La controverse autour de la souveraineté dans le cloud s’est à nouveau intensifiée à Bruxelles. La fédération européenne des fournisseurs d’infrastructures cloud, CISPE, a publié une position très critique vis-à-vis du Cadre d’Excellence pour la Souveraineté du Cloud Européen établi par la Commission européenne. Leur argumentation est claire : un service cloud est either souverain or not ; il n’y a pas de demi-mesure, comme il n’y aurait pas de nourriture à moitié écologique. Selon eux, ce cadre introduit une notation de souveraineté qui mélange des critères inatteignables avec d’autres vagues, ouvrant ainsi la voie à des manipulations de chiffres sans garantir un contrôle réel, ce qui pourrait favoriser les grands hyperescaleurs étrangers et préserver le statu quo sous le label de “souveraineté”.
Que prévoit le nouveau cadre de la Commission
Le Cadre de Souveraineté du Cloud est avant tout un outil d’évaluation que la Commission lie à son processus d’achat public. Selon l’exécutif européen, ce cadre évalue la performance des fournisseurs selon huit objectifs de souveraineté (stratégiques, juridiques, opérationnels, environnementaux, transparence de la chaîne d’approvisionnement, ouverture technologique, sécurité et conformité réglementaire), avec une méthodologie de scoring permettant de comparer les offres lors de marchés publics, comme ceux liés au Cloud III DPS. Le document précise s’appuyer sur des références telles que Gaia-X, CIGREF, ENISA/NIS2 et DORA. L’objectif affiché : favoriser la contractualisation de services plus indépendants et conformes aux lois européennes, avec des critères uniformes.
Pourquoi CISPE considère que le score est source de confusion
Pour CISPE, moyenniser des moyennes et mélanger des critères impossibles à atteindre (par exemple, contrôle européen sur chaque composant matériel) avec des latent vagues (“garanties contre les changements de contrôle”) mène à une opacité qui permet de dissimuler des réalités gênantes. En outre, ils tirent la sonnette d’alarme sur un effet pervers : de nombreux fournisseurs européens, y compris des PME, pourraient obtenir de faibles scores, ce qui distorsionnerait la compétition au profit des grands acteurs globaux, en prétendant renforcer la “souveraineté” sur un plan statistique mais sans contrôle effectif. La souveraineté, rappellent-ils, est binaire et territoriale : soit on peut garantir le contrôle européen et l’immunité face à toute ingérence extérieure, soit on ne peut pas. Par ailleurs, la souveraineté ne doit pas être l’unique option du marché : certaines organisations à l’échelle mondiale ont besoin d’autres catégories clairement définies mais différenciées.
Le référentiel : Gaia-X Niveau 3
CISPE fait remarquer que l’Europe dispose déjà d’un « label écologique » comparable dans Gaia-X Niveau 3, qui fixe le standar d’excellence en matière de protection des données, de sécurité, de transparence, contrôle européen et de résilience, avec des lieux d’hébergement en Europe et des exigences renforcées — notamment, le respect, à un niveau élevé, des schemas européens de cybersécurité émis par ENISA — pour diminuer le risque d’accès non européens. Comme point de départ, le Niveau 3 servirait à identifier clairement les services pleinement souverains et à fournir une certification indépendante (CAB) pour éliminer toute ambiguïté.
Le catalogue et les nouvelles étiquettes proposées par CISPE
Pour refléter la réalité multinationale de nombreuses chaînes d’approvisionnement, CISPE annonce deux étiquettes complémentaires dans son Catalogue de Services Cloud :
- Sovereign Cloud (basée sur Gaia-X Niveau 3) qui offre une immunité totale face à toute ingérence extérieure et un contrôle entièrement européen du service.
- Operationally Resilient Cloud, conçue pour des clients opérant en dehors de l’Europe et nécessitant des niveaux vérifiables de contrôle opératif et juridique sur leurs données, au-delà du territoire européen.
L’objectif est d’assurer une transparence concrète : distinguer nettement entre une souveraineté totale et une résilience opérationnelle dans les environnements globaux, sans confondre ces concepts. Parallèlement, CISPE inscrit ces initiatives dans son Sovereign Cloud Manifesto prévu pour juillet 2025, dans lequel il réclame des règles praticables pour soutenir des options européennes sécurisées et compétitives.
L’environnement politique et réglementaire en jeu
Ce débat ne se déroule pas dans un vide. En 2024, l’UE a révisé à la baisse plusieurs exigences de souveraineté dans ses projets de certification de cybersécurité dans le cloud (EUCS), notamment en supprimant des contrôles exigeants comme la joint-venture ou certaines restrictions de juridiction, une évolution qui permet, selon des sources du secteur, une plus grande ouverture des marchés aux fournisseurs non européens sur des marchés sensibles. Des grandes entreprises européennes—telles que Deutsche Telekom ou Airbus— ont critiqué cette évolution, redoutant des lois extraterritoriales comme le Cloud Act américain. En 2025, le lancement de cadres d’achat intégrant des “scores de souveraineté” ravive la discussion : ces scores aident-ils réellement l’autonomie européenne ou se contente-t-on d’un compromis sans fond ?
Ce que le secteur public doit considérer (et qui en profite)
Pour une administration cherchant une meilleure transparence dans ses marchés publics, un critère binaire, du type “souverain / non souverain”, peut être plus facile à appliquer qu’un score composite : il réduit l’interprétation subjective et facilite le contrôle a posteriori. Si le cadre repose sur étiquettes vérifiables par des tiers (comme Gaia-X Niveau 3 pour la souveraineté), le risque d’un marking de conformité superficielle diminue. En revanche, un système de pondérations pourrait favoriser des investissements ou engagements vagues, sans garantir un véritable contrôle juridique ni une immunité efficace face aux ingérences dans des secteurs sensibles (santé, justice, défense, fiscalité).
Cependant, la Commission insiste sur le fait que son cadre harmonise les critères et accélère la contractualisation de services conformes aux lois européennes. La divergence ne concerne pas l’objectif — plus d’autonomie, moins de dépendance — mais la méthode : des métriques agrégées versus des étiquettes avec des seuils stricts. Dans cette dynamique, les fournisseurs européens réclament des règles claires et atteignables qui valorisent leur contrôle territorial, tandis que les hiperescaleurs proposent des services “souverains” (like, opérations en UE menées par du personnel européen, séparation technique) pour répondre à ces attentes.
Conseils pratiques pour les CIO et CISO
Au-delà de la lutte politique, le responsable technologique doit disposer de critères concrets et opérationnels :
- Définir le seuil : si le cas d’usage requiert une souveraineté stricte, demander une certification équivalente à Gaia-X Niveau 3 ou un label garantissant un contrôle 100 % européen (données, opérations, support et juridiction).
- Tracer la chaîne : exiger la transparence des sous-traitants et des parcours de données, incluant télémetrie et scénarios de support.
- Analyser la législation en vigueur : faire appel à des avis juridiques concernant l’extraterritorialité (Cloud Act et équivalents) et des mesures techniques efficaces (chiffrement avec gestion des clés en EU, séparation opérationnelle).
- Éviter la case “cocher la case” : privilégier des étiquettes vérifiées et des audits plutôt que de simples promesses vagues.
- Elaborer un plan de sortie : garantir la portabilité et la reversibilité avec des SLA vérifiables.
En adoptant cette démarche, une collectivité, un hôpital ou une entreprise industrielle peut faire un choix éclairé entre un service souverain (lorsque la réglementation et le risque l’imposent) ou une option résiliente et globale (lorsque le business l’exige), sans mélanger les catégories.
Perspectives d’évolution du cadre européen
La mise en œuvre concrète du Cloud Sovereignty Framework dans les appels d’offres révélant jusqu’à quel point la notion de souveraineté confère transparence ou, à l’inverse, masque les enjeux. Une voie raisonnable de convergence serait de lier les niveaux supérieurs de la notation à des étiquettes strictes et vérifiables (p. ex., Gaia-X Niveau 3), tout en laissant des niveaux intermédiaires pour des scénarios globaux — avec des garanties opérationnelles et légales qui n’affirment pas une souveraineté totale, mais assurent des contrôles vérifiables et des mesures d’atténuation.
En parallèle, la pression concurrentielle continuera de croître. Les hiperescaleurs annoncent des offres “souveraines” européennes, séparant technique et organisation ; les fournisseurs européens demandent à ce que la commande publique ne décourage pas les options locales en exigeant l’impossible dans certains secteurs et en étant plus souples dans d’autres. Ce qui est indiscutable, c’est que, dans une économie de plus en plus orientée “cloud-first” et avec une IA qui multiplie la valeur des données, la gouvernance stratégique — qui peut voir, toucher ou demander l’accès — demeure un enjeu clé pour l’Europe.
Questions fréquentes
Quelle différence entre “Sovereign Cloud” et “Operationally Resilient Cloud” selon CISPE ?
Le Sovereign Cloud vise l’immunité totale contre toute ingérence extérieure et un contrôle 100 % européen (données, opérations, support et juridiction), en s’appuyant sur Gaia-X Niveau 3. De son côté, le Operationally Resilient Cloud est destiné à des opérations mondiales: il ne garantit pas la souveraineté strictement, mais assure des niveaux vérifiables de contrôle opérationnel et juridique sur des données situées au-delà de l’Europe.
Que demande concrètement Gaia-X Niveau 3 à un fournisseur de cloud ?
Ce niveau vise l’excellence en matière de protection des données, sécurité, transparence, portabilité et contrôle européen. Il impose la localisation en Europe et le respect des schémas européens de cybersécurité de haut niveau, ainsi qu’une certification par une tierce partie (CAB). L’objectif est de rendre le service incontestable contre tout accès non européen ou blocage par le fournisseur.
Pourquoi CISPE critique-t-elle la “notation de souveraineté” proposée par la Commission ?
Parce qu’elle mélange des critères hétérogènes — certains ineluctables, d’autres flous — et qu’elle permet de dissimuler la réalité. Les étiquettes doivent être claires et vérifiables, plutôt que des notations composites qui confondent acheteurs publics et privés.
Comment ce débat se connecte-t-il aux évolutions du cadre de la cybersécurité (EUCS) et de la commande publique ?
En 2024, la Commission a revu à la baisse certains critères de souveraineté dans l’EUCS, ce qui a divisé le secteur. En 2025, elle propose d’utiliser un système de scores de souveraineté dans les achats publics. La question reste open quant à la façon dont ces critères seront appliqués et à l’impact de l’utilisation de seuils stricts versus simples labels, notamment dans les secteurs critiques.
Source : cispe.cloud
