CADA : l'UE présente sa loi de souveraineté cloud et IA

Bruxelles présente son arsenal législatif pour l'indépendance numérique

Après deux reports successifs — initialement prévu en mars 2026, puis repoussé à avril avant d'être finalement inscrit à l'agenda du 27 mai —, la Commission européenne présente aujourd'hui son "Tech Sovereignty Package", un ensemble législatif ambitieux destiné à renforcer l'autonomie stratégique numérique de l'Union européenne. La pièce maîtresse est le Cloud and AI Development Act (CADA), accompagné d'une révision du Chips Act baptisée Chips Act 2.0, selon les informations du Legislative Train Schedule du Parlement européen et de l'organisation Kiteworks.

Le CADA répond à une préoccupation croissante des États membres concernant leur dépendance aux hyperscalers américains — principalement Amazon Web Services, Microsoft Azure et Google Cloud Platform — pour le traitement de données gouvernementales sensibles. Selon des sources proches des négociations citées par CNBC début mai 2026, la Commission a examiné des options allant de recommandations non contraignantes à des exigences strictes obligeant les administrations publiques à héberger les données financières, judiciaires et sanitaires sur des infrastructures cloud répondant à des critères de souveraineté européenne définis par la loi.

Le texte présenté vise un objectif quantitatif ambitieux : tripler la capacité de data centres de l'Union européenne d'ici 2030. Pour y parvenir, le CADA prévoit une simplification réglementaire pour la construction et l'exploitation de centres de données, notamment en harmonisant les procédures d'autorisation entre les États membres — actuellement très disparates et constituant un frein majeur à l'investissement. Les délais d'autorisation pour les projets de data centres pourraient être plafonnés à douze mois dans le cadre du nouveau régime réglementaire.

Le cœur du texte repose sur la définition d'un cadre juridique précis pour le concept de "cloud souverain européen". Selon les documents préparatoires consultés par le Legislative Train du Parlement européen, le CADA établirait des critères d'éligibilité pour les fournisseurs de services cloud souhaitant accéder aux marchés publics de l'UE. Ces critères incluraient des exigences relatives à la localisation des données, au contrôle des accès par des entités soumises à des lois étrangères à portée extraterritoriale, et à la résidence des équipes d'administration des systèmes.

Cette dernière dimension vise directement le CLOUD Act américain (Clarifying Lawful Overseas Use of Data Act), qui permet aux autorités américaines de contraindre les entreprises technologiques soumises à la juridiction des États-Unis — y compris leurs filiales étrangères — à communiquer des données hébergées dans n'importe quel pays. L'incompatibilité structurelle entre le CLOUD Act américain et le RGPD européen constitue un risque juridique permanent pour les entreprises et administrations européennes utilisant des services cloud américains pour des données sensibles.

Le Chips Act 2.0, inclus dans le même paquet législatif, vise à prolonger et renforcer les objectifs du Chips Act de 2023, qui avait pour ambition de porter la part de l'Europe dans la production mondiale de semi-conducteurs à 20 % d'ici 2030. Face aux investissements massifs engagés par les États-Unis via le CHIPS and Science Act, et aux capacités de production en forte croissance de la Corée du Sud, du Japon et de Taïwan, la Commission propose d'ajuster les mécanismes de soutien et d'élargir le périmètre aux puces spécialisées pour l'IA.

Le secteur de l'industrie technologique a réagi avec prudence. Des représentants d'AWS et de Microsoft ont exprimé des inquiétudes quant aux potentielles restrictions d'accès aux marchés publics européens, tandis que des acteurs comme OVHcloud, Deutsche Telekom T-Systems et Orange Business ont accueilli favorablement une initiative susceptible de créer un avantage compétitif pour les fournisseurs certifiés souverains. L'organisation de lobbying DigitalEurope avait appelé à une approche basée sur les risques plutôt que des restrictions systématiques par fournisseur.

Le processus législatif ne fait que commencer. La présentation par la Commission marque le début d'un parcours qui devra passer par le Parlement européen et le Conseil, avec des négociations en trilogue susceptibles de s'étendre sur 18 à 24 mois avant l'adoption du texte final. Les premières réactions des eurodéputés du groupe PPE soulignent l'importance de ne pas créer de barrières protectionnistes contraires aux règles de l'OMC, tandis que les socialistes et les Verts insistent sur la nécessité d'exigences contraignantes pour les données les plus sensibles.

La souveraineté numérique, nouveau paradigme de la politique industrielle européenne

La présentation du Tech Sovereignty Package s'inscrit dans un contexte de refonte profonde des relations transatlantiques en matière de technologie. Depuis le retour au pouvoir de l'administration Trump en janvier 2025, les tensions commerciales entre les États-Unis et l'Europe se sont intensifiées, avec des menaces de tarifs douaniers sur les produits technologiques et une remise en question des mécanismes de transfert de données. Dans ce contexte, la dépendance de l'Europe aux hyperscalers américains est perçue comme une vulnérabilité géopolitique autant que comme une question de protection des données personnelles.

Le CADA s'inscrit dans une architecture réglementaire déjà dense, venant s'ajouter au RGPD, à la directive NIS 2, au règlement DORA pour le secteur financier, au Data Act et à l'AI Act. Cette accumulation de textes crée une complexité réglementaire que les entreprises européennes devront naviguer, même si la Commission affirme que le CADA vise précisément à simplifier certaines procédures. La cohérence entre ces différents textes sera un enjeu majeur des discussions législatives à venir, notamment sur les interactions avec les obligations de localisation des données prévues par NIS 2 et DORA.

Le précédent du schéma de certification européen EUCS illustre les difficultés politiques attachées à ce dossier. Le premier projet de l'ENISA incluait des exigences de souveraineté qui auraient de facto exclu les hyperscalers américains des niveaux de certification les plus élevés, avant que ces exigences ne soient assouplies sous la pression de plusieurs États membres. Le CADA devra naviguer les mêmes tensions entre souveraineté technologique et ouverture commerciale transatlantique.

Pour les entreprises françaises et européennes, les enjeux pratiques sont considérables. Les administrations publiques utilisant des services Microsoft 365, Google Workspace ou AWS pour des données sensibles devront probablement effectuer une évaluation de conformité au regard des futurs critères du CADA. Les fournisseurs qualifiés SecNumCloud par l'ANSSI, comme OVHcloud, bénéficient déjà d'un positionnement favorable, et l'harmonisation européenne du concept de souveraineté cloud pourrait ouvrir la voie à un label commun reconnu dans les 27 États membres, renforçant la position des acteurs européens face à la concurrence des hyperscalers.

Ce qu'il faut retenir

• La Commission européenne lance le Cloud and AI Development Act (CADA) ce 27 mai 2026 : un cadre visant à tripler les data centres européens, définir le "cloud souverain" et restreindre les marchés publics aux fournisseurs conformes aux critères de souveraineté.
• Le texte cible indirectement la portée extraterritoriale du CLOUD Act américain, incompatible avec le RGPD, et représente la réponse législative la plus ambitieuse de l'UE à sa dépendance vis-à-vis des hyperscalers américains.
• Les DSI et RSSI des organisations publiques et des secteurs réglementés (finance, santé, énergie) doivent anticiper dès maintenant une cartographie de leurs usages cloud pour identifier les données soumises aux futures exigences de souveraineté.