L’Europe vient d’admettre, dans un document officiel rédigé par ses propres juristes, qu’elle ne contrôle pas l’infrastructure sur laquelle fonctionnent ses hôpitaux, ses réseaux électriques et ses gouvernements. Elle ne l’a pas dit ainsi, bien sûr. Elle l’a dit avec le langage bureaucratique que Bruxelles réserve à ses défaites les plus embarrassantes, en parlant de « dépendances stratégiques » et de « cadres d’évaluation de souveraineté ». Le 3 juin 2026, la Commission européenne a présenté le Paquet de souveraineté technologique européenne, un ensemble de lois destiné à réduire la dépendance du continent envers Amazon, Microsoft et Google. Le texte central s’appelle la loi sur le développement du cloud et de l’intelligence artificielle, connue sous son sigle anglais, CADA. Derrière le jargon se cache une question plus simple et plus ancienne que n’importe quel règlement. Qui contrôle les câbles contrôle le pouvoir.
L’avertissement arrivé en petits caractères en 2018
L’histoire commence à Washington, pas à Bruxelles. En 2018, sous la première administration Trump, le Congrès américain a adopté une loi appelée CLOUD Act, sigle de Clarifying Lawful Overseas Use of Data Act. La norme établit que toute entreprise américaine est tenue de remettre des données aux autorités de son pays, peu importe le territoire où ces données sont stockées. Le cloud, c’est-à-dire les serveurs distants où entreprises et gouvernements conservent et traitent l’information qu’on archivait autrefois sur papier, est ainsi devenu un territoire disputé. Un hôpital de Francfort peut conserver ses dossiers médicaux dans un centre de données allemand, géré par une filiale allemande d’une maison mère de Seattle, ce détail juridique ne change rien à l’affaire. Washington dispose d’une voie légale pour réclamer cette information, sans qu’un juge européen n’intervienne dans le processus.
Pendant des années, les gouvernements européens ont traité cette loi comme une curiosité juridique, une possibilité lointaine qui ne s’activerait jamais dans la pratique. Ce confort reposait sur l’idée que les géants technologiques américains, en construisant des centres de données à l’intérieur de l’Union européenne, offraient une sorte de blindage géographique. L’argument avait un défaut évident. La loi ne parle pas de l’endroit où se trouvent les serveurs. Elle parle de l’endroit où se trouve le siège de l’entreprise qui les administre.
Le diagnostic arrivé deux ans avant la loi
Le 9 septembre 2024, l’économiste italien Mario Draghi, ancien président de la Banque centrale européenne, a présenté devant la Commission un rapport commandé par Ursula von der Leyen elle-même sur l’avenir de la compétitivité européenne. Parmi ses conclusions figurait la dépendance numérique du continent envers une poignée de fournisseurs étrangers, désignée comme une menace structurelle et non comme un détail technique. Le rapport recommandait, entre autres, de construire une capacité européenne propre en matière de cloud et d’intelligence artificielle. Un an plus tard, un audit indépendant a constaté qu’à peine 11% des 383 recommandations du rapport avaient été pleinement appliquées. La CADA est, en ce sens, la traduction tardive et partielle d’un diagnostic que l’Union connaissait déjà depuis deux ans.
La comptabilité d’une dépendance
Les chiffres qui soutiennent cette histoire ne sont pas des opinions. Selon des estimations citées par la Commission européenne elle-même et par des analystes de sécurité numérique, les entreprises américaines concentrent environ 80% des dépenses professionnelles en services cloud au sein de l’Union européenne. Les fournisseurs européens, pendant ce temps, ont perdu du terrain de manière continue au cours de la dernière décennie.
Selon des chiffres recueillis par la Commission européenne, la part de marché des fournisseurs européens de cloud computing est passée d’environ 29% en 2017 à 15% en 2022.
Ce sont deux façons distinctes de mesurer le même déséquilibre, pas le même chiffre répété deux fois. La première décrit combien les gouvernements et entreprises européens dépensent aujourd’hui chez des fournisseurs américains. La seconde décrit combien de terrain ont perdu, au fil des ans, les entreprises européennes qui se disputent ce même marché. Ce déclin n’est pas arrivé par accident ni par complot. Il est arrivé parce qu’Amazon, Microsoft et Google offraient de meilleurs prix, une plus grande capacité et une intégration plus commode avec les outils que gouvernements et entreprises européens utilisaient déjà tous les jours. Le néolibéralisme numérique n’a pas besoin de coercition. L’efficacité lui suffit.
Sous serment devant le Sénat français
Le moment qui a transformé cette discussion théorique en problème politique concret s’est produit le 10 juin 2025, lors d’une audition du Sénat français sur le rôle de la commande publique dans la souveraineté numérique du pays. La commission enquêtait, entre autres cas, sur le Health Data Hub, la plateforme qui centralise les données médicales de millions de Français et qui fonctionne sur des serveurs Microsoft Azure, ainsi que sur le projet Bleu, une alliance entre Microsoft, Orange et Capgemini destinée à offrir un cloud prétendument souverain. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a comparu aux côtés de Pierre Lagarde, directeur technique pour le secteur public de la même entreprise. Un sénateur lui a posé une question directe. Pouvait-il garantir, sous serment, que les données des citoyens français stockées dans le cloud de Microsoft ne seraient jamais transmises aux autorités américaines sans l’autorisation explicite de la France.
Carniaux a répondu par une seule phrase, consignée dans le compte-rendu officiel du Sénat. « Non, je ne peux pas le garantir. »
Le dirigeant a précisé que cette situation ne s’était jamais produite dans la pratique et que Microsoft résiste aux demandes américaines lorsqu’il les juge infondées. Aucune précision technique n’a réussi à dissoudre l’effet politique de ces quelques mots. Un représentant de l’une des trois corporations qui soutiennent l’infrastructure numérique d’un continent entier venait de confirmer, devant l’organe législatif de l’une de ses principales économies, que la protection offerte aux données européennes dépend en dernière instance de la volonté d’un gouvernement étranger. Lagarde a tenté d’atténuer le coup en expliquant que, depuis janvier 2025, les données des clients européens ne quittent le territoire de l’Union à aucun moment du traitement. Le sénateur qui présidait la commission a qualifié cette garantie de purement déclarative, sans supervision externe pour la vérifier. La France avait déjà adopté en 2024 une loi appelée SREN, qui oblige à migrer les données les plus sensibles de l’État vers des fournisseurs certifiés selon le standard SecNumCloud, conçu précisément pour exclure les entreprises soumises au CLOUD Act. L’application de cette loi avance lentement, et une bonne partie des ministères français continuent, pendant ce temps, de faire appel aux mêmes géants américains que la norme entendait éviter.
Quatre niveaux pour se prémunir de la méfiance
La réponse de Bruxelles a consisté à construire un système de classification. La CADA établit quatre niveaux de souveraineté pour les fournisseurs de cloud qui souhaitent travailler avec les institutions publiques européennes. Le premier niveau exige que les données soient traitées et stockées sur le territoire de l’Union. Le deuxième oblige le fournisseur à démontrer son indépendance vis-à-vis des gouvernements de pays tiers et la transparence de sa chaîne d’approvisionnement logicielle. Le troisième impose que l’entreprise soit contrôlée et détenue par des entités européennes, avec des exigences supplémentaires sur la nationalité de son personnel. Le quatrième niveau, réservé aux charges de travail les plus sensibles en matière de sécurité nationale, exige des garanties encore plus strictes de contrôle et de protection contre toute influence étrangère.
Henna Virkkunen, vice-présidente exécutive de la Commission chargée de la souveraineté technologique, a été claire sur les implications pratiques de ce dispositif. Elle a déclaré à la presse qu’il serait extrêmement difficile pour les entreprises américaines d’atteindre les niveaux de souveraineté les plus élevés, précisément à cause des obligations que leur impose le CLOUD Act dans leur propre pays. Il ne s’agit pas d’un simple obstacle administratif. C’est une architecture juridique conçue pour que certaines entreprises ne puissent pas passer le test, quel que soit le nombre de centres de données qu’elles construisent en sol européen. L’Association de l’industrie de l’informatique et des communications, qui représente Amazon, Microsoft et Google auprès des régulateurs, a qualifié le dispositif, dans un communiqué officiel, de formule de fermeture progressive du marché déguisée en politique de sécurité.
La leçon d’Amsterdam
Ce qui à Bruxelles n’est encore qu’une proposition législative a déjà été, à Amsterdam, une frayeur bien réelle. En octobre 2025, la municipalité a choisi l’entreprise néerlandaise Solvinity pour gérer son cloud public, précisément pour réduire sa dépendance aux fournisseurs américains, et a signé avec elle un contrat de quatorze millions d’euros. Solvinity gère, entre autres, l’infrastructure de DigiD, le système d’identité numérique utilisé par seize millions et demi de Néerlandais pour leurs démarches administratives. Quelques semaines plus tard, le 5 novembre 2025, l’américaine Kyndryl a annoncé qu’elle rachèterait Solvinity. La municipalité l’a appris à peine un jour avant l’annonce publique. Le choix de souveraineté numérique qu’Amsterdam pensait avoir fait s’est retrouvé, du jour au lendemain, sous la juridiction d’une entreprise soumise au CLOUD Act.
L’affaire a suscité une pétition de cent quarante mille signatures et une audition parlementaire d’urgence. Le gouvernement néerlandais a fini par bloquer l’opération en mai 2026, invoquant un risque pour l’intérêt public. C’est, à ce jour, l’exemple le plus concret de ce que la CADA cherche à prévenir par la loi. Il n’a fallu aucun interrupteur coupé ni aucune décision de justice pour qu’Amsterdam comprenne le problème. Il a suffi de lire, dans un communiqué de presse, le nom de l’entreprise acheteuse.
Le symbole est arrivé avant la loi
Un jour après avoir présenté le paquet législatif, le Parlement européen a fait quelque chose qu’aucune loi n’oblige encore à faire. À partir du 4 juin 2026, le moteur de recherche français Qwant a remplacé Google comme moteur par défaut sur les navigateurs Firefox et Edge des ordinateurs institutionnels du Parlement, un changement qui concerne sept cent vingt élus et des milliers d’assistants et de fonctionnaires. Tout eurodéputé peut continuer à utiliser Google s’il le préfère. Le geste ne cherche pas à imposer quoi que ce soit. Il cherche à montrer quelque chose.
Les symboles arrivent généralement avant les lois, parce qu’ils coûtent moins cher et se comprennent plus vite. L’Union européenne mettra des années à négocier, voter et appliquer la CADA entre ses vingt-sept États membres. Changer un moteur de recherche par défaut prend un après-midi de travail informatique. Entre ces deux gestes se creuse une distance qui mesure, avec assez de précision, combien coûte réellement la construction d’une souveraineté numérique et combien coûte simplement de l’annoncer.
L’Amérique latine observe cette bataille depuis une position encore plus fragile que celle de l’Europe. Aucun pays de la région ne dispose d’un bloc de quatre cent cinquante millions d’habitants, d’un budget commun ni d’une Commission capable de légiférer sur la souveraineté des données face à Washington ou face à Pékin. Les hôpitaux, les ministères et les universités latino-américains dépendent de la même infrastructure américaine qui inquiète aujourd’hui les législateurs français et néerlandais, sans qu’existe, pour l’instant, un débat public équivalent sur ce que cela signifie le jour où quelqu’un décidera d’actionner cet interrupteur…
G.S.



