L’Union européenne commence à prendre conscience d’une réalité inconfortable : réguler l’intelligence artificielle, protéger les données personnelles ou parler d’autonomie stratégique ne suffisent pas si l’infrastructure critique continue de dépendre d’Amazon, Microsoft et Google. Le cloud est devenu le système nerveux des administrations publiques, banques, hôpitaux, secteur de l’énergie, défense, industrie et services numériques. Ceux qui maîtrisent cette couche ne se contentent pas d’héberger des serveurs ; ils contrôlent la capacité de calcul, les outils d’IA, la gestion des identités, les réseaux, l’observabilité, l’automatisation et la continuité opérationnelle.
La nouvelle étape ouverte à Bruxelles concerne précisément cette problématique. Selon des documents dont Reuters a eu connaissance, la Commission européenne travaille à l’élaboration de critères plus stricts pour les services cloud utilisés lors de marchés publics hautement critiques. La proposition, liée à la future loi sur le développement Cloud et IA, pourrait désavantager ou même exclure certains grands fournisseurs américains des contrats stratégiques s’ils ne respectent pas des exigences en matière de souveraineté, de contrôle juridique, de protection des données et de chaîne d’approvisionnement.
Le débat arrive tard, mais il arrive. Pendant des années, l’Europe a accepté que son infrastructure numérique reste entre les mains de plateformes américaines, tandis qu’elle concentrerait son énergie politique à réguler les effets de cette dépendance. Aujourd’hui, l’intelligence artificielle a modifié la donne. Sans cloud, centres de données, puces, énergie, logiciels et talents opérationnels, il n’y a pas d’IA souveraine. Et sans IA souveraine, l’Europe risque de légiférer sur un marché qu’elle ne contrôle pas.
La souveraineté n’est plus un discours, c’est une issue de marché
La nouveauté ne réside pas seulement dans le fait que Bruxelles parle de souveraineté numérique. Cela fait des années que cela se dit. Ce qui importe, c’est que la Commission souhaite introduire des critères obligatoires hors coûts dans ses achats publics sensibles. Autrement dit, une administration ne devrait pas choisir uniquement la proposition la moins chère ou la plus performante techniquement, mais aussi évaluer qui contrôle l’infrastructure, sous quel cadre juridique elle opère, quels fournisseurs interviennent, où sont localisés les données, et quel niveau de dépendance existe vis-à-vis de pays tiers.
Ce changement pourrait bouleverser le marché. AWS, Microsoft Azure et Google Cloud dominent une grande partie du cloud public européen. Le Parlement européen a tiré la sonnette d’alarme à plusieurs reprises sur la forte concentration du marché cloud américain, tandis que les fournisseurs européens conservent une part bien moindre. S’y ajoute une préoccupation juridique récurrente : le CLOUD Act américain permet de demander la remise de données à des fournisseurs soumis à la juridiction des États-Unis, même si celles-ci sont stockées à l’étranger.
Les hyperscalers ont compris ce risque commercial et ont réagi rapidement. AWS propose déjà son European Sovereign Cloud, avec une infrastructure séparée en Allemagne, et a annoncé un investissement de 7,8 milliards d’euros. Microsoft insiste sur son Sovereign Cloud, son EU Data Boundary et ses partenariats locaux tels que Bleu, contrôlé par Orange et Capgemini, ou Delos Cloud, filiale de SAP utilisant la technologie Azure. Google a choisi des alliances comme S3NS avec Thales, ou des accords avec des acteurs européens pour rester éligible à certains contrats sensibles.
La question est de savoir si cela suffit. Un cloud peut être hébergé en Europe, opéré par du personnel européen, offrir un chiffrement robuste, respecter le RGPD, tout en conservant des dépendances techniques ou juridiques à un fournisseur non européen. Il peut être sécurisé, utile, même adapté à de nombreuses charges. Mais une souveraineté totale, c’est une autre affaire.
Le danger du “sovereignty washing”
L’Europe risque d’inventer une catégorie intermédiaire confortable : des clouds « suffisamment souverains » pour ne pas déranger les grands fournisseurs, mais pas assez indépendants pour réduire réellement la dépendance stratégique. C’est le même problème que celui observé dans d’autres domaines technologiques : on crée un cadre, on attribue des niveaux, on accepte des exceptions, et au final, le marché qualifie la dépendance contrôlée de souveraineté.
La Commission elle-même a commencé à mesurer la souveraineté à travers son Cloud Sovereignty Framework et les niveaux SEAL. Le modèle distingue entre souveraineté des données, résilience numérique et degrés d’autonomie plus élevés. Sur le papier, c’est une avancée : il fournit des critères, impose une documentation des contrôles, et permet de comparer les fournisseurs. Mais cela ouvre aussi une zone d’ombre. En avril 2026, la Commission a attribué un contrat allant jusqu’à 180 millions d’euros pour des services cloud souverains à quatre fournisseurs ou consortiums européens. Parmi eux, un consortium mené par Proximus, utilisant S3NS, la co-entreprise de Thales et Google Cloud. La Commission a même affirmé que des technologies non européennes peuvent satisfaire un niveau minimum de souveraineté si elles fonctionnent dans un cadre strict.
C’est cette question qui se pose. Si l’Europe accepte qu’un cloud basé sur une technologie américaine soit considéré comme souverain parce que l’aspect contractuel et opérationnel est européen, cela peut résorber le problème à court terme, mais le perpétuer à long terme. En revanche, en exigeant une souveraineté totale immédiatement, l’Europe risque de manquer de capacités, de services avancés d’IA, d’élasticité, et d’engager des coûts plus élevés dans certains projets.
La solution ne consiste pas à nier la puissance des hyperscalers. AWS, Microsoft et Google proposent une technologie exceptionnelle, notamment en intelligence artificielle, services gérés, bases de données, observabilité, sécurité et déploiement mondial. Beaucoup d’entreprises européennes ne peuvent pas les remplacer du jour au lendemain sans perdre de capacités. Cependant, il ne faut pas non plus accepter que, sous prétexte d’une couche commerciale européenne, une plateforme reste dépendante de décisions techniques, licences, mises à jour, propriété intellectuelle ou juridictions extérieures.
L’Europe a besoin de fournisseurs locaux, pas seulement de règles plus strictes
La future loi Cloud and AI Development peut constituer une avancée si elle est utilisée pour créer une demande réelle pour les fournisseurs européens. Stackscale (Aire), OVHcloud, Scaleway, StackIT, Clever Cloud, T-Systems, Orange Business, Aruba, IONOS, SAP, Proximus, opérateurs régionaux et entreprises d’infrastructure privée comme Stackscale ont une opportunité si l’Europe décide d’acheter de manière cohérente. Il ne suffit pas de prêcher la souveraineté dans les discours et d’attribuer ensuite les contrats sensibles à la même chaîne de dépendance qu’hier.
Mais il faut aussi reconnaître les limites. L’Europe ne possède pas une offre équivalente à AWS, Azure ou Google Cloud dans toutes les couches. Elle a de bons fournisseurs d’infrastructure, de cloud privé, de bare-metal, de colocation, de Kubernetes, de services gérés et de plateformes souveraines, mais elle manque d’une offre intégrée continentale avec la même profondeur en IA, chips, modèles fondamentaux, logiciels PaaS, analytique et services mondiaux. De plus, une grande partie du matériel critique provient de chaînes d’approvisionnement asiatiques ou américaines. Affirmer que tout le matériel doit être européen sonne bien dans une proposition, mais aujourd’hui, difficile à appliquer strictement.
C’est pourquoi la politique doit être intelligente et progressive. Les charges critiques — comme la santé publique, la justice, la défense, l’identité digitale, l’énergie, la finance systémique ou les données sensibles des administrations — devraient être soumises à des exigences beaucoup plus strictes en matière de contrôle européen, portabilité, réversibilité, chiffrement, opérations locales et dépendance critique vis-à-vis des pays tiers. Pour les charges moins sensibles, une approche hybride peut avoir du sens, laissant jouer le rôle des hyperscalers, tout en garantissant un contrôle réel des données, des clés, de la sortie et de l’architecture.
L’erreur serait de faire de la souveraineté une nouvelle étiquette premium, achetable auprès du même fournisseur de toujours, avec un surcoût et un contrat plus long. La souveraineté ne devrait pas être une option de catalogue, mais une condition de conception : qui opère, qui administre, qui peut accéder, qui met à jour, qui audite, qui répond en cas de crise, et comment s’éloigner du fournisseur si celui-ci ne convient plus.
L’Europe doit faire un choix difficile. Elle peut acheter une souveraineté numérique emballée par des entreprises américaines et considérer le problème comme résolu. Ou elle peut utiliser le pouvoir de la commande publique pour construire une capacité européenne réelle, même si c’est plus difficile, plus lent et moins reluisant en termes commerciaux. La première option réduit la tension à court terme ; la seconde construit une indépendance durable.
La souveraineté numérique ne s’obtient pas en interdisant les logos américains ou en érigeant des barrières sans alternative crédible. Elle passe par l’investissement, l’achat européen lorsque nécessaire, l’exigence de portabilité, le renforcement du cloud privé et public européens, le soutien à l’open source, la création d’une demande publique stable, et la distinction claire entre conformité et contrôle. Si l’Europe ne parvient pas à faire cette distinction, elle devra payer plus cher une souveraineté qui restera à moitié acquise.
Questions fréquentes
Que veut changer l’Union européenne dans les marchés publics cloud ?
Bruxelles travaille à des critères plus stricts pour les marchés sensibles. L’objectif est que le choix ne repose plus uniquement sur le prix, mais aussi sur la souveraineté, la protection des données, la juridiction, la chaîne d’approvisionnement et le contrôle opérationnel.
AWS, Microsoft ou Google pourraient-ils être exclus ?
Ils pourraient être désavantagés ou même exclus dans certains contrats stratégiques si les exigences finales imposent un contrôle européen fort et une faible exposition à la juridiction des États tiers. La proposition pourrait évoluer et nécessiter un soutien politique accru.
Un cloud hébergé par AWS, Microsoft ou Google en Europe est-il souverain ?
Cela peut améliorer la localisation des données, la conformité et les contrôles opérationnels, mais cela ne garantit pas une souveraineté complète. La clé réside dans qui contrôle la technologie, l’opération, les clés, les mises à jour, la gestion et la sortie du service.
Que doit faire l’Europe pour réduire sa dépendance aux hyperscalers ?
Utiliser la commande publique pour stimuler une demande forte en cloud européen, renforcer les fournisseurs locaux, exiger la portabilité, investir dans les centres de données, logiciels, talents, chips, modèles ouverts, et réserver les charges essentielles à des infrastructures sous contrôle européen vérifiable.
