La « nôuble souveraine » est devenue l’un des termes les plus fréquemment utilisés dans le secteur technologique. Microsoft, AWS et Google ont renforcé ces derniers mois leurs propositions européennes en insistant sur la résidence des données, l’opération locale, un contrôle renforcé, le chiffrement, les régions isolées et la conformité réglementaire. Cependant, le mot « souverain » est aujourd’hui utilisé pour décrire des réalités très différentes.
La question centrale ne se limite plus à l’emplacement du centre de données. Un serveur à Francfort, Paris, Madrid ou Amsterdam peut améliorer la latence, faciliter la conformité au RGPD et réduire les transferts internationaux, mais cela ne répond pas à la problématique essentielle : sous quelle juridiction opère le fournisseur qui contrôle l’infrastructure, la gestion, le support, les clés, le logiciel et la continuité du service.
Résidence des données n’est pas souveraineté
Pendant des années, une grande partie du marché a présenté la résidence des données comme synonyme de souveraineté. L’idée était simple : si les données sont stockées et traitées au sein de l’Union européenne, le client européen est protégé. Cette affirmation s’avère aujourd’hui insuffisante.
Le débat a évolué car les lois extraterritoriales ont autant d’impact que la localisation physique des serveurs. La CLOUD Act américaine, adoptée en 2018, permet aux autorités américaines de demander des données contrôlées par des entreprises soumises à leur juridiction, même si ces données sont stockées en dehors des États-Unis, dans la limite des cadres légaux. AWS, Microsoft et d’autres fournisseurs assurent qu’il n’existe pas d’accès automatique ou illimité, et que toute demande doit respecter des requis légaux. Cependant, le cadre juridique demeure une préoccupation réelle pour les gouvernements, la défense, la santé, l’énergie, la justice, la banque ou les services publics essentiels.
Le cas de Microsoft devant le Sénat français a éclairé la question avec une grande clarté. Selon une information parue dans The Register, des représentants de Microsoft France ont témoigné sous serment qu’ils ne pouvaient garantir que les données de citoyens français ne seraient pas transmises aux autorités américaines en cas d’ordre légal valable. La société a précisé qu’elle examine, limite et lutte contre les demandes abusives, mais qu’elle ne peut offrir une garantie absolue.
C’est ici que la souveraineté cesse d’être un simple slogan commercial. Une « cloud » peut disposer de centres de données européens, de personnel européen, de contrôles techniques avancés et d’engagements contractuels solides. Mais si la maison mère est soumise à une juridiction étrangère ayant une capacité légale sur le fournisseur, la souveraineté n’est pas complète. Elle constitue une amélioration par rapport à une cloud mondiale classique, mais n’équivaut pas nécessairement à un contrôle européen.
| Concept | Signification | Importance |
|---|---|---|
| Résidence des données | Les données sont stockées dans une région spécifique | Contribue à la conformité, mais ne garantit pas la juridiction |
| Souveraineté opérationnelle | Le service peut fonctionner sans dépendance critique à l’extérieur | Crucial en cas de crise, de sanctions ou d’interruptions géopolitiques |
| Souveraineté juridique | Le fournisseur est soumis aux lois européennes et sous contrôle européen | Réduit l’exposition aux normes extraterritoriales |
| Souveraineté du plan de contrôle | La gestion, le support, les clés et les privilèges sont sous contrôle local | Évite toute intervention extérieure dans le service |
| Souveraineté de la chaîne d’approvisionnement | Le logiciel, le matériel et les dépendances sont auditables et contrôlables | Réduit les risques cachés dans les couches techniques critiques |
| Souveraineté réelle | Une combinaison du contrôle juridique, technique, opérationnel et de gouvernance | Requiert plus qu’une simple étiquette commerciale |
L’UE passe de la rhétorique aux niveaux de confiance
La Commission européenne a commencé à formaliser cette distinction. Son nouveau paquet de souveraineté technologique, présenté le 3 juin 2026, inclut la proposition de la loi sur le développement du cloud et de l’intelligence artificielle, qui établit un cadre progressif pour l’évaluation des services cloud et d’IA dans le secteur public. Bien que cette proposition doive encore faire l’objet de négociations entre la Commission, le Parlement européen et les États membres, elle trace une voie claire à suivre.
Selon Tech Policy Press, le cadre prévoit quatre niveaux de confiance pour les services cloud utilisés par les autorités publiques. Les critères comprennent la propriété et le contrôle, les dépendances de la chaîne d’approvisionnement, le traitement des données, la localisation de l’infrastructure et la cybersécurité. Tous les organismes publics devraient utiliser au minimum des services de niveau 1, tandis que les fonctions sensibles telles que la sécurité nationale, la défense, la police ou la gestion des frontières, devraient recourir à des niveaux supérieurs soumis à des audits indépendants.
TechTimes décrit ce cadre de manière plus directe : le niveau 1 concerne une infrastructure située physiquement en UE ; le niveau 2 ajoute l’indépendance vis-à-vis des gouvernements étrangers et la transparence de la chaîne d’approvisionnement ; le niveau 3 exige la propriété et le contrôle au sein de l’UE ; enfin, le niveau 4 demande un contrôle et une transparence totale sur toute la chaîne logicielle, sans ingérences de pays tiers.
L’évidence est là : un fournisseur américain de services cloud peut répondre aux exigences de résidence des données, voire créer des régions européennes isolées, mais aura du mal à atteindre les niveaux les plus élevés si ses activités restent soumises à une législation américaine. Il ne s’agit pas d’une question de qualité technologique — souvent leader mondial en innovation, sécurité, disponibilité ou catalogue de services — mais de la dernière parole juridique sur le fournisseur.
La Commission elle-même reconnaît l’étendue de cette dépendance. Selon Tech Policy Press, plus de 70 % du marché cloud européen est contrôlé par des entreprises américaines, tandis que l’Europe produit moins de 10 % des semi-conducteurs mondiaux et dépense environ 264 milliards d’euros par an, principalement pour des produits et services IT américains propriétaires. L’Union souhaite remédier à cette asymétrie, mais ne peut y parvenir uniquement par le changement de labels.
La réaction de l’industrie confirme l’importance du changement
Les lobbys technologiques américains ont montré que la proposition européenne n’est pas décorative. La Computer and Communications Industry Association, représentant de grandes entreprises américaines du secteur, a qualifié les niveaux supérieurs comme des exigences de « marché fermé » déguisées en seuils de politique publique, selon TechTimes. Leur argument : ces critères pourraient, intentionnellement ou non, exclure certains fournisseurs internationaux d’appels d’offres sensibles.
Cette critique est légitime d’un point de vue commercial. Si l’UE exige un contrôle européen pour certaines données critiques, les grands fournisseurs américains perdront une part de leur accès au marché public. Mais elle montre aussi que les niveaux de souveraineté ont des effets concrets. Si tout n’était que marketing, cette résistance serait moindre.
Le vrai enjeu n’est pas de savoir si AWS, Microsoft ou Google sont de bons ou de mauvais fournisseurs, mais de comprendre que l’Europe a, pendant des années, délégué une grande partie de son infrastructure numérique critique à des entreprises non européennes. Aujourd’hui, elle cherche à reprendre le contrôle dans un contexte où le cloud ne se limite plus à une simple solution d’entreprise, mais constitue la base de l’administration, de l’intelligence artificielle, de la défense, de la santé, des réseaux énergétiques et de l’économie digitale.
Les hyperscalers ont répondu par leurs propres initiatives. AWS a lancé son European Sovereign Cloud, une infrastructure indépendante pour l’Europe. Microsoft a présenté de nouvelles capacités souveraines pour ses clients européens via Microsoft Sovereign Cloud. Google a collaboré avec Thales sur S3NS et d’autres projets de cloud souverain en Europe. Toutes ces réponses sont importantes et couvrent de nombreux cas d’usage, mais elles ne résolvent pas automatiquement la question juridique fondamentale.
D’où l’émergence d’une distinction que le marché évitait jusque-là : la différence entre une cloud « plus souveraine » et une cloud souveraine. Il existe des degrés, des contrôles, des risques résiduels et des cas d’usage distincts. Pour un site web d’entreprise, une application commerciale ou une charge non critique, une région européenne suffit peut-être. Pour des secrets d’État, des données judiciaires, la défense, des infrastructures critiques ou une intelligence artificielle sensible, le seuil doit être autre.
La souveraineté exige aussi de construire une capacité européenne
L’Europe a parfaitement raison d’exiger davantage de contrôle sur ses données critiques, mais cette exigence ne sera crédible que si elle s’accompagne d’une capacité industrielle réelle. Il ne suffit pas d’exclure ou de limiter. Il faut développer des alternatives européennes compétitives dans le cloud, les logiciels, la cybersécurité, les semi-conducteurs, l’intelligence artificielle, les réseaux, les centres de données, l’énergie et le capital humain.
La Commission le sait : son paquet de souveraineté technologique inclut des mesures pour accélérer la création de zones de centres de données, coordonner la capacité cloud entre États membres via une future EuroCloud Federation, promouvoir des stratégies nationales pour le cloud et l’IA, et revoir la politique sur les semi-conducteurs avec un Chips Act 2.0. Tech Policy Press indique que les investissements nécessaires se chiffrent à 120 milliards d’euros pour les semi-conducteurs, 200 milliards pour les centres de données d’ici 2036, 100 milliards pour le cloud et l’IA, et 2 milliards pour le logiciel open source sur sept ans.
La souveraineté ne se décrète pas en un jour. Elle nécessite des fournisseurs solides, de l’interopérabilité, des standards ouverts, des financements, une commande publique intelligemment orientée et des clients prêts à payer pour autre chose que le prix d’une machine virtuelle. Elle doit aussi éviter la « souverainity washing » : des solutions qui paraissent européennes en surface mais dépendent profondément de technologies, supports, propriété ou contrôle étrangers.
Le premier contrat cloud souverain de la Commission européenne, d’un montant de 180 millions d’euros, a déjà révélé cette complexité. Si certains fournisseurs européens comme Post Telecom, CleverCloud, OVHcloud, StackIT, Scaleway ou Proximus ont répondu présents, la joint-venture S3NS de Thales en partenariat avec Google Cloud a suscité des critiques de CISPE, notamment en raison du risque d’institutionnaliser une souveraineté incomplète. La Commission a répondu que des technologies non européennes, gérées selon une gouvernance rigoureuse, peuvent respecter certains seuils, ce qui montre que le débat ne sera pas binaire.
La question pour les entreprises et les administrations ne devrait plus être « mon cloud est-il en Europe ? » mais « quel niveau de souveraineté ai-je besoin ? ». Tous les données n’ont pas le même degré de sensibilité, mais celles qui sont les plus critiques exigent une réponse claire concernant la propriété, la juridiction, le support, les clés, la continuité, l’audit et la capacité d’opérer en contexte de tensions géopolitiques.
Le concept de cloud souverain n’est plus une simple étiquette mais commence à devenir une classification juridique et opérationnelle. Cela déplaira à ceux qui vendaient la souveraineté comme une résidence de données sous une autre marque, mais cela forcera aussi les acheteurs à adopter une approche plus rigoureuse. Au final, la question n’est pas de savoir si le serveur est à Francfort, mais qui peut l’éteindre, le gérer, l’auditer, le contraindre légalement ou accéder à ses données en cas de crise.
Questions fréquentes
Quelle différence entre cloud souverain et résidence des données ?
La résidence des données indique où elles sont stockées ou traitées. Le cloud souverain ajoute d’autres éléments : juridiction du fournisseur, contrôle opérationnel, clés, support, chaîne d’approvisionnement, continuité du service et capacité à résister aux ingérences extérieures.
Un cloud d’AWS, Microsoft ou Google en Europe est-il souverain ?
Il peut respecter la résidence, la sécurité et l’opération locale, mais la souveraineté pleine n’est pas acquise si le fournisseur reste soumis à une législation extraterritoriale. Cela dépend du cas d’usage, de l’architecture et du niveau de contrôle requis.
Que propose la nouvelle initiative européenne sur le cloud et l’IA ?
La Cloud and AI Development Act introduit des niveaux de confiance pour les services cloud et d’IA utilisés par le secteur public. Les charges plus sensibles nécessiteront des niveaux plus élevés de souveraineté, avec des exigences accrues en matière de propriété, contrôle, chaîne d’approvisionnement et juridiction.
Pourquoi la CLOUD Act influence-t-elle ce débat ?
Car elle peut contraindre des fournisseurs soumis à la législation américaine à transmettre des données sous ordonnance légale, même si ces données sont stockées en dehors des États-Unis. Les fournisseurs assurent qu’il n’y a pas d’accès automatique, mais l’exposition juridique est réelle.
