Avec le Cloud and AI Development Act, la Commission européenne mise sur la « souveraineté technologique » et promet de mieux protéger les données critiques du continent, sans pour autant rompre avec les hyperscalers soumis au droit extraterritorial américain. Un cas d’école de « sovereignty-washing ».
Pas une semaine ne passe sur le vieux continent sans que le terme « souveraineté » ne soit évoqué. Présenté le 3 juin 2026 comme l’un des piliers du paquet de mesures sur la souveraineté technologique européenne, le Cloud and AI Development Act (CADA) promet de rendre l’Europe moins vulnérable au cloud, à l’IA et aux semi-conducteurs étrangers. Sur le papier, l’ambition politique est claire : il s’agit de protéger et préserver les intérêts européens en matière de politique numérique. Mais, à y regarder de plus près, la mise en oeuvre semble plus brumeuse. Car les hyperscalers américains, ces cathédrales du Big Data bâties par Google, Amazon ou Microsoft, pourront continuer à alimenter une large partie du secteur public européen, pour peu qu’ils cochent les bonnes cases.
Le continent 🇪🇺 sous dépendance 🇺🇸
En vertu des lois sur l’extra-territorialité, les données européennes hébergées chez des géants du numérique étasunien ou chinois ne sont pas la propriété exclusive des entreprises qui les génèrent, mais peuvent être consultées, voire censurées, par celles qui les hébergent. Une situation potentiellement explosive qui fragilise le continent européen, particulièrement dépendant des Big techs étasuniennes pour le transfert et le stockage de ses données.
Présenté comme un bouclier contre les ingérences étrangères, le CADA entend protéger les données critiques européennes des lois extraterritoriales américaines et chinoises, mais aussi de tout court-circuit numérique susceptible de mettre à genoux des services publics ou des infrastructures vitales, comme les hôpitaux. Pour y parvenir, le texte demande aux États membres d’évaluer les risques pesant sur leurs administrations et de préparer la migration de leurs données vers des services cloud certifiés selon quatre « niveaux d’assurance ».
Une souveraineté graduée
Le premier niveau impose un stockage des données sur le territoire européen. Une exigence honorable, mais loin d’être révolutionnaire puisque cette notion de territorialité ne questionne pas la propriété des infrastructures. Ainsi, on peut stocker des données en UE mais à l’intérieur de centres de données exploités par Google, Amazon ou Microsoft. Le deuxième niveau resserre la vis en ajoutant des garanties destinées à empêcher qu’un pays tiers puisse accéder aux données ou provoquer une interruption de service. Mais là encore, la porte reste entrouverte. Des fournisseurs sous contrôle extra-européen peuvent toujours entrer dans la danse, dès lors qu’ils démontrent l’existence de garanties juridiques, techniques et organisationnelles jugées suffisantes. Les montages en co-entreprise, à l’image de S3NS, filiale créée par Thalès pour proposer des services Google Cloud aux entreprises, incarnent cette zone grise. Aux côtés de trois autres fournisseurs, cette société a remporté un appel d’offres de 180 millions d’euros pour un cloud souverain lancé par la Commission européenne en avril.
Le défi majeur de la règlementation européenne est que la souveraineté a ses limites quand elle se heurte au droit américain. Lors d’une audition au Sénat, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a été interrogé sur Bleu, nouvel acteur dans le monde des data centers issu d’un partenariat entre son employeur, Orange et Capgemini. Il a alors été contraint de reconnaître sous serment que son entreprise ne pouvait garantir la souveraineté des données européennes, Microsoft restant soumis au Cloud Act. Cette loi fédérale américaine permet aux États-Unis de contraindre les fournisseurs de services établis sur leur territoire, par mandat ou assignation, à fournir des données relatives aux communications électroniques de leurs clients, y compris lorsqu’elles sont stockées sur des serveurs situés hors du pays. Le cloud a beau être européen dans sa brochure commerciale, son ombre juridique, elle, traverse encore l’Atlantique.
Le troisième niveau d’assurance revendique une propriété et un contrôle européens, mais autorise malgré tout la Commission à accorder une équivalence à des fournisseurs non européens par dérogation. Le quatrième niveau, le plus strict, réclame quant à lui une maîtrise complète de toute la chaîne technologique, du hardware au software – une souveraineté intégrale qu’aucun fournisseur européen ne semble aujourd’hui en mesure d’offrir.
« Sovereignty-washing »
« La Commission européenne prétend bâtir un cloud souverain, mais la proposition présentée le 3 juin est loin d’être à la hauteur. En réalité, seul le niveau 4, qui concernerait 1 % des usages, notamment les secteurs les plus sensibles comme la défense, offrirait une vraie garantie de souveraineté », juge Leïla Chaibi, eurodéputée LFI. L’élue accuse la Commission européenne de faire du « sovereignty-washing », c’est-à -dire de se donner des airs de championne de la souveraineté numérique, tout en laissant filer, derrière le rideau, une bonne partie de l’indépendance promise.
Le Cloud Infrastructure Service Providers in Europe (CISPE), association représentant les fournisseurs de cloud à l’échelle européenne, avait d’ailleurs flairé le piège avant même la parution du CADA. Dans une lettre publiée en mars 2026, l’organisation alertait sur le risque de voir la Commission transformer la souveraineté en simple vernis lexical : « si ce texte devait permettre du sovereignty-washing, ou encourager des stratégies d’achat qui renforcent encore la domination des hyperscalers non européens, il risquerait de fragiliser les objectifs mêmes qu’il prétend défendre. »
Il faut dire que les géants étrangers ont parfaitement compris l’époque. Puisque le mot “souveraineté” rassure, ils l’impriment sur leurs offres, leurs communiqués et leurs vitrines commerciales. AWS a ainsi inauguré son « European Sovereign Cloud » en janvier 2026, localisé dans l’Union européenne – principalement en Allemagne pour l’instant, puis prochainement en Belgique, au Portugal et aux Pays-Bas. Microsoft a de son côté dévoilé son « Sovereign Cloud » en juin 2025, tandis qu’Oracle commercialise depuis 2023 un « EU Sovereign Cloud ». Tous restent cependant soumis au Cloud Act américain, faisant de la souveraineté un argument marketing avant tout.
Souveraineté totale : un mirage ?
En matière de numérique, la souveraineté totale n’existe pas, clame Michaël Reffay, délégué général de France Datacenter, le principal lobby des acteurs français du cloud. « Les chaînes de valeur sont trop complexes et mondialisées. Nous ne produisons pas toutes les terres rares, ni tous les semi-conducteurs, et certaines briques techniques nous échappent. Cela ne veut pas dire qu’il faut renoncer. L’enjeu, c’est de maîtriser un maximum de maillons stratégiques là où nous avons des savoir-faire, pour réduire nos dépendances sur ce qui compte vraiment », juge le représentant des intérêts de la filière.
Pour Julien Simon, ancien évangéliste IA chez AWS, le nœud du problème se situe surtout au niveau règlementaire. Les hyperscalers, rappelle-t-il, sont des acteurs rationnels : ils se conforment aux règles qu’on leur fixe et défendent leurs intérêts. Le lobbying est intense, bien sûr, mais la décision reste politique, d’où le paradoxe qu’il met en lumière : « des États membres prêchent la souveraineté à Bruxelles tout en signant des accords bilatéraux avec les hyperscalers. La responsabilité est européenne, à la fois au sein de la Commission et dans les capitales. »
Car la souveraineté d’un cloud européen ne dépend pas seulement du lieu où dorment les données, ni du contrôle des logiciels qui les manipulent. Elle repose aussi sur la couche matérielle, dont le rôel est décisif. « Or, tant que cette couche repose sur des GPU NVIDIA produits par TSMC, une partie du contrôle reste liée aux décisions américaines », pointe l’ancien évangéliste IA. Les données peuvent bien être stockées à Francfort, Paris ou Amsterdam, si les puces, les chaînes de production et les licences critiques répondent à d’autres centres de pouvoir, la souveraineté reste une promesse sous condition. Une garantie d’indépendance qui ne questionne pas le modèle de développement techno-capitaliste dans son ensemble, promettant tout au plus un label Made-in-Europe sur des technologies globalement antisociales et écocidaires.
Soutenez Synth
Soutenez Synth CET ARTICLE EST DISPONIBLE POUR TOUTES ET TOUS
Face à la domination des GAFAM et de leurs algorithmes opaques, nous vous aidons à reprendre la main sur les récits technologiques qui façonnent notre quotidien.
En soutenant Synth, vous co-construisez une voix forte, libre et indépendante. Vous pouvez faire un don à partir de 1€
Contribuez dès aujourd’hui avec un don défiscalisé à 66 %.
Chaque euro compte, et un engagement mensuel multiplie l’impact.
