L'Europe veut sortir du cloud américain : ce que prépare Bruxelles

La Commission européenne a présenté le 3 juin 2026 son « paquet de souveraineté technologique », un ensemble de textes législatifs qui pourrait transformer en profondeur l'accès des grandes plateformes américaines au marché européen. Pour les entreprises et administrations françaises, les conséquences sont immédiates : les règles sur l'hébergement des données et l'utilisation du cloud pourraient changer dès 2027.

Le « niveau 3 » qui change tout

Le texte central du paquet est le Cloud and AI Development Act (CADA). Il crée quatre niveaux de souveraineté pour les services cloud. Le niveau 3 — celui réservé aux infrastructures critiques — exige que le fournisseur soit détenu et contrôlé par une entité européenne. Résultat : AWS, Microsoft Azure et Google Cloud, dans leur forme actuelle, ne pourraient pas y prétendre.

Ce n'est pas une surprise théorique. En juillet 2025, lors d'une audition au Sénat français, une avocate de Microsoft n'a pas été en mesure de garantir que les données de clients français ne pourraient pas être transmises aux autorités américaines. La raison : le Cloud Act américain autorise les services de renseignement à exiger des données auprès de sociétés américaines, même si les serveurs sont physiquement situés en France.

C'est précisément ce risque que le CADA entend neutraliser, en imposant localisation des données et transparence sur les chaînes d'approvisionnement.

OVHcloud et Mistral en position de force — sous conditions

Pour les acteurs français, le texte ouvre une fenêtre. OVHcloud et Ionos sont identifiés comme les candidats les plus évidents au statut de cloud souverain de niveau 3, selon MarketScreener. Mistral AI, de son côté, bénéficierait d'un cadre favorable pour le développement de modèles d'intelligence artificielle sous juridiction européenne.

Le cas Microsoft Bleu — le partenariat entre Orange, Capgemini et Microsoft pour héberger des données du secteur public français — illustre la tension. Ce dispositif vise la certification SecNumCloud de l'ANSSI, mais l'incident du Sénat a fragilisé sa crédibilité. L'ARCEP et la CNIL devront évaluer la conformité de ces montages avec les futurs niveaux CADA, dont le trilogue parlementaire est attendu entre fin 2026 et fin 2027.

Des puces pour ne plus dépendre de l'Asie

Le deuxième pilier du paquet est le Chips Act 2.0. Contrairement à la première version, centrée sur la pénurie de semi-conducteurs, la nouvelle mouture mise sur la conception et la fabrication de puces avancées pour l'intelligence artificielle. La première version du Chips Act avait mobilisé plus de 80 milliards d'euros d'investissements publics et privés, mais l'objectif de 20 % de parts de marché mondial d'ici 2030 reste hors de portée — la Cour des comptes européenne table sur 11,7 % seulement.

L'annulation en juillet 2025 du projet d'usine Intel à Magdebourg (30 milliards d'euros) a mis en lumière les risques d'exécution. Chips Act 2.0 promet de ramener les délais d'autorisation pour les nouvelles usines à 12 mois, contre deux ans aujourd'hui.

Entre ambition et prudence

Keegan McBride, du Tony Blair Institute, tempère l'enthousiasme : construire des barrières ne suffit pas si l'Europe ne parvient pas à exporter ses propres technologies. L'UE excelle en régulation ; la commercialisation à l'international de ses produits numériques reste son point faible.

Si les 27 États membres adoptent le paquet, les géants du numérique devront soit se conformer aux nouvelles règles, soit laisser de la place aux acteurs européens. Le trilogue définira le texte final — et avec lui, l'avenir du cloud en France.