CADA : l'UE veut bloquer AWS et Azure des secteurs sensibles

Le CLOUD Act américain au cœur de la rupture numérique entre Washington et Bruxelles

À quatre jours du sommet numérique le plus attendu de l'année, la Commission européenne finalise les détails de son Tech Sovereignty Package, dont la présentation est prévue le 27 mai 2026 à Bruxelles. Ce paquet législatif, qui comprend notamment le Cloud and AI Development Act (CADA) et une révision du Chips Act, cristallise plusieurs années de tensions croissantes entre les institutions européennes et les grands fournisseurs de services cloud américains. Selon des sources proches du dossier citées par CNBC, les négociations internes portent sur la portée exacte des restrictions envisagées — notamment sur quels secteurs et quels types de données tomberaient sous le coup des nouvelles règles.

Le catalyseur central de cette initiative est le CLOUD Act américain (Clarifying Lawful Overseas Use of Data Act), adopté en 2018. Cette loi permet aux autorités judiciaires américaines — FBI, DoJ, agences fédérales — de contraindre des entreprises technologiques américaines à fournir des données stockées sur leurs serveurs, y compris des serveurs physiquement situés en Europe, sans nécessiter de coopération judiciaire formelle avec les États concernés. En pratique, une donnée de santé d'un citoyen français stockée sur un datacenter Azure situé à Paris reste accessible aux autorités américaines si Microsoft reçoit une injonction légale en vertu du CLOUD Act — et ce, sans que les autorités françaises ou européennes ne soient nécessairement informées ni consultées.

La Commission européenne a formalisé cette préoccupation dans un document de travail interne cité par CNBC, reconnaissant un "problème significatif de dépendance vis-à-vis de pays non-membres de l'UE dans la sphère numérique, créant potentiellement des vulnérabilités, y compris dans des secteurs critiques". Ce constat n'est pas nouveau — il remonte aux révélations Snowden de 2013 — mais l'environnement géopolitique de 2025-2026, marqué par les tensions commerciales transatlantiques et la montée d'une rhétorique protectionniste à Washington, a précipité le passage à l'acte législatif après des années de tergiversations.

Concrètement, le CADA tel qu'il est envisagé ne constituerait pas une interdiction totale des fournisseurs cloud américains dans les marchés publics européens. Les restrictions seraient ciblées sur les traitements impliquant des données dites "hautement sensibles" dans des secteurs spécifiques : les données de santé des patients dans les systèmes hospitaliers publics, les données financières traitées par les régulateurs et les organismes de supervision bancaire, les données judiciaires et de renseignement, et les infrastructures critiques au sens de la directive NIS2. Les administrations publiques souhaitant continuer à utiliser AWS, Azure ou GCP pour ces usages devront démontrer le recours à des solutions techniques garantissant que les données restent hors de portée du CLOUD Act.

Google Cloud a déjà anticipé ce mouvement en annonçant lors de Google Cloud Next 2026 de nouveaux contrôles de souveraineté et un chiffrement côté client permettant aux clients de verrouiller le traitement et le stockage des données sur le territoire américain ou européen selon le contrat. Microsoft a étendu son offre "EU Data Boundary" — une architecture où les données des clients européens ne quittent jamais les centres de données de l'UE et de l'EEE. Amazon Web Services a accéléré le déploiement de sa gamme "AWS European Sovereign Cloud" en Allemagne, présentée comme une réponse directe aux inquiétudes réglementaires européennes. Ces adaptations sont réelles mais insuffisantes pour les partisans d'une souveraineté stricte.

Pour les critiques de ces solutions, le problème reste entier tant que ces offres sont fournies par des entreprises soumises au droit américain. Le CLOUD Act ne portant pas sur l'emplacement géographique des données mais sur la nationalité de l'entreprise qui les contrôle, même un datacenter certifié "100% européen" exploité par AWS reste théoriquement soumis à des injonctions américaines. C'est précisément cette logique qui pousse la Commission à envisager des restrictions pour les données les plus sensibles, orientant les administrations vers des solutions alternatives : fournisseurs cloud européens souverains comme OVHcloud, Scaleway ou Deutsche Telekom Cloud, solutions on-premise, ou architectures hybrides avec chiffrement E2E géré exclusivement en Europe.

Le package comprend également le Chips Act 2.0, qui alloue des subventions supplémentaires pour l'industrie des semi-conducteurs européenne afin de réduire la dépendance vis-à-vis des chaînes d'approvisionnement asiatiques et américaines. L'ensemble de l'initiative s'inscrit dans une doctrine de "strategic autonomy" que la Commission Von der Leyen II a placée au cœur de son mandat 2024-2029, avec l'objectif déclaré de faire de l'Europe une puissance technologique souveraine capable de résister aux pressions géopolitiques et juridiques externes.

Une fois présenté par la Commission le 27 mai 2026, le package devra encore obtenir l'accord des 27 États membres au Conseil de l'UE, puis passer par le trilogue avec le Parlement européen. Les experts juridiques consultés par TechRadar estiment que la mise en application effective ne pourrait intervenir avant 2027-2028 au plus tôt. Mais l'annonce elle-même aura un effet immédiat sur les négociations contractuelles entre les administrations publiques et les fournisseurs cloud, et devrait accélérer les projets de migration vers des alternatives souveraines déjà à l'étude dans plusieurs États membres dont la France, l'Allemagne et les Pays-Bas.

Pourquoi cette initiative change le paysage cloud européen pour les prochaines années

Le Tech Sovereignty Package arrive à un moment où le marché du cloud européen atteint un point d'inflexion. Selon les données de Synergy Research Group pour le premier trimestre 2026, AWS, Azure et GCP représentent encore environ 68 % du marché cloud européen total — une part qui n'a pratiquement pas bougé depuis 2023 malgré les initiatives souverainistes successives. Les alternatives européennes, fragmentées et souvent moins matures sur le plan des fonctionnalités, peinent à convaincre les directions informatiques habituées aux écosystèmes intégrés des hyperscalers américains.

La réglementation pourrait changer cet équilibre de manière plus significative que tous les appels à la souveraineté précédents. Les directives contraignantes ont une force que les initiatives volontaires n'ont pas : le RGPD en est l'illustration parfaite — présenté comme une contrainte excessive à son adoption en 2018, il est devenu un standard de facto qui a redéfini les pratiques mondiales de protection des données. Si le CADA suit le même chemin, il pourrait créer un effet de levier réglementaire suffisant pour accélérer la montée en puissance des acteurs cloud européens, en particulier sur les marchés public et parapublic représentant des dizaines de milliards d'euros de contrats annuels en Europe.

Pour les prestataires de services numériques travaillant avec le secteur public européen, l'anticipation est déjà en cours. Plusieurs grands intégrateurs français — Capgemini, Sopra Steria, Atos — se positionnent sur des offres "cloud de confiance" certifiées SecNumCloud par l'ANSSI, le label français de cybersécurité pour les services cloud accueillant des données sensibles. La certification SecNumCloud exige notamment que le prestataire ne soit pas soumis à des lois extraterritoriales pouvant conduire à la divulgation de données sans base légale européenne — une exigence qui exclut de facto les filiales européennes d'AWS, Azure et GCP dans leur configuration actuelle, forçant ces acteurs à envisager des restructurations juridiques profondes pour accéder à ce marché.

Pour les DSI et RSSI d'organisations traitant des données potentiellement couvertes par le futur CADA, le moment est venu d'initier un audit de la cartographie des données sensibles hébergées sur des clouds américains et d'évaluer les scénarios de migration ou de rehébergement. La fenêtre de transition sera probablement de deux à trois ans, mais les projets de migration cloud sont complexes et coûteux — commencer la planification maintenant permettra d'éviter une migration forcée dans l'urgence sous contrainte réglementaire. Le 27 mai 2026 marquera le début d'un nouveau chapitre de la relation entre l'Europe et les hyperscalers américains, avec des implications concrètes pour l'ensemble des acteurs du marché IT public européen.

Ce qu'il faut retenir

• Le CADA, présenté le 27 mai 2026, vise à restreindre AWS, Azure et GCP pour les données sensibles (santé, finance, justice) du secteur public européen — sans interdire ces clouds pour les entreprises privées dans l'immédiat.
• Le CLOUD Act américain de 2018 est la raison fondamentale : il permet aux autorités US de contraindre des entreprises américaines à livrer des données stockées en Europe, indépendamment du RGPD et des engagements contractuels.
• Anticipez dès maintenant : cartographiez vos données sensibles sur clouds américains, évaluez les offres certifiées SecNumCloud et planifiez des scénarios de migration avant que la contrainte réglementaire ne s'applique en 2027-2028.