Aller au contenu
NNextHop
← Retour au blog
CloudEuropeSouveraineté

EUCS : chronique d'une capitulation européenne sur la souveraineté numérique

L’Europe n’a pas perdu EUCS : elle l’a lâché. En renonçant à toute exigence d’immunité face au Cloud Act et au FISA, elle transforme une certification “cyber” en label de confort pour hyperscalers. Ce texte raconte une capitulation politique maquillée en débat technique et ce que cette dépendance coûte déjà en sécurité, en compétitivité et en autonomie stratégique.

Par Sylvain Rutten27 janvier 202642 min de lecture

RÉSUMÉ EXÉCUTIF

Thèse centrale

Le 20 janvier 2026, le Cybersecurity Act 2 a acté l'abandon des critères de souveraineté dans la certification cloud européenne EUCS. Derrière l'habillage technique : une capitulation face aux pressions américaines (lettre Blinken, lobbying GAFAM) qui expose les données sensibles européennes aux lois extraterritoriales (Cloud Act, FISA 702).

Séquence des renoncements

DateÉvénementEffet
2019ENISA lance l'EUCS avec niveau "High+"Ambition souveraineté
Sept. 2023Lettre Blinken menace les "relations bilatérales"Pression US
Oct. 2023L'Allemagne lâche la FranceFront brisé
Mars 2024EUCS publié sans High+Victoire US
Jan. 2026Cybersecurity Act 2Abandon formalisé

Chiffres clés

IndicateurValeur
Part cloud US en Europe (IaaS+PaaS)65-72%
Dépenses FR vers US3-4 Mds€/an
Fournisseurs EUCS High certifiés0

Note méthodologique : quand une source primaire n'est pas publique (note diplomatique), nous citons les documents institutionnels qui en font état. Les chiffres de marché sont des ordres de grandeur (Synergy Research, Gartner).

Ce qu'il faut retenir

L'Europe a préféré ses relations commerciales avec Washington à la protection des données de ses citoyens. Ce n'est pas un échec technique mais un choix politique.

Objections fréquentes et réponses

>

"La souveraineté n'a rien à voir avec la cybersécurité" → Faux. L'accès légal aux données par une puissance étrangère est un risque de sécurité (espionnage économique, pression politique). La cybersécurité ne peut ignorer le vecteur juridique.

>

"Des critères de souveraineté fragmenteraient le marché" → L'optionnalité (High+ facultatif pour données sensibles) évitait ce risque. C'est la position maximaliste US qui a bloqué tout compromis.

>

"Les critères juridiques sont impraticables" → Le SecNumCloud français fonctionne depuis 2016. La qualification S3NS prouve que des montages hybrides peuvent satisfaire des exigences élevées.

I. Genèse et promesses de l'EUCS

Mini-glossaire des niveaux EUCS - Basic : exigences minimales, auto-évaluation possible - Substantial : audit par tiers, mesures renforcées - High : audit approfondi, résilience aux attaques sophistiquées - High+ : niveau High + critères de souveraineté (immunité lois extraterritoriales, localisation EU, contrôle capitalistique EU)

>

Statut du High+ : option proposée par la France et l'Italie dès 2019, présente dans les versions de travail ENISA jusqu'en 2023, soutenue par un front franco-germano-italien jusqu'en octobre 2023. Disparaît du schéma officiel en mars 2024 après le retournement allemand sous pression américaine. Jamais formellement adopté.

On parle ici de souveraineté juridique : protéger les données contre l'accès légal par une puissance étrangère (Cloud Act, FISA). Cette dimension est distincte de la souveraineté opérationnelle (qui opère le service) et technologique (qui fournit les briques logicielles).

1.1 Le Cybersecurity Act de 2019 : une ambition européenne

Le règlement européen sur la cybersécurité (Cybersecurity Act), adopté le 17 avril 2019, a créé un cadre de certification harmonisé à l'échelle de l'Union. L'objectif affiché était de dépasser la fragmentation des certifications nationales (SecNumCloud en France, C5 en Allemagne, ENS en Espagne) pour établir un standard européen reconnu.

L'ENISA (Agence de l'Union européenne pour la cybersécurité) s'est vue confier la mission d'élaborer des schémas de certification sectoriels. Pour le cloud computing, le projet EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) devait constituer la pierre angulaire d'une souveraineté numérique européenne.

Le projet initial prévoyait trois niveaux de certification (Basic, Substantial, High) auxquels s'ajoutait un niveau "High+" incluant des exigences de souveraineté : localisation des données en Europe, immunité aux lois extraterritoriales, contrôle capitalistique européen. Ce niveau High+ s'inspirait directement du référentiel SecNumCloud 3.2 de l'ANSSI française.

1.2 La justification stratégique : le risque des lois extraterritoriales

L'inclusion de critères de souveraineté dans l'EUCS répondait à une menace juridique identifiée et documentée : l'extraterritorialité du droit américain.

Le Cloud Act (2018) : Cette loi autorise les autorités américaines à exiger la communication de données stockées par des entreprises américaines, quel que soit le lieu de stockage dans le monde. Une filiale européenne d'AWS, Microsoft ou Google reste soumise à cette obligation.

Le FISA 702 : La section 702 du Foreign Intelligence Surveillance Act permet aux agences de renseignement américaines d'accéder aux données de non-Américains stockées par des fournisseurs américains, sans contrôle judiciaire préalable et sans notification au détenteur des données. Cette disposition a été prolongée en avril 2024 puis à nouveau en avril 2026.

Un rapport juridique commandé par le ministère de l'Intérieur allemand à l'Université de Cologne (décembre 2025) a confirmé cette analyse : le Stored Communications Act, combiné au Cloud Act et au FISA 702, permet aux autorités américaines d'accéder aux données hébergées hors des États-Unis dès lors que le service est géré par une entreprise américaine, filiale ou non.

Citation pivot n°1 : Anton Carniaux (Microsoft France), sous serment devant le Sénat, juin 2025 : "Je ne peux pas garantir que les données françaises ne seront pas saisies par les autorités américaines."
Flux de données européennes vers les juridictions américainesExposition aux lois extraterritoriales via le cloud américain

1.3 Le précédent SecNumCloud : la France pionnière

En mars 2022, l'ANSSI a publié la version 3.2 du référentiel SecNumCloud, intégrant des exigences juridiques strictes. Pour obtenir la qualification, un fournisseur doit :

Avoir son siège social dans l'Union européenne
Stocker et traiter les données exclusivement en Europe
Ne pas être contrôlé directement ou indirectement par une entité extra-européenne
Être immunisé contre les lois extraterritoriales de pays tiers

Ces exigences visaient explicitement à protéger les données françaises du Cloud Act et du FISA. La France souhaitait voir ces critères repris au niveau européen dans l'EUCS, ce qui aurait créé un standard continental de protection.

L'Italie et l'Espagne soutenaient initialement cette approche. En octobre 2023, lors d'un sommet ministériel, l'Allemagne, l'Italie et la France ont réaffirmé conjointement leur intention de renforcer la protection des données sensibles en Europe.

II. L'offensive américaine et le retournement européen

On parle ici de souveraineté politique : la capacité de l'Europe à décider ses propres normes sans céder à la pression d'une puissance étrangère.

2.1 Le lobbying industriel américain

Dès 2022, les représentants de l'industrie technologique américaine ont engagé une campagne méthodique contre les exigences de souveraineté de l'EUCS.

L'American Chamber of Commerce to the European Union (AmCham EU), la Computer & Communications Industry Association (CCIA Europe, dont sont membres Google et Amazon), et l'Information Technology Industry Council (ITI) ont rédigé des lettres ouvertes critiquant le projet :

"Les exigences relatives à la souveraineté numérique sont purement motivées par des considérations politiques qui créeront une conformité juridique complexe et ne contribueront pas à accroître les niveaux de cybersécurité."

Le Centre européen d'économie politique internationale a publié en mars 2023 un rapport commandé par la CCIA appelant l'ENISA et la Commission à abandonner les exigences d'immunité au droit étranger, évoquant le risque d'une "boîte de Pandore" menant à l'exclusion des entreprises américaines.

2.2 L'intervention du secrétaire d'État Blinken

En septembre 2023, l'offensive est passée au niveau gouvernemental. Le secrétaire d'État américain Anthony Blinken a adressé une lettre à la présidente de la Commission européenne Ursula von der Leyen.

Le message était explicite : l'inclusion d'exigences de souveraineté dans l'EUCS "pourrait nuire aux relations bilatérales économiques et sécuritaires" entre les États-Unis et l'Union européenne.

Cette menace diplomatique directe a été documentée par plusieurs médias (Tagesspiegel Background, CIO Online, Portail de l'IE). Elle constitue une ingérence caractérisée dans un processus réglementaire européen, effectuée au plus haut niveau de l'administration américaine.

L'Europe négociait alors plusieurs dossiers sensibles avec Washington : sanctions contre la Russie, accès au GNL américain, coordination sur la Chine, renouvellement du cadre de transfert de données (successeur du Privacy Shield invalidé). Cette dépendance multidimensionnelle a fourni aux États-Unis un levier considérable.

2.3 La fracturation du front européen

Suite à l'intervention Blinken, le front européen s'est fracturé. L'Allemagne, pourtant signataire de la déclaration d'octobre 2023, s'est progressivement éloignée de la position française.

Les Pays-Bas ont mené l'opposition, rejoints par la Pologne, l'Irlande et douze autres États membres. Leurs arguments :

Les exigences de souveraineté seraient "trop fortes"
Elles relèveraient de "motivations politiques" et non de cybersécurité
Elles constitueraient un "protectionnisme déguisé"
Elles risqueraient de "fragmenter le marché"

La France s'est retrouvée isolée. Comme le note la Cour des comptes dans son rapport 2025 : "La France a plaidé pour introduire un niveau supérieur inspiré de SecNumCloud. Cette démarche est restée isolée."

Positions des États membres sur les critères de souveraineté EUCSCartographie du rapport de forces en 2024

2.4 La version mars 2024 : l'EUCS vidé de sa substance

En mars 2024, l'ENISA a publié une nouvelle version du schéma EUCS de 221 pages. Le niveau High+ avait disparu. Les critères de souveraineté et d'immunité aux lois extraterritoriales étaient supprimés, y compris à titre optionnel.

L'ENISA a justifié cette suppression en considérant que les critères de souveraineté constituaient des exigences "non techniques" hors de son mandat. Cette interprétation restrictive du Cybersecurity Act permettait d'éviter l'affrontement politique tout en entérinant la défaite.

La CNIL a immédiatement réagi par un avis sans ambiguïté :

"La possibilité de s'assurer, pour les traitements les plus sensibles, que l'hébergeur des données n'est pas soumis à une législation extra-européenne ne figure plus dans le projet de certification européenne EUCS, même dans les niveaux de certification les plus élevés, et même à titre optionnel."

L'autorité de protection des données a appelé à "l'inclusion, à titre optionnel, de critères d'immunité aux lois extra-européennes" pour protéger les données personnelles les plus sensibles. Cet appel est resté lettre morte.

III. Le Cybersecurity Act 2 : la capitulation formalisée

3.1 La proposition du 20 janvier 2026

On parle ici d'asymétrie géopolitique : qui est désigné "à risque" et qui ne l'est pas.

Le 20 janvier 2026, la Commission européenne a présenté le Cybersecurity Act 2 (COM(2026) 11), révision majeure du règlement de 2019. Ce texte formalise l'abandon de toute ambition de souveraineté cloud au niveau européen.

Les objectifs affichés sont :

Renforcer la résilience de la chaîne d'approvisionnement ICT
Accélérer la certification cybersécurité
Étendre le mandat de l'ENISA

Mais le texte introduit une distinction cruciale : il vise les fournisseurs "à haut risque" en permettant à la Commission de désigner des pays "posant des risques de cybersécurité". Les entités de ces pays seraient interdites de marchés publics et de certifications européennes.

La cible implicite : Huawei et ZTE. Les GAFAM américains, eux, ne sont pas concernés par ces restrictions.

3.2 L'asymétrie révélatrice

Le Cybersecurity Act 2 révèle une asymétrie structurante :

Sont considérés comme "à risque" : Les équipementiers chinois (Huawei, ZTE), qui peuvent être exclus des infrastructures critiques européennes.

Ne sont PAS considérés comme "à risque" : Les fournisseurs cloud américains (AWS, Microsoft, Google), bien qu'ils soient juridiquement contraints par le Cloud Act et le FISA de communiquer les données européennes aux autorités américaines sur simple demande.

Cette asymétrie traduit une hiérarchie implicite des menaces où la Chine est désignée comme adversaire systémique tandis que les États-Unis conservent le statut d'allié de confiance, malgré l'extraterritorialité de leur droit et la surveillance documentée de leurs agences de renseignement.

Henna Virkkunen, commissaire européenne à la souveraineté technologique, a justifié le texte par l'échec des "recommandations volontaires", rendant nécessaire le passage à une "obligation juridique". Mais cette obligation ne s'applique qu'aux acteurs chinois.

3.3 Le report sine die des discussions EUCS

Le Cybersecurity Act 2 ne tranche pas la question de l'EUCS. Il la reporte. La Commission indique que les travaux "devraient reprendre" mais sans calendrier précis.

Guillaume Poupard, ancien directeur de l'ANSSI et figure de la cybersécurité française, a commenté : "Ça va prendre des mois et des mois."

Le processus théorique serait le suivant :

1.Adoption du CSA 2 révisé (permettant des critères "non techniques")
2.Réécriture du schéma EUCS par l'ENISA
3.Intégration possible de critères d'immunité au niveau High
4.Examen par la Commission
5.Vote des États membres à la majorité qualifiée

Chaque étape offre des opportunités de blocage aux opposants. Rien ne garantit que des critères de souveraineté soient finalement inclus.

3.4 Le Cloud and AI Development Act : un horizon incertain

La Commission a annoncé pour le premier trimestre 2026 une proposition de Cloud and AI Development Act (CADA), articulée autour de trois piliers :

1.Recherche et innovation en IA
2.Conditions d'investissement pour les datacenters (objectif : tripler la capacité européenne en 5-7 ans)
3.Capacité cloud/IA "hautement sécurisée" pour usages critiques

Ce troisième pilier pourrait relancer la conversation sur la souveraineté après le blocage de l'EUCS. Mais les termes restent vagues : "highly secure" n'est pas défini, et rien ne garantit que ce niveau exclura les fournisseurs soumis aux lois extraterritoriales américaines.

IV. Les avertissements ignorés

On parle ici de souveraineté juridique : la capacité à garantir que les données ne soient pas accessibles à une juridiction étrangère.

4.1 L'alerte de la CNIL

Citation pivot n°2 : CNIL, avis été 2024 : "Cette certification ne permet pas d'externaliser dans le cloud les projets les plus sensibles."

L'autorité a souligné la "régression" par rapport au SecNumCloud français et le risque pour la doctrine "Cloud au centre" de l'État.

4.2 L'avis de la Commission supérieure numérique et postes

La CSNP (Commission supérieure du numérique et des postes) a appelé le gouvernement français à :

Présenter au Parlement l'état des négociations EUCS
Faire le nécessaire auprès de la Commission pour "surseoir à toute décision d'adoption de la version actuelle"
Conduire un "travail approfondi de prise en compte de tous les besoins"

Ces recommandations sont restées sans suite.

4.3 Les conclusions de la Cour des comptes

Citation pivot n°3 : Cour des comptes, rapport 2025 : "La position française est restée isolée. Les échanges européens n'ont pas repris."

La Cour note que la Commission "n'a pas reconnu la qualification SecNumCloud au niveau européen". Surtout, elle révèle que la migration du Health Data Hub (données de santé sur Microsoft Azure) vers une infrastructure SecNumCloud "n'est pas attendue avant fin 2026", soit sept ans après le lancement malgré les alertes.

4.4 Les lettres ouvertes des acteurs européens

Dix-huit fournisseurs cloud européens (dont Airbus, Orange, OVHcloud, Dassault Systèmes, Capgemini, EDF, Sopra Steria) ont adressé des lettres ouvertes réclamant la réintégration du critère de sécurité juridique dans l'EUCS.

Leur argument : la certification doit protéger non seulement contre les cyberattaques mais aussi contre les accès légaux imposés par des juridictions étrangères. Une cybersécurité qui ignore le risque juridique n'est pas une cybersécurité complète.

Ces appels sont restés sans écho dans la version finale du schéma.

Analyse stratégique de l'EUCS sans critères de souverainetéImpact sur la position européenne

V. La controverse S3NS et les fausses solutions

On parle ici de souveraineté opérationnelle (qui opère) vs souveraineté juridique (quelle loi s'applique) vs souveraineté technologique (qui fournit le code).

5.1 Le "sovereign cloud" : écran de fumée

Face aux critiques, les hyperscalers américains ont développé des offres dites "souveraines" :

AWS European Sovereign Cloud (janvier 2026) : Opérations en Europe, données en Europe, mais l'entité reste adossée à Amazon Inc., soumise au droit américain.

Microsoft : EU Data Boundary + Bleu Cloud France (avec Orange et Capgemini) + Delos Cloud Allemagne.

Google Cloud : Offre Sovereign Cloud + S3NS France (avec Thales).

Ces offres promettent une "souveraineté opérationnelle" : les données restent en Europe, les opérations sont gérées localement. Mais la souveraineté juridique n'est pas assurée : l'entreprise mère américaine reste soumise aux injonctions du Cloud Act et du FISA.

Comme l'a résumé le CISPE (Cloud Infrastructure Services Providers in Europe) : "There is no such thing as 75% sovereign." La souveraineté ne se divise pas.

5.2 Le cas S3NS : qualification controversée

En décembre 2025, S3NS (coentreprise détenue à 51% par Thales et utilisant la technologie Google Cloud) a obtenu la qualification SecNumCloud 3.2 pour son offre PREMI3NS. C'est le premier cloud "hybride" (technologie américaine + opération française) à recevoir cette certification.

Précision importante : la qualification SecNumCloud ne confère pas une immunité absolue aux lois extraterritoriales. Elle atteste d'un niveau de sécurité technique et organisationnel, et vise à réduire le risque juridique, pas à l'éliminer. L'ANSSI elle-même ne prétend pas que cette architecture rende impossible toute forme de pression américaine, mais qu'elle rend inopérante l'application directe du Cloud Act faute d'accès aux données.

Le montage repose sur les principes suivants :

Thales contrôle les clés de chiffrement
Thales opère l'infrastructure et l'administration
Google n'a pas accès aux données en clair
Selon l'ANSSI, Google n'a donc pas "possession, custody or control" au sens du Cloud Act

Vincent Strubel, directeur de l'ANSSI, a défendu cette approche : le risque des lois extraterritoriales est traité "par le contrôle effectif des données et des opérations", pas par l'exclusion systématique des technologies non-européennes.

5.3 Les deux visions de la souveraineté

La qualification S3NS révèle deux conceptions opposées de la souveraineté numérique :

Vision 1 : Contrôle des données (ANSSI, Thales, S3NS)

Ce qui compte est le contrôle effectif : qui détient les clés, qui opère, qui administre
La technologie peut être américaine si l'opération est européenne
Le Cloud Act ne s'applique pas si le fournisseur US n'a pas accès aux données

Vision 2 : Indépendance technologique (OVHcloud, Hexatrust, certains experts)

Toute utilisation de technologie américaine crée une dépendance
Les mises à jour logicielles peuvent introduire des backdoors
La licence peut être révoquée unilatéralement
Seule une chaîne de valeur 100% européenne garantit la souveraineté

Alain Issarni (dirigeant historique de l'IT française) critique le "choix binaire absurde" entre ces deux visions : "Pendant ce temps, la dépendance aux hyperscalers américains s'enracine."

Il note aussi que ni l'EUCS High+ ni le SecNumCloud ne permettent vraiment l'autonomie numérique : "Les opérations de blanchiment des GAFAM (Bleu, S3NS) sont autorisées par le SecNumCloud, ont été approuvées voire encouragées par l'ANSSI. Pourtant, elles ne protègent ni contre les augmentations abusives des tarifs, ni contre les coupures intempestives des services."

5.4 Le Cloud Sovereignty Score : une grille non contraignante

En octobre 2025, une solution de contournement a émergé : le Cloud Sovereignty Score, grille de notation administrative permettant d'évaluer le degré de souveraineté des offres cloud.

Les pondérations retenues ont été immédiatement contestées :

Supply chain : 20%
Juridiction et sécurité : 10%

Cette pondération permet aux hyperscalers américains d'obtenir des scores corrects sans immunité juridique réelle. Le CISPE a critiqué cet outil comme du "sovereign washing".

VI. Les conséquences structurelles

On parle ici de souveraineté effective : ce que l'Europe peut ou ne peut pas garantir en pratique.

6.1 L'exposition des données sensibles

Sans critères de souveraineté dans l'EUCS, aucun mécanisme européen ne protège les données les plus sensibles contre les lois extraterritoriales américaines.

Données de santé : Le Health Data Hub français reste hébergé sur Microsoft Azure, exposé au Cloud Act. La migration vers une solution SecNumCloud n'est pas attendue avant fin 2026.

Données fiscales : Les attestations PGE Covid-19 ont été hébergées sur Amazon sans appel d'offres (Bpifrance).

Données éducatives : Le ministère de l'Éducation et l'École Polytechnique s'affranchissent des directives pour utiliser des solutions soumises au Cloud Act.

Données de défense : En mai 2025, Microsoft a suspendu ses services à la Cour Pénale Internationale, démontrant la vulnérabilité des institutions utilisant des services américains.

6.2 La perpétuation de la dépendance

Le marché cloud européen reste structurellement dominé par les acteurs américains :

Parts de marché cloud en Europe (2025)Domination des hyperscalers américains

Les trois hyperscalers américains contrôlent 68% du marché cloud européen. L'ensemble des fournisseurs européens représente environ 15%.

Cette concentration crée une dépendance structurelle :

Dépendance technologique (pas d'alternative à parité fonctionnelle)
Dépendance économique (3-4 Mds€/an de dépenses cloud françaises vers les US)
Dépendance juridique (exposition aux lois extraterritoriales)
Dépendance stratégique (capacité de coupure unilatérale)

6.3 Le signal envoyé aux autres secteurs

L'abandon de la souveraineté cloud crée un précédent pour d'autres secteurs critiques. Si l'Europe renonce à protéger ses données numériques contre les lois étrangères, pourquoi protégerait-elle :

Ses infrastructures de paiement contre la surveillance américaine ?
Ses systèmes de défense contre l'espionnage allié ?
Ses entreprises contre les sanctions extraterritoriales ?

Le cas EUCS s'inscrit dans un pattern plus large de subordination systémique aux infrastructures américaines, documenté par ailleurs.

6.4 La crédibilité du discours européen

L'écart entre le discours de "souveraineté européenne" et la réalité des décisions prises atteint un niveau critique.

Les institutions européennes proclament l'autonomie stratégique tout en renonçant à protéger les données contre les lois américaines. Elles promeuvent la souveraineté numérique tout en dépendant des clouds américains. Elles dénoncent les ingérences étrangères tout en cédant aux pressions diplomatiques de Washington.

Cette incohérence érode la crédibilité du projet européen auprès des citoyens, des entreprises et des partenaires internationaux. Elle alimente le scepticisme sur la capacité de l'Europe à défendre ses intérêts face aux grandes puissances.

6.5 Le coffre-fort américain : espionnage économique et guerre commerciale

Au-delà de la surveillance sécuritaire, confier les données européennes aux clouds américains revient à déposer les secrets industriels du continent dans le coffre-fort d'un concurrent stratégique.

Le renseignement économique américain est assumé et légal

L'Executive Order 12333, toujours en vigueur, autorise explicitement les agences de renseignement américaines à collecter des informations pour protéger les "intérêts économiques" des États-Unis. James Woolsey, ancien directeur de la CIA, a reconnu publiquement en 2000 (Wall Street Journal) que les États-Unis espionnaient les entreprises européennes, justifiant cette pratique par la "détection de la corruption" dans les appels d'offres internationaux.

Le rapport du Parlement européen sur le système ECHELON (2001) a conclu à l'existence "probable" d'une utilisation du renseignement à des fins économiques, citant des contrats perdus par Airbus et Thomson-CSF au profit de concurrents américains dans des circonstances troublantes.

Les révélations Snowden : la preuve par les faits

Les documents publiés par Edward Snowden en 2013 ont démontré que la NSA espionnait :

Les négociations commerciales européennes (notamment sur le TTIP)
Les communications de dirigeants d'entreprises stratégiques
Les flux de données transitant par les infrastructures américaines

Der Spiegel et The Intercept ont documenté la surveillance des négociations d'Airbus. L'affaire a contribué aux poursuites américaines pour corruption qui ont coûté 3,6 milliards d'euros au constructeur européen en 2020.

Le mécanisme de prédation

Avec 68% du marché cloud européen, les hyperscalers américains ont accès à :

Les données de R&D des entreprises européennes
Les stratégies commerciales et les réponses aux appels d'offres
Les négociations contractuelles et les positions de négociation
Les informations financières non publiques
Les secrets de fabrication et les brevets en préparation

Ces informations, même si elles ne sont pas directement transmises aux concurrents américains, peuvent être exploitées par les services de renseignement pour "orienter" les entreprises US, leur permettant d'anticiper les mouvements de leurs rivaux européens, d'ajuster leurs offres commerciales, ou de cibler leurs acquisitions.

Des cas documentés

L'affaire Alstom illustre ce mécanisme : poursuites américaines pour corruption, incarcération d'un dirigeant, puis rachat de la branche énergie par General Electric. La concomitance des événements a été analysée par une commission d'enquête parlementaire française qui a conclu à des "défaillances" dans la protection des intérêts nationaux.

Plus récemment, des entreprises européennes du secteur technologique et pharmaceutique ont signalé des "coïncidences" troublantes : des concurrents américains semblant disposer d'informations sur leurs projets avant toute annonce publique. Ces signalements, difficiles à prouver, alimentent une défiance croissante.

L'asymétrie stratégique

L'Europe n'a pas d'équivalent du Cloud Act pour accéder aux données des entreprises américaines. Elle n'a pas de capacité de renseignement économique comparable. Elle confie ses données à des acteurs soumis à une juridiction qui peut les réquisitionner secrètement.

Cette situation s'apparente à une partie de poker où l'adversaire peut voir vos cartes. Aucun discours sur la "compétitivité européenne" ou "l'innovation" ne peut compenser ce handicap structurel tant que les données stratégiques européennes restent accessibles aux services américains.

Circuit de l'espionnage économique via le cloudComment les données européennes peuvent alimenter la guerre commerciale

Note : ce schéma décrit un risque structurel documenté, pas une accusation de pratique systématique. L'opacité des procédures de renseignement rend impossible une quantification précise, mais les révélations Snowden et les témoignages d'anciens responsables établissent la réalité de ce risque.

VI bis. Le paradoxe Draghi : pourquoi l'EUCS illustre l'effondrement intellectuel européen

Cette section adopte un ton pédagogique pour expliquer les mécanismes systémiques que l'abandon de l'EUCS révèle, et leur contradiction avec les objectifs affichés par les mêmes dirigeants européens.

Le rapport Draghi : un diagnostic lucide, des actes inverses

En septembre 2024, Mario Draghi remettait à la Commission européenne un rapport de 400 pages sur l'avenir de la compétitivité européenne. Son diagnostic était sans appel :

"L'Union a cru que sa dimension économique s'accompagnait d'un pouvoir géopolitique. Cette année restera dans les mémoires comme celle où cette illusion s'est dissipée."

Le rapport chiffre le retard européen : le PIB de l'UE, supérieur de 4% à celui des États-Unis en 2002, accuse désormais un retard de 12% (2023). Pour y remédier, Draghi préconise 750 à 800 milliards d'euros d'investissement annuel dans l'innovation, le numérique et la souveraineté stratégique.

Sur le cloud spécifiquement, le rapport est explicite :

65-72% du marché européen aux mains de trois hyperscalers américains
Le plus grand opérateur cloud européen (Deutsche Telekom) ne représente que 2% du marché UE
70% des modèles d'IA fondamentaux développés aux États-Unis
Aucune entreprise européenne dans le top 10 mondial de l'informatique quantique

La recommandation Draghi : "une politique européenne unique exigeant au minimum un contrôle souverain de l'UE sur les éléments clés de la sécurité et du chiffrement."

La réalité EUCS : abandon de toute exigence de contrôle souverain, quatre mois après la publication du rapport.

La mécanique de l'effondrement : explication pédagogique

Pour comprendre pourquoi l'abandon de l'EUCS n'est pas un incident isolé mais le symptôme d'un effondrement systémique, il faut expliciter la chaîne causale que nos élites refusent de voir :

Étape 1 : Dépendance technologique → Captation de la valeur

Quand une entreprise européenne utilise AWS, Azure ou Google Cloud, elle ne paie pas seulement un service. Elle :

Transfère ses données (matière première de l'ère numérique) vers une juridiction étrangère
Finance la R&D de ses futurs concurrents (les hyperscalers réinvestissent ~15% de leur CA en innovation)
Crée une dépendance technique (migration = 2 à 5 ans, coût = 30 à 50% du budget IT initial)
Perd la capacité de développer des compétences locales

Étape 2 : Captation de la valeur → Assèchement de l'écosystème

Les 3 à 4 milliards d'euros que les seules administrations et entreprises françaises versent chaque année aux hyperscalers américains, ce sont :

Des emplois qui ne sont pas créés en Europe
Des compétences qui ne se développent pas localement
Des startups européennes qui ne trouvent pas de premiers clients
Un écart technologique qui se creuse chaque année

Étape 3 : Assèchement → Impossibilité de rattraper

Le rapport Draghi note que "les entreprises numériques innovantes ne parviennent généralement pas à se développer en Europe et à attirer des financements." Ce n'est pas une fatalité culturelle. C'est le résultat mécanique d'un marché où les acheteurs publics choisissent systématiquement les solutions américaines "par défaut", privant les alternatives locales du volume nécessaire pour atteindre la rentabilité.

La spirale de la dépendance technologiquePourquoi chaque décision d'achat cloud renforce le décrochage européen

La faiblesse intellectuelle des élites : trois angles morts

L'abandon de l'EUCS révèle une incapacité des décideurs européens à penser systémiquement. Trois angles morts structurent cette défaillance :

Angle mort n°1 : confondre coût immédiat et coût systémique

L'argument principal contre les critères de souveraineté était leur coût supposé pour les entreprises européennes. Cet argument ignore que :

Le coût de la dépendance est invisible mais réel (lock-in, prix imposés, vulnérabilité juridique)
Broadcom a augmenté les tarifs VMware de 300 à 600% après rachat, sans alternative possible
Le coût de construction d'une souveraineté maintenant est inférieur au coût de rattrapage dans 10 ans

Angle mort n°2 : croire à la neutralité technologique

Beaucoup de décideurs traitent le cloud comme une commodité interchangeable, un "tuyau" neutre. Cette vision ignore que :

Le fournisseur cloud a accès aux données, métadonnées, usages
Les lois extraterritoriales (FISA 702, Cloud Act) créent des obligations juridiques asymétriques
La technologie encode des valeurs et des rapports de force

Angle mort n°3 : penser court terme sous pression lobbying

Le lobbying américain a su exploiter les cycles politiques courts européens :

Lettre du secrétaire d'État Blinken → réaction immédiate des gouvernements
Promesses d'investissements à court terme → compromis sur les critères
Menaces de représailles commerciales → repli défensif

Les mêmes dirigeants qui signent le rapport Draghi votent trois mois plus tard l'abandon des critères de souveraineté. Cette schizophrénie politique révèle une incapacité à connecter diagnostic et action.

Le contraste américain : "Invent it here, make it here"

Pendant que l'Europe abandonne ses critères de souveraineté cloud, les États-Unis appliquent la doctrine inverse :

Executive Order 14028 (mai 2021) : obligations de cybersécurité renforcées pour tout fournisseur du gouvernement fédéral
CHIPS and Science Act (2022) : 280 milliards de dollars pour relocaliser les semi-conducteurs
Inflation Reduction Act (2022) : conditionnalités "Made in America" sur les subventions
Doctrine Biden/Trump : tout projet bénéficiant de fonds fédéraux doit être industrialisé aux États-Unis

Les Américains ne se demandent pas si leurs critères "fragmentent le marché mondial" ou "créent des barrières". Ils protègent leurs intérêts stratégiques. L'Europe se pose des questions que ses concurrents ne se posent pas.

Ce que Draghi dit vs ce que l'EUCS fait

Recommandation Draghi (sept. 2024)Réalité EUCS (janv. 2026)
"Contrôle souverain sur sécurité et chiffrement"Aucun critère d'immunité juridique
"Réduire dépendances extérieures"Certification accessible sans présence EU
"Sécuriser chaînes d'approvisionnement"Opérateurs sous FISA 702 certifiables
"800 Mds€/an d'investissement"Financement prioritaire aux hyperscalers US
"Masse critique pour champions européens"Marché public ouvert sans préférence locale

Le rapport Draghi est cité dans tous les discours officiels. Ses recommandations sont ignorées dans tous les actes.

Conséquence à 10 ans : le scénario de l'irréversibilité

Si la trajectoire actuelle se poursuit, l'Europe atteindra un point de non-retour :

2025-2028 : Part cloud US en Europe passe de 68% à 75%+

Généralisation de l'IA cloud (formations LLM exclusivement chez hyperscalers)
Verrouillage des administrations (migration réputée "trop coûteuse")
Disparition des dernières startups cloud européennes (consolidation ou rachat)

2028-2032 : Perte de compétences critiques

Formations cloud exclusivement sur technologies US
Ingénieurs européens formés sur AWS/Azure, pas sur alternatives
Brain drain vers les sièges américains

2032-2035 : Dépendance irréversible

Aucune alternative européenne de taille critique
Coût de migration prohibitif (>100 Mds€ pour l'UE)
Acceptation politique de la vassalité numérique comme "réalisme"

Ce scénario n'est pas inévitable. Mais chaque année d'inaction le rend plus probable.

Le test de cohérence intellectuelle

Toute élite européenne qui :

1.Approuve le diagnostic Draghi sur le décrochage technologique
2.Reconnaît la menace des lois extraterritoriales américaines
3.Vote l'abandon des critères de souveraineté EUCS

...fait preuve d'une incohérence intellectuelle qui disqualifie sa prétention à défendre les intérêts européens.

La question n'est pas de savoir si les critères de souveraineté auraient été parfaits. Elle est de savoir si l'Europe est capable de défendre une position stratégique face à une pression extérieure. La réponse de l'EUCS est : non.

Cette incapacité n'est pas technique. Elle n'est pas financière. Elle est intellectuelle et politique. L'Europe sait ce qu'il faudrait faire. Elle dispose des moyens de le faire. Elle ne parvient pas à décider de le faire.

Le jour où les dirigeants européens cesseront de signer des rapports qu'ils ne lisent pas, de tenir des discours qu'ils ne traduisent pas en actes, et de céder à des pressions qu'ils prétendent dénoncer, ce jour-là seulement l'Europe commencera à reconquérir sa souveraineté numérique.

VII. Les évolutions récentes du contexte géopolitique

7.1 Le retour de Trump et le réveil européen

L'élection de Donald Trump en novembre 2024 a modifié le contexte géopolitique. La perspective d'une administration américaine plus imprévisible et moins attachée aux alliances traditionnelles a provoqué un début de réveil européen.

Pays-Bas : Le Parlement a demandé au gouvernement de mettre en place un cloud souverain pour les données critiques des citoyens (juin 2025). Un retournement remarquable pour le pays qui avait mené l'opposition aux critères de souveraineté EUCS.

Allemagne : Friedrich Merz a appelé à plus de souveraineté numérique et nommé un ministre du numérique avec feuille de route pour limiter la dépendance aux solutions américaines.

Guillaume Poupard observe : "La France est en train de reformer des alliances. Le contexte géopolitique change la donne."

7.2 L'incident Microsoft-CPI

En mai 2025, Microsoft a suspendu ses services à la Cour Pénale Internationale. Cet incident a démontré concrètement la vulnérabilité des institutions dépendant de fournisseurs américains.

Si une juridiction internationale peut se voir couper l'accès à ses outils numériques, quelle institution européenne est à l'abri ?

7.3 L'évolution des stratégies d'entreprise

Selon Gartner (novembre 2025), 61% des directeurs informatiques d'Europe de l'Ouest prévoient de déplacer des workloads vers des fournisseurs locaux ou régionaux. 53% prévoient de restreindre leur utilisation des hyperscalers américains. 44% ont déjà commencé.

Cette évolution traduit une prise de conscience croissante des risques de dépendance, au-delà des discours institutionnels.

Intentions des DSI européens sur le cloud (Gartner 2025)Évolution des stratégies d'approvisionnement

7.4 Les limites du réveil

Ces évolutions restent fragiles. Le réveil géopolitique européen n'a pas encore produit de changement structurel :

Les négociations EUCS restent bloquées
Le Cybersecurity Act 2 ne réintroduit pas les critères de souveraineté
Les alternatives européennes manquent de maturité
La dépendance s'approfondit pendant les débats

Comme le note Alain Issarni : "Le temps joue contre nous. Chaque année de report enracine davantage la dépendance."

VII bis. Ce que l'EUCS aurait pu être

On parle ici de compromis réalistes : non pas un idéal inaccessible, mais ce qui était techniquement et politiquement envisageable.

L'échec de l'EUCS n'était pas inévitable. Des compromis existaient entre les positions française et américaine. Les voici, documentés dans les discussions techniques de l'ENISA et les propositions des États membres :

Compromis n°1 : L'optionnalité du High+

Le niveau High+ n'aurait pas été obligatoire pour tous les services cloud, mais disponible pour les données les plus sensibles. Les administrations auraient pu choisir :

High : pour les données courantes (conformité RGPD classique)
High+ : pour les données critiques (défense, santé, recherche, fiscalité)

Cette optionnalité préservait le marché unique tout en offrant une protection aux données stratégiques.

Compromis n°2 : Le scope "données critiques"

Plutôt qu'appliquer les exigences de souveraineté à tout le cloud, les limiter aux catégories définies par NIS 2 :

Opérateurs d'importance vitale (OIV)
Entités essentielles et importantes
Administrations publiques traitant données sensibles

Le reste du marché aurait fonctionné avec les niveaux Basic/Substantial/High classiques.

Compromis n°3 : L'audit juridique obligatoire

Sans exiger l'immunité totale aux lois étrangères, imposer :

Une analyse de risque juridique documentée
La transparence sur les juridictions applicables
Un plan de réponse aux injonctions étrangères
La notification au client en cas de demande d'accès

Ce compromis donnait de la visibilité aux acheteurs sans exclure les fournisseurs américains.

Compromis n°4 : Le "niveau européen" distinct

Créer un label complémentaire (non obligatoire) attestant :

Siège social et contrôle capitalistique EU
Données traitées exclusivement sur sol européen
Personnel habilité soumis au droit EU uniquement

Les fournisseurs américains auraient pu obtenir High, seuls les européens High+. Marché préservé, différenciation possible.

Compromis n°5 : La clause de revue périodique

Intégrer dans l'EUCS un mécanisme de révision tous les 3 ans permettant d'ajouter des exigences de souveraineté si le contexte géopolitique l'exigeait. Cette clause aurait évité le verrouillage actuel.

Compromis n°6 : La reconnaissance mutuelle conditionnelle

Reconnaître SecNumCloud comme équivalent à High+ sous conditions :

Harmonisation des critères techniques
Procédure d'audit commune
Acceptation par les autres États membres de cette reconnaissance

La France aurait pu maintenir son standard, l'Europe son schéma unifié.

Pourquoi ces compromis ont échoué

La position américaine (relayée par la lettre Blinken et le lobbying AmCham/CCIA/ITI) refusait toute distinction qui aurait pu désavantager les hyperscalers US, même optionnelle, même limitée aux données critiques. C'était le High+ ou rien.

L'Allemagne, après avoir soutenu la France, a cédé à cette pression en octobre 2023, rendant tout compromis impossible.

VIII. Leviers d'action et perspectives

8.1 Les voies de recours existantes

La directive NIS 2 (entrée en vigueur octobre 2024) impose aux entreprises critiques de documenter leur exposition aux risques, y compris juridiques. Elle pourrait justifier des appels d'offres exigeant des protections contre les lois extraterritoriales.

Le décret SREN français maintient l'exigence SecNumCloud pour les données sensibles de l'État, malgré l'absence de reconnaissance européenne.

La révision du Cybersecurity Act pourrait, si elle aboutit, permettre la réintégration de critères "non techniques" dans les schémas de certification.

8.2 Les recommandations de la Cour des comptes

La Cour des comptes a formulé des recommandations concrètes :

1.Élaborer une stratégie chiffrée de souveraineté numérique sous houlette de la DINUM
2.Cartographier l'ensemble des données sensibles de chaque ministère
3.Déployer dès 2026 des outils bureautiques souverains
4.Fusionner les clouds Nubo et Pi de l'État
5.Aligner la certification des hébergeurs de données de santé sur les exigences SecNumCloud

8.3 Le calendrier européen

Q1 2026 : Proposition CADA (Cloud and AI Development Act) 2026-2027 : Examen du Cybersecurity Act 2 par le Parlement et le Conseil Date inconnue : Reprise des travaux EUCS

Ce calendrier laisse présager plusieurs années avant toute évolution significative du cadre européen.

8.4 Les conditions d'un redressement

Un redressement supposerait :

Au niveau européen :

Adoption d'un CSA 2 permettant les critères de souveraineté
Réintégration du niveau High+ dans l'EUCS
Mécanisme de reconnaissance mutuelle avec SecNumCloud

Au niveau français :

Maintien ferme des exigences SecNumCloud
Migration effective des projets sensibles (HDH, etc.)
Développement d'alternatives cloud compétitives

Au niveau industriel :

Investissements massifs dans le cloud européen
Atteinte d'une taille critique permettant la compétitivité
Développement de l'ensemble de la chaîne de valeur

La probabilité de réunir ces conditions dans un délai raisonnable reste faible. Le rapport de forces institutionnel et économique reste défavorable aux partisans de la souveraineté.

Conclusion : chronique d'une subordination consentie

L'EUCS comme révélateur

L'affaire EUCS révèle le fonctionnement réel des rapports de force au sein de l'Union européenne et entre l'Europe et les États-Unis.

Une proposition initialement ambitieuse (immunité aux lois extraterritoriales) a été méthodiquement vidée de sa substance sous l'effet combiné :

Du lobbying industriel américain (AmCham, CCIA, ITI)
De la pression diplomatique au plus haut niveau (lettre Blinken)
Du retournement des alliés européens (Allemagne, Pays-Bas)
De l'interprétation restrictive du mandat de l'ENISA

La France, pionnière avec SecNumCloud, s'est retrouvée isolée. Ses alertes institutionnelles (CNIL, CSNP, Cour des comptes) sont restées sans effet. La Commission a formalisé l'abandon.

Le prix de la dépendance

L'Europe paie désormais le prix de décennies de négligence technologique :

65% de son marché cloud aux mains d'acteurs américains
Aucun équivalent européen des GAFAM
Exposition permanente aux lois extraterritoriales
Capacité de sanction nulle en cas de conflit

La souveraineté numérique européenne n'existe pas. Elle reste un discours sans traduction opérationnelle, un objectif sans moyens, une ambition sans volonté.

Au-delà de l'EUCS

Le cas EUCS s'inscrit dans un pattern plus large. L'Europe a renoncé au contrôle de ses infrastructures critiques :

Énergie : dépendance au GNL américain après la rupture du gaz russe
Finance : euro marginal (20% des réserves mondiales) face au dollar (58%)
Technologie : aucun écosystème souverain complet
Défense : dépendance structurelle à l'OTAN et au parapluie américain

Dans chacun de ces domaines, le même schéma se reproduit : discours d'autonomie, impuissance pratique, subordination effective.

La question qui reste posée

L'Europe acceptera-t-elle indéfiniment cette subordination consentie ? Le réveil géopolitique amorcé en 2024-2025 produira-t-il des résultats concrets ? Ou la dépendance continuera-t-elle de s'approfondir pendant que les débats se prolongent ?

L'histoire de l'EUCS suggère que sans choc majeur forçant une rupture, l'inertie et les rapports de force établis conduisent à la perpétuation du statu quo. L'Europe sait ce qu'il faudrait faire. Elle dispose des ressources pour le faire. Elle ne parvient pas à décider de le faire.

Cette incapacité à transformer la conscience en action, le diagnostic en politique, constitue peut-être la pathologie centrale du projet européen contemporain.

Recommandations actionnables

Pour l'Union européenne

[ ] Réintroduire dans le CSA révisé la possibilité de critères "non techniques" (immunité juridique) dans les schémas de certification
[ ] Créer un label complémentaire "EU Sovereign" attestant l'absence de soumission aux lois extraterritoriales, même optionnel
[ ] Conditionner l'accès aux financements européens (cloud, IA) à l'utilisation de services non exposés au Cloud Act pour les données sensibles
[ ] Exiger la transparence : tout fournisseur doit publier les juridictions auxquelles il est soumis et le nombre d'injonctions reçues

Pour les États membres

[ ] Maintenir les exigences nationales (SecNumCloud, C5, ENS) en attendant un EUCS satisfaisant
[ ] Cartographier l'exposition de chaque ministère et établissement public aux lois extraterritoriales
[ ] Fixer un calendrier de migration des données critiques (santé, défense, fiscalité, recherche) vers des solutions qualifiées
[ ] Financer la montée en puissance des alternatives européennes par des commandes publiques groupées

Pour les acheteurs publics

[ ] Intégrer l'analyse de risque juridique (pas seulement technique) dans les appels d'offres cloud
[ ] Exiger des candidats une attestation sur les juridictions applicables et les obligations de divulgation
[ ] Prévoir des clauses de sortie et de réversibilité en cas de changement législatif dans un pays tiers
[ ] Documenter les décisions de recours à des fournisseurs exposés au Cloud Act (traçabilité, justification)

Annexe : Chronologie détaillée

DateÉvénement
Avril 2019Adoption du Cybersecurity Act, création du cadre de certification EUCS
2019-2022Travaux ENISA sur l'EUCS avec niveau High+
Mars 2022Publication SecNumCloud 3.2 avec exigences de souveraineté
Juin 2022Première version EUCS incluant critères de souveraineté
2022-2023Lobbying américain contre les exigences de souveraineté
Sept. 2023Lettre Blinken à von der Leyen
Oct. 2023Déclaration commune France-Allemagne-Italie (dernier front uni)
Fin 2023Retournement allemand, France isolée
Mars 2024Publication EUCS sans niveau High+ ni critères de souveraineté
Été 2024Avis CNIL et CSNP alertant sur les risques
Oct. 2024Entrée en vigueur directive NIS 2
Oct. 2025Lancement Cloud Sovereignty Score
Déc. 2025Qualification SecNumCloud pour S3NS/PREMI3NS
Déc. 2025Rapport Université Cologne confirmant exposition Cloud Act
Jan. 2026Publication Cybersecurity Act 2 formalisant l'abandon

Annexe : Sources

Sources institutionnelles

Commission européenne, COM(2026) 11 - Cybersecurity Act 2
ENISA, EUCS Scheme (mars 2024)
CNIL, "Cloud : les risques d'une certification européenne permettant l'accès des autorités étrangères aux données sensibles" (été 2024)
CSNP, Avis sur l'EUCS (été 2024)
Cour des comptes, Rapport sur la stratégie numérique de l'État (2025)
ANSSI, Référentiel SecNumCloud 3.2

Sources médias

Les Échos, "Cloud : l'Europe renonce à imposer des critères de souveraineté" (janvier 2026)
CIO Online, "EUCS, la certification cloud européenne qui menace de désarmer SecNumCloud"
IT for Business, "EUCS : le va-tout très risqué de la France sur le niveau High+"
Tagesspiegel Background, couverture des négociations EUCS
InCyber, "EUCS, le rêve d'un cloud souverain européen au pied du mur"

Sources industrielles

Gartner, "Global Uncertainty is Reshaping Cloud Strategies in Europe" (novembre 2025)
CISPE, "No Such Thing as 75% Sovereign"
AmCham EU / CCIA / ITI, lettres ouvertes sur l'EUCS
Hexatrust / EY, Baromètre de la souveraineté numérique (2025)

Sources juridiques

Université de Cologne, rapport sur le Cloud Act et FISA (décembre 2025, pour le ministère de l'Intérieur allemand)
Audition Anton Carniaux (Microsoft France) devant le Sénat français (juin 2025)

Analyse rédigée dans une perspective souverainiste et critique. Les faits présentés sont documentés et sourcés. Les interprétations et jugements de valeur engagent l'auteur.

Partager :