Cloud souverain en Europe : le mirage du sovereignty washing

Souveraineté numérique européenne face à la dépendance aux hyperscalers américains
Share on Pinterest Share on LinkedIn

Réguler l’IA, protéger les données personnelles, parler d’autonomie stratégique : cela ne suffit pas si l’infrastructure critique continue de dépendre d’Amazon, Microsoft et Google. C’est le constat inconfortable auquel Bruxelles se retrouve confrontée. Le cloud est devenu le système nerveux des administrations, banques, hôpitaux, réseaux d’énergie et services de défense. Celui qui maîtrise cette couche contrôle la capacité de calcul, les outils d’IA, la gestion des identités, l’observabilité et la continuité opérationnelle.

Selon des documents dont Reuters a eu connaissance, la Commission européenne travaille à des critères plus stricts pour les services cloud utilisés dans les marchés publics hautement critiques. La proposition, liée à la future loi sur le développement Cloud et IA, pourrait désavantager ou même exclure certains grands fournisseurs américains des contrats stratégiques s’ils ne respectent pas des exigences précises en matière de souveraineté, de contrôle juridique et de protection des données. Le débat arrive tard, mais il arrive.

Pourquoi la souveraineté numérique est devenue une question de marché

Ce qui change cette fois-ci, c’est la portée de la proposition. La Commission voudrait que le choix d’un fournisseur cloud ne repose plus uniquement sur le prix ou la performance technique, mais aussi sur des critères comme : qui contrôle l’infrastructure, sous quelle juridiction elle opère, où sont localisées les données, quel est le niveau de dépendance vis-à-vis de pays tiers. Pour les marchés sensibles, cela pourrait changer radicalement la carte des fournisseurs éligibles.

AWS, Microsoft Azure et Google Cloud dominent le cloud public européen. Le CLOUD Act américain complique la situation : il autorise les autorités américaines à réclamer des données à des fournisseurs soumis à la juridiction des États-Unis, même si ces données sont hébergées en Europe. Ce n’est pas une vulnérabilité hypothétique : c’est une réalité juridique qui a poussé de nombreuses administrations à revoir leurs choix d’infrastructure. La course aux centres de données hyperscale a encore renforcé cette dépendance à quelques grandes plateformes mondiales.

Les hyperscalers ont réagi vite. AWS propose son European Sovereign Cloud en Allemagne, avec un investissement annoncé de 7,8 milliards d’euros. Microsoft pousse son EU Data Boundary et ses partenariats locaux : Bleu (Orange + Capgemini) ou Delos Cloud (SAP + Azure). Google a signé des alliances comme S3NS avec Thales. Ces offres répondent à une demande réelle. Mais répondent-elles vraiment à la question ?

Le piège du sovereignty washing

Un cloud peut être hébergé en Europe, opéré par du personnel européen, chiffré, conforme au RGPD, et conserver des dépendances techniques ou juridiques profondes envers un fournisseur non européen. C’est là que le terme « sovereignty washing » prend tout son sens : on crée une catégorie intermédiaire commode, on attribue des niveaux de conformité, on accepte des exceptions, et au final le marché qualifie la dépendance contrôlée de souveraineté.

La Commission a développé son Cloud Sovereignty Framework avec des niveaux SEAL. En avril 2026, elle a attribué un contrat de 180 millions d’euros pour des services cloud souverains à quatre consortiums européens. Parmi eux, un consortium conduit par Proximus qui utilise S3NS, la co-entreprise de Thales et Google Cloud. La Commission a même précisé que des technologies non européennes peuvent satisfaire un niveau minimum de souveraineté « si elles fonctionnent dans un cadre strict ». C’est exactement là que le débat se noue.

Accepter cette logique résorbe la tension à court terme mais la perpétue à long terme. Exiger une souveraineté totale immédiate, en revanche, crée un problème de capacité : l’Europe n’a pas encore une offre intégrée continentale avec la même profondeur en IA, chips, modèles fondamentaux, PaaS, analytique et déploiement mondial. L’Espagne illustre bien cette tension : progression dans le cloud avancé tout en restant en retard sur l’adoption générale des services cloud payants.

Ce que l’Europe possède et ce qui lui manque

L’Europe dispose de bons fournisseurs d’infrastructure, de cloud privé, de bare-metal, de colocation, de Kubernetes et de services gérés. Stackscale (Aire), OVHcloud, Scaleway, StackIT, Clever Cloud, T-Systems, IONOS, Aruba ou Proximus ont une opportunité réelle si la commande publique européenne se dirige véritablement vers eux. Ce qui manque, c’est une offre intégrée continentale aussi profonde que celle d’AWS, Azure ou Google Cloud, en particulier sur les fondations IA, les modèles de langage, l’analytique et les services mondiaux.

Une grande partie du matériel critique provient aussi de chaînes d’approvisionnement asiatiques ou américaines. Exiger que tout l’équipement soit européen est une position politique facilement tenable dans un texte, mais difficilement applicable dans la réalité des déploiements. Les règles doivent être séquencées selon le niveau de sensibilité des charges.

Une politique progressive, par niveau de sensibilité

La bonne approche n’est ni d’interdire les logos américains ni d’accepter un label « souverain » vendu par le même fournisseur qu’avant. Les charges les plus critiques (santé publique, justice, défense, identité numérique, énergie, finance systémique, données sensibles des administrations) devraient satisfaire des exigences strictes : contrôle européen, portabilité, réversibilité, chiffrement de bout en bout, opérations locales. Pour les charges moins sensibles, une approche hybride peut avoir du sens, à condition que les données, les clés et l’architecture restent sous contrôle réel.

La souveraineté ne devrait pas être une option de catalogue, mais une condition de conception. Les vraies questions : qui opère, qui administre, qui peut accéder, qui met à jour, qui audite, qui répond en cas de crise, et comment sortir du fournisseur si celui-ci ne convient plus. Sans réponse claire à ces questions, la souveraineté reste une étiquette premium payable au même prestataire qu’avant. Même dans la cybersecurité, l’UE négocie déjà un accès privilégié à des outils américains pour ses agences, ce qui illustre la tension concrète entre ambition souverainiste et besoin opérationnel immédiat.

L’Europe a un levier réel : la commande publique. Si elle décide d’acheter de manière cohérente auprès de fournisseurs européens pour les charges sensibles, elle crée une demande stable qui permet à ces acteurs d’investir et de grossir. Si elle continue de prêcher l’autonomie dans les discours et d’attribuer les contrats à la même chaîne de dépendance qu’hier, ce levier reste théorique.

Questions fréquentes

Que veut changer l’Union européenne dans les marchés publics cloud ?

Bruxelles travaille à des critères d’éligibilité qui vont au-delà du prix et de la performance technique. Pour les marchés sensibles, le choix intégrerait la souveraineté, la protection des données, la juridiction applicable et le niveau de dépendance vis-à-vis de pays tiers.

AWS, Microsoft ou Google pourraient-ils être exclus des contrats européens ?

Dans certains contrats stratégiques, oui. Si les exigences finales imposent un contrôle européen fort et une faible exposition aux juridictions américaines, les offres des hyperscalers devront satisfaire des critères très précis pour rester éligibles.

Un cloud AWS ou Azure hébergé en Europe est-il souverain ?

Pas nécessairement. La localisation des données améliore la conformité, mais le CLOUD Act américain peut toujours s’appliquer si le fournisseur reste sous juridiction américaine. La vraie question : qui contrôle la technologie, les mises à jour, les clés et la sortie du service ?

Quels fournisseurs européens peuvent répondre à ces exigences ?

OVHcloud, Scaleway, Clever Cloud, IONOS, T-Systems, Aruba, StackIT, Proximus ou des opérateurs de cloud privé comme Stackscale proposent des solutions européennes. Leur défi est d’atteindre la profondeur de services (IA, analytique, PaaS) qu’offrent AWS, Azure et Google Cloud.

Qu’est-ce que le CLOUD Act américain et pourquoi pose-t-il un problème en Europe ?

Le Clarifying Lawful Overseas Use of Data Act (2018) autorise les autorités américaines à demander l’accès à des données détenues par des entreprises sous juridiction américaine, même stockées à l’étranger. Cela crée un conflit direct avec le RGPD européen pour les données sensibles.

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Micron choisit Bechtel pour construire à New York l’une des grandes usines de mémoire de l’ère IA

GlobalFoundries et Qualinx portent la fabrication de puces sécurisées à Dresde

shadcn/improve : le dépôt ouvert et gratuit qui transforme l’IA de code en plans exécutables

OpenAI prépare le terrain pour une guerre des prix dans l’IA d’entreprise

La Chine prépare un réseau national de centres de données d’IA avec ses propres puces

Samsung regarde la mer pour résoudre le goulot d’étranglement des centres de données d’IA