Dans la nouvelle cartographie des centres de données d’Amazon Web Services (AWS), une étiquette accrocheuse apparaît au sujet de l’Allemagne : «Cloud souverain européen AWS – bientôt disponible. La promesse est séduisante pour les gouvernements et les entreprises réglementées : un cloud « souverain » pour l’Europe, exploité par du personnel européen, avec des données hébergées dans l’Union, pensé pour respecter le RGPD, la directive NIS2 et l’ensemble du cadre réglementaire communautaire.

Cependant, derrière ce slogan émerge une question inconfortable :
Une infrastructure contrôlée par une entreprise américaine peut-elle réellement être souveraine pour l’Europe ?
La réponse, compte tenu du contexte juridique et géopolitique actuel, est simple : non. Ou du moins, pas dans le sens fort de la souveraineté que de nombreux responsables publics et régulateurs prétendent rechercher.

Ce que promet AWS : séparation physique, personnel européen, investissements importants

AWS précise que son Cloud souverain européen sera une plateforme « indépendante » pour l’Europe : des régions physiquement et logiquement séparées du reste de son réseau mondial, sans dépendances critiques à des infrastructures hors de l’UE, exploitées et gérées exclusivement par du personnel résident et citoyen de l’Union, avec une première région en Brandebourg (Allemagne), soutenue par un investissement de 7,8 milliards d’euros jusqu’en 2040.

Sur le papier, cette proposition résout plusieurs préoccupations :

• Résidence des données : toutes hébergées sur le sol européen.
• Contrôle opérationnel : seul le personnel européen peut accéder et gérer la plateforme.
• Autonomie technique : la région est isolée des autres régions AWS.

Ajouté à cela, un argument commercial : les clients continueront d’utiliser les mêmes API, services et outils que dans le cloud global d’AWS, évitant ainsi de devoir réécrire des applications ou de changer de fournisseur.

Le problème ne réside pas dans les bits, mais dans les lois

Le point de friction apparaît lorsqu’on quitte la perspective physique pour analyser le cadre juridique. Les lois américaines, notamment le CLOUD Act et d’autres réglementations antérieures telles que le Patriot Act, donnent aux autorités américaines la capacité d’exiger des données auprès d’entreprises soumises à leur juridiction, que ces données résident physiquement aux États-Unis ou ailleurs, tant que la société détient « possession, garde ou contrôle » de ces données.

Autrement dit : si la société mère reste une entreprise américaine, avec un contrôle ultime sur l’infrastructure, le logiciel ou les clés de gestion, la promesse de « souveraineté » entre alors en contradiction avec une réalité juridique extraterritoriale.

Ce n’est pas un débat académique. Les autorités suisses de protection des données, par exemple, déconseillent aux administrations publiques d’utiliser les services SaaS de grands fournisseurs américains (Microsoft 365, AWS, Google Cloud) précisément à cause du risque d’accès selon le CLOUD Act, même si les données sont hébergées en Europe et si des mesures de chiffrement standard sont appliquées.

La contradiction est claire : le RGPD et la directive NIS2 instaurent une architecture de protection et de contrôle européenne, tandis que le CLOUD Act ouvre une porte dérobée pouvant, dans certains cas, contraindre à livrer des informations à un pays tiers.

L’illusion de la souveraineté « par configuration »

Face à ces critiques, les géants du cloud ont déployé une stratégie claire : multiplier les couches techniques et organisationnelles pour se protéger… sans modifier la nature fondamentale de l’opérateur.

AWS parle de « souverain par conception » (« sovereign-by-design ») ; Microsoft promeut Bleu en collaboration avec Orange et Capgemini en France ; Google collabore avec Thales sur S3NS. Toutes ces initiatives renforcent le contrôle local (filiales européennes, personnel européen, centres de données dans l’UE, chiffrement avancé, gestion locale des clés), et certaines recherchent des certifications comme SecNumCloud délivrée par l’ANSSI française, qui impose des critères stricts d’immunité face aux lois extraterritoriales.

Ce sont des avancées pour certains usages. Mais même dans ces modèles « de confiance », le débat juridique reste ouvert :
Une majorité européenne et une gouvernance locale suffisent-elles à neutraliser totalement les obligations légales américaines ? Ou existe-t-il toujours une tension structurelle irrésolue tant que le fournisseur de technologie de base reste américain ?

Ce débat s’inscrit dans un contexte où les géants américains détiennent entre 70 % et 80 % du marché mondial du cloud, et où les efforts européens, comme GAIA-X, avancent bien plus lentement que prévu.

Que signifie « souveraineté numérique » en réalité

Du point de vue européen, la souveraineté numérique ne se limite pas à décider dans quel pays les données sont stockées. Elle comporte au moins trois dimensions :

1. Juridiction
   Que les données, les systèmes et les opérateurs soient pleinement soumis au droit européen, sans que des lois de tiers pays puissent imposer des obligations contradictoires.
2. Contrôle technologique
   Disposer d’une capacité réelle à auditer, migrer, répliquer ou remplacer l’infrastructure et le logiciel sans rester dépendant d’un seul fournisseur (le fameux vendor lock-in).
3. Gouvernance et résilience
   Pouvoir décider, en tant qu’Union ou État membre, de ce qui se passe en cas de crise géopolitique, de sanctions, de conflits commerciaux ou de chocs réglementaires.

Les clouds « souverains » proposés par des entreprises américaines améliorent la situation actuelle sur plusieurs points — notamment la résidence des données et le contrôle d’accès —, mais ne modifient pas l’essentiel : la gouvernance commerciale reste entre les mains de Seattle, Redmond ou Mountain View.

L’écosystème européen existant… mais peu visible

En attendant la signature de déclarations communes et de feuilles de route avec les géants du cloud, l’Europe dispose déjà d’un écosystème infrastructurel propre, rarement mis en avant :

• de grands fournisseurs de cloud européens tels que Stackscale, OVHcloud, Scaleway, Hetzner, Aruba Cloud, T-Systems, Deutsche Telekom, Orange Business et d’autres acteurs régionaux ;
• des centaines d’opérateurs de centres de données neutres et de fournisseurs de housing et de matériel nu répartis en Espagne, France, Allemagne, Pays-Bas, Scandinavie ou Italie ;
• des initiatives publiques et privées combinant cloud privé, edge computing et services gérés conformes au droit de l’UE.

Ces acteurs, avec leurs forces et faiblesses, ont une avantage structurel : ils ne sont pas soumis au CLOUD Act ni à d’autres règles extraterritoriales américaines et peuvent s’aligner parfaitement avec le RGPD, la directive NIS2, et les futures réglementations sur l’IA, les données industrielles ou la cyberrésilience.

Le préjugé habituel pour les écarter est qu’« ils n’ont pas toute la gamme de services des géants du cloud ». C’est vrai : aujourd’hui, aucun ne propose l’étendue de produits d’AWS, Azure ou Google Cloud. Mais, pour une part importante des charges de travail — notamment les infrastructures critiques, les données très sensibles ou les systèmes de gouvernance —, la priorité ne devrait peut-être pas être d’avoir le dernier managed service, mais plutôt de garantir une autonomie maximale et un contrôle juridique.

Que devrait faire l’Europe ?

Le débat ne consiste pas à diaboliser les fournisseurs américains. Ils ont été et restent des partenaires technologiques essentiels, souvent la solution la plus efficace pour de nombreuses entreprises. Mais si l’UE souhaite sérieusement défendre sa souveraineté numérique, elle devra aller au-delà de l’acceptation de couches « souveraines » proposées par des tiers.

Voici quelques pistes d’action concrètes :

• Conditionner la commande publique : pour certains types de données et services, exiger que le fournisseur ne soit pas soumis à des lois extraterritoriales incompatibles avec le droit européen.
• Soutenir activement les fournisseurs européens de cloud et d’infrastructures, non seulement par des discours, mais via des contrats, des programmes d’innovation et un cadre réglementaire stable.
• Promouvoir des architectures multi-cloud et ouvertes, permettant d’éviter la dépendance totale à un seul acteur et facilitant le déplacement de charges entre clouds européens et mondiaux selon la sensibilité des données.
• Clarifier juridiquement les limites de la collaboration avec des clouds « souverains » d’origine américaine, afin que les administrations et les secteurs réglementés sachent exactement quels risques ils prennent.

La souveraineté n’est pas une fonctionnalité, c’est une décision politique

L’annonce du AWS European Sovereign Cloud, tout comme les alliances de Microsoft et Google avec des partenaires européens, montre que Bruxelles pèse déjà dans l’agenda des géants du cloud. C’est une bonne nouvelle : cela signifie que les exigences en matière de régulation et de souveraineté ne sont plus un bruit de fond.

Mais ne confondons pas marketing et réalité. Un centre de données en Allemagne, exploité par du personnel européen et avec d’importants investissements, peut être un outil utile dans de nombreux cas. Ce qui ne peut pas être, tant que l’entreprise reste soumise au droit américain, c’est une véritable souveraineté européenne.

Au final, le choix n’est pas technique, mais politique :
ou l’Europe décide que ses informations les plus critiques et son infrastructure stratégique resteront sous son propre cadre juridique et technologique, ou elle continuera à faire confiance à des couches de souveraineté conçues par des tiers.

Et une chose est claire : les alternatives européennes existent. La question n’est plus de savoir si elles peuvent rivaliser, mais si l’on va leur donner la chance de le prouver.