Ce que le projet propose réellement
Le 3 juin 2026, la Commission européenne a adopté une proposition de Cloud and AI Development Act, connu sous le nom de CADA. Il s'agit d'une proposition, et non d'une loi en vigueur. Elle doit encore passer par la négociation entre le Parlement européen et le Conseil, et sa formulation peut évoluer avant qu'une partie quelconque ne devienne contraignante. C'est donc un signal sur une direction, pas une règle à respecter aujourd'hui. La direction, cependant, est suffisamment claire pour que l'on puisse s'y préparer.
La partie qui compte pour les acheteurs est un cadre unique à l'échelle de l'UE qui classe les fournisseurs de cloud et d'IA selon quatre niveaux d'assurance de l'Union. Le niveau le plus bas est conçu comme le socle pour servir le secteur public, avec des exceptions étroites. Les niveaux supérieurs s'appliquent lorsqu'un fournisseur soutient des fonctions liées à l'ordre public, à la suite d'une évaluation des risques par les États membres et les organes de l'Union, dans des secteurs tels que l'énergie, la santé, les transports, l'eau, les forces de l'ordre, la gestion des frontières, la sécurité nationale et la défense. En bref, plus le rôle est sensible, plus le fournisseur doit franchir une barre élevée.
Pourquoi les hyperscalers US atteignent un plafond
Les niveaux d'assurance supérieurs regarderaient au-delà de l'emplacement du centre de données pour examiner qui détient le fournisseur, qui contrôle ses opérations, et si le service peut être protégé du droit hors UE. C'est ce dernier critère qui pose une limite structurelle aux grands fournisseurs américains. En vertu du CLOUD Act américain, une entreprise dont le siège est aux États-Unis peut être contrainte de remettre les données qu'elle contrôle, quel que soit l'endroit du monde où ces données se trouvent physiquement. Une région de données européenne ne supprime pas cette portée.
Il ne s'agit pas d'affirmer qu'AWS, Microsoft ou Google sont peu sûrs, ni que la plupart des charges de travail sont concernées. Pour la grande majorité des données d'entreprise, ils restent des choix solides et courants. Le propos est plus étroit et il concerne le haut de l'échelle. Pour les catégories les plus sensibles visées par le projet, un fournisseur contrôlé par les États-Unis ne peut pas garantir pleinement l'isolement juridique, car un ordre juridique étranger peut toujours faire valoir une prétention sur les données. C'est une question de juridiction, pas d'ingénierie, et c'est pourquoi les critères exacts par niveau figurant dans les annexes du projet méritent d'être suivis à mesure que le texte est négocié.
Transformer la dépendance en contrôle d'achat
Pendant des années, la souveraineté du cloud a été traitée comme un risque de dépendance abstrait, facile à noter et facile à reporter. Le CADA le recadre en quelque chose de concret : une porte au moment de la signature. Si un contrat touche des données régulées ou réellement sensibles, la juridiction dont dépend votre fournisseur devient une clause de l'accord, et non une note de bas de page. Ce changement récompense les acheteurs qui posent la question tôt et pénalise ceux qui la découvrent lors d'un audit ou d'un renouvellement.
La réponse mesurée est une évaluation du risque juridictionnel avant de signer ou de renouveler. Cartographiez lesquelles de vos données relèveraient des catégories sensibles décrites par le projet, identifiez qui détient et contrôle en dernier ressort chaque fournisseur, et vérifiez ce que disent vos contrats sur l'accès juridique étranger, la localisation des données et la sortie. Là où le risque est réel, vous pouvez conserver les charges de travail courantes là où elles sont et n'orienter que le niveau sensible vers un fournisseur capable d'atteindre un niveau d'assurance supérieur. Rien de tout cela n'est un conseil juridique, et le texte peut évoluer, mais l'évaluation elle-même coûte peu et vous positionne bien quelle que soit la forme finale de la loi.
À lire ensuite: Votre IA parle désormais en votre nom · Une échéance quantique vise vos fournisseurs