Bruxelles met une date sur la souveraineté du cloud
La loi sur le Cloud et l'IA, le règlement que la Commission européenne a dévoilé en juin, doit paraître au Journal officiel le 15 juillet 2026 et entre en vigueur le 4 août. C'est le premier cadre à l'échelle de l'UE qui indique aux administrations des secteurs sensibles, défense, justice, sécurité et infrastructures critiques, comment peser qui contrôle leur cloud avant de l'acheter.
La raison est un fait de marché. Trois fournisseurs américains, Microsoft, Amazon Web Services et Google, détiennent plus de 70 pour cent du marché européen du cloud, tandis que les fournisseurs européens plafonnent autour de 15 pour cent. Pendant des années, le débat sur la souveraineté a reposé sur des labels volontaires et des grilles de notation. C'est le moment où il devient une loi datée assortie d'une obligation d'achat.
Quatre niveaux, et où l'argent atterrit vraiment
La loi fixe quatre niveaux d'assurance. Le Niveau 1 exige des données hébergées sur des serveurs de l'UE et la garantie qu'aucune loi ne contraint le fournisseur à divulguer des failles logicielles à un pays tiers. Le Niveau 2 ajoute qu'aucun État étranger ne peut atteindre les données ni actionner un interrupteur d'arrêt. Le Niveau 3 exige que le fournisseur soit libre de tout contrôle d'un pays tiers, jusqu'au personnel. Le Niveau 4 réclame des composants et des produits sans aucune ingérence étrangère et la plus haute certification de cybersécurité.
La répartition est la partie que la plupart des titres manquent. La Commission attend environ 70 pour cent des contrats au Niveau 1, environ 20 pour cent au Niveau 2, moins de 10 pour cent au Niveau 3 et environ 1 pour cent au Niveau 4. Autrement dit, l'essentiel du cloud public en Europe admet encore les hyperscalers. La loi ne les chasse pas, elle les note, et elle réserve les niveaux stricts à la petite part de charges où le contrôle ne se négocie pas.
Les sorties de secours ont été écrites exprès
Deux dérogations amortissent l'impact à dessein. L'article 30 autorise une exception lorsqu'aucun service alternatif adéquat ou raisonnable n'existe, un écho de l'affaire de 2023 où la France a conclu que seul Microsoft pouvait exploiter son Health Data Hub. L'article 18 ouvre une voie aux fournisseurs de pays tiers associés couverts par une décision d'adéquation de l'UE, une porte qui pourrait en principe inclure les États-Unis, même si les exigences contre l'interrupteur d'arrêt pourraient encore les écarter.
Cette structure dit comment lire le court terme. Un acheteur européen n'est pas tenu d'arracher AWS ou Azure cette année. Le travail immédiat est le classement : rattacher chaque contrat à un niveau, le documenter et défendre le choix. La question de la souveraineté passe du slogan à une ligne d'un dossier de marché, un changement plus modeste que ne le suggère la rhétorique et plus durable.
Le vrai levier est du béton, pas du droit
L'ambition la plus dure de la loi est physique. Elle vise à au moins tripler la capacité des centres de données de l'UE en cinq à sept ans et cherche à dégager la voie avec des permis plus rapides et un meilleur accès à l'énergie, au foncier, à l'eau et au financement. Ses trois piliers, recherche, capacité et autonomie, placent la construction au même rang que les règles, car une souveraineté qu'on ne peut héberger reste une affirmation de papier.
Le calendrier confirme où sont les dents. Le règlement entre en vigueur le 4 août 2026, mais le premier niveau d'exigences de souveraineté s'applique à partir de février 2028 et le plus haut niveau devient obligatoire d'ici août 2029. L'horloge de la conformité et celle du chantier avancent ensemble, et les fournisseurs disposant d'une capacité contrôlée par l'UE sur le terrain en 2028 sont ceux que les niveaux stricts ont été écrits pour favoriser.
Ce qu'un dirigeant fait avant août
Le geste pratique est un inventaire du cloud lu à travers les quatre niveaux : quelles charges un ordre étranger pourrait perturber, lesquelles relèvent de secteurs sensibles et lesquelles échoueraient aujourd'hui à un test de Niveau 3. Les entreprises qui vendent du cloud ou du logiciel à des organismes publics européens affrontent l'envers de cette question, car leurs clients demanderont bientôt un niveau, pas un logo. Le conflit transatlantique est réel : un fournisseur pris entre une requête de l'US CLOUD Act et une assurance CADA affronte un choix impossible, et ce risque relève désormais de l'évaluation des fournisseurs.
Il vaut la peine de garder le plafond honnête. Comme le note l'analyste juridique Kenneth Propp, l'UE a déjà tenté des instruments de souveraineté, du statut de blocage au Data Act, avec un effet pratique limité, et l'existence même de CADA se lit plus comme un symptôme d'une faible confiance transatlantique que comme un remède. La loi n'éteint pas les clouds américains cette année. Elle attache à la dépendance un prix daté et noté, et les dirigeants qui cartographient ce prix maintenant ne seront pas ceux qui courront en 2028.
À lire ensuite: Une nouvelle porte sur vos contrats cloud | PEGI classe désormais votre modèle économique



