CADA : l'Europe impose sa souveraineté cloud face aux US

Ce qui s'est passé

Le 3 juin 2026, la Commission européenne a officiellement adopté le Cloud and AI Development Act (CADA), un texte législatif qui redessine profondément les règles du jeu pour les marchés publics numériques au sein de l'Union européenne. Ce texte, présenté comme la réponse législative la plus structurée à ce jour aux enjeux de souveraineté technologique, établit un cadre de certification à quatre niveaux pour les prestataires cloud souhaitant répondre aux appels d'offres des administrations publiques des vingt-sept États membres. Il constitue la pièce maîtresse d'un paquet souveraineté tech plus large, présenté en même temps que des mesures sur la gouvernance des données d'IA et le renforcement du cadre NIS2.

Le CADA s'appuie sur un constat simple mais aux implications massives : l'écrasante majorité des infrastructures cloud utilisées par les administrations européennes sont hébergées chez des fournisseurs américains — Amazon Web Services, Microsoft Azure, Google Cloud — dont les maisons mères sont soumises au US Cloud Act de 2018. Cette loi américaine permet aux autorités fédérales des États-Unis d'exiger l'accès aux données stockées par des entreprises américaines, où que ces données se trouvent dans le monde, y compris sur des serveurs situés en Europe. Cette réalité juridique crée une tension fondamentale et non résolue avec le RGPD et les exigences de confidentialité des données gouvernementales sensibles, une situation que la Commission européenne qualifie désormais publiquement d'incompatibilité structurelle.

Le cadre de certification CADA définit quatre niveaux de souveraineté. Le niveau 1 correspond aux exigences minimales de conformité (chiffrement, journalisation, gestion des accès), accessibles à tous les prestataires. Le niveau 2 impose des garanties renforcées en matière de protection des données, de transparence opérationnelle et d'audit indépendant. Le niveau 3, requis pour les infrastructures publiques critiques — défense, justice, santé nationale, réseaux de communication — exige la propriété et le contrôle exclusifs par des entités de droit européen. Le niveau 4, réservé aux données classifiées et aux systèmes de souveraineté nationale, impose en outre des exigences de localisation physique strictes sur le territoire de l'UE et des procédures de sécurité alignées sur les normes OTAN et EU-SECRET.

C'est au niveau 3 que la rupture est la plus radicale pour les hyperscalers américains. En imposant une exigence de propriété européenne, le CADA exclut structurellement AWS, Microsoft Azure et Google Cloud en leur forme actuelle. En effet, même si ces trois acteurs opèrent des datacenters en Europe et proposent des options de résidence des données ou de cloud souverain, leurs maisons mères américaines restent soumises au US Cloud Act, ce qui invalide leur capacité à atteindre le niveau 3 tel que défini par le texte. La Commission européenne a explicitement reconnu cette incompatibilité lors de la présentation du CADA, en déclarant qu'il serait difficile pour les entreprises américaines d'atteindre les niveaux supérieurs de souveraineté en raison du US Cloud Act. Un commissaire européen a résumé l'enjeu d'une formule synthétique : "Nous voulons être certains que personne n'a de bouton d'arrêt sur nos infrastructures."

Le timing du CADA n'est pas anodin. La Commission européenne travaille sur ce texte depuis fin 2025, mais son adoption formelle intervient dans un contexte géopolitique particulièrement tendu. Les politiques commerciales et technologiques de l'administration Trump — droits de douane, pressions sur l'OTAN, incertitudes sur le respect des accords de transfert de données transatlantiques — ont considérablement accéléré les réflexions européennes sur l'autonomie stratégique numérique. Selon CNBC, qui a publié une enquête de fond le 3 juin 2026, des représentants de la Commission ont explicitement cité les incertitudes géopolitiques comme facteur d'accélération du processus législatif, aux côtés des préoccupations de longue date liées au Cloud Act.

Le 8 juin 2026, WIRED a publié une chronologie documentant des dizaines de gouvernements, entreprises, écoles, ONG et institutions publiques européennes qui ont déjà migré ou annoncé leur intention de migrer hors des plateformes technologiques américaines : Microsoft 365, Google Workspace, GitHub, AWS S3. Parmi les exemples documentés figurent des universités allemandes passées à des suites collaboratives open source (Nextcloud, OnlyOffice), des administrations françaises ayant migré leurs systèmes de messagerie vers des solutions souveraines, et des hôpitaux néerlandais ayant retenu des prestataires cloud certifiés locaux pour leurs dossiers patients. Cette vague de migrations, jusqu'ici fragmentée et peu visible, acquiert une nouvelle légitimité et une impulsion réglementaire avec le CADA.

Les chiffres de marché confirment et amplifient cette dynamique. Selon les projections de Gartner publiées en mai 2026, les dépenses mondiales consacrées au cloud souverain atteindront 80 milliards de dollars en 2026. La croissance européenne est particulièrement spectaculaire : +83 % en glissement annuel par rapport à une base de 6,9 milliards de dollars en 2025. Soixante et un pour cent des directeurs informatiques d'Europe occidentale déclarent vouloir augmenter leur recours à des fournisseurs cloud locaux dans les douze prochains mois. Ce mouvement bénéficie directement à des acteurs comme OVHcloud (France), IONOS et Hetzner (Allemagne), T-Systems, Deutsche Telekom Cloud, et une nouvelle génération de fournisseurs spécialisés comme Exoscale (Suisse) ou Infomaniak.

Sur le plan procédural, le CADA entrera en vigueur de façon progressive. Les administrations publiques européennes disposent d'une période de transition de dix-huit mois pour se mettre en conformité avec les exigences des niveaux 1 et 2. Les niveaux 3 et 4 seront obligatoires pour les nouveaux contrats à partir de janvier 2028, avec une clause de révision des contrats existants d'ici mi-2029. Cette temporalité laisse formellement aux fournisseurs américains le temps de développer des structures juridiquement autonomes en Europe — une option que Microsoft et Google explorent depuis plusieurs années via leurs programmes de cloud souverain opérés par des partenaires locaux, sans toutefois avoir réussi à se soustraire aux obligations du US Cloud Act.

Pourquoi c'est important

Le CADA représente bien plus qu'une mesure de protection du marché public européen : il cristallise une fracture géopolitique technologique qui s'est creusée progressivement depuis les révélations Snowden sur la surveillance NSA (2013), le RGPD (2018), l'invalidation du Privacy Shield par la Cour de Justice de l'UE (affaire Schrems II, 2020), et les tensions commerciales transatlantiques de l'ère Trump. Pour la première fois, un texte législatif européen établit explicitement une hiérarchie de confiance qui place les fournisseurs américains en dessous du seuil requis pour les marchés les plus sensibles, quelle que soit leur qualité technique. C'est un signal politique majeur et une opportunité structurelle pour les acteurs cloud européens qui peinent depuis des années à concurrencer les hyperscalers américains sur leurs avantages économiques d'échelle.

Pour les entreprises françaises et européennes qui opèrent comme sous-traitants des administrations publiques, les implications pratiques sont immédiates. Celles qui hébergent des données ou des traitements pour des clients publics devront revoir leurs architectures d'infrastructure pour se conformer au niveau CADA correspondant à la sensibilité des données manipulées. Cette mise en conformité représente un investissement — migration d'infrastructure, re-certification, formation — mais aussi une opportunité de renforcer leur positionnement commercial en obtenant des certifications CADA qui constitueront un critère de sélection discriminant dans les futurs appels d'offres publics. Pour les éditeurs de logiciels SaaS dont les hébergements actuels s'appuient sur AWS ou Azure, la question de la migration devient urgente.

Sur le plan de la conformité réglementaire, le CADA s'articule avec le RGPD, NIS2 et DORA pour former un écosystème normatif de plus en plus dense. Pour les entreprises opérant dans des secteurs régulés — finance, santé, énergie, télécommunications — il devient critique d'anticiper ces exigences dans les décisions d'architecture cloud dès aujourd'hui. Un contrat public signé sur une infrastructure AWS ou Azure sera potentiellement non conforme au niveau 3 dès janvier 2028 si le périmètre concerne des données d'infrastructure critique. Les directions juridiques, les DPO et les équipes de conformité doivent intégrer le CADA dans leurs analyses de risque contractuel et leurs plans d'architecture cloud pluriannuels.

La réaction des hyperscalers américains au CADA sera déterminante pour l'avenir du texte. Microsoft explore depuis 2024 une structure de cloud opéré localement via des partenaires européens indépendants, une approche similaire à celle développée en Allemagne avec T-Systems (Microsoft Cloud Deutschland). Google Cloud développe son programme Sovereign Cloud avec des partenaires comme Orange Business en France. Mais ces initiatives n'ont pas permis de se soustraire complètement au US Cloud Act, qui s'applique à la maison mère américaine indépendamment des structures opérationnelles locales. La vraie question juridique — une filiale européenne contrôlée à 100 % par une entreprise américaine est-elle soumise au Cloud Act ? — fait l'objet d'un débat doctrinal non tranché que le CADA va forcer à résoudre, possiblement par des décisions de justice qui feront jurisprudence en droit international des données.

Ce qu'il faut retenir

• Le CADA adopté par l'UE le 3 juin 2026 crée quatre niveaux de souveraineté cloud pour les marchés publics, excluant structurellement AWS, Azure et Google Cloud du niveau 3 (infrastructures critiques) en raison du US Cloud Act.
• Avec +83 % de croissance des dépenses cloud souveraines en Europe en 2026 (Gartner), le texte amplifie une dynamique de marché déjà très favorable aux acteurs européens du cloud.
• Les entreprises traitant des données publiques sensibles doivent anticiper dès maintenant les contraintes CADA : les niveaux 3 et 4 deviennent obligatoires pour les nouveaux contrats à partir de janvier 2028.