UE : le Cloud & AI Development Act cible les géants du cloud

Le grand découplage numérique : ce que contient le paquet souveraineté technologique de l'UE

Le 3 juin 2026, la présidente de la Commission européenne a présenté son European Technological Sovereignty Package — un ensemble de quatre initiatives législatives qui constitue le tournant le plus ambitieux de l'Union européenne en matière d'autonomie numérique depuis l'adoption du RGPD en 2016. Au coeur du dispositif : le Cloud and AI Development Act (CADA), accompagné du Chips Act 2.0, d'une stratégie open source européenne et d'une feuille de route numérique pour les réseaux d'énergie intelligents. La déclaration d'intention de la Commission est sans ambiguïté sur la motivation géopolitique : « Nous voulons être certains que personne ne dispose d'un kill switch sur nos infrastructures numériques. »

Le Cloud and AI Development Act est la pièce centrale du dispositif. Il introduit un système de certification cloud structuré en quatre niveaux d'assurance souveraine, destiné à être appliqué par les entités publiques en fonction de leur évaluation des risques associés aux données traitées. Ces quatre niveaux s'appliquent de manière unifiée aux services cloud (IaaS, PaaS, SaaS) et aux solutions d'intelligence artificielle déployées sur ces infrastructures — une décision qui reconnaît explicitement l'indissociabilité croissante du cloud et de l'IA dans les architectures modernes.

Le niveau 1 correspond à une certification baseline, alignée sur les standards internationaux actuels tels qu'ISO 27001 et SOC 2 Type II. Il est ouvert à tous les prestataires remplissant ces critères. Le niveau 2 exige que le prestataire démontre son indépendance opérationnelle vis-à-vis de pays tiers et garantisse la transparence de sa chaîne d'approvisionnement logicielle, notamment via des Software Bill of Materials (SBOM) vérifiables. À partir du niveau 3, les exigences deviennent nettement plus restrictives : la propriété effective et le contrôle opérationnel du fournisseur doivent être situés dans l'Union européenne, sans possibilité de subordination légale à une entité extra-européenne. Des critères additionnels peuvent inclure des exigences sur la nationalité du personnel ayant accès aux données classifiées. Le niveau 4, le plus élevé, requiert une transparence totale sur l'intégralité de la chaîne d'approvisionnement matérielle et logicielle, des audits permanents par des tiers accrédités européens, et l'exclusion absolue de toute interférence par des gouvernements de pays tiers.

Les entités publiques traitant des données qualifiées de « très sensibles » — incluant les informations de défense nationale, de sécurité publique, de santé à grande échelle et d'infrastructures critiques — seront tenues de recourir exclusivement à des services cloud certifiés niveau 3 ou 4. Cette obligation exclut mécaniquement Amazon Web Services, Microsoft Azure et Google Cloud Platform de ces marchés : ces trois acteurs, qui représentent ensemble plus de 60 % du marché mondial du cloud, sont des entités de droit américain soumises au Cloud Act de 2018. Ce texte contraint les prestataires cloud américains à fournir, sur demande des autorités fédérales américaines, l'accès à des données de leurs clients stockées à l'étranger — y compris en Europe.

Le volet cloud prévoit également l'introduction de critères « hors prix » obligatoires dans les appels d'offres publics des secteurs sensibles — bancaire, énergie, santé, administration centrale, défense. Ces critères incluent des exigences de logiciels et de matériels développés ou assemblés dans l'UE, ainsi que des conditions sur la localisation du personnel technique d'administration et de support. Ces dispositions ont été rédigées en coordination étroite avec les États membres les plus sensibles aux enjeux de souveraineté numérique, notamment la France, l'Allemagne et les Pays-Bas.

Le Chips Act 2.0, deuxième pilier du paquet, s'appuie sur le premier Chips Act de 2022 qui avait mobilisé 43 milliards d'euros pour relancer la production de semiconducteurs en Europe. La nouvelle version simplifie radicalement les mécanismes d'investissement : délai maximum de 12 mois pour l'autorisation de projets de fabrication de puces stratégiques (contre des délais parfois supérieurs à 4 ans actuellement), introduction de la notion de « Grands Défis » industriels permettant de flécher des financements vers des puces à haute valeur stratégique — notamment les processeurs dédiés à l'IA. L'objectif est de porter la part de marché européenne dans la production mondiale de semiconducteurs à 20 % d'ici 2030, contre environ 10 % aujourd'hui.

L'EU Open Source Strategy, troisième composante du paquet, vise à systématiser l'utilisation de logiciels open source dans les administrations publiques et à structurer un écosystème pérenne de financement des projets open source stratégiques. La Commission propose la création d'un Fonds européen de Cybersécurité Open Source, destiné à financer des audits de sécurité réguliers des bibliothèques critiques — une réponse directe aux incidents de supply chain type Log4Shell et XZ Utils. La feuille de route numérique pour les réseaux d'énergie encadre le déploiement de l'IA dans la gestion des smart grids, avec des exigences de souveraineté alignées sur les niveaux CADA.

La Commission prévoit de tripler la capacité des datacenters européens d'ici cinq à sept ans, via des mécanismes de financement mixtes public-privé : fonds de cohésion, InvestEU, crédits d'impôt nationaux harmonisés. Le texte doit maintenant suivre le processus législatif ordinaire de l'UE : examen par le Parlement européen, négociation avec le Conseil, adoption définitive, puis transposition dans les législations nationales. La Commission vise une entrée en vigueur d'ici fin 2027.

Un tournant réglementaire forgé par la dépendance stratégique et les tensions géopolitiques

Le Cloud & AI Development Act est la réponse structurée à une prise de conscience collective qui a mûri sur plusieurs années. La pandémie COVID-19 a exposé la dépendance des systèmes de santé et des communications gouvernementales européennes aux plateformes américaines. Les révélations de 2013 sur les programmes de surveillance de la NSA avaient mis en lumière les capacités d'accès aux données européennes que les autorités américaines s'étaient arrogées. Les tensions commerciales liées aux tarifs douaniers de l'administration Trump et les incertitudes sur la fiabilité du partenariat transatlantique ont convaincu les responsables européens que la dépendance numérique aux hyperscalers américains constituait un risque stratégique de premier ordre, comparable à la dépendance énergétique au gaz russe révélée par la guerre en Ukraine.

Du côté des acteurs américains du cloud, la réaction est prudente. Amazon, Google et Microsoft — dont le capex combiné dépasse 725 milliards de dollars en 2026 avec une part croissante en Europe — avaient toutes trois anticipé cette évolution en lançant des initiatives de « cloud souverain » en partenariat avec des entités européennes. Microsoft Azure opère notamment en partenariat avec Capgemini en France dans le cadre du label « Cloud de Confiance » ; Google Cloud développe des offres en partenariat avec des acteurs locaux en Allemagne et aux Pays-Bas. Ces modèles hybrides pourraient potentiellement satisfaire aux exigences du niveau 2 du CADA, mais difficilement aux niveaux 3 et 4 tant que la structure de contrôle ultime reste sous juridiction américaine.

L'initiative GAIA-X, lancée par l'Allemagne et la France en 2019 pour créer un écosystème de cloud européen fédéré, a largement échoué à s'imposer comme alternative crédible aux hyperscalers américains — paradoxalement parce que ces mêmes hyperscalers avaient rejoint l'initiative en la diluant dans ses ambitions souverainistes. Le CADA adopte une approche fondamentalement différente : plutôt que de créer un concurrent, il réglemente les conditions d'accès aux marchés publics pour forcer une différenciation par les critères souverains. Cette stratégie réglementaire est précisément celle qui a fonctionné avec le RGPD, dont l'effet mondial dépasse largement ce qu'une initiative industrielle européenne aurait pu atteindre.

Pour les directions informatiques et les RSSI des organisations opérant dans les secteurs réglementés, les implications sont concrètes et immédiates. Même si le CADA ne sera pas applicable avant 2027-2028, les appels d'offres lancés dès aujourd'hui pour des contrats pluriannuels de services cloud pourraient être concernés par les nouvelles exigences avant leur terme. Un audit rigoureux de la cartographie des données hébergées sur des plateformes non européennes — accompagné d'une évaluation de la sensibilité réglementaire et de la classification CADA applicable à chaque workload — est une démarche de prudence qui s'impose sans attendre l'entrée en vigueur formelle du texte.

Ce qu'il faut retenir

• Le CADA définit 4 niveaux de souveraineté cloud ; les niveaux 3 et 4 — requis pour les données publiques les plus sensibles — imposent une propriété et un contrôle 100 % européens, rendant inéligibles AWS, Azure et Google Cloud pour ces marchés.
• Le Chips Act 2.0 vise à porter la part européenne dans la production mondiale de semiconducteurs à 20 % d'ici 2030 en simplifiant les procédures d'autorisation (12 mois maximum) et en finançant des « Grands Défis » industriels sur les puces IA.
• Les entreprises des secteurs réglementés (santé, énergie, finance, administrations) doivent cartographier dès maintenant leurs workloads cloud et évaluer leur conformité anticipée avec les niveaux CADA qui leur seront applicables.