La fausse souveraineté numérique européenne : centres de données en Espagne, décisions à Washington

Une entreprise américaine peut-elle fournir un cloud européen souverain ?
Share on Pinterest Share on LinkedIn

Une nouvelle qui évoque un succès industriel européen : Microsoft a obtenu l’approbation initiale pour l’implantation de trois grands campus de centres de données en Aragón, avec un investissement dépassant 5,3 milliards d’euros et des centaines de kilomètres de fibre optique associés. La région se consolide ainsi comme un nœud clé pour le cloud Azure, en complément de la présence d’AWS et de la région Microsoft déjà en activité à Madrid.

Le discours officiel est bien connu : emploi qualifié, opportunités pour le tissu technologique local, et bien sûr, “souveraineté numérique”. Les données “restent en Europe”, sont hébergées “sur le sol espagnol” et sont soumises “aux lois européennes”.

Le problème, c’est que rien de tout cela ne suffit, à lui seul, à garantir une véritable souveraineté numérique. Ni pour l’Espagne ni pour l’Union européenne.

L’Europe parle de souveraineté… avec 70 % de son cloud entre les mains d’acteurs étrangers

Les données du marché peinent à concilier avec le récit politique. Selon Synergy Research Group, plus de 70 % du marché européen du cloud est contrôlé par seulement trois entreprises américaines : Amazon Web Services, Microsoft Azure et Google Cloud. Les fournisseurs européens — OVHcloud, Scaleway, T-Systems, Aruba, Stackscale et d’autres — ne représentent qu’environ 15 %, contre 29 % en 2017.

Autrement dit : alors que l’UE multiplie les stratégies d’“autonomie stratégique”, la dépendance réelle aux hypergéants américains s’est accentuée. Chaque nouvelle région d’AWS ou de Microsoft célébrée comme une “opportunité historique” renforce, en pratique, cette asymétrie de pouvoir.

Disposer de centres de données à Saragosse ou La Muela ne suffit pas à faire de cette infrastructure une véritable infrastructure européenne. Le béton est aragonais ; la propriété, la chaîne de commandement et le contrôle de plane sont détenus par Redmond.

Le cadre juridique applicable n’est pas à Bruxelles, mais à Washington

Un deuxième angle, moins évident, concerne la sphère juridique. Même si les données sont stockées physiquement en Espagne, le fournisseur reste soumis à la législation de son pays d’origine.

La loi américaine CLOUD Act, adoptée en 2018, permet aux autorités américaines d’exiger d’entreprises basées sur leur territoire l’accès aux données qu’elles gèrent, même si celles-ci sont stockées en Europe. Elle s’ajoute à d’autres dispositifs comme FISA 702, qui étendent la surveillance américaine sur les données “dans le cloud”.

Les grands fournisseurs de cloud ont répondu par des propositions de “cloud souverain”, “frontière de données” ou en signant des accords avec des partenaires locaux pour rassurer leurs clients européens. Google, par exemple, a annoncé des solutions spécifiques en UE, en partenariat avec Thales, pour renforcer la perception de souveraineté. Mais, comme le soulignent plusieurs analystes, ces dispositifs ne changent pas l’essentiel : la maison mère reste américaine, soumise au droit américain.

En clair : la conformité réglementaire s’améliore, la surface de risque juridique se réduit… mais l’asymétrie de pouvoir législatif demeure.

Gaia-X, “nuages souverains” et la réalité de la dépendance

L’UE parle depuis des années de “souveraineté numérique” et lance des initiatives comme Gaia-X, EuroHPC ou divers schémas de certification (comme EUCS) pour les services cloud. La narration est claire : garantir que l’Europe ne dépende pas de manière critique d’un petit nombre de plateformes étrangères.

Mais la réalité est bien moins engagée. Le projet Gaia-X, initialement conçu comme un cadre pour des infrastructures et services de données souverains, a fini par ouvrir la porte aux grands hypergéants américains, ce qui a suscité des critiques quant à sa véritable dimension “européenne”.

Par ailleurs, les mêmes fournisseurs dominants proposent désormais des versions “souveraines” de leurs services : régions contrôlées par des partenaires locaux, isolement géographique, contrôles supplémentaires. C’est une stratégie logique, à la fois commerciale et technique. Cependant, elle place l’Europe dans une position délicate : sa souveraineté repose sur la décision de fournisseurs non européens de se comporter “comme si” ils étaient européens.

Le cas VMware et le rôle de Proxmox VE : une leçon de dépendance

Le bouleversement provoqué par les modifications de stratégie et de licences de VMware, suite à son acquisition par Broadcom, a été une alerte pour de nombreuses organisations européennes : dépendre d’un seul fournisseur propriétaire dans une couche aussi stratégique que la virtualisation peut devenir très coûteux.

Dans ce contexte, les solutions européennes et open source, comme Proxmox VE, ont gagné en visibilité comme alternatives crédibles à VMware dans les centres de données d’entreprise. Proxmox permet de construire des clusters de virtualisation et de conteneurs, basés sur des technologies également libres (KVM, LXC, Ceph), réduisant le risque que la décision d’un acteur unique rende l’infrastructure obsolète ou trop onéreuse.

Si l’Europe souhaite que des projets comme Gaia-X soient plus que de simples logos ou des présentations PowerPoint, il est essentiel que son architecture de référence intègre, explicitement, des composants comme : hyperviseurs ouverts, stockage logiciel définissable, réseaux programmables et stacks modulables, évitant ainsi de dépendre d’un seul fournisseur étranger.

Une véritable souveraineté numérique : fournisseurs européens et stack ouvert

Parler sérieusement de souveraineté numérique européenne suppose au minimum quatre niveaux :

  1. Souveraineté physique
    Centres de données situés sur le territoire européen, connectés aux réseaux terrestres et bénéficiant d’un approvisionnement garanti en énergie et en refroidissement… mais aussi propriété majoritaire et contrôle par des entreprises européennes.
  2. Souveraineté juridique
    Fournisseurs dont le siège, l’actionnariat majoritaire et le cadre juridique principal sont situés dans l’UE ou dans des pays alignés sur ses principes. Cela limite l’impact de législations extraterritoriales comme le CLOUD Act.
  3. Souveraineté technologique
    Utilisation intensive de logiciels libres et de standards ouverts dans les couches critiques :
    • Virtualisation : Proxmox VE, KVM.
    • Stockage : Ceph, GlusterFS.
    • Orchestration : Kubernetes déployé sur des infrastructures européennes.
    • Observabilité, sécurité, réseaux définis par logiciel… sans dépendance à un seul fournisseur.
  4. Souveraineté économique et en talents
    Soutenir un écosystème de fournisseurs européens réinvestissant dans la région :
    • Acteurs majeurs comme OVHcloud, Scaleway, Deutsche Telekom, Orange, Aruba Cloud.
    • Spécialistes en infrastructure cloud privée et bare-metal comme Stackscale, avec des datacenters en Espagne et Pays-Bas, axés sur l’offre de cloud privé, bare-metal, stockage en réseau et solutions à haute disponibilité conformes à la législation européenne.

Cette combinaison — infrastructure physique en Europe, juridiction européenne, stack ouvert et fournisseurs européens — constitue une avancée vers une véritable souveraineté numérique. Ce n’est pas une solution immédiate ou parfaite, mais elle permet de réduire significativement la dépendance structurelle.

Ce que peuvent faire les gouvernements, les entreprises et le secteur technologique

Pour que le concept de “souveraineté numérique” ne reste pas un slogan dans des discours de façade, mais devienne une réelle politique industrielle, des décisions concrètes sont nécessaires.

1. Commandes publiques fondées sur la souveraineté
L’administration ne peut pas prôner l’autonomie stratégique tout en concentrant ses services critiques sur deux ou trois hypergéants non européens. Sans tomber dans un protectionnisme aveugle, elle peut :

  • Exiger que certains services critiques soient confiés à des fournisseurs européens.
  • Mettre en place des exigences de portabilité, de réversibilité et d’absence de verrouillage (“lock-in”).
  • Privilégier des solutions basées sur des technologies ouvertes et auditées.

Le débat autour de mesures du type “Acheter européen” pour certains services cloud existe déjà à Bruxelles ; ce qu’il manque, c’est la volonté politique pour le faire aboutir.

2. Entreprises : le multicloud… mais pas seulement avec les acteurs habituels
Beaucoup d’entreprises vantent leur “multicloud”, mais combinent en réalité AWS, Azure et Google Cloud. Si l’Europe veut changer cet équilibre, le multicloud doit aussi inclure des fournisseurs européens :

  • Disposer de charges stables ou sensibles sur des clouds privés européens (comme Stackscale ou d’autres acteurs régionaux).
  • Réserver aux hypergéants mondiaux les scénarios où leur apport est clairement différenciant (services managés très spécifiques, présence globale, etc.).
  • concevoir l’architecture et l’automatisation (Terraform, Ansible, Kubernetes, Proxmox VE, etc.) dès le départ pour pouvoir déplacer des charges entre différents fournisseurs sans tout réécrire.

3. Écosystème technique : choisir avec discernement
Les équipes systèms, DevOps et développement détiennent plus de pouvoir qu’il n’y paraît. Chaque fois qu’elles choisissent entre :

  • Un hyperviseur propriétaire ou Proxmox VE
  • Un stockage fermé ou Ceph
  • Un mode “lock-in” ou un standard ouvert

elles votent, de facto, pour le futur de leur écosystème à 5 ou 10 ans. La souveraineté numérique ne se construit pas uniquement avec des lois, mais aussi avec des “pull requests”, des choix d’architecture et des contrats d’hébergement.

Aragon comme symptôme, pas comme exception

Les nouveaux campus Microsoft en Aragón ne sont pas “le problème” en soi. L’Espagne et l’Europe ont besoin de davantage de centres de données, de plus de capacité de calcul et d’investissements en infrastructure.

Ce qui pose problème, c’est le récit qui accompagne ces initiatives : présenter comme “souveraineté numérique européenne” un modèle où le béton est local, mais où le contrôle effectif — économique, technologique et juridique — reste concentré dans quelques mains américaines (et, dans une moindre mesure, chinoises).

Si l’Europe veut cesser de parler de souveraineté pour commencer à la pratiquer, elle devra faire quelque chose de beaucoup plus difficile que d’inaugurer de nouveaux centres : investir concrètement dans ses propres fournisseurs, ses propres technologies et ses talents. Sans cela, les campus d’Aragon deviendront simplement une nouvelle pièce du puzzle de la dépendance, même si la bannière en a l’air — bleu avec des étoiles dorées.

Source : La fausse souveraineté numérique européenne

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

La fausse souveraineté numérique européenne : centres de données en Espagne, décisions à Washington

Advantech et D3 Embedded s’associent pour donner « des yeux et de l’intelligence » aux robots mobiles autonomes industriels

F5 lance son programme ADSP Partner pour simplifier la livraison d’applications et la sécurité dans des environnements multicloud

GrapheneOS rompt avec la France : collision frontale entre un projet de confidentialité et l’écosystème numérique européen

ASML ouvre en Arizona sa première académie de formation aux États-Unis pour renforcer la chaîne mondiale de puces

La nouvelle ère de la technologie d’entreprise : six domaines où l’informatique quantique commence déjà à se faire remarquer