L'Europe veut reprendre le contrôle de ses données publiques avec le Tech Sovereignty Package : Bruxelles se prépare à restreindre l'utilisation des plateformes américaines comme AWS, Microsoft Azure et Google

L'Europe veut reprendre le contrôle de ses données publiques avec le Tech Sovereignty Package :
Bruxelles se prépare à restreindre l'utilisation des plateformes américaines comme AWS, Microsoft Azure et Google

La Commission européenne s'apprête à présenter, le 27 mai prochain, un « Tech Sovereignty Package » qui pourrait interdire à AWS, Microsoft Azure et Google Cloud de traiter les données sensibles des administrations publiques. Derrière cette initiative se joue une bataille bien plus large : celle de l'autonomie stratégique de l'Europe dans un monde numérique dominé à 70 % par des acteurs américains, et d'une infrastructure cloud souveraine qui tarde à émerger.

La Commission européenne, bras exécutif de l'UE, devrait présenter son « Tech Sovereignty Package » le 27 mai 2026, un ensemble de mesures destinées à renforcer l'autonomie stratégique du bloc dans les grands secteurs numériques. L'annonce, révélée par CNBC sur la base de deux fonctionnaires de la Commission ayant requis l'anonymat, donne une ampleur concrète à des velléités européennes longtemps restées au stade des déclarations.

Ce paquet comprend notamment le Cloud and AI Development Act (CADA) et le Chips Act 2.0, deux textes visant à encourager le développement de solutions souveraines en matière de cloud et de semi-conducteurs. Le CADA, inscrit comme point possible à l'ordre du jour de la réunion de la Commission du 27 mai, s'appuie sur l'article 114 du Traité sur le fonctionnement de l'Union européenne, celui qui fonde l'harmonisation du marché intérieur. Ce fondement juridique n'est pas anodin : il confère au texte une portée contraignante, contrairement aux innombrables cadres volontaires qui l'ont précédé.

Le CADA se distingue d'emblée de ses prédécesseurs en ce qu'il ne s'agit pas d'un cadre volontaire ni d'un simple ensemble de lignes directrices, mais bien d'une initiative législative bâtie sur une base réglementaire à effet direct dans l'ensemble des États membres. C'est là une rupture nette avec Gaia-X, le projet de fédération cloud paneuropéen lancé en 2019, qui a accumulé les désillusions faute de contrainte réelle. Rappelons d'ailleurs que des acteurs comme Scaleway ont décidé de l'abandonner : « Le 18 novembre dernier, nous avons annoncé que notre entreprise ne renouvellerait pas son adhésion au projet GAIA-X en 2022. Les objectifs de l’Association, quoique louables au départ, sont de plus en plus détournés et contrariés par un paradoxe de polarisation ayant pour conséquence de renforcer le statu quo, c’est-à-dire une concurrence déséquilibrée. Scaleway choisit de consacrer son temps, ses capitaux et son attention à améliorer son offre multicloud, un facteur clé pour une véritable réversibilité et ouverture », indiquait Yann Léchelle en décembre 2021.

Ce que la Commission envisage concrètement

Le volet le plus commenté du paquet porte sur les restrictions d'accès aux données publiques sensibles. Les géants américains du cloud (Microsoft, Amazon et Google) pourraient se voir limités dans leur capacité à traiter certaines catégories de données au nom d'organismes publics, notamment dans les domaines financier, judiciaire et sanitaire.

Les propositions ne viseraient pas à exclure totalement les prestataires étrangers des marchés publics, mais à restreindre leur usage pour le traitement des données sensibles dans les organismes du secteur public, selon la classification et la sensibilité des informations concernées. Autrement dit, AWS peut continuer à héberger un site institutionnel ; il ne peut plus, en revanche, traiter les dossiers médicaux de patients ou les données fiscales de contribuables européens.

L'idée centrale, selon l'un des fonctionnaires cités, est de « définir les secteurs qui doivent être hébergés sur des capacités cloud européennes ». Interrogé par CNBC, un porte-parole de la Commission a résumé l'esprit du texte ainsi : l'Europe « se réveille et prend les choses en main ». Le paquet entend, selon lui, améliorer les conditions pour les offres cloud souveraines, notamment via la commande publique, et favoriser l'entrée sur le marché d'un éventail plus large de prestataires.

Point notable : les nouvelles dispositions n'affecteraient pas les entreprises privées, qui resteraient libres de choisir la plateforme cloud de leur choix pour gérer leurs données propriétaires. La Commission cible donc exclusivement la sphère publique dans un premier temps, ce qui limite politiquement l'exposition aux objections commerciales, tout en préservant le levier réglementaire pour en élargir le périmètre ultérieurement.


Le CLOUD Act, épée de Damoclès transatlantique

Derrière la dimension purement technique se profile un contentieux juridique de fond : le CLOUD Act américain de 2018. Cette loi autorise les forces de l'ordre américaines à contraindre des entreprises basées aux États-Unis à fournir des données stockées sur leurs serveurs, quelle que soit la localisation physique de ces données. En d'autres termes, un data center AWS situé à Francfort ou Dublin ne protège pas les données européennes qui y transitent de potentielles injonctions américaines.

La portée exacte de cette loi sur les données détenues par des filiales étrangères reste juridiquement contestée, mais la préoccupation qu'elle suscite a conduit les trois grands hyperscalers à lancer leurs propres initiatives de « cloud souverain », ajoutant des couches de contrôle européen à une infrastructure dont la propriété reste américaine. AWS a ainsi inauguré son European Sovereign Cloud en Brandebourg en janvier 2026 ; Microsoft et Google ont suivi avec leurs propres offres labellisées « souveraineté ».

Ces solutions hybrides sont au cœur du débat. La conformité au RGPD concerne la manière dont les données sont collectées, traitées et protégées ; la souveraineté numérique garantit qu'aucun gouvernement étranger ne peut y accéder via une procédure judiciaire. Un prestataire peut être conforme au RGPD tout en restant exposé aux injonctions du CLOUD Act. Ces deux cadres légaux sont distincts, et la Commission européenne semble désormais décidée à ne plus confondre résidence des données et maîtrise juridique effective.

Le poids du contexte géopolitique

L'accélération du dossier est indissociable du détricotage progressif des relations transatlantiques sous l'administration Trump. En février 2026, des gouvernements européens ont indiqué à CNBC qu'ils exploraient des alternatives nationales et open source aux outils numériques américains, en augmentant leurs budgets pour la souveraineté numérique. La France a notamment annoncé en janvier le déploiement de Visio, un outil de visioconférence développé par l'État, destiné à remplacer Microsoft Teams et Zoom dans l'ensemble des services de l'État d'ici 2027.

En janvier 2026 également, l'UE reconnaissait officiellement se trouver face à un « problème significatif de dépendance aux pays non-membres dans la sphère numérique, susceptible de créer des vulnérabilités dans des secteurs critiques ». Le diagnostic était posé ; le remède législatif arrive maintenant.

En avril 2026, la Commission européenne avait également attribué un marché de 180 millions d'euros à quatre projets de cloud souverain européen pour la fourniture de services aux institutions et agences de l'UE, l'un d'eux impliquant un partenariat entre Thales et Google Cloud. Ce dernier point illustre à lui seul toute la tension inhérente à la démarche : en cherchant à promouvoir la souveraineté, l'Europe est contrainte de composer, au moins provisoirement, avec les acteurs dont elle cherche à s'émanciper.


Un écosystème européen encore lacunaire

La question de la faisabilité opérationnelle reste entière. Si les nouvelles règles étaient adoptées, les États membres seraient contraints de migrer leurs charges de travail critiques vers des infrastructures cloud européennes, ce qui remodèlerait un marché où les entreprises américaines détiennent actuellement environ 70 % des parts.

Or les alternatives européennes, bien qu'existantes, peinent encore à rivaliser sur l'étendue du catalogue de services. Les alternatives européennes les plus pertinentes incluent OVHcloud (infrastructure à grande échelle), Scaleway (IA, bare metal, services de plateforme flexibles), Exoscale (infrastructure orientée cloud natif et Kubernetes) et Hetzner (infrastructure à excellent rapport coût-performance). Ces acteurs progressent, mais certains observateurs soulignent qu'il n'existe pas encore d'équivalent européen capable de remplacer intégralement Amazon, Google, IBM, Oracle ou Microsoft.

Les hyperscalers américains conservent une longueur d'avance technique considérable sur le catalogue de services, et investissent massivement dans des offres souveraines spécifiques (AWS Sovereign Cloud en Brandebourg, Microsoft Cloud for Sovereignty, Google Cloud Sovereign Controls) pour rester dans la course réglementaire.

Le paquet s'articule autour de quatre piliers principaux : le développement du cloud et de l'IA, le Chips Act 2.0 et les technologies de calcul de prochaine génération, une stratégie open source européenne, et une feuille de route pour la numérisation du secteur de l'énergie. L'ambition dépasse ainsi largement le seul enjeu cloud pour embrasser une vision systémique de l'autonomie technologique européenne.

Un calendrier semé d'obstacles

Une fois présenté par la Commission, le paquet devra obtenir l'accord des 27 États membres, processus notoirement laborieux dans un espace politique aussi hétérogène. Des pays comme l'Irlande, hôtes de nombreux data centers américains et bénéficiaires d'une fiscalité avantageuse pour les multinationales tech, auront des intérêts divergents de ceux de la France ou de l'Allemagne.

Microsoft a d'ores et déjà appelé l'UE à éviter des mesures qui « discrimineraient les acteurs non-européens », invoquant les obligations de l'Organisation mondiale du commerce. L'argument du libre-échange sera inévitablement mobilisé par les prestataires américains, qui disposeront de relais politiques dans plusieurs capitales européennes.

Selon les institutions européennes, le CADA ne devrait pas être entièrement mis en œuvre avant 2027 au plus tôt. D'ici là, les migrations devront s'organiser, les certifications être délivrées, et les prestataires européens démontrer leur capacité à absorber une demande publique substantiellement accrue. Bruxelles parie que les mandats réglementaires parviendront à accomplir ce que les forces du marché n'ont pas réussi à faire : bâtir un écosystème cloud européen viable. Le pari est risqué, mais l'horizon géopolitique ne laisse plus guère d'autre choix.

Sources : CNBC, Parlement européen

Et vous ?

La ligne de partage public/privé est-elle tenable ? La Commission restreint ses propositions au seul secteur public pour limiter la résistance politique. Mais si une collectivité territoriale sous-traite la gestion de ses données à une entreprise privée utilisant AWS, la protection est-elle réellement garantie ? À quel moment le périmètre devra-t-il s'élargir ?

Les offres « cloud souverain » des hyperscalers sont-elles une solution ou un écran de fumée ? AWS Sovereign Cloud en Brandebourg, Microsoft Cloud for Sovereignty : ces constructions juridico-techniques répondent-elles à la menace du CLOUD Act, ou constituent-elles un emballage marketing destiné à maintenir la dépendance tout en neutralisant la pression réglementaire ?

L'Europe a-t-elle les moyens de ses ambitions ? OVHcloud, Scaleway, Hetzner et leurs homologues européens peuvent-ils réellement absorber les migrations massives exigées par le secteur public de 27 États membres ? Ou l'écart technique avec les hyperscalers est-il trop profond pour être comblé dans un délai réglementairement contraint ?

Quel impact sur les relations commerciales transatlantiques ? Dans un contexte de tensions tarifaires déjà vives avec Washington, une restriction explicite visant les clouds américains ne risque-t-elle pas d'alimenter une escalade et de fragiliser d'autres secteurs d'exportation européens ?

Voir aussi :

La DINUM quitte officiellement Windows pour Linux et impose à chaque ministère français un plan de souveraineté numérique avant l'automne 2026 : « L'État ne peut plus se contenter de constater sa dépendance »

France : il est demandé aux ministres d'abandonner WhatsApp, Telegram et Signal au profit d'Olvid, une app de messagerie française. Signal estime que la France dit n'importe quoi sur sa messagerie