRO matériels et leur intégration avec la stratégie et le modèle économique

Le tableau ci-dessous liste les IRO liés au changement climatique qu’OVHcloud a estimé comme matériels lors de l’analyse de double matérialité :

 

Parmi les risques identifiés dans l’analyse de la double matérialité :

• deux risques physiques :
  • événement physique ou climatique extrême causant des perturbations (voire des interruptions) de la croissance du Groupe du fait d’une rupture d’approvisionnement de la chaîne de valeur amont,
  • événement physique ou climatique extrême (hors accès à l’eau) causant des perturbations (voire des interruptions) des opérations des datacenters, entraînant des dommages réputationnels, une perte de revenus et une hausse des coûts (pénalités, réparations de l’infrastructure) ;
• un risque de transition :
  • renforcement de la réglementation locale en matière d’adaptation au changement climatique, générant des coûts (ex. : investissements dans l’adaptation des infrastructures).

OVHcloud, dans son analyse, prend en considération les réalités environnementales liées à son modèle d’affaires, que ce soient les exigences externes de réduction des GES ou les risques liés au changement climatique sur son activité, ainsi que sur sa chaîne de valeur. Par risques liés au changement climatique, il est entendu les catastrophes naturelles et événements climatiques extrêmes, ainsi que le renforcement des réglementations encadrant les entreprises en matière d’adaptation au changement climatique. Dans ce cadre, une évaluation des risques climatiques a été menée sur la base de l’analyse des scénarios de risques climatiques décrite ci-après.

Analyse des scénarios des risques climatiques pour OVHcloud

En 2024, OVHcloud a réalisé une analyse de risques climatiques sur tous ses sites industriels (datacenters et centres d’assemblage), ainsi que les bureaux de Roubaix et Croix (ceux-ci partagent les bâtiments avec des sites industriels).

Cette dernière, réalisée par un organisme externe, utilise une analyse des risques climatiques pour évaluer les risques physiques pour quatre scénarios de changement climatique évoqués par le GIEC (Groupe d’experts intergouvernemental sur l’évolution du climat), ainsi que la sinistralité régionale à quatre horizons temporels différents (2030, 2040, 2050, 2100), les risques variant suivant ces différents horizons (par exemple la fréquence des canicules augmente dès 2030, et la submersion marine en 2100). Les quatre scénarios, dits SSP (Shared Socio-economic Pathways) sont les suivants, allant du moins risqué au plus risqué :

• le scénario SSP1 – 2.6 : le scénario décrit un avenir axé sur le développement durable, avec une transition mondiale vers une énergie propre, une gouvernance renforcée et des modes de vie sobres. Les émissions de CO2 diminuent, limitant le réchauffement à environ 1,8 °C d’ici 2100 par rapport à l’ère préindustrielle. Ce scénario réduit nettement l’intensité et la fréquence des événements climatiques extrêmes comparé à des trajectoires plus chaudes, tout en restant compatible avec l’accord de Paris ;
• le scénario SSP2 – 4.5 : ce scénario prolonge les tendances socio-économiques actuelles, avec croissance modérée, progrès technologiques lents et inégalités persistantes. Les émissions de CO2 restent stables jusqu’à 2050 puis déclinent, entraînant un réchauffement moyen d’environ + 2,7 °C d’ici 2100 par rapport à l’ère préindustrielle. Les défis sont de niveau moyen à élevé pour la mitigation et l’adaptation ;
• le scénario SSP3 – 7.0 : scénario marqué par un repli nationaliste, un faible investissement dans l’éducation et la technologie, ainsi qu’une croissance économique lente et inégalitaire. Les émissions de GES doublent d’ici 2100, menant à un réchauffement d’environ + 3,6 °C à + 4,6 °C. Les défis pour la mitigation et l’adaptation y sont très élevés ;
• le scénario SSP5 – 8.5 : intensification des modes de vie à forte consommation énergétique, alimentés par une exploitation massive des énergies fossiles, tout en bénéficiant d’une forte croissance et de progrès technologiques. Les émissions de CO2 doublent déjà vers 2050, pouvant tripler en fin de siècle, et le réchauffement atteint environ + 4,4 °C en 2100 (entre + 3,3 °C et + 5,7 °C selon les modèles). Malgré des capacités adaptatives élevées, l’absence de politiques climatiques rend ce scénario très risqué.

Effets potentiels escomptés des risques physiques liés au changement climatique

En fonction des scénarios, de leur horizon temporel et de leur gravité, l’exposition potentielle aux risques physiques serait la suivante :

• en matière de catastrophes naturelles extrêmes : augmentation des événements tels que les inondations, sécheresses, feux de forêt, cyclones, tsunamis, pouvant endommager les infrastructures et perturber les opérations ;
• en matière de pénuries de ressources : risques de pénuries occasionnelles ou permanentes impactant les opérations et par conséquent un potentiel renforcement des réglementations (durcissement des normes sur la gestion de l’énergie, l’utilisation de l’eau et l’éco-conception).

Ces impacts climatiques peuvent entraîner subséquemment de potentiels risques financiers tels que :

• des investissements accrus : l’environnement réglementaire devient plus complexe en termes de normes environnementales et de conformité, nécessitant des ressources supplémentaires pour assurer la conformité ;
• des coûts opérationnels accrus : par exemple, les vagues de chaleur peuvent augmenter les coûts de fonctionnement des systèmes de refroidissement. Ce phénomène impacte aussi les locaux afin de conserver de bonnes conditions de travail pour les employés du Groupe ;
• une perturbation des services : impossibilité de fournir les services selon les conditions contractuelles, entraînant des compensations financières ou des surcoûts ;
• des pénuries de matières premières : le changement climatique peut provoquer des pénuries, rendant l’accès aux matières premières plus coûteux.

3.2.1.3IRO-1 – Description des processus d’identification et d’évaluation des IRO matériels

OVHcloud a identifié les IRO matériels liés au climat dans le cadre de son analyse de double matérialité comme évoqué précédemment.

Dans le cadre de son analyse et de son évaluation des risques physiques, le Groupe s’est basé sur les données historiques, majoritairement sur les scénarios optimistes et parfois sur les scénarios plus pessimistes, qui prévoient une augmentation de la fréquence et de l’intensité des événements climatiques extrêmes tels que les inondations, sécheresses, feux de forêt, cyclones, etc., pouvant endommager les infrastructures physiques et perturber les opérations du Groupe ou pouvant impacter négativement sa chaîne de valeur. Le scénario SSP1 – 2.6 a aussi été pris en considération dans le cadre d’un risque financier généré par le renforcement des réglementations environnementales occasionnant des coûts supplémentaires.

Dans le cadre de l’atténuation du changement climatique, les scénarios SSP1 et SSP2 ont été pris en considération. La matérialité a été établie en prenant en compte l’importance des émissions de GES telles qu’elles ressortent actuellement, sans moyen de remédiation et dans une approche plutôt business-as-usual. Sujet d’actualité, l’impact environnemental des datacenters et leurs émissions est immanquablement un sujet matériel pour le Groupe.

Concernant l’énergie, en raison de l’impact des datacenters sur l’appropriation d’énergie, notamment avec la croissance de l’IA (intelligence artificielle) générative, le Groupe a identifié deux impacts négatifs à la fois pour ses opérations propres mais aussi pour sa chaîne de valeur.

3.2.1.4E1-1 – Plan de transition

3.2.1.4.1Plan d’atténuation

OVHcloud place la réduction de ses émissions de GES au cœur de ses ambitions, au travers de trois axes de travail :

• réduction des émissions compressibles d’ici 2030 ;
• implication de l’écosystème : partenaires, clients, fournisseurs, collaboratrices et collaborateurs dans une démarche de réduction de leur empreinte carbone ;
• participation à l’augmentation des puits de carbone pour l’ensemble des émissions résiduelles.

OVHcloud a élaboré une stratégie de court terme menant aux objectifs décrits ci-dessus. Ces objectifs ont été élaborés en intégrant les ressources nécessaires à leur atteinte au business plan du Groupe.

Base de l’analyse

Le bilan carbone établi en 2022 (année de référence) a fait l’objet d’une vérification par un organisme externe.

OVHcloud s’est engagé depuis 2023 dans sa démarche auprès de la SBTi, référentiel international permettant aux organisations d’aligner leur stratégie de décarbonation sur la trajectoire définie par l’accord de Paris.

La SBTi a jugé les deux objectifs de court terme d’OVHcloud établis selon un parcours sectoriel spécifique (softwares & services) comme étant compatibles avec l’objectif planétaire à 1,5 °C.

La réduction des émissions compressibles se traduit par les engagements de court terme pris et validés par l’organisation SBTi en fin 2024.

 

Les principaux objectifs de réduction sont décrits ci-après :

 

Exclusion ou non des indices de référence « Accord de Paris »

OVHcloud n’est pas engagé dans les activités répondant aux critères d’exclusion des articles 12.1 (1) et 12.2 (2) du règlement délégué UE 2020/1818 de la Commission du 17 juillet 2020.

Émissions verrouillées

OVHcloud n’a pas d’émissions verrouillées, car les actifs de l’entreprise sont principalement alimentés par les réseaux électriques.

Explication des leviers de décarbonation et plan d’action

Les principaux leviers de décarbonation sont les suivants :

• décarbonation du mix énergétique et amélioration de l’efficacité énergétique (scopes 1&2) ;
• achat d’équipement plus performant et mise en œuvre de la circularité (scope 3).

Une liste exhaustive des leviers de décarbonation ainsi que leur mise en œuvre est présentée dans la partie ci-dessous 3.2.1.6 « E1-3/E4 – Actions et objectifs liés aux politiques de changement climatique ».

Approbation du plan par les organes d’administration, de direction et de surveillance

Les engagements de court terme ont été approuvés par le comité exécutif et la direction générale du Groupe, signataires de la lettre d’engagement à SBTi et de la politique RSE du Groupe.

3.2.1.4.2Plan d’adaptation

Sur le volet de l’adaptation, OVHcloud a priorisé l’adaptation aux risques physiques pouvant entraîner un arrêt d’activité.

Ces initiatives s’inscrivent dans une démarche proactive d’adaptation aux impacts du changement climatique, assurant ainsi la pérennité des infrastructures et des services d’OVHcloud.

Le Groupe a implémenté le programme « hyper résilience », visant à renforcer la sécurité physique et la continuité des services face aux événements extrêmes. Ce programme inclut la construction de centres de données répondant à des normes de sécurité renforcées.

De plus, l’analyse des scénarios climatiques a permis de définir des plans d’action spécifiques par site, présentés à la gouvernance de suivi des risques. Des mesures ont été prises afin de pallier les risques prévalents sur les différents lieux d’implantation des infrastructures du Groupe, afin de limiter le risque d’arrêt d’activité ou d’interruption de service (grêle, tempête, froid, inondations…). Par ailleurs, le Groupe réalise des analyses de risques avant d’acquérir de nouveaux sites.

Le Groupe étudie encore les priorités à moyen et long termes pour diminuer son exposition aux risques quantifiés au travers des différents scénarios.

3.2.1.5E1-2 – Politiques liées à l’atténuation et à l’adaptation au changement climatique

 

Depuis 2022, OVHcloud a lancé sa démarche sur le changement climatique, affinant ses objectifs et structurant sa démarche, en mobilisant divers acteurs du Groupe et de sa chaîne de valeur. C’est dans cette optique que différentes directions du Groupe soutiennent cette transition en élaborant des politiques engagées.

La politique RSE couvre l’ensemble des entités du Groupe sur les thématiques environnementales et définit les objectifs environnementaux.

Le Code de conduite fournisseurs ainsi que la politique d’achat responsable viennent renforcer cette démarche en intégrant des critères relatifs au changement climatique. La direction des achats exige de ses fournisseurs de réduire leurs émissions de GES, en privilégiant les solutions bas carbone et en sensibilisant leurs salariés à l’enjeu climatique, et de fournir à OVHcloud les données nécessaires pour calculer ses propres émissions carbone de manière précise et dans des délais raisonnables. Elle exige par ailleurs de ses fournisseurs qu’ils s’engagent à améliorer leur efficacité énergétique.

3.2.1.6E1-3/E1-4 – Actions et objectifs liés aux politiques de changement climatique

Le tableau ci-dessous résume les actions et objectifs d’OVHcloud sur les thématiques du changement climatique :

 

Améliorer l’efficacité énergétique

Une attention constante est portée sur l’efficacité énergétique notamment sur le watercooling, fondement et pierre angulaire des technologies de refroidissement déployées depuis plus de 20 ans et utilisées à grande échelle. Cette technologie supprime le besoin de climatisation dans les salles de serveurs, ce qui présente des avantages significatifs en termes de gestion des coûts et de réduction des impacts environnementaux.

Le refroidissement direct par eau élimine la chaleur des composants les plus énergivores que sont les processeurs (CPU, GPU) et l’air (qui est ensuite refroidi à l’intérieur du « rack », en utilisant de l’eau à travers un échangeur de chaleur), et élimine la chaleur des autres composants. L’eau réchauffée est ensuite refroidie à l’aide de tours de refroidissement sèches (Drycoolers). OVHcloud se distingue par son système en circuit fermé limitant la déperdition de liquides, mais également par l’utilisation de refroidisseurs à sec et l’absence d’air conditionné dans les salles de serveurs. Outre son efficacité en termes de consommation d’eau et d’énergie, la technologie watercooling d’OVHcloud présente des coûts de maintenance relativement faibles.

Le déploiement des derniers systèmes de refroidissement (5e génération) s’est poursuivi en 2025, permettant d’opérer l’infrastructure à des régimes de température d’eau plus élevée, à plus haut rendement (PUE partiel de 1,06).

Le déploiement des nouvelles tranches électriques fait l’objet d’installations d’équipements plus efficaces (UPS – Uninterrupted Power Supply ou onduleurs – à hauts rendements, gaines à barre).

Le plan de modernisation des datacenters les plus anciens, tels que RBX1 (Roubaix 1), est en cours de réalisation. Cette modernisation permettra d’améliorer l’efficacité énergétique du Groupe, les datacenters les plus anciens ayant une performance énergétique moins efficace que les datacenters récents.

Toujours dans le cadre de la chasse au gaspillage, les datacenters détenus en propre mettent en œuvre des réglages optimisés dans les salles qui demeurent climatisées (salles réseau, salles techniques ou batteries). Les serveurs non utilisés sont éteints pour éviter les consommations d’énergie inutiles.

La mise en œuvre du plan de performance énergétique, en concertation avec la DREAL (direction régionale de l’environnement, de l’aménagement et du logement), se poursuit à Gravelines, tandis que des études relatives à la récupération de la chaleur fatale sont réalisées sur les sites de Roubaix et Strasbourg.

Une fraction de cette chaleur fatale issue des serveurs informatiques est d’ores et déjà réutilisée en interne afin de :

• chauffer les bureaux du site de Limburg (Allemagne), permettant des économies de gaz de l’ordre de 100 000 kWh ;
• préchauffer les groupes électrogènes de Roubaix.

La performance énergétique peut s’évaluer selon les processus mis en œuvre au sein du Groupe ; elle est en amélioration constante comme en témoignent l’obtention de la certification ISO 50001 portant sur l’amélioration de la performance énergétique, et la progression continue de l’indicateur de performance énergétique PUE. Ce dernier s’établit en effet à 1,24 à la fin de l’exercice 2025 (contre 1,26 à la fin de l’exercice 2024).

À ce titre, OVHcloud a étendu cette année la certification ISO 50001 à ses datacenters européens (Erith (Royaume-Uni), Limburg (Allemagne), Ozarow (Pologne)) en plus des datacenters français, déjà certifiés les années précédentes.

OVHcloud participe également au Code de conduite européen pour l’efficacité énergétique, tous ses datacenters exploités en propre étant désormais inscrits, incluant même les datacenters nord-américains.

 

Les résultats en matière de PUE sont donnés ci-dessous :

 

La consommation d’énergie IT (consommation d’énergie électrique des systèmes informatiques) des datacenters opérés en propre est mesurée dans tous les datacenters à l’exception des premiers datacenters de Beauharnois (BHS). Le Groupe a estimé que cela représentait un panel pertinent et représentatif. Le taux de couverture de la mesure évoluera naturellement vers 100 % au gré des modernisations futures des premiers datacenters de BHS. 

 

Contractualiser la fourniture d’électricité renouvelable

La fourniture d’énergie renouvelable est un objectif en tant que tel pour OVHcloud. Pour ses datacenters détenus en propre, le Groupe s’est fixé pour objectif d’atteindre 100 % de fourniture d’électricité d’origine renouvelable d’ici à 2025.

À ce titre, plusieurs CPPA (Corporate Power Purchase Agreements) ont été signés, notamment :

• en France, pour 40 GWh/an, en production depuis le 1er janvier 2025 ;
• en Allemagne, pour 25 GWh/an, en production depuis le 1er janvier 2025 ;
• en Pologne, pour 5 GWh/an, qui rentrera en production en 2026.

OVHcloud mettra en place d’autres CPPA afin de garantir son approvisionnement en électricité décarbonée et renouvelable.

Des EAC (Energy Attribute Certificates ou certificats d’attributs énergétiques) sont également acquis dans les différents pays dans lesquels OVHcloud opère ses datacenters.

En plus de l’électricité, les datacenters d’OVHcloud consomment, à la marge, du fioul domestique. Ce fioul domestique est utilisé à des fins de production d’électricité en ultime secours, via les groupes électrogènes de secours en place dans les datacenters.

Les consommations de fioul domestique, bien que faibles, sont (sauf en cas de coupure) dues aux maintenances et aux tests de coupure.

OVHcloud substitue peu à peu le carburant d’origine fossile (fioul domestique) de ses groupes électrogènes par du carburant de type « HVO » (Hydrotreated Vegetable Oil), issu de déchets et de résidus d’origine organique (et non concurrente des cultures alimentaires).

Les datacenters de Roubaix, Gravelines, Strasbourg et Erith en sont désormais dotés.

 

Les résultats en matière de REF sont détaillés ci-dessous :

 

Réduire les émissions de GES des scopes 1 et 2

La réduction des scopes 1 et 2 est essentiellement portée par les sujets décrits dans les deux paragraphes précédents :

• l’amélioration de l’efficacité énergétique ;
• l’acheminement d’énergie renouvelable et décarbonée.

Une autre source d’émissions de GES provient de l’utilisation de fluides frigorigènes (HFC) dans les datacenters. Des émissions fugitives, causées par des fuites fortuites de circuits de climatisation en sont la cause.

La majorité des fluides frigorigènes installés dans les datacenters en opérations propres d’OVHcloud est dans son datacenter le plus ancien, RBX1. Ce datacenter sera mis à niveau dans les années à venir, et bénéficiera des technologies de refroidissement watercooling, aujourd’hui en place dans les datacenters les plus récents. Ceci permettra d’une part d’en améliorer la performance énergétique, mais également de ne pas recourir aux HFC, supprimant donc le risque de fuite à la racine.

Plus généralement, une attention particulière est portée au respect du protocole de Kyoto et de l’amendement de Kigali : une utilisation de HFC en moindre quantité, et de meilleure qualité (ie avec des pouvoirs de réchauffement globaux moins importants). En effet, depuis 2011, les salles serveurs exploitées dans les datacenters en propre d’OVHcloud sont dépourvues de refroidissement par détente directe, et ne dépendent pas de HFC. Depuis 2020, les salles UPS sont également refroidies grâce au watercooling. Seules les salles batteries et les salles réseau sont aujourd’hui climatisées dans les datacenters OVHcloud, soit moins de 5 % de la chaleur à évacuer dans les datacenters.

 

La liste des actions concourant à la diminution des scopes 1 et 2 est synthétisée ci-dessous :

 

 

Suivi de l’objectif court terme 1 (tCO2e)

Réduire les émissions de GES de scope 3

Première source d’émission du Groupe durant l’année de référence 2022 avec plus de 62 700 tCO2e, l’achat des composants informatiques est le principal poste sur lequel OVHcloud agit.

D’une part, l’empreinte carbone des composants informatiques a été calculée sur la base des données issues d’études comparatives menées par un tiers indépendant expert du numérique responsable et du Green IT.

 

 

OVHcloud a, depuis, mis en place un processus de collecte de données primaires auprès de ses fournisseurs afin de mieux caractériser ces achats de composants.

En 2025, le Groupe a obtenu le facteur d’émission de 64 % de ses composants informatiques auprès de ses fournisseurs (en pourcentage d’unités fonctionnelles). 

D’autre part, la collecte de données primaires auprès des fournisseurs permet de réaliser des arbitrages sur les achats de composants.

Un autre axe d’évitement consiste à mettre en œuvre l’économie circulaire, sur les bâtiments et les composants informatiques. Bien que cette partie soit détaillée dans la section 3.2.3 ESRS E5 « Utilisation des ressources et économie circulaire », les externalités positives sont aussi à mettre au bénéfice de l’empreinte carbone d’OVHcloud. Le taux de réutilisation des composants est un bon indicateur pour quantifier les émissions évitées, dans la mesure où un composant réutilisé est un composant non acheté.

Concernant le matériel interne, nécessaire aux collaborateurs, OVHcloud met en œuvre des actions volontaires dans le but de prolonger leur durée de vie : sensibilisation, maintenances préventives, réparations. Au 31 août 2025, environ 40 % des ordinateurs portables confiés aux collaborateurs ont plus de trois ans, et 65 % des smartphones ont plus de deux ans.

Concernant les déplacements domicile-travail, le Groupe met en place des actions de promotion des mobilités douces, gratifiant notamment les salariés se rendant au travail à vélo ou en transports en commun.

 

De manière générale, la liste des actions concourant à la diminution du scope 3 est synthétisée ci-après :

Suivi de l’objectif court terme 2 (tCO2e/millions d’euroS)

Améliorer la transparence environnementale

L’affichage environnemental est un outil puissant permettant aux utilisateurs de mesurer l’ampleur de l’impact des produits et des services consommés. C’est avec le souci d’offrir aux clients une meilleure compréhension de l’empreinte carbone de leur infrastructure cloud, et de les aider ainsi dans leur transition environnementale, et dans leur choix en matière de consommation, qu’OVHcloud a développé sa « calculatrice carbone » désormais appelée Impact Tracker. Son changement de nom intervient à la suite des travaux de recherche d’OVHcloud pour rendre cet outil multicritères (cf. sections 3.2.2 « ESRS E3 – Ressources aquatiques et marines » et 3.2.3 « ESRS E5 – Utilisation des ressources et économie circulaire »).

Cet outil est le fruit d’un processus rigoureux d’élaboration d’une méthodologie fiable, robuste et exhaustive, ainsi que d’un développement informatique rapide. La méthodologie, qui a été auditée et certifiée par une société de conseil indépendante spécialisée dans le numérique responsable, est fondée sur les principes de l’ACV (analyse de cycle de vie), des bases de données de référence pour les facteurs d’impact environnementaux, telles que la Base IMPACTS® 3.0 de l’ADEME (Agence de l’environnement et de la maîtrise de l’énergie), et les premières recommandations du Product Category Rules dédié aux services numériques de l’ADEME. Pour fiabiliser les résultats de l’affichage environnemental de ses solutions, OVHcloud a travaillé en collaboration avec ses fournisseurs les plus importants, le monde universitaire (INRIA) et associatif (Boavizta) afin d’affiner la connaissance de l’empreinte carbone de leurs activités. Le Groupe dispose désormais de données plus précises concernant la fourniture d’accès à l’énergie, permettant un affichage en location-based et en market-based, et une part significative de ses composants en prenant en compte le reconditionnement de ceux-ci.

OVHcloud a lancé une première version de sa calculatrice carbone en juillet 2023 pour la gamme Bare Metal Cloud. Un premier enrichissement pour les clients de la gamme Hosted Private Cloud a eu lieu au cours du premier trimestre de l’exercice 2024. Un trimestre à peine après la mise à disposition auprès des clients, OVHcloud a reçu le Trophée Green pour sa calculatrice carbone lors du forum The Big Green, événement dédié à la RSE. Ce trophée récompense le haut niveau de technicité de la méthodologie de la calculatrice et son exhaustivité, OVHcloud étant le premier à rendre disponible des informations environnementales aussi complètes à ses clients. Depuis, l’outil s’est enrichi d’éléments de calcul plus précis grâce au double affichage des émissions liées à la phase d’usage (market-based et location-based) mais également concernant la phase de fabrication grâce à la prise en compte du reconditionnement des composants.

Par suite de la mise en production de l’outil en 2023, et à son amélioration conséquente en 2024, OVHcloud a souhaité étendre le portefeuille de produits couverts par l’outil. Ainsi en 2025, l’univers du Public Cloud a intégré l’outil à travers les produits compute et storage. Cet univers représente une part croissante dans les revenus du Groupe et un défi méthodologique pour l’extension de l’outil (la couche physique des infrastructures est totalement abstraite/invisible pour les clients public cloud).

Accessible aux clients directement depuis leur espace OVHcloud, l’outil intègre la consommation électrique estimée des serveurs à partir de la surveillance des datacenters d’OVHcloud. Il établit ensuite une correspondance avec leur équivalent en émissions de carbone, en prenant en compte les systèmes de refroidissement et de réseau, ainsi que le transport, la fabrication, la fin de vie et la gestion des déchets, afin de fournir un tableau complet de l’empreinte carbone actuelle. Les résultats liés aux usages cloud, que chaque utilisateur peut télécharger, sont découpés selon trois postes d’émission :

• la phase de fabrication : les émissions de GES amont liées à l’achat et l’assemblage des composants ;
• la phase d’utilisation : les émissions liées à l’électricité ;
• les émissions annexes : les autres émissions indirectes comme le fret, l’impact induit par les employés – appelées « opérations ».

Ci-dessous un exemple de document produit par Impact Tracker

 

Depuis sa mise en ligne, l’outil génère en moyenne environ 500 téléchargements par mois.

La volonté d’OVHcloud est de permettre l’instauration de bonnes pratiques au sein de la chaîne d’approvisionnement par capillarité, et notamment les arbitrages basés sur la donnée.

3.2.1.7E1-5 – Consommation d’énergie et mix énergétique

Le tableau ci-dessous représente la consommation énergétique des datacenters exploités en propre par OVHcloud. Celle-ci est exprimée en GWh et par type d’énergie :

 

La consommation d’énergie totale des datacenters non exploités en propre par OVHcloud est estimée à 28 GWh.

3.2.1.8E1-6 – Émissions brutes de GES des scopes 1, 2, 3

Le tableau ci-dessous présente les statistiques d’émissions de GES d’OVHcloud pour chacun des scopes 1, 2 et 3. L’année 2022 est également présentée en tant qu’année de référence. Il convient de noter que le Groupe mesure ses émissions de GES en application du GHG Protocol.

 

 

Indicateurs supplémentaires

Analyse des changements

Scope 1 

• Les émissions de scope 1 sont de 1 325 tCO2e en année fiscale 2025. Les émissions ont diminué depuis 2024 et sont stables par rapport à 2022. 
• Les émissions fugitives (émissions non intentionnelles de gaz) liées aux fuites de fluides frigorigènes (HFC) reviennent au niveau de 2022 et 2023.
• Les émissions liées à la flotte de véhicules sont stables.
• Les émissions liées au fonctionnement des groupes électrogènes de secours augmentent au gré de la croissance du Groupe. Ceux-ci fonctionnent essentiellement pour des tests et des maintenances. Le carburant type « HVO » n’est, à date, pas encore comptabilisé.

Scope 2 

• En location-based : malgré la croissance de consommation d’énergie électrique du Groupe, les émissions diminuent en raison de la performance accrue du parc électronucléaire français depuis 2024, compensant ainsi les émissions liées à la croissance dans les zones ayant une électricité plus carbonée. Les émissions de scope 2 en location-based s’élèvent à 58 087 tCO2e.
• En market-based : l’achat d’EAC pour le site de Vint Hill en Virginie a permis la réduction des émissions en comparaison avec 2024. Tous les autres datacenters ayant été couverts les années précédentes. Les émissions résiduelles, non couvertes par des EAC, sont dues aux consommations d’énergie par les datacenters non opérés directement par le groupe OVHcloud, en collocation ou dans les Local Zones. Les émissions de scope 2 en market-based s’élèvent à 9 981 tCO2e.

Scope 3 

• Catégorie 1 (Produits et services achetés) : les émissions se sont accrues du fait d’un recours plus important aux prestations externalisées.
• Catégorie 2 (Biens immobilisés) : les émissions diminuent, ceci a été rendu possible par la politique d’achat mise en place permettant la prise en compte de l’empreinte carbone du matériel informatique utilisé pour la fabrication des serveurs, auprès des contructeurs.
• Catégorie 3 (Activités associées à l’énergie et aux combustibles) : les émissions diminuent en location-based du fait de la performance accrue du parc électronucléaire français depuis 2024. Elles augmentent en market-based en raison d’un recours accru de biomasse pour l’énergie de Vint Hill. 
• Catégorie 4 (Transport et distribution amont) : l’augmentation des émissions s’explique par un recours plus important au fret aérien cette année. Le Groupe œuvre actuellement à limiter cette pratique en privilégiant le fret maritime, notamment pour les transferts entre les sites de Croix et Beauharnois.
• Catégorie 8 (Actifs en leasing amont) : les émissions diminuent, principalement grâce à une quantification plus précise des impacts liés au backbone d’OVHcloud. Auparavant, OVHcloud extrapolait les résultats provenant d’une étude révisée en 2021 (« Rapport : évaluation de l’empreinte carbone de la transmission d’un gigaoctet de données sur le réseau RENATER ») à son propre backbone.
• Cette année, OVHcloud a mis au point une nouvelle méthodologie, en évaluant séparément les impacts associés aux POP (Points of Presence) sur tout le cycle de vie, aux liens terrestres (fibres optiques) et aux câbles de télécommunications sous-marins.
• La page de blog suivante détaille la méthodologie employée : https://blog.ovhcloud.com/ovhcloud-backbone-network-environmental-impact-assessment-methodology/
• Les émissions dues aux consommations électriques des bureaux loués, comptabilisées dans cette catégorie, demeurent stables.
• Catégorie 11 (Utilisation finale des produits vendus) : les émissions diminuent grâce à la performance accrue du parc électronucléaire français depuis 2024, diminuant les émissions liées aux usages des produits utilisés chez nos clients : standards téléphoniques, VOiP (Voice over Internet Protocol), modem.

Les autres catégories sont stables.

Au global, les émissions de scope 3 diminuent de plus de 9 % par rapport à l’année de référence et de 36 % en GEVA.

3.2.2ESRS E3 – Ressources aquatiques et marines

3.2.2.1IRO-1 – Description des procédures d’identification et d’évaluation des IRO

En matière d’eau, les IRO matériels retenus sont :

 

L’eau est un élément central de l’activité d’OVHcloud. La technologie développée par le Groupe, le watercooling, permet de réduire ses impacts environnementaux grâce à son système de refroidissement par eau.

• Les principaux processus d’OVHcloud ayant des impacts sur l’eau douce sont :
  • les prélèvements d’eau pour toutes les activités ;
  • la consommation pour le refroidissement des salles de serveurs (watercooling), en particulier lorsque les températures extérieures sont élevées (> 27 °C), OVHcloud ayant recours au refroidissement évaporatif, consistant à humidifier l’air pour améliorer l’efficacité de l’échange de chaleur.

Les eaux stockées et recyclées n’ont pas été identifiées comme matérielles. L’eau stockée chez OVHcloud correspond aux cuves de sprinklage (système d’extinction automatique) qui ne sont pas matérielles, ainsi que les circuits de refroidissement qui ne représentent pas une eau stockée (cf. section 3.2.2.4 « E3-4 – Métriques liées à l’eau »).

Lors de l’analyse de double matérialité, OVHcloud a étudié les impacts et/ou risques de son utilisation de l’eau, notamment dans ses salles de serveurs et sur la chaîne de valeur amont fournissant son processus de production.

• Trois IRO ont été identifiés comme matériels :
  • deux impacts négatifs liés à l’appropriation en eau sur les opérations propres du Groupe et sur la chaîne de valeur amont (risque physique) ;
  • un risque lié au renforcement des réglementations (risque de transition) pouvant entraîner des mesures restrictives sur les prélèvements en eau.

Le Groupe est donc dépendant de la disponibilité de la ressource en eau douce et des services écosystémiques associés.

Dans la chaîne de valeur amont, l’impact sur la ressource en eau est principalement lié à l’extraction des matières premières et aux processus de transformation pour la fabrication de composants. La dépendance à l’eau est aussi importante dans la filière de production d’électricité.

3.2.2.2E3-1 – Politiques en matière de ressources aquatiques et marines

La politique RSE encadre l’utilisation de l’eau chez OVHcloud dans toutes les entités consolidées d’OVHcloud (cf. section 3.2.5 « Note méthodologique d’évaluation de l’empreinte environnementale »).

La politique RSE décrit les objectifs de réduction de la consommation d’eau dans les datacenters et installations, en utilisant et développant des systèmes de refroidissement efficaces qui limitent la consommation d’eau. Des études sont en cours pour quantifier l’utilisation de l’eau dans la chaîne de valeur.

Entités en zone de stress hydrique

Le Groupe identifie les sites soumis à un stress hydrique. Le risque lié au stress hydrique est évalué par la direction environnementale du Groupe. Cette analyse est réalisée à partir du référentiel Aqueduct Water Risk Atlas du WRI (World Resources Institute) qui fournit un cadre pour mesurer et cartographier les risques hydriques. Le Groupe retient les catégories 3 et 4 (correspondant aux zones en stress élevé et très élevé) pour définir ses entités en zone de stress hydrique.

D’après ce référentiel, le Groupe compte trois sites industriels localisés en zones de stress hydrique (Roubaix, Erith-Royaume-Uni, Vint Hill-États-Unis, Virginie). Ces sites sont encadrés par la politique RSE d’OVHcloud sur l’eau, visant à améliorer et optimiser l’utilisation des ressources en eau douce. La consommation d’eau associée à ces sites est présentée dans la section 3.2.2.4 « E3-4 – Métriques liées à l’eau ».

3.2.2.3E3-2/E3-3 – Actions et objectifs relatifs aux ressources aquatiques et marines

 

Innover en matière de watercooling

OVHcloud est un pionnier en matière d’optimisation de la consommation en eau des datacenters. En 2023, le Groupe a célébré 20 ans d’innovations dans ses datacenters grâce à la technologie propriétaire watercooling de refroidissement par eau des serveurs.

Durant l’exercice 2025, un développement particulier a porté sur l’augmentation de la différence de température (Delta T) entre les branches chaude et froide des boucles d’eau de refroidissement. L’intérêt d’opérer à des températures plus élevées est en effet multiple :

• une empreinte au sol moins élevée (en m2/kWh) pour le datacenter, grâce à une quantité inférieure de drycoolers ;
• une empreinte carbone globale plus faible ;
• un meilleur indicateur de performance énergétique (Partial PUE), PUE restreint au sous-système visé ;
• un WUE (Water Usage Effectiveness) amélioré ;
• un coût d’investissement et d’opération moindre.

La direction de la recherche et du développement travaille actuellement sur des systèmes intelligents et automatisés permettant l’atteinte de ces objectifs.

Déployer des systèmes plus efficients sur l’usage de l’eau

OVHcloud a procédé, en 2025, au déploiement de nouveaux systèmes de refroidissement dans son datacenter récent de Roubaix, RBX10. OVHcloud a également apporté des améliorations de ses systèmes existants à Beauharnois (BHS8) et à Roubaix (RBX8).

Ces améliorations ont consisté en une transition vers une technologie de refroidissement utilisant des médias humides avec bac de recyclage d’eau sur les aérothermes.

De plus, un ajustement des points de fonctionnement de tous les aérothermes des datacenters a été mis en place, afin de garantir des réglages optimisés des aérothermes.

Ces ajustements ont permis, sur l’exercice 2025, de diminuer le WUE du Groupe à 0,34 l/kWh (contre 0,37 l/kWh sur l’exercice 2024).

Le Groupe accélérera le déploiement de nouveaux systèmes de refroidissement plus performants de façon à diminuer le WUE au cours des exercices suivants.

Sur le site de Roubaix, des travaux de génie civil ont été menés, permettant la création de bassins de tamponnement. Ces bassins de tamponnement ont plusieurs vocations :

• permettre une séparation des réseaux (eaux usées et eaux pluviales) pour des raisons de conformité ;
• permettre un tamponnement des eaux pluviales afin d’éviter de surcharger la station d’épuration avale (en cas de pluie centennale pour éviter qu’elle ne sature) ;
• permettre d’isoler complètement les effluents du site (en cas de déversement accidentel, ou eau d’extinction incendie, par exemple), afin d’éviter qu’ils ne se retrouvent dans le milieu naturel.

Ces travaux se sont inscrits dans le plan hyper-résilience du Groupe.

Caractériser l’empreinte hydrique de la chaîne de valeur du Groupe

À compter de l’exercice 2026, OVHcloud mettra en œuvre des mesures de collecte d’information pour estimer l’empreinte hydrique des produits et services achetés, afin de mieux caractériser et arbitrer sa chaîne de valeur amont.

Améliorer la transparence environnementale

À la suite du développement et de la mise à disposition de l’Impact Tracker (cf. section 3.2.1 « ESRS E1 – Changement climatique »), l’impact environnemental étant multicritères, OVHcloud a souhaité étendre cette quantification à d’autres critères tels que l’eau ou les ressources abiotiques. En effet, les impacts sur le milieu aquatique sont jugés matériels dans l’analyse de double matérialité compte tenu de la technologie utilisée par le Groupe (watercooling).

La thématique étant complexe (la consommation d’eau en amont de la chaîne de valeur est difficilement quantifiable), OVHcloud a missionné une entreprise de conseil en réduction d’impact environnemental des services numériques pour l’assister méthodologiquement.

Des données fiables provenant de bases de données de référence, telles que RésilioDB, utilisée également dans le cadre du cas pilote PCR (Product Category Rule) cloud & datacenters mené par l’ADEME, ont été obtenues.

L’objectif pour OVHcloud est de quantifier la contribution à la rareté de l’eau générée par l’usage des services cloud, de permettre l’instauration de bonnes pratiques au sein de la chaîne d’approvisionnement par capillarité, et notamment les arbitrages basés sur la donnée.

La notion de « contribution à la rareté d’eau » (Water Scarcity) intègre des notions spatio-temporelles, fonction des zones et périodes de consommation.

L’extension de l’outil Impact Tracker à l’empreinte hydrique devrait être disponible en 2026.

3.2.2.4E3-4 – Métriques liées à l’eau

Ces métriques sont applicables aux datacenters opérés en propre à l’exception de BHS 1-7 sur le site de Beauharnois (cf. section 3.2.5 « Note méthodologique d’évaluation de l’empreinte environnementale »)

 

OVHcloud ne dispose pas de mesure pour l’eau qui retourne au bassin versant, par conséquent, OVHcloud considère que toute eau prélevée est consommée.  

OVHcloud ne stocke pas d’eau à l’exception de certains dispositifs de défense incendie (l’eau est alors stockée dans des cuves dont les volumes sont de l’ordre de 100 m3. Cette eau n’a vocation à être utilisée qu’en cas de défense contre un éventuel incendie).

OVHcloud dispose d’eau dans les circuits fermés de refroidissement, destinée à transporter la chaleur des serveurs à l’extérieur (l’eau circule dans le circuit fermé, dont les volumes n’excèdent pas 10 m3, cette eau n’est remplacée que lorsque les paramètres physico-chimiques sont dégradés).

Les quantités d’eau stockées sont non significatives. Les prélèvements d’eau, qu’elle soit « stockée » ou non, sont comptabilisés dans l’indicateur prélèvement d’eau total.

3.2.3ESRS E5 – Utilisation des ressources et économie circulaire

3.2.3.1IRO-1 – Procédures d’identification des IRO matériels

Le Groupe est exposé à plusieurs risques significatifs liés à l’utilisation de composants dans sa chaîne de production issus de l’exploitation de matières premières non renouvelables (telles que les métaux, terres et minéraux rares). La raréfaction progressive de ces ressources, accentuée par une demande mondiale croissante, entraîne des tensions sur les marchés, pouvant provoquer des pénuries, des interruptions de production ou une augmentation des mesures de protection de ces dernières.

• Dans ce contexte, OVHcloud a identifié :
  • un impact négatif concernant l’utilisation de matières premières contribuant à l’épuisement des ressources ;
  • deux risques liés à la raréfaction des ressources provoquant de potentielles perturbations d’activité dans les opérations propres ou dans la chaîne de valeur ;
  • une opportunité liée à la réutilisation des matériaux et composants.

Ces IRO matériels sont présentés ci-dessous :

3.2.3.2E5-1 – Politiques en matière d’utilisation des ressources et d’économie circulaire

 

Ces engagements d’utilisation des ressources d’OVHcloud se retrouvent dans la politique RSE. 

Sur la thématique de l’utilisation des ressources, la politique rappelle comment le Groupe adopte une stratégie d’économie circulaire intégrée, visant à réduire son empreinte environnementale en prolongeant la durée de vie de ses équipements. Le Groupe bénéficie de la maîtrise de sa chaîne de production et formalise la démarche de réutilisation des composants dans ce document. 

Par ailleurs, cette logique de circularité s’applique à la réutilisation des composants ainsi qu’à la réhabilitation de bâtiments. OVHcloud installe historiquement ses datacenters dans d’anciennes friches industrielles que le Groupe restaure et réhabilite.

Enfin, le Groupe s’engage sur des sujets de ressources sortantes démontrant son engagement vers un traitement vertueux des ressources dans une optique de circularité.

3.2.3.3E5-2/E5-3 – Actions et objectifs relatifs à l’utilisation des ressources et à l’économie circulaire

L’ensemble des actions et des cibles mises en œuvre par OVHcloud sont synthétisées dans le tableau ci-dessous :

 

Avoir une approche circulaire pour les bâtiments

Première couche physique et matérielle du Groupe et des services immatériels fournis par OVHcloud, les bâtiments, et notamment industriels (production de serveurs informatiques et datacenters) font majoritairement l’objet d’une approche circulaire.

Le tableau ci-dessous liste les datacenters détenus en propre par OVHcloud ainsi que leurs origines :

 

Roubaix, France : premier site chronologique d’OVHcloud, cet ancien site industriel textile, chimique et métallurgique a été transformé en campus de datacenters. Il accueille également le siège social d’OVHcloud.

Beauharnois, Canada : ancienne usine d’aluminium de Rio Tinto, ce site assemble tous les serveurs pour l’Amérique du Nord. Alimenté en énergie verte par la centrale Hydro-Québec voisine, il peut produire jusqu’à 1 000 serveurs par semaine, incluant le système de watercooling sur mesure d’OVHcloud.

Gravelines, France : ancien site de production de canettes pour Rexam, il a été transformé en 2013 en l’un des plus grands datacenters d’OVHcloud, hébergeant notamment une zone SecNumCloud hautement sécurisée.

Limburg an der Lahn, Allemagne : à proximité de Francfort, ce site était autrefois une imprimerie. Ouvert en 2016, il est devenu le 21e datacenter d’OVHcloud et a depuis été agrandi.

Erith, Royaume-Uni : ce site, ouvert par OVHcloud en 2016, était à l’origine un centre de commutation de Mercury Communications ensuite racheté par One2One/T-Mobile.

Ożarów Mazowiecki, Pologne : situé près de Varsovie, cet ancien entrepôt logistique est devenu en 2016 le premier datacenter d’OVHcloud hors zone francophone.

Vint Hill, États-Unis : ce site, au passé militaire marqué, abritait dès 1942 une installation de la NSA (Agence nationale de la sécurité aux États-Unis). Il héberge aujourd’hui un datacenter OVHcloud.

Hillsboro, États-Unis : inauguré en 2017, ce bâtiment a longtemps servi d’usine de pianos électroniques avant d’être reconverti en datacenter.

Croix, France : ancienne usine de produits d’hygiène, cette installation européenne accueille une main-d’œuvre qualifiée qui assemble des serveurs, avec l’aide de machines laser pour découper et plier automatiquement les pièces. OVHcloud y a bâti un petit datacenter pour bandes magnétiques.

Milan, Italie : en 2025, OVHcloud a annoncé l’ouverture d’un nouveau datacenter à proximité de Milan. À l’instar des bâtiments précédemment cités, le bâtiment a eu un passé actif dans le secteur des télécommunications.

OVHcloud prépare également la rénovation de ses propres bâtiments, le site RBX1, premier datacenter du campus de Roubaix sera, dans les années à venir, modernisé de façon à accueillir les meilleures technologies disponibles.

Objectif lié à l’approche circulaire

La cible retenue par OVHcloud pour le suivi de l’utilisation des ressources est le taux de réutilisation des bâtiments, ou taux brownfield. Ce taux est défini par la quantité de bâtiments non neufs divisée par la quantité de bâtiments totaux parmi les datacenters d’OVHcloud exploités en propre.

OVHcloud cible un taux de 90 % des bâtiments réutilisés, parmi ses datacenters exploités en propre, la construction de nouveaux bâtiments ne devant être qu’une exception, et démontrant ainsi une capacité d’adaptation et d’agilité dans le déploiement de datacenters. Ce taux est de 87 % en 2025 (27 bâtiments non neufs sur un total de 31 bâtiments).

Intégration verticale, approche circulaire et résiliente pour la production de serveurs informatiques

OVHcloud est un fournisseur mondial d’infrastructures numériques, qui opère ses datacenters et conçoit et assemble ses propres serveurs. Ce modèle verticalement intégré permet au Groupe d’optimiser son processus industriel en y intégrant des innovations dites at-scale (renforçant les capacités existantes) depuis plus de 20 ans, comme la technologie propriétaire watercooling de refroidissement par eau dans ses datacenters, ou encore en appliquant les principes de circularité et de frugalité des ressources. Il permet ainsi de mieux gérer l’impact environnemental à chaque niveau de la chaîne de valeur. OVHcloud a la volonté de continuer à innover et de faire évoluer son modèle industriel au profit de la durabilité.

Les chocs, tels que la pandémie de COVID-19 ou le conflit russo-ukrainien, ont mis en évidence les vulnérabilités des chaînes d’approvisionnement et les dépendances en matière d’accès aux ressources. Face à ces externalités, le modèle industriel intégré d’OVHcloud a confirmé être un atout. Il permet un contrôle optimal de sa chaîne d’approvisionnement, et renforce ainsi son autonomie et sa capacité de résilience, tout en offrant des garanties incomparables à ses clients en termes de continuité de service. Le Groupe est en mesure de choisir et vérifier l’ensemble de ses composants, et donc d’en garantir la qualité jusqu’aux plus petits d’entre eux, tout en réalisant des économies d’échelle et le recyclage interne.

La démarche circulaire d’OVHcloud s’incarne pleinement dans son modèle industriel intégré, par lequel le Groupe opère ses propres datacenters et fabrique ses serveurs, une approche unique sur le marché. Depuis ses débuts, OVHcloud s’engage à réduire son impact environnemental à chaque étape du cycle de vie des serveurs, notamment par la conception et la construction de ses datacenters et serveurs, le recyclage des composants et l’allongement de la durée de vie de son matériel.

Dans cette optique d’optimisation de la gestion du cycle de vie de ses serveurs, OVHcloud a mis en place depuis 2009 une chaîne d’approvisionnement inversée (reverse supply-chain) permettant d’optimiser la durée de vie des serveurs.

• Conception : OVHcloud conçoit et fabrique ses propres serveurs sur ses deux sites de Croix (France) et Beauharnois (Canada). Ceux-ci sont pensés pour être entièrement démontables. Ils sont dotés de composants dédiés, choisis pour être facilement réutilisés.
• Réutilisation : le Groupe parvient à prolonger la durée de vie de ses infrastructures et de ses serveurs et composants en les réutilisant. 100 % des serveurs sont ainsi désassemblés après utilisation et leurs composants sont rigoureusement testés pour leur donner une seconde vie, en circuit ou par recyclage et valorisation externes. L’utilisation de composants remis à neuf dans les serveurs du Groupe permet de prolonger leur durée de vie à près de cinq ans en moyenne (et pouvant aller jusqu’à neuf ans), évitant ainsi une partie des émissions de carbone liées à leur fabrication. En 2025, le taux de réutilisation des composants est de 17 %, contre 27 % en 2024. Ce taux, relativement bas, est principalement dû aux lancements de nouvelles gammes durant l’exercice 2025, nécessitant davantage de composants nouveaux. 

L’approche industrielle circulaire confère une agilité dans le design des serveurs et offre des possibilités de s’ajuster aux éventuelles situations de tension d’approvisionnement, en adaptant les nomenclatures produites selon la disponibilité des composants chez les fournisseurs et en interne grâce à la réutilisation de composants remis à neuf.

La démarche circulaire adoptée par le Groupe se reflète également dans sa volonté de prolonger la durée de vie du matériel informatique. À ce titre, OVHcloud a créé dès 2007, des gammes de machines à prix réduit, garantissant une nouvelle vie commerciale aux serveurs. En 2025, les gammes éco (Kimsufi, SoYouStart, Rise) représentent plus de 100 000 serveurs livrés auprès des clients du Groupe, soit environ un quart du parc des serveurs installés.

Objectif lié à l’utilisation des ressources

La cible suivie par OVHcloud pour l’utilisation des ressources porte sur le taux de réutilisation des composants informatiques.

Il est défini par la quantité de composants informatiques de seconde vie pour la production annuelle de serveurs informatiques divisée par la quantité de composants informatiques totale pour la production annuelle de serveurs informatiques.

La volonté d’OVHcloud est de maintenir ce taux à 25 % ou plus. Ceci peut néanmoins varier en fonction des besoins en composants de l’entreprise. 

Gérer les extrants et déchets

En 2024, le Groupe a déployé l’inventaire de ses déchets, afin de classifier avec précision les déchets et optimiser leur traitement : la quantité de déchets produits a représenté une masse de 846 tonnes métriques en 2024, dont 12 % ont été acheminés en décharge. En 2025, le Groupe a généré 701 tonnes de déchets, dont 10 % ont été acheminés en décharge.

OVHcloud vise le zéro déchet en décharge depuis ses sites industriels en opération propre.

Afin de diminuer significativement cette part, OVHcloud agit sur plusieurs axes :

• alignement de l’ensemble des sites du Groupe sur les meilleures pratiques en matière de tri, notamment par la mise en place d’options de tri sur tous les sites ;
• pilotage ou changement des prestataires afin d’améliorer le traitement des déchets ;
• partenariat avec des entreprises spécialisées dans le recyclage des déchets électroniques (TN Industrie en France, Quantum Recycling au Canada), en vue de revaloriser les cartes électroniques non réparables et non réutilisables, et permettre la récupération de métaux précieux et stratégiques ;
• recherche continue de partenariat avec des entreprises de revalorisation.

Parmi les extrants, une attention accrue est portée sur les composants informatiques :

• les composants en bon état sont valorisés sur le marché secondaire, à des fins de réutilisation. À ce titre, ils ne sont pas considérés comme des déchets ;
• les composants non réparables ou réutilisables sont cédés à des fins de réemploi des matériaux, à ce titre, ils sont considérés comme des déchets.

Le poids des composants valorisés sur le marché secondaire (pour de la réutilisation) est estimé à 27 tonnes pour l’exercice 2025.

Le poids des composants cédés à des fins de recyclage (pour de la revalorisation de matière) est de 21 tonnes pour l’exercice 2025.

Améliorer la transparence environnementale

À la suite du développement et de la mise à disposition de l’Impact Tracker (cf. section 3.2.1 « ESRS E1 – Changement climatique »), OVHcloud a souhaité étendre cette quantification à d’autres critères environnementaux, dont les ressources minérales.

La thématique étant complexe et profonde (l’utilisation des minéraux en amont de la chaîne de valeur est difficilement quantifiable), OVHcloud a missionné une entreprise de conseil pour l’assister méthodologiquement.

Des données fiables provenant de bases de données de référence, telles que RésilioDB, utilisée également dans le cadre du cas pilote PCR cloud & datacenters mené par l’ADEME, ont été obtenues.

L’objectif pour OVHcloud est de quantifier l’extraction et l’utilisation des ressources minérales par l’usage des services cloud, de permettre l’instauration de bonnes pratiques au sein de la chaîne d’approvisionnement par capillarité, et notamment les arbitrages basés sur la donnée.

La notion d’extraction et l’utilisation des ressources minérales est comptabilisée en kgSbeq (kilogrammes équivalent antimoine : indicateur évaluant la quantité de ressources minérales et métalliques retirées de la nature comme s’il s’agissait de la matière l’antimoine).

L’extension de l’outil Impact Tracker aux ressources minérales devrait être disponible pour les clients du Groupe en 2026.

3.2.3.4E5-4 – Métriques liées aux ressources entrantes

Description des flux de ressources entrants

OVHcloud est un fournisseur de services numériques et ne commercialise pas de produit matériel sur le marché.

De même, OVHcloud ne transforme pas de matière première mais assemble des produits semi-finis, il est donc complexe d’exprimer les ressources entrantes sous forme de matières premières quantifiées.

Pour les ressources, en 2025, OVHcloud s’est donc concentré sur les composants informatiques, cœur de l’activité industrielle.

• Le flux de ressources est schématisé comme suit :

• Les ressources considérées dans le schéma sont les composants informatiques principaux :

• CPU (processeur) ;
• RAM (mémoire vive) ;
• Cartes électroniques ;
• HDD (disques durs mécaniques) ;
• SSD (disques durs) ;
• PSU (alimentation).

 

3.2.4Taxonomie européenne

Classification des activités selon le cadre réglementaire européen permettant de définir des activités économiques durables sur le plan environnemental (taxonomie verte)

Contexte général

Le règlement taxonomie constitue un élément clé du plan d’action de la Commission européenne qui vise à réorienter les flux de capitaux vers une économie plus durable. En effet, il représente une étape importante vers l’atteinte de la neutralité carbone d’ici 2050, conformément aux objectifs de l’UE, car la taxonomie est un système de classification des activités économiques durables sur le plan environnemental.

Dans la section ci-après, il est présenté, en tant que société mère non financière, la part du chiffres d’affaires, des dépenses d’investissement (capex) et des charges d’exploitation (opex) du Groupe, pour l’exercice clôturant au 31 août 2025, associée à des activités économiques éligibles à la taxonomie, conformément à l’article 8 du règlement taxonomie et à l’article 10 (2) de l’Acte délégué complétant l’article 8 du règlement taxonomie.

Au titre de l’exercice 2025, OVHcloud est tenu de publier l’alignement du Groupe au titre des six objectifs environnementaux relevant des objectifs d’atténuation du changement climatique (« CCM »), d’adaptation au changement climatique (« CCA »), à l’utilisation durable et à la protection des ressources aquatiques et marines (« WTR »), de transition vers une économie circulaire (« CE »), à la prévention et à la réduction de la pollution (« PPC ») et à la protection et restauration de la biodiversité et des écosystèmes (« BIO »).

OVHcloud a analysé les critères techniques des activités présentées ci-dessous selon le règlement UE 2021/2139 modifié par les règlements UE 2023/2485 et (UE) 2023/2486 dédié aux quatre objectifs environnementaux. Le Groupe a tenu compte des différentes interprétations et foires aux questions (FAQ) publiées par la Commission européenne, notamment celles du 19 décembre 2022 et du 28 novembre 2024.

Synthèse des indicateurs de la taxonomie européenne

Sur la base des analyses menées, une part importante des activités du Groupe est éligible à la taxonomie au titre de l’activité 8.1. « Traitement de données, hébergement et activités connexes » décrite dans l’Annexe I de l’Acte délégué relative à l’objectif d’atténuation du changement climatique (« CCM ») ainsi qu’au titre de l’activité CE 5.5. «Produits en tant que services et autres modèles de services circulaires axés sur l’utilisation et les résultats contribuant à l’objectif de transition vers une économie circulaire ».

Les parts éligibles et alignées au titre de l’activité CCM 8.1 « Traitement de données, hébergement et activités connexes » pour les trois indicateurs financiers requis par le texte ‒ le chiffre d’affaires, les capex et les opex ‒ sont présentées ci-dessous sur la base des données consolidées IFRS de l’exercice clos le 31 août 2025.

 

Tableau 1 – Part des activités économiques éligibles et alignées à la taxonomie dans le chiffre d’affaires, les capex et les opex du Groupe – Activité CCM 8.1

 

 

La part de chiffre d’affaires éligible au titre des activités de datacenters (CCM 8.1) du Groupe augmente d’un point par rapport à l’exercice précédent au même titre que celles des capex et opex augmentant respectivement de 4 et 3 points.

L’alignement du chiffre d’affaires, des capex et des opex, augmentent respectivement de 1, 4 et 3 points. Les datacenters alignés pour l’exercice 2025 restent les mêmes que ceux de l’exercice précédent.

Concernant l’activité CE 5.5 «Produits en tant que services et autres modèles de services circulaires axés sur l’utilisation et les résultats », l’éligibilité est identique à celle de l’activité CCM 8.1, les deux activités utilisant les mêmes serveurs

Aucun alignement n’a été validé pour cet exercice notamment en raison de la complexité des critères de validation du DNSH 5 sur la pollution. 

 

Détermination des activités économiques d’OVHcloud éligibles à la taxonomie européenne

Par « activité économique éligible à la taxonomie », il est entendu toute activité économique décrite dans les actes délégués complétant le règlement taxonomie, qu’elle remplisse ou non une partie ou l’ensemble des critères d’examen technique énoncés dans ces actes délégués.

Afin de réaliser l’analyse, le Groupe a pris en considération l’ensemble des actes délégués décrivant les activités taxonomie, à savoir :

• l’acte délégué « Climat » (UE 2021/2039) publié en avril 2021 précisant les critères techniques environnementaux pour les deux premiers objectifs climatiques ; et
• l’acte délégué « Environnement » (UE 2023/2486) publié en juin 2023 explicitant les activités économiques portant sur les quatre autres objectifs environnementaux.

Les activités économiques éligibles du Groupe ont été analysées sur la base des offres de services d’OVHcloud (telles que détaillées en chapitre 1 du présent document d’enregistrement universel) et elles ont été assignées aux activités économiques suivantes, conformément aux six objectifs environnementaux de la taxonomie.

À l’instar des exercices précédents, une part importante des activités du Groupe est considérée comme éligible à l’activité 8.1 « Traitement de données, hébergement et activités connexes » de l’objectif d’atténuation du changement climatique. En effet, les offres basées principalement sur des services de mise à disposition de capacité de stockage (« hébergement ») répondent à la description de cette activité. Les offres ainsi considérées comme éligibles sont les suivantes :

• les offres de cloud privé (Bare Metal Cloud et Hosted Private Cloud) dans leur intégralité, celles-ci correspondant à des offres de mise à disposition soit de serveurs physiques dédiés, soit de capacités de cloud fonctionnant sur des serveurs physiques dédiés (se référer à la section 1.3.1.1 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le Groupe) ;
• les offres de cloud public dans leur intégralité (se référer à la section 1.3.1.2 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le Groupe). Les solutions PaaS et SaaS proposées par OVHcloud et directement hébergées sur les infrastructures du Groupe sont jugées éligibles dans la mesure où OVHcloud a le contrôle sur les équipements physiques et peut agir sur leur efficacité énergétique ;
• les offres de « Web cloud et autres » uniquement pour la partie « Web hosting » et « Services », correspondant à l’hébergement des sites web clients sur les serveurs physiques du Groupe et à l’assistance nécessaire au bon fonctionnement des équipements et au respect des engagements du Groupe dans le cadre de l’ensemble de ses offres (se référer à la section 1.3.1.3 du présent document d’enregistrement universel pour plus de détails sur les solutions proposées par le Groupe). Les offres ou solutions relatives aux noms de domaine, à la téléphonie et connectivité ne sont pas jugées éligibles à date car non directement liées aux serveurs physiques.

De manière générale, toutes les solutions proposées par OVHcloud directement hébergées sur des serveurs physiques appartenant au Groupe ou étant contrôlés directement par le Groupe, ont été jugées éligibles à la taxonomie européenne au titre de l’activité 8.1 de l’objectif d’atténuation du changement climatique.

Sous l’angle de l’objectif d’adaptation au changement climatique (« CCA »), l’activité CCA 8.1 « Traitement de données, hébergement et activités connexes » n’est pas qualifiée d’activité habilitante par l’Annexe II de l’acte délégué Climat. Pour cette raison, OVHcloud ne peut considérer le chiffre d’affaires relatif à cette activité comme éligible en raison de la FAQ Éligibilité du 2 février 2022.

Sous l’angle de l’objectif de transition vers une économie circulaire, le Groupe est éligible à l’activité CE 5.5 « Produits en tant que services et autres modèles de services circulaires axés sur l’utilisation et les résultats ». Cette activité consiste à fournir à des clients un accès aux produits au moyen de modèles de services. OVHcloud met à disposition de ses clients un accès à des serveurs informatiques, que ces derniers peuvent utiliser. Les offres éligibles à l’activité CCM 8.1 sont donc aussi éligibles à cette activité CE 5.5.

OVHcloud conçoit et fabrique ses propres serveurs sur ses deux sites de Croix (France) et Beauharnois (Canada) pour son utilisation propre, tel que décrit dans la section 3.2.3 de ce document d’enregistrement universel. Le Groupe a donc considéré l’activité CE 1.2 « Fabrication d’équipements électriques et électroniques » dans l’analyse d’éligibilité. Cependant, s’agissant de la fabrication des serveurs que le Groupe utilise uniquement pour ses offres, les capex relatifs à l’activité de fabrication sont pris en compte et éligibles au titre de l’activité CE 5.5 « Produits en tant que services et autres modèles de services circulaires axés sur l’utilisation et les résultats ».

Enfin, OVHcloud n’a identifié aucune activité éligible liée aux objectifs d’utilisation durable de l’eau et des ressources marines, de prévention et réduction de la pollution ou à la prévention et restauration de la biodiversité des écosystèmes.

 

Le tableau ci-dessous résume pour quel objectif environnemental les activités sont considérées comme éligibles :

Détermination des activités économiques d’OVHcloud alignées à la taxonomie européenne

À la différence de l’éligibilité uniquement basée sur la description des activités, l’alignement prend en compte les critères de contribution substantielle, le fait de « ne pas causer de préjudice important » et les garanties minimales. Pour l’exercice clôturé au 31 août 2025, l’analyse d’alignement porte sur les six objectifs environnementaux en application du règlement taxonomie.

Concernant l’activité 8.1 « Traitement de données, hébergement et activités connexes », le Groupe a analysé son alignement au regard de l’objectif 1 ‒ Atténuation du changement climatique (« CCM ») et de l’objectif 2 – Adaptation au changement climatique (« CCA »).

 

Critères de contribution substantielle

Le Groupe a réalisé l’analyse suivante des trois critères cumulatifs de contribution substantielle pour l’activité 8.1 « Traitement de données, hébergement et activités connexes » au titre de l’objectif d’atténuation :

 

Ne pas causer de préjudices importants (« DNSH »)

Afin de valider l’alignement de ses datacenters à l’activité 8.1 de l’objectif d’atténuation du changement climatique, OVHcloud s’est ensuite assuré du respect des critères de DNSH pour l’ensemble de ses datacenters respectant les critères de contribution substantielle (cf. détails supra) :

 

Les critères d’alignement liés à l’activité CCA 8.1 sont similiares à ceux de l’activité CCM 8.1 ; de ce fait lorsque les datacenters du Groupe sont alignés au titre de l’atténuation du changement climatique, ils le sont aussi au titre de l’adaptation au changement climatique. 

Concernant l’activité CE 5.5 « Produits en tant que services et autres modèles de services circulaires axés sur l’utilisation et les résultats », le Groupe a analysé son alignement au regard de l’objectif de transition vers une économie circulaire.

 

Critères de contribution substantielle

Le Groupe a réalisé l’analyse des critères de contribution substantielle suivante :

 

Ne pas causer de préjudices importants (« DNSH »)

Afin de valider l’alignement de ses datacenters au titre de l’activité CE 5.5, OVHcloud s’est aussi assuré du respect des critères de DNSH pour l’ensemble de ses datacenters respectant les critères de contribution substantielle (cf. détails supra) :

Garanties minimales applicables à toutes les activités éligibles à la taxonomie du Groupe

OVHcloud s’est finalement assuré du respect des garanties minimales. Le Groupe dispose d’un ensemble de politiques et de processus en place permettant de garantir les exigences du règlement taxonomie concernant les sujets de :

• droits humains et droit du travail (cf. 3.3.1 « Droits humains », 3.3.2 « S1 – Effectifs du Groupe » et 3.4.2 « ESRS G1-1 – Culture d’entreprise et politiques en matière de conduite des affaires ») ;
• concurrence (cf. 3.4.2 « ESRS G1-1 – Culture d’entreprise et politiques en matière de conduite des affaires ») ;
• corruption (cf. 3.4.3 « ESRS G1-3 – Prévention et détection de la corruption et des pots-de-vin ») ;
• fiscalité (cf. 2.1.2.4 « Risques financiers »);

Le Groupe a mis en place des procédures d’identification, d’analyse, de suivi, d’évaluation et d’évolution sur l’ensemble des piliers.

Le Groupe demande à ses fournisseurs de signer le Code de conduite fournisseurs qui stipule, entre autres, l’exigence du respect des droits de l’homme et notamment les principes énoncés dans la Déclaration universelle des droits de l’homme. Le Groupe poursuit l’analyse des droits humains sur l’ensemble de sa chaîne de valeur.

OVHcloud se conforme aux dispositions légales de la loi Sapin II du 9 décembre 2016.

Enfin, le Groupe n’a fait l’objet d’aucune condamnation matérielle en rapport avec les différentes dimensions des garanties minimales.

Méthodologie d’évaluation des indicateurs de la taxonomie européenne

Le périmètre considéré pour l’estimation des trois indicateurs est le périmètre consolidé Groupe, tel que défini à la note 5.5 des états financiers consolidés 2025, présenté au chapitre 5 du présent document d’enregistrement universel.

Chiffre d’affaires éligible et aligné

La part d’activités économiques éligibles à la taxonomie dans le chiffre d’affaires consolidé d’OVHcloud a été obtenue en divisant la part du chiffre d’affaires générée par la vente de services associés à des activités économiques éligibles à la taxonomie (numérateur) par le chiffre d’affaires net (dénominateur), dans chaque cas pour l’exercice s’étendant du 1er septembre 2024 au 31 août 2025.

Dénominateur

Le dénominateur de l’indicateur chiffre d’affaires est basé sur le chiffre d’affaires consolidé d’OVHcloud, conformément à IAS 1.82 (a) (se référer à la note 4.3 des états financiers consolidés annuels 2025 présentés au chapitre 5 du présent document d’enregistrement universel).

Numérateur

Le numérateur de l’indicateur est défini comme la part du chiffre d’affaires net générée par des services associés aux activités économiques éligibles à la taxonomie, telles que décrites ci-dessus dans la partie Détermination des activités économiques d’OVHcloud éligibles à la taxonomie de la présente section. Cette part a été estimée sur la base des reportings de gestion d’OVHcloud intégrant le niveau de détail nécessaire en lecture directe.

Le chiffre d’affaires aligné correspond au chiffre d’affaires généré par :

• l’activité CCM 8.1 : les datacenters ayant été audités par le tiers indépendant et ayant été certifiés conformes au respect du Code de conduite. Sur la base du chiffre d’affaires de ces datacenters, le Groupe a appliqué la clé de répartition telle que décrite dans le paragraphe précédent « Critères de contribution substantielle » afin de ne conserver que le chiffre d’affaires relatif à la part des serveurs refroidis par eau ;

Au 31 août 2025, la part du chiffre d’affaires éligible et aligné s’élève respectivement à 90 % et 67 % tel que présenté dans le tableau ci-dessous :

 

 

Pour les activités identifiées sous l’angle de plusieurs objectifs environnementaux au titre de la taxonomie, la répartition est la suivante :

 

Dépenses d’investissements (capex) éligibles

L’indicateur relatif aux capex est calculé en divisant les capex éligibles à la taxonomie (numérateur) par le total des capex (dénominateur).

Dénominateur

Le total des capex (dénominateur) comprend les acquisitions d’immobilisations corporelles et incorporelles réalisées au cours de l’exercice, avant amortissement et avant toute remesure, y compris les remesures résultant de réévaluations et de dépréciations, à l’exclusion des variations de la juste valeur. Il comprend les acquisitions d’immobilisations corporelles (IAS 16), d’immobilisations incorporelles (IAS 38), d’actifs au titre du droit d’utilisation (IFRS 16), ainsi que les entrées résultant de regroupements d’entreprises (se référer aux notes 4.10, 4.11 et 4.23 des états financiers consolidés annuels 2025 présentés au chapitre 5 du présent document d’enregistrement universel).

Le tableau ci-dessous présente la réconciliation aux états financiers consolidés du Groupe du total des capex de la taxonomie :

 

Numérateur

Le numérateur est uniquement constitué des capex liés à des actifs ou processus essentiels à l’exécution des activités économiques éligibles à la taxonomie (« catégorie a »), ceux-ci représentant la quasi-totalité des capex de l’exercice.

Les capex n’étant pas suivis actuellement par offre de services dans les reportings du Groupe, une analyse détaillée par type d’actif a été menée et a conduit à considérer les capex suivants comme essentiels à l’exécution des activités économiques éligibles :

• l’alignement de tous les capex relatifs à des infrastructures (hardware) et à leur fonctionnement (fibre, réseau, adresses IP, composants, maintenance) a été déterminé à l’aide d’une clé d’allocation basée sur le nombre de serveurs exploités au sein d’une activité économique éligible sur le nombre total de serveurs exploités par le Groupe ;
• la part éligible des frais de R&D capitalisés a été estimée à la maille de chaque projet, afin d’obtenir une granularité d’informations plus pertinente :
  • 100 % des frais de R&D capitalisés relatifs à des projets d’amélioration de l’efficience des infrastructures (équipements ou logiciels) ont été considérés comme éligibles, car relatifs à des activités économiques éligibles,
  • les frais de R&D capitalisés n’étant pas liés à des projets relatifs aux activités éligibles ont été considérés comme non éligibles ;
• la part éligible des droits d’utilisation IFRS 16 a été déterminée au niveau de chaque datacenter, à l’aide d’une d’allocation basée sur le nombre de serveurs exploités au sein d’une activité économique éligible sur le nombre de serveurs hébergés au sein du datacenter.

Afin de déterminer la part alignée de ces capex éligibles, le Groupe a eu recours à une clé d’allocation basée sur le pourcentage d’alignement de chaque datacenter, pondéré par le nombre de serveurs hébergés dans chaque datacenter. Cette clé d’allocation a uniquement été utilisée sur les capex éligibles relatifs à des infrastructures (hardware) et à leur fonctionnement (fibre, réseau, adresses IP, composants, maintenance).

Au 31 août 2025, la part des capex éligibles et alignés s’élèvent respectivement à 85 % et 54 % tel que présenté dans le tableau ci-dessous :

Pour les activités identifiées sous l’angle de plusieurs objectifs environnementaux au titre de la taxonomie, la répartition est la suivante :

Dépenses d’exploitation (opex) éligibles

L’indicateur relatif aux opex est calculé en divisant les opex éligibles à la taxonomie (numérateur) par le total des opex (dénominateur).

Dénominateur

Le total des opex telles que définies par la taxonomie correspond aux coûts non capitalisés relatifs à la recherche-développement, aux mesures de rénovation des bâtiments, aux contrats de location à court terme, à la maintenance et aux réparations, et à toute autre dépense directe liée à l’utilisation quotidienne des immobilisations corporelles.

Ainsi, le total opex telles que définies par la taxonomie représente environ 29 % du total des opex du Groupe, contre 31 % l’année précédente, s’élevant à 123,2 millions d’euros et correspondant à la somme des charges de personnel, charges opérationnelles, dotations et amortissements et autres charges opérationnelles non courantes (se référer aux notes 4.4, 4.5, 4.6 et 4.7 des états financiers consolidés annuels 2025 présentés au chapitre 5 du présent document d’enregistrement universel).

Numérateur

Les opex du Groupe sont suivies par segment mais ne sont pas suivies avec une granularité par offre de services, des clés d’allocation ont été utilisées afin d’identifier la part des activités économiques éligibles à la taxonomie dans les opex :

• les coûts de maintenance et réparation ainsi que les frais liés aux contrats de location ont été alloués sur le nombre de serveurs exploités au sein d’une activité économique éligible sur le nombre de serveurs hébergés au sein du datacenter ;
• la part des frais de R&D non capitalisés éligibles a été estimée à la maille de chaque projet, afin d’obtenir une granularité d’informations plus pertinente :
  • 100 % des frais de R&D non capitalisés relatifs à des projets d’amélioration de l’efficience des infrastructures (équipements ou logiciels) ont été considérés comme éligibles, car relatifs à des activités économiques éligibles,
  • les frais de R&D non capitalisés n’étant pas liés à des projets relatifs aux activités éligibles (projets relatifs aux fonctions support et projets relatifs aux activités téléphonie, connectivité, noms de domaine) ont été considérés comme non éligibles.

Afin de déterminer la part alignée de ces opex éligibles, le Groupe a eu recours à une clé d’allocation basée sur le pourcentage d’alignement de chaque datacenter, pondéré par le nombre de serveurs hébergés dans chaque datacenter. Cette clé d’allocation a uniquement été utilisée sur les opex éligibles.

Au 31 août 2025, la part des opex éligibles et alignées s’élèvent respectivement à 63 % et 45 % tel que présenté dans le tableau ci-dessous :

Pour les activités identifiées sous l’angle de plusieurs objectifs environnementaux au titre de la taxonomie, la répartition est la suivante :

 

Annexe – tableau des activités liées à l’énergie nucléaire et aux gaz fossiles

En application de la FAQ de décembre 2023, OVHcloud publie le modèle obligatoire des tableaux des activités liées à l’énergie nucléaire et aux gaz fossiles. Le Groupe n’ayant aucune activité dans ces secteurs, l’ensemble des lignes est précisé en « Non ».

3.2.5Note méthodologique d’évaluation de l’empreinte environnementale (énergétique, hydrique, ressource et GES)

Les principes clés et méthodologies relatifs aux indicateurs de suivi des consommations énergétiques, d’évaluation des émissions de GES sur les scopes 1, 2 et 3, d’eau et de génération de déchets sont exposés ci‑dessous.

3.2.5.1Principes généraux

OVHcloud a choisi d’évaluer ses émissions de GES sur les scopes 1, 2 et 3 selon les méthodologies élaborées par le GHG (Green House Gaz) Protocol.

Chaque année, lors de la préparation des évaluations, la direction RSE du Groupe identifie et analyse les éventuels écarts par rapport aux recommandations du GHG Protocol. Les évaluations du scope 3 couvrent l’ensemble des 15 catégories du GHG Protocol.

Tous les GES sont pris en considération dans le bilan carbone, dont l’unité de référence est le kgCO2e (ou tCO2e).

La note méthodologique spécifique au scope 3 synthétise les catégories évaluées, les méthodologies employées ou les raisons de leur non-évaluation.

Pour la comptabilité énergie, eau et déchets, OVHcloud utilise les textes de référence en vigueur.

 

 

Périodicité de reporting

La comptabilité carbone est réalisée de manière annuelle, la collecte des données étant établie au premier trimestre de l’année fiscale suivante pour l’essentiel des scopes.

La comptabilité énergétique des datacenters opérés par le Groupe fait l’objet d’une comptabilité mensuelle.

La comptabilité hydrique des datacenters opérés par le Groupe fait l’objet d’une comptabilité mensuelle.

La comptabilité déchets est réalisée de manière mensuelle.

Périmètre organisationnel et périmètre d’activité

OVHcloud a choisi d’évaluer ses émissions de GES, des scopes 1, 2 et 3, en suivant l’approche dite Operational Control du GHG Protocol.

L’ensemble des filiales consolidées décrites dans les états financiers du Groupe sont prises en compte dans les évaluations des scopes 1, 2 et 3.

Toutes les catégories du GHG Protocol sont comptabilisées.

Les engagements climatiques d’OVHcloud concernent également ce périmètre.

Méthodologie de reporting

Le reporting environnemental s’effectue au moyen d’un processus de collecte spécifique. Les valeurs relatives au quatrième trimestre peuvent faire l’objet d’estimations en cas de non‑disponibilité de la donnée dans les délais nécessaires à la publication.

Les valeurs présentées, notamment les consommations d’énergie, d’eau et les déchets, correspondent aux sites industriels sous contrôle opérationnel total.

Les changements de méthodologie, ainsi que les actualisations de données à la suite de la réception des chiffres définitifs ayant un impact significatif, font l’objet d’un calcul à base comparable.

Bases comparables

Au cours de l’exercice 2025, aucun retraitement des années précédentes n’a été réalisé.

3.2.5.2Note méthodologique de la consommation d’énergie et mix énergétique

En datacenters

En avant-propos, concernant les datacenters, il convient de noter que le Groupe opère :

• soit dans des datacenters détenus en propre dont les coûts sont entièrement centralisés et contrôlés par le Groupe ;
• soit dans des colocations (majoritairement dans les sites asiatiques de Mumbai et Singapour, ainsi qu’à Sydney, Toronto et les 3AZ en France) dont la consommation énergétique est à la main du bailleur ;
• soit dans des Local Zones, dont la consommation énergétique est à la main du bailleur.

La consommation d’énergie des datacenters opérés en propre est mesurée en utilisant les factures fournies par les sociétés d’approvisionnement d’énergies. Au quatrième trimestre, elles peuvent faire l’objet de mesures directes réalisées en interne en cas d’absence de facturations.

La consommation d’énergie des datacenters opérés en colocation est estimée en utilisant les consommations issues des rapports dédiés des datacenters de colocation multipliés par l’indicateur d’efficacité énergétique (PUE) desdits datacenters.

La consommation d’énergie des Local Zones fait l’objet d’estimation prenant en considération la puissance souscrite dans les sites de collocation extrapolée sur la durée et multipliée par l’indicateur d’efficacité énergétique (PUE) desdits sites de colocation.

Les datacenters opérés par OVHcloud disposent de sous-comptage pour l’infrastructure informatique. Ces sous-compteurs permettent le calcul du PUE selon la norme ISO 30134-2.

En règle générale, les sous-compteurs permettent un comptage de l’énergie selon le PUE catégorie 2. Les exceptions à cette règle sont les sites suivants, pour lesquels le comptage et le PUE sont exprimés en catégorie 1 :

• Roubaix 1 et Roubaix 2 ;
• Hillsboro ;
• Vint Hill.

Le sous-comptage pour l’infrastructure informatique est essentiel puisqu’il permet de quantifier le « travail » de l’infrastructure informatique.

Il est le dénominateur des indicateurs suivants tels que définis par la norme ISO 30134 :

• PUE ;
• WUE ;
• CUE.

Hors datacenters

La consommation d’énergie des sites d’assemblage de serveurs fait l’objet de mesures réalisées en interne.

La consommation d’énergie des bureaux fait l’objet d’une estimation.

Celle-ci est suivie dans le cadre du reporting mensuel et IFRS sur une ligne de coûts séparée, représentant les charges locatives non retraitées selon IFRS 16 (contrat de service séparé).

Il convient de noter la non-matérialité de la consommation d’énergie des bureaux. Pour l’exercice 2024, cette dernière représentait moins de 500 000 euros, soit moins de 1 % de la consommation totale d’électricité du Groupe.

Décomposition des consommations énergétiques par type de sources

Les ESRS requièrent une décomposition des consommations énergétiques par type de sources.

Les parts d’électricité d’origine renouvelable, nucléaire, fossile de chaque site sont issues des dernières données annuelles agrégées d’Electricitymaps (version du 3 avril 2025).

Ainsi, les indicateurs sont définis de la manière suivante :

• consommation totale d’énergie produite à partir de sources fossiles : elle inclut l’énergie produite sur site par les groupes électrogènes utilisés pour produire de l’électricité pour les datacenters et bureaux exploités en propre. Elle inclut également la part d’énergie fossile dans le mix électrique location-based pour l’électricité approvisionnée multipliée par l’électricité consommée sur chaque site à laquelle est retranchée l’énergie renouvelable acquise pour ledit site.
  • Taux d’énergie de source fossiles : rapport entre la consommation d’énergie produite à partir de sources fossiles et la consommation d’énergie totale ;
• consommation totale d’énergie produite à partir de sources nucléaires : elle inclut la part d’énergie nucléaire dans le mix électrique location-based pour l’électricité approvisionnée multipliée par l’électricité consommée sur chaque site à laquelle est retranchée l’énergie renouvelable acquise pour ledit site.
  • Taux d’énergie de source nucléaire : rapport entre la consommation d’énergie produite à partir de sources nucléaires et la consommation d’énergie totale ;
• consommation totale d’énergie produite à partir de sources renouvelables : MWh de scope 2 (électricité) de sources renouvelables propres à OVHcloud + la part d’énergie renouvelable dans le mix pays appliquée aux MWh d’électricité.
  • Taux d’énergie de source renouvelable : rapport entre la consommation d’énergie produite à partir de sources renouvelables et la consommation d’énergie totale ;
• consommation de combustibles provenant de sources renouvelables : elle inclut l’énergie produite sur site par les groupes électrogènes (combustion de Biofioul) ;
• consommation d’électricité, de chaleur, de vapeur et de froid achetés ou acquis à partir de sources renouvelables : comprend toutes les consommations d’électricité de sources renouvelables (issues de PPA, de fermes solaires, d’achats d’Energy Attribute Certificates de type GO, CER, REC, REGO (1)), sauf l’autoproduction ;
• consommation d’énergie renouvelable non combustible autoproduite : comprend l’autoproduction renouvelable des sites OVHcloud.

3.2.5.3Note méthodologique de l’évaluation des scope 1 et scope 2 des émissions de GES

Émissions induites de GES du scope 1

Les émissions de GES du scope 1 sont évaluées en multipliant les données d’activité (consommations énergétiques) par un facteur d’émission pour l’année considérée, issu de la base UK Government GHG Conversion Factors for Company Reporting. Ces facteurs d’émission sont susceptibles d’être mis à jour régulièrement. Les énergies considérées dans ce périmètre sont le fioul domestique, le gasoil et l’essence.

Les fuites de fluides frigorigènes (fluides utilisés pour la climatisation) ou d’extinction automatique incendie (fluides utilisés pour limiter les impacts d’un incendie dans les salles réseau stratégiques) sont incluses dans le scope 1 lorsqu’elles sont matérielles et mesurables. Elles sont annuellement mesurées dans tous les datacenters opérés par le Groupe, et estimées pour les locaux tertiaires.

Il convient de noter que seul le site de Roubaix est aujourd’hui concerné par les systèmes réglementés d’échange de quotas d’émission, du fait de la capacité de puissance de secours installée (grande installation de combustion > 50 MW thermique), pour les émissions induites par le procédé de combustion. Le site de Gravelines sera concerné par ces systèmes dans les années à venir.

OVHcloud dispose également d’une flotte de 68 véhicules dont les émissions sont estimées.

Émissions induites de GES du scope 2 (location-based) et émissions induites de GES du scope 2 (market-based) 

Les émissions de GES du scope 2 se composent des émissions de combustion liées aux consommations d’électricité.

Les émissions de GES associées aux consommations électriques du scope 2 sont évaluées, selon les recommandations des documents du GHG Protocol, avec la méthode dite market-based et la méthode dite location-based.

La méthode dite location-based prend en compte les facteurs d’émission moyens correspondant aux réseaux électriques, nationaux ou régionaux, dans lesquels les consommations d’électricité ont lieu.

La méthode dite market-based est la méthode la plus fréquemment mise en avant par les entreprises, car elle permet de mettre à zéro les émissions de GES du scope 2 correspondant à de l’électricité d’origine renouvelable.

OVHcloud évalue chaque année ses émissions de GES du scope 2 selon les deux méthodes.

• Méthode location-based :
• Les émissions de scope 2 évaluées selon la méthode location-based sont évaluées en prenant en considération les consommations d’électricité, hors électricité autoproduite, multipliées par les facteurs d’émission directs (hors émissions de cycle de vie et d’acheminement) de l’électricité locale. Les facteurs d’émission retenus sont collectés annuellement auprès d’electricitymaps ou, en cas d’absence, sur ember-energy.
• Méthode market-based :
• Les émissions de scope 2 évaluées selon la méthode market-based sont évaluées en prenant en considération les consommations d’électricité, hors électricité autoproduite, auxquelles sont retranchées les garanties d’origine renouvelables locales obtenues pour l’entité (site ou région) considérée. Les émissions de GES relatives aux consommations d’électricité renouvelable sont comptabilisées à zéro en scope 2.

Les émissions market-based résiduelles, non couvertes par des garanties d’origine renouvelables, sont comptabilisées selon la méthode location-based.

3.2.5.4Note méthodologique de l’évaluation du scope 3

Le Groupe réalise l’évaluation de l’ensemble des émissions de GES du scope 3 de Groupe, avec la participation des entités du Groupe.

L’évaluation du scope 3 repose autant que possible sur les données fournies par les fournisseurs. En leur absence, l’évaluation repose sur des données physiques d’activité, multipliées par des facteurs d’émission (FE) issus d’analyses de cycle de vie, de bases de données reconnues, et à défaut des données monétaires d’activités issues des bases de données Achats/immobilisations d’OVHcloud, multipliées par des facteurs d’émission monétaires de l’ADEME.

L’activité de fret, correspondant d’une part à l’acheminement des composants informatiques neufs, d’autre part à l’envoi d’infrastructures, de racks et serveurs informatiques depuis les usines vers les datacenters (supply-chain) ou au retour de ces matériels vers les centres de production (reverse supply-chain) sont tous inclus dans la catégorie fret amont.

Les évaluations réalisées s’appuient sur l’ensemble des 15 catégories du GHG Protocol, à l’exception des catégories 3.9, 3.10, 3.12, 3.14 à 3.16, pour lesquelles les estimations ont été considérées comme non significatives ou non applicables à l’activité du Groupe.

Les données d’activité sont, de préférence, des données physiques. Lorsqu’il n’a pas été possible d’obtenir des données physiques fiables, des données monétaires ont été utilisées.

Aucun facteur d’amortissement n’est appliqué, notamment sur les immobilisations. À ce titre, pour une construction nouvelle, toutes les émissions de construction sont répercutées lors de l’exercice durant lequel la construction est livrée. De même, les émissions liées aux actifs neufs pour la fabrication des serveurs sont répercutées à 100 % lors de l’année de leur achat.

Les différentes méthodes d’évaluation sont décrites dans le tableau suivant, présentées selon les catégories du GHG Protocol, principale référence internationale et cadre que le Groupe a choisi.

3.2.5.5Note méthodologique de comptabilité de ressources

Estimation des intrants

Les principaux intrants du Groupe sont les composants informatiques.

Il est d’usage de les comptabiliser en unités, et non en masse. Les données de masse ne sont généralement pas directement publiées dans les documents techniques des fournisseurs. À cet effet, un pesage représentatif a été réalisé pendant l’exercice 2025 de manière à estimer les masses de composants achetés durant l’année.

Les masses moyennes retenues sont les suivantes :

 

Estimation des extrants

La comptabilité déchets est établie localement sur chaque site dans un registre indépendant.

Le registre est rempli sur base des enlèvements de déchets effectivement réalisés et quantifiés en masse par les sociétés d’enlèvements de déchets.

Celle-ci est réalisée de manière mensuelle, et inclut a minima les informations suivantes :

• la date d’enlèvement ;
• le type de déchet (carton, papier, métal, plastique, bois, électronique, etc.) ;
• la nature du déchet (dangereux, non dangereux) ;
• l’opération de traitement (recyclage, valorisation énergétique, mise en décharge, incinération) telle que prévu par les contrats avec les sociétés de traitement de déchets ;
• la quantité de déchets enlevée exprimée en masse (tonnes).

En fonction des localisations, et des lois locales, les registres de certains sites peuvent être plus étoffés.

La comptabilité consolidée est réalisée sur la base des informations minimales lorsqu’elles sont disponibles.

Taux de réutilisation des composants

Le taux de réutilisation des composants représente la part des composants non neufs, reconditionnés, utilisés par le Groupe pour sa production de serveurs. L’indicateur porte sur les serveurs connectés sur l’année fiscale concernée (en utilisation, disponibles, à connecter, à réparer) et est calculé en divisant le nombre de composants reconditionnés présents dans les serveurs par le nombre total de composants. Il est exprimé en % : à titre illustratif, un taux de 20 % signifie que sur 100 composants utilisés pour la fabrication de serveurs, 20 sont des composants de seconde vie.

Les composants concernés sont les suivants : cartes mères, disques (HDD/SSD), mémoires, processeurs, alimentations.

Taux de réutilisation des bâtiments

Le taux de réutilisation des bâtiments (brownfield rate) représente la part des bâtiments ayant été bâtis avant qu’ils ne soient acquis par OVHcloud, à des fins de réhabilitation en datacenters.

Cet indicateur est borné aux datacenters exploités en propre, propriété d’OVHcloud.

Ce taux est défini par la quantité de bâtiments non-neufs divisée par la quantité de bâtiments totaux parmi les datacenters d’OVHcloud exploités en propre.

3.2.5.6Note méthodologique de comptabilité hydrique

Le WUE est l’indicateur de référence suivi pour l’efficacité de l’usage de l’eau. Il est défini par la norme ISO 30134-9.

Le calcul de l’indicateur WUE s’effectue en divisant les quantités annuelles d’eau consommées pour un site donné, par l’énergie IT (consommation d’énergie électrique des systèmes informatiques), telle que définie dans la partie 5, du même site, pour la même période annuelle.

La comptabilité hydrique est réalisée sur chaque site industriel opéré par OVHcloud par le biais de compteurs physiques ou électroniques.

Chaque site possède une ou plusieurs sources d’eau et donc au moins un compteur d’eau.

Ces compteurs d’eau sont lus périodiquement par les opérateurs in situ (lecture directe) ou ex situ (lecture par télérelève).

Les lectures directes sont rapportées en GMAO (gestion de la maintenance assistée par ordinateur) en cas de lecture directe.

Les télérelèves sont directement lisibles via le système de gestion des bâtiments des datacenters OVHcloud.

Les relèves sont mensuellement regroupées dans un fichier de comptabilité commun à celui de l’énergie.

Toutes les eaux sont incluses (potable, souterraine, etc.) pour chaque usage (refroidissement par évaporation, ainsi que sanitaire).

OVHcloud ne dispose pas de mesure pour l’eau qui retourne au bassin versant, par conséquent, OVHcloud considère que toute eau prélevée est « consommée ».

Pour cette raison, le WUE est calculé en catégorie 1.

La classification des sites en stress hydrique ou à risque hydrique est réalisée au travers de l’outil public « Water Risk Atlas – Aqueduct ».

Un site est considéré à risque s’il est classifié à « High 3 ou 4» ou plus dans les catégories « Overall Risk » et/ou « Water Stress ».