En bref

  • La Commission européenne a notifié le 25 juin 2026 à Amazon et Microsoft sa décision préliminaire de les désigner gatekeepers cloud sous le Digital Markets Act (DMA).
  • AWS et Azure contrôlent ensemble 65 à 70 % des revenus cloud en Europe ; leur désignation imposerait des obligations d’interopérabilité, de portabilité des données et d’interdiction du self-preferencing.
  • Les deux entreprises ont jusqu’en septembre 2026 pour soumettre leurs observations ; la décision finale est attendue en octobre 2026, dans un contexte de tensions transatlantiques sur les contrôles à l’exportation IA.

La Commission européenne classe AWS et Azure comme gatekeepers : une décision historique pour le marché cloud

Le 25 juin 2026, la Commission européenne a franchi une étape majeure dans sa politique de régulation des marchés numériques en notifiant officiellement Amazon Web Services et Microsoft Azure de sa décision préliminaire de les désigner comme gatekeepers — ou contrôleurs d’accès — au sens du Digital Markets Act (DMA). Cette désignation, si elle est confirmée par la décision finale attendue en octobre 2026, placerait les deux plus grands acteurs du cloud mondial sous un régime réglementaire contraignant, avec des obligations inédites d’interopérabilité, de portabilité des données et d’interdiction des pratiques d’auto-préférence.

La procédure qui a mené à cette décision préliminaire s’est ouverte en novembre 2025, lorsque la Commission a lancé une investigation formelle sur le marché du cloud après avoir conclu qu’Amazon et Microsoft « occupent des positions très solides » dans ce secteur. Pendant sept mois, les équipes de la DG CONNECT ont analysé la structure du marché, les pratiques tarifaires, les conditions contractuelles, les mécanismes de migration et les liens entre les services cloud et les portefeuilles logiciels des deux géants. Des auditions ont été menées auprès des clients cloud, des concurrents et des associations sectorielles, notamment CISPE (Cloud Infrastructure Services Providers in Europe).

Les conclusions préliminaires s’appuient sur des données de marché particulièrement significatives. Selon les chiffres du cabinet Synergy Research Group pour le premier trimestre 2026, AWS et Azure détenaient conjointement entre 65 et 70 % des revenus cloud en Europe. Google Cloud se positionne en troisième place avec environ 12 %, tandis que les acteurs européens — OVHcloud, IONOS, Scaleway — restent marginaux en termes de parts de marché. Cette concentration est jugée excessive par la Commission, qui estime qu’elle crée des barrières à l’entrée structurelles pour les concurrents et des dépendances difficiles à rompre pour les clients.

L’aspect le plus remarquable de cette décision préliminaire réside dans son fondement juridique. La Commission a appliqué le statut de gatekeeper à AWS et Azure sans que ces deux entités n’atteignent les seuils quantitatifs fixés par le texte du DMA — notamment en termes de capitalisation boursière ou de nombre d’utilisateurs actifs dans les services cloud B2B. Il s’agit d’une première dans l’histoire du règlement : la Commission invoque la clause dite « qualitative » du DMA, qui lui permet de désigner un acteur comme gatekeeper sur la base de son importance systémique constatée, même en deçà des seuils numériques. Cette interprétation extensible du DMA est contestée par les deux entreprises et par plusieurs observateurs juridiques, qui y voient une décision potentiellement fragilisable en appel devant la Cour de justice de l’Union européenne.

Les obligations qui découleraient de la désignation gatekeeper sont substantielles. Sur l’interopérabilité, AWS et Azure seraient tenus de garantir que leurs services cloud fonctionnent de manière transparente avec des plateformes tierces, notamment via des API standardisées et des protocoles ouverts. Sur la portabilité des données, les clients auraient le droit de migrer l’ensemble de leurs données et configurations vers un autre fournisseur cloud sans frais techniques excessifs ni périodes d’embargo contractuel. Sur l’auto-préférence, il serait interdit de favoriser ses propres services dans les résultats de recherche, les intégrations par défaut ou les offres groupées avec d’autres produits — une pratique actuellement courante via le couplage entre Office 365 et Azure pour Microsoft, ou entre les services AWS et l’écosystème Amazon.

Le calendrier réglementaire prévoit qu’Amazon et Microsoft disposent jusqu’en septembre 2026 pour soumettre leurs observations écrites à la Commission. Des tables rondes techniques avec les parties prenantes — clients, concurrents, associations — se sont tenues le 1er juillet 2026, portant sur l’interopérabilité technique, l’économie des achats cloud et les conditions contractuelles de migration. La décision finale est attendue pour octobre 2026, un calendrier qui coïncide avec les négociations commerciales actives entre l’Union européenne et les États-Unis, notamment sur les contrôles à l’exportation des technologies IA.

Du côté de Washington, la décision a suscité des réactions vives. Plusieurs membres du Congrès américain ont qualifié la démarche de la Commission de « protectionnisme déguisé », arguant qu’elle vise essentiellement à handicaper les acteurs américains au bénéfice de concurrents européens moins compétitifs. Le cabinet de lobbying d’Amazon a diffusé un mémorandum soulignant que la désignation gatekeeper entraînerait une réduction des investissements d’AWS en Europe, estimés à plusieurs dizaines de milliards d’euros dans les data centers européens entre 2024 et 2030. Microsoft a adopté une posture plus nuancée, rappelant son engagement en matière de souveraineté des données avec ses offres EU Data Boundary.

L’Institut pour la technologie de l’information et l’innovation (ITIF), think tank américain, a publié le 2 juillet 2026 une analyse critique contestant la logique économique de la désignation et arguant que les bénéfices pour les consommateurs européens restent non démontrés. À l’inverse, l’association CISPE et plusieurs DSI de grandes entreprises européennes ont salué la décision, estimant qu’elle permettrait de réduire les coûts de migration et d’éviter les effets de verrouillage fournisseur qui caractérisent actuellement le marché cloud européen.

Pourquoi cette décision pourrait remodeler profondément le marché cloud européen

La désignation d’AWS et d’Azure comme gatekeepers sous le DMA, si elle est confirmée, représenterait le changement réglementaire le plus significatif pour le secteur cloud depuis la mise en application du RGPD en 2018. Ses implications pratiques pour les DSI, les RSSI et les architectes cloud des entreprises européennes sont multiples et méritent une attention particulière.

Sur la question du vendor lock-in, l’obligation de portabilité des données et d’interopérabilité technique constituerait une avancée majeure. Aujourd’hui, migrer d’AWS vers Azure — ou vers tout autre fournisseur — implique des coûts de sortie considérables : frais d’egress data, réécriture des applications dépendantes de services propriétaires (Lambda vs Azure Functions, DynamoDB vs CosmosDB, S3 vs Blob Storage), et renégociation de contrats pluriannuels avec des clauses pénalisantes. Si le DMA impose une standardisation de ces interfaces, le coût réel de la stratégie multi-cloud s’en trouverait significativement réduit, rééquilibrant le rapport de force contractuel en faveur des acheteurs.

Sur la dimension IA, la Commission a explicitement mentionné dans ses conclusions préliminaires la question des « écosystèmes IA » construits autour des plateformes cloud. AWS Bedrock, Azure OpenAI Service et les solutions MLOps intégrées de ces deux acteurs créent des dépendances techniques profondes, car les modèles entraînés et les données d’apprentissage stockées dans ces environnements propriétaires sont difficiles à extraire et à réutiliser sur des plateformes concurrentes. La Commission estime que ces verrouillages IA constituent une dimension émergente du problème du gatekeeper qui doit être traitée dans le cadre du DMA.

Pour les RSSI, la décision soulève une question de sécurité spécifique : si les obligations d’interopérabilité imposent l’ouverture d’API standardisées entre plateformes cloud, ces interfaces supplémentaires constituent potentiellement de nouvelles surfaces d’attaque. La conception de protocoles d’interopérabilité sécurisés, incluant authentification mutuelle forte, chiffrement des flux inter-cloud et journalisation des accès, sera un enjeu technique majeur de la mise en conformité DMA pour les acteurs concernés.

Ce qu’il faut retenir

  • La Commission européenne a préliminairement désigné AWS et Azure gatekeepers cloud sous le DMA — une première — imposant potentiellement portabilité des données, interopérabilité et interdiction d’auto-préférence.
  • La décision finale est attendue en octobre 2026 ; les DSI et acheteurs cloud doivent anticiper dès maintenant les nouvelles possibilités de négociation contractuelle et de migration que cette désignation pourrait ouvrir.
  • Les tensions transatlantiques autour de cette décision risquent de peser sur les négociations UE-USA en cours sur les contrôles à l’exportation des technologies IA.

Qu’est-ce que le Digital Markets Act impose concrètement à un gatekeeper cloud ?

Le DMA impose aux gatekeepers désignés une liste d’obligations dites « per se » : interdiction de favoriser leurs propres services dans les classements et intégrations par défaut (auto-préférence), obligation de permettre la portabilité des données des clients vers des plateformes concurrentes sans frais techniques prohibitifs, obligation d’interopérabilité avec les services tiers sur demande raisonnable, et interdiction d’utiliser les données non publiques des clients professionnels pour concurrencer ces mêmes clients. Le non-respect expose les entreprises à des amendes pouvant atteindre 10 % du chiffre d’affaires mondial annuel, voire 20 % en cas de récidive.

Besoin d’un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact