RÉSUMÉ EXÉCUTIF
Thèse centrale
Le 20 janvier 2026, le Cybersecurity Act 2 a acté l'abandon des critères de souveraineté dans la certification cloud européenne EUCS. Derrière l'habillage technique : une capitulation face aux pressions américaines (lettre Blinken, lobbying GAFAM) qui expose les données sensibles européennes aux lois extraterritoriales (Cloud Act, FISA 702).
Séquence des renoncements
| Date | Événement | Effet |
|---|---|---|
| 2019 | ENISA lance l'EUCS avec niveau "High+" | Ambition souveraineté |
| Sept. 2023 | Lettre Blinken menace les "relations bilatérales" | Pression US |
| Oct. 2023 | L'Allemagne lâche la France | Front brisé |
| Mars 2024 | EUCS publié sans High+ | Victoire US |
| Jan. 2026 | Cybersecurity Act 2 | Abandon formalisé |
Chiffres clés
| Indicateur | Valeur |
|---|---|
| Part cloud US en Europe (IaaS+PaaS) | 65-72% |
| Dépenses FR vers US | 3-4 Mds€/an |
| Fournisseurs EUCS High certifiés | 0 |
Note méthodologique : quand une source primaire n'est pas publique (note diplomatique), nous citons les documents institutionnels qui en font état. Les chiffres de marché sont des ordres de grandeur (Synergy Research, Gartner).
Ce qu'il faut retenir
L'Europe a préféré ses relations commerciales avec Washington à la protection des données de ses citoyens. Ce n'est pas un échec technique mais un choix politique.
>
>
>
I. Genèse et promesses de l'EUCS
>
On parle ici de souveraineté juridique : protéger les données contre l'accès légal par une puissance étrangère (Cloud Act, FISA). Cette dimension est distincte de la souveraineté opérationnelle (qui opère le service) et technologique (qui fournit les briques logicielles).
1.1 Le Cybersecurity Act de 2019 : une ambition européenne
Le règlement européen sur la cybersécurité (Cybersecurity Act), adopté le 17 avril 2019, a créé un cadre de certification harmonisé à l'échelle de l'Union. L'objectif affiché était de dépasser la fragmentation des certifications nationales (SecNumCloud en France, C5 en Allemagne, ENS en Espagne) pour établir un standard européen reconnu.
L'ENISA (Agence de l'Union européenne pour la cybersécurité) s'est vue confier la mission d'élaborer des schémas de certification sectoriels. Pour le cloud computing, le projet EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) devait constituer la pierre angulaire d'une souveraineté numérique européenne.
Le projet initial prévoyait trois niveaux de certification (Basic, Substantial, High) auxquels s'ajoutait un niveau "High+" incluant des exigences de souveraineté : localisation des données en Europe, immunité aux lois extraterritoriales, contrôle capitalistique européen. Ce niveau High+ s'inspirait directement du référentiel SecNumCloud 3.2 de l'ANSSI française.
1.2 La justification stratégique : le risque des lois extraterritoriales
L'inclusion de critères de souveraineté dans l'EUCS répondait à une menace juridique identifiée et documentée : l'extraterritorialité du droit américain.
Le Cloud Act (2018) : Cette loi autorise les autorités américaines à exiger la communication de données stockées par des entreprises américaines, quel que soit le lieu de stockage dans le monde. Une filiale européenne d'AWS, Microsoft ou Google reste soumise à cette obligation.
Le FISA 702 : La section 702 du Foreign Intelligence Surveillance Act permet aux agences de renseignement américaines d'accéder aux données de non-Américains stockées par des fournisseurs américains, sans contrôle judiciaire préalable et sans notification au détenteur des données. Cette disposition a été prolongée en avril 2024 puis à nouveau en avril 2026.
Un rapport juridique commandé par le ministère de l'Intérieur allemand à l'Université de Cologne (décembre 2025) a confirmé cette analyse : le Stored Communications Act, combiné au Cloud Act et au FISA 702, permet aux autorités américaines d'accéder aux données hébergées hors des États-Unis dès lors que le service est géré par une entreprise américaine, filiale ou non.
1.3 Le précédent SecNumCloud : la France pionnière
En mars 2022, l'ANSSI a publié la version 3.2 du référentiel SecNumCloud, intégrant des exigences juridiques strictes. Pour obtenir la qualification, un fournisseur doit :
Ces exigences visaient explicitement à protéger les données françaises du Cloud Act et du FISA. La France souhaitait voir ces critères repris au niveau européen dans l'EUCS, ce qui aurait créé un standard continental de protection.
L'Italie et l'Espagne soutenaient initialement cette approche. En octobre 2023, lors d'un sommet ministériel, l'Allemagne, l'Italie et la France ont réaffirmé conjointement leur intention de renforcer la protection des données sensibles en Europe.
II. L'offensive américaine et le retournement européen
On parle ici de souveraineté politique : la capacité de l'Europe à décider ses propres normes sans céder à la pression d'une puissance étrangère.
2.1 Le lobbying industriel américain
Dès 2022, les représentants de l'industrie technologique américaine ont engagé une campagne méthodique contre les exigences de souveraineté de l'EUCS.
L'American Chamber of Commerce to the European Union (AmCham EU), la Computer & Communications Industry Association (CCIA Europe, dont sont membres Google et Amazon), et l'Information Technology Industry Council (ITI) ont rédigé des lettres ouvertes critiquant le projet :
Le Centre européen d'économie politique internationale a publié en mars 2023 un rapport commandé par la CCIA appelant l'ENISA et la Commission à abandonner les exigences d'immunité au droit étranger, évoquant le risque d'une "boîte de Pandore" menant à l'exclusion des entreprises américaines.
2.2 L'intervention du secrétaire d'État Blinken
En septembre 2023, l'offensive est passée au niveau gouvernemental. Le secrétaire d'État américain Anthony Blinken a adressé une lettre à la présidente de la Commission européenne Ursula von der Leyen.
Le message était explicite : l'inclusion d'exigences de souveraineté dans l'EUCS "pourrait nuire aux relations bilatérales économiques et sécuritaires" entre les États-Unis et l'Union européenne.
Cette menace diplomatique directe a été documentée par plusieurs médias (Tagesspiegel Background, CIO Online, Portail de l'IE). Elle constitue une ingérence caractérisée dans un processus réglementaire européen, effectuée au plus haut niveau de l'administration américaine.
L'Europe négociait alors plusieurs dossiers sensibles avec Washington : sanctions contre la Russie, accès au GNL américain, coordination sur la Chine, renouvellement du cadre de transfert de données (successeur du Privacy Shield invalidé). Cette dépendance multidimensionnelle a fourni aux États-Unis un levier considérable.
2.3 La fracturation du front européen
Suite à l'intervention Blinken, le front européen s'est fracturé. L'Allemagne, pourtant signataire de la déclaration d'octobre 2023, s'est progressivement éloignée de la position française.
Les Pays-Bas ont mené l'opposition, rejoints par la Pologne, l'Irlande et douze autres États membres. Leurs arguments :
La France s'est retrouvée isolée. Comme le note la Cour des comptes dans son rapport 2025 : "La France a plaidé pour introduire un niveau supérieur inspiré de SecNumCloud. Cette démarche est restée isolée."
2.4 La version mars 2024 : l'EUCS vidé de sa substance
En mars 2024, l'ENISA a publié une nouvelle version du schéma EUCS de 221 pages. Le niveau High+ avait disparu. Les critères de souveraineté et d'immunité aux lois extraterritoriales étaient supprimés, y compris à titre optionnel.
L'ENISA a justifié cette suppression en considérant que les critères de souveraineté constituaient des exigences "non techniques" hors de son mandat. Cette interprétation restrictive du Cybersecurity Act permettait d'éviter l'affrontement politique tout en entérinant la défaite.
La CNIL a immédiatement réagi par un avis sans ambiguïté :
L'autorité de protection des données a appelé à "l'inclusion, à titre optionnel, de critères d'immunité aux lois extra-européennes" pour protéger les données personnelles les plus sensibles. Cet appel est resté lettre morte.
III. Le Cybersecurity Act 2 : la capitulation formalisée
3.1 La proposition du 20 janvier 2026
On parle ici d'asymétrie géopolitique : qui est désigné "à risque" et qui ne l'est pas.
Le 20 janvier 2026, la Commission européenne a présenté le Cybersecurity Act 2 (COM(2026) 11), révision majeure du règlement de 2019. Ce texte formalise l'abandon de toute ambition de souveraineté cloud au niveau européen.
Les objectifs affichés sont :
Mais le texte introduit une distinction cruciale : il vise les fournisseurs "à haut risque" en permettant à la Commission de désigner des pays "posant des risques de cybersécurité". Les entités de ces pays seraient interdites de marchés publics et de certifications européennes.
La cible implicite : Huawei et ZTE. Les GAFAM américains, eux, ne sont pas concernés par ces restrictions.
3.2 L'asymétrie révélatrice
Le Cybersecurity Act 2 révèle une asymétrie structurante :
Sont considérés comme "à risque" : Les équipementiers chinois (Huawei, ZTE), qui peuvent être exclus des infrastructures critiques européennes.
Ne sont PAS considérés comme "à risque" : Les fournisseurs cloud américains (AWS, Microsoft, Google), bien qu'ils soient juridiquement contraints par le Cloud Act et le FISA de communiquer les données européennes aux autorités américaines sur simple demande.
Cette asymétrie traduit une hiérarchie implicite des menaces où la Chine est désignée comme adversaire systémique tandis que les États-Unis conservent le statut d'allié de confiance, malgré l'extraterritorialité de leur droit et la surveillance documentée de leurs agences de renseignement.
Henna Virkkunen, commissaire européenne à la souveraineté technologique, a justifié le texte par l'échec des "recommandations volontaires", rendant nécessaire le passage à une "obligation juridique". Mais cette obligation ne s'applique qu'aux acteurs chinois.
3.3 Le report sine die des discussions EUCS
Le Cybersecurity Act 2 ne tranche pas la question de l'EUCS. Il la reporte. La Commission indique que les travaux "devraient reprendre" mais sans calendrier précis.
Guillaume Poupard, ancien directeur de l'ANSSI et figure de la cybersécurité française, a commenté : "Ça va prendre des mois et des mois."
Le processus théorique serait le suivant :
Chaque étape offre des opportunités de blocage aux opposants. Rien ne garantit que des critères de souveraineté soient finalement inclus.
3.4 Le Cloud and AI Development Act : un horizon incertain
La Commission a annoncé pour le premier trimestre 2026 une proposition de Cloud and AI Development Act (CADA), articulée autour de trois piliers :
Ce troisième pilier pourrait relancer la conversation sur la souveraineté après le blocage de l'EUCS. Mais les termes restent vagues : "highly secure" n'est pas défini, et rien ne garantit que ce niveau exclura les fournisseurs soumis aux lois extraterritoriales américaines.
IV. Les avertissements ignorés
On parle ici de souveraineté juridique : la capacité à garantir que les données ne soient pas accessibles à une juridiction étrangère.
4.1 L'alerte de la CNIL
L'autorité a souligné la "régression" par rapport au SecNumCloud français et le risque pour la doctrine "Cloud au centre" de l'État.
4.2 L'avis de la Commission supérieure numérique et postes
La CSNP (Commission supérieure du numérique et des postes) a appelé le gouvernement français à :
Ces recommandations sont restées sans suite.
4.3 Les conclusions de la Cour des comptes
La Cour note que la Commission "n'a pas reconnu la qualification SecNumCloud au niveau européen". Surtout, elle révèle que la migration du Health Data Hub (données de santé sur Microsoft Azure) vers une infrastructure SecNumCloud "n'est pas attendue avant fin 2026", soit sept ans après le lancement malgré les alertes.
4.4 Les lettres ouvertes des acteurs européens
Dix-huit fournisseurs cloud européens (dont Airbus, Orange, OVHcloud, Dassault Systèmes, Capgemini, EDF, Sopra Steria) ont adressé des lettres ouvertes réclamant la réintégration du critère de sécurité juridique dans l'EUCS.
Leur argument : la certification doit protéger non seulement contre les cyberattaques mais aussi contre les accès légaux imposés par des juridictions étrangères. Une cybersécurité qui ignore le risque juridique n'est pas une cybersécurité complète.
Ces appels sont restés sans écho dans la version finale du schéma.
V. La controverse S3NS et les fausses solutions
On parle ici de souveraineté opérationnelle (qui opère) vs souveraineté juridique (quelle loi s'applique) vs souveraineté technologique (qui fournit le code).
5.1 Le "sovereign cloud" : écran de fumée
Face aux critiques, les hyperscalers américains ont développé des offres dites "souveraines" :
AWS European Sovereign Cloud (janvier 2026) : Opérations en Europe, données en Europe, mais l'entité reste adossée à Amazon Inc., soumise au droit américain.
Microsoft : EU Data Boundary + Bleu Cloud France (avec Orange et Capgemini) + Delos Cloud Allemagne.
Google Cloud : Offre Sovereign Cloud + S3NS France (avec Thales).
Ces offres promettent une "souveraineté opérationnelle" : les données restent en Europe, les opérations sont gérées localement. Mais la souveraineté juridique n'est pas assurée : l'entreprise mère américaine reste soumise aux injonctions du Cloud Act et du FISA.
Comme l'a résumé le CISPE (Cloud Infrastructure Services Providers in Europe) : "There is no such thing as 75% sovereign." La souveraineté ne se divise pas.
5.2 Le cas S3NS : qualification controversée
En décembre 2025, S3NS (coentreprise détenue à 51% par Thales et utilisant la technologie Google Cloud) a obtenu la qualification SecNumCloud 3.2 pour son offre PREMI3NS. C'est le premier cloud "hybride" (technologie américaine + opération française) à recevoir cette certification.
Précision importante : la qualification SecNumCloud ne confère pas une immunité absolue aux lois extraterritoriales. Elle atteste d'un niveau de sécurité technique et organisationnel, et vise à réduire le risque juridique, pas à l'éliminer. L'ANSSI elle-même ne prétend pas que cette architecture rende impossible toute forme de pression américaine, mais qu'elle rend inopérante l'application directe du Cloud Act faute d'accès aux données.
Le montage repose sur les principes suivants :
Vincent Strubel, directeur de l'ANSSI, a défendu cette approche : le risque des lois extraterritoriales est traité "par le contrôle effectif des données et des opérations", pas par l'exclusion systématique des technologies non-européennes.
5.3 Les deux visions de la souveraineté
La qualification S3NS révèle deux conceptions opposées de la souveraineté numérique :
Vision 1 : Contrôle des données (ANSSI, Thales, S3NS)
Vision 2 : Indépendance technologique (OVHcloud, Hexatrust, certains experts)
Alain Issarni (dirigeant historique de l'IT française) critique le "choix binaire absurde" entre ces deux visions : "Pendant ce temps, la dépendance aux hyperscalers américains s'enracine."
Il note aussi que ni l'EUCS High+ ni le SecNumCloud ne permettent vraiment l'autonomie numérique : "Les opérations de blanchiment des GAFAM (Bleu, S3NS) sont autorisées par le SecNumCloud, ont été approuvées voire encouragées par l'ANSSI. Pourtant, elles ne protègent ni contre les augmentations abusives des tarifs, ni contre les coupures intempestives des services."
5.4 Le Cloud Sovereignty Score : une grille non contraignante
En octobre 2025, une solution de contournement a émergé : le Cloud Sovereignty Score, grille de notation administrative permettant d'évaluer le degré de souveraineté des offres cloud.
Les pondérations retenues ont été immédiatement contestées :
Cette pondération permet aux hyperscalers américains d'obtenir des scores corrects sans immunité juridique réelle. Le CISPE a critiqué cet outil comme du "sovereign washing".
VI. Les conséquences structurelles
On parle ici de souveraineté effective : ce que l'Europe peut ou ne peut pas garantir en pratique.
6.1 L'exposition des données sensibles
Sans critères de souveraineté dans l'EUCS, aucun mécanisme européen ne protège les données les plus sensibles contre les lois extraterritoriales américaines.
Données de santé : Le Health Data Hub français reste hébergé sur Microsoft Azure, exposé au Cloud Act. La migration vers une solution SecNumCloud n'est pas attendue avant fin 2026.
Données fiscales : Les attestations PGE Covid-19 ont été hébergées sur Amazon sans appel d'offres (Bpifrance).
Données éducatives : Le ministère de l'Éducation et l'École Polytechnique s'affranchissent des directives pour utiliser des solutions soumises au Cloud Act.
Données de défense : En mai 2025, Microsoft a suspendu ses services à la Cour Pénale Internationale, démontrant la vulnérabilité des institutions utilisant des services américains.
6.2 La perpétuation de la dépendance
Le marché cloud européen reste structurellement dominé par les acteurs américains :
Les trois hyperscalers américains contrôlent 68% du marché cloud européen. L'ensemble des fournisseurs européens représente environ 15%.
Cette concentration crée une dépendance structurelle :
6.3 Le signal envoyé aux autres secteurs
L'abandon de la souveraineté cloud crée un précédent pour d'autres secteurs critiques. Si l'Europe renonce à protéger ses données numériques contre les lois étrangères, pourquoi protégerait-elle :
Le cas EUCS s'inscrit dans un pattern plus large de subordination systémique aux infrastructures américaines, documenté par ailleurs.
6.4 La crédibilité du discours européen
L'écart entre le discours de "souveraineté européenne" et la réalité des décisions prises atteint un niveau critique.
Les institutions européennes proclament l'autonomie stratégique tout en renonçant à protéger les données contre les lois américaines. Elles promeuvent la souveraineté numérique tout en dépendant des clouds américains. Elles dénoncent les ingérences étrangères tout en cédant aux pressions diplomatiques de Washington.
Cette incohérence érode la crédibilité du projet européen auprès des citoyens, des entreprises et des partenaires internationaux. Elle alimente le scepticisme sur la capacité de l'Europe à défendre ses intérêts face aux grandes puissances.
6.5 Le coffre-fort américain : espionnage économique et guerre commerciale
Au-delà de la surveillance sécuritaire, confier les données européennes aux clouds américains revient à déposer les secrets industriels du continent dans le coffre-fort d'un concurrent stratégique.
Le renseignement économique américain est assumé et légal
L'Executive Order 12333, toujours en vigueur, autorise explicitement les agences de renseignement américaines à collecter des informations pour protéger les "intérêts économiques" des États-Unis. James Woolsey, ancien directeur de la CIA, a reconnu publiquement en 2000 (Wall Street Journal) que les États-Unis espionnaient les entreprises européennes, justifiant cette pratique par la "détection de la corruption" dans les appels d'offres internationaux.
Le rapport du Parlement européen sur le système ECHELON (2001) a conclu à l'existence "probable" d'une utilisation du renseignement à des fins économiques, citant des contrats perdus par Airbus et Thomson-CSF au profit de concurrents américains dans des circonstances troublantes.
Les révélations Snowden : la preuve par les faits
Les documents publiés par Edward Snowden en 2013 ont démontré que la NSA espionnait :
Der Spiegel et The Intercept ont documenté la surveillance des négociations d'Airbus. L'affaire a contribué aux poursuites américaines pour corruption qui ont coûté 3,6 milliards d'euros au constructeur européen en 2020.
Le mécanisme de prédation
Avec 68% du marché cloud européen, les hyperscalers américains ont accès à :
Ces informations, même si elles ne sont pas directement transmises aux concurrents américains, peuvent être exploitées par les services de renseignement pour "orienter" les entreprises US, leur permettant d'anticiper les mouvements de leurs rivaux européens, d'ajuster leurs offres commerciales, ou de cibler leurs acquisitions.
Des cas documentés
L'affaire Alstom illustre ce mécanisme : poursuites américaines pour corruption, incarcération d'un dirigeant, puis rachat de la branche énergie par General Electric. La concomitance des événements a été analysée par une commission d'enquête parlementaire française qui a conclu à des "défaillances" dans la protection des intérêts nationaux.
Plus récemment, des entreprises européennes du secteur technologique et pharmaceutique ont signalé des "coïncidences" troublantes : des concurrents américains semblant disposer d'informations sur leurs projets avant toute annonce publique. Ces signalements, difficiles à prouver, alimentent une défiance croissante.
L'asymétrie stratégique
L'Europe n'a pas d'équivalent du Cloud Act pour accéder aux données des entreprises américaines. Elle n'a pas de capacité de renseignement économique comparable. Elle confie ses données à des acteurs soumis à une juridiction qui peut les réquisitionner secrètement.
Cette situation s'apparente à une partie de poker où l'adversaire peut voir vos cartes. Aucun discours sur la "compétitivité européenne" ou "l'innovation" ne peut compenser ce handicap structurel tant que les données stratégiques européennes restent accessibles aux services américains.
Note : ce schéma décrit un risque structurel documenté, pas une accusation de pratique systématique. L'opacité des procédures de renseignement rend impossible une quantification précise, mais les révélations Snowden et les témoignages d'anciens responsables établissent la réalité de ce risque.
VI bis. Le paradoxe Draghi : pourquoi l'EUCS illustre l'effondrement intellectuel européen
Le rapport Draghi : un diagnostic lucide, des actes inverses
En septembre 2024, Mario Draghi remettait à la Commission européenne un rapport de 400 pages sur l'avenir de la compétitivité européenne. Son diagnostic était sans appel :
Le rapport chiffre le retard européen : le PIB de l'UE, supérieur de 4% à celui des États-Unis en 2002, accuse désormais un retard de 12% (2023). Pour y remédier, Draghi préconise 750 à 800 milliards d'euros d'investissement annuel dans l'innovation, le numérique et la souveraineté stratégique.
Sur le cloud spécifiquement, le rapport est explicite :
La recommandation Draghi : "une politique européenne unique exigeant au minimum un contrôle souverain de l'UE sur les éléments clés de la sécurité et du chiffrement."
La réalité EUCS : abandon de toute exigence de contrôle souverain, quatre mois après la publication du rapport.
La mécanique de l'effondrement : explication pédagogique
Pour comprendre pourquoi l'abandon de l'EUCS n'est pas un incident isolé mais le symptôme d'un effondrement systémique, il faut expliciter la chaîne causale que nos élites refusent de voir :
Étape 1 : Dépendance technologique → Captation de la valeur
Quand une entreprise européenne utilise AWS, Azure ou Google Cloud, elle ne paie pas seulement un service. Elle :
Étape 2 : Captation de la valeur → Assèchement de l'écosystème
Les 3 à 4 milliards d'euros que les seules administrations et entreprises françaises versent chaque année aux hyperscalers américains, ce sont :
Étape 3 : Assèchement → Impossibilité de rattraper
Le rapport Draghi note que "les entreprises numériques innovantes ne parviennent généralement pas à se développer en Europe et à attirer des financements." Ce n'est pas une fatalité culturelle. C'est le résultat mécanique d'un marché où les acheteurs publics choisissent systématiquement les solutions américaines "par défaut", privant les alternatives locales du volume nécessaire pour atteindre la rentabilité.
La faiblesse intellectuelle des élites : trois angles morts
L'abandon de l'EUCS révèle une incapacité des décideurs européens à penser systémiquement. Trois angles morts structurent cette défaillance :
Angle mort n°1 : confondre coût immédiat et coût systémique
L'argument principal contre les critères de souveraineté était leur coût supposé pour les entreprises européennes. Cet argument ignore que :
Angle mort n°2 : croire à la neutralité technologique
Beaucoup de décideurs traitent le cloud comme une commodité interchangeable, un "tuyau" neutre. Cette vision ignore que :
Angle mort n°3 : penser court terme sous pression lobbying
Le lobbying américain a su exploiter les cycles politiques courts européens :
Les mêmes dirigeants qui signent le rapport Draghi votent trois mois plus tard l'abandon des critères de souveraineté. Cette schizophrénie politique révèle une incapacité à connecter diagnostic et action.
Le contraste américain : "Invent it here, make it here"
Pendant que l'Europe abandonne ses critères de souveraineté cloud, les États-Unis appliquent la doctrine inverse :
Les Américains ne se demandent pas si leurs critères "fragmentent le marché mondial" ou "créent des barrières". Ils protègent leurs intérêts stratégiques. L'Europe se pose des questions que ses concurrents ne se posent pas.
Ce que Draghi dit vs ce que l'EUCS fait
| Recommandation Draghi (sept. 2024) | Réalité EUCS (janv. 2026) |
|---|---|
| "Contrôle souverain sur sécurité et chiffrement" | Aucun critère d'immunité juridique |
| "Réduire dépendances extérieures" | Certification accessible sans présence EU |
| "Sécuriser chaînes d'approvisionnement" | Opérateurs sous FISA 702 certifiables |
| "800 Mds€/an d'investissement" | Financement prioritaire aux hyperscalers US |
| "Masse critique pour champions européens" | Marché public ouvert sans préférence locale |
Le rapport Draghi est cité dans tous les discours officiels. Ses recommandations sont ignorées dans tous les actes.
Conséquence à 10 ans : le scénario de l'irréversibilité
Si la trajectoire actuelle se poursuit, l'Europe atteindra un point de non-retour :
2025-2028 : Part cloud US en Europe passe de 68% à 75%+
2028-2032 : Perte de compétences critiques
2032-2035 : Dépendance irréversible
Ce scénario n'est pas inévitable. Mais chaque année d'inaction le rend plus probable.
Le test de cohérence intellectuelle
Toute élite européenne qui :
...fait preuve d'une incohérence intellectuelle qui disqualifie sa prétention à défendre les intérêts européens.
La question n'est pas de savoir si les critères de souveraineté auraient été parfaits. Elle est de savoir si l'Europe est capable de défendre une position stratégique face à une pression extérieure. La réponse de l'EUCS est : non.
Cette incapacité n'est pas technique. Elle n'est pas financière. Elle est intellectuelle et politique. L'Europe sait ce qu'il faudrait faire. Elle dispose des moyens de le faire. Elle ne parvient pas à décider de le faire.
Le jour où les dirigeants européens cesseront de signer des rapports qu'ils ne lisent pas, de tenir des discours qu'ils ne traduisent pas en actes, et de céder à des pressions qu'ils prétendent dénoncer, ce jour-là seulement l'Europe commencera à reconquérir sa souveraineté numérique.
VII. Les évolutions récentes du contexte géopolitique
7.1 Le retour de Trump et le réveil européen
L'élection de Donald Trump en novembre 2024 a modifié le contexte géopolitique. La perspective d'une administration américaine plus imprévisible et moins attachée aux alliances traditionnelles a provoqué un début de réveil européen.
Pays-Bas : Le Parlement a demandé au gouvernement de mettre en place un cloud souverain pour les données critiques des citoyens (juin 2025). Un retournement remarquable pour le pays qui avait mené l'opposition aux critères de souveraineté EUCS.
Allemagne : Friedrich Merz a appelé à plus de souveraineté numérique et nommé un ministre du numérique avec feuille de route pour limiter la dépendance aux solutions américaines.
Guillaume Poupard observe : "La France est en train de reformer des alliances. Le contexte géopolitique change la donne."
7.2 L'incident Microsoft-CPI
En mai 2025, Microsoft a suspendu ses services à la Cour Pénale Internationale. Cet incident a démontré concrètement la vulnérabilité des institutions dépendant de fournisseurs américains.
Si une juridiction internationale peut se voir couper l'accès à ses outils numériques, quelle institution européenne est à l'abri ?
7.3 L'évolution des stratégies d'entreprise
Selon Gartner (novembre 2025), 61% des directeurs informatiques d'Europe de l'Ouest prévoient de déplacer des workloads vers des fournisseurs locaux ou régionaux. 53% prévoient de restreindre leur utilisation des hyperscalers américains. 44% ont déjà commencé.
Cette évolution traduit une prise de conscience croissante des risques de dépendance, au-delà des discours institutionnels.
7.4 Les limites du réveil
Ces évolutions restent fragiles. Le réveil géopolitique européen n'a pas encore produit de changement structurel :
Comme le note Alain Issarni : "Le temps joue contre nous. Chaque année de report enracine davantage la dépendance."
VII bis. Ce que l'EUCS aurait pu être
On parle ici de compromis réalistes : non pas un idéal inaccessible, mais ce qui était techniquement et politiquement envisageable.
L'échec de l'EUCS n'était pas inévitable. Des compromis existaient entre les positions française et américaine. Les voici, documentés dans les discussions techniques de l'ENISA et les propositions des États membres :
Compromis n°1 : L'optionnalité du High+
Le niveau High+ n'aurait pas été obligatoire pour tous les services cloud, mais disponible pour les données les plus sensibles. Les administrations auraient pu choisir :
Cette optionnalité préservait le marché unique tout en offrant une protection aux données stratégiques.
Compromis n°2 : Le scope "données critiques"
Plutôt qu'appliquer les exigences de souveraineté à tout le cloud, les limiter aux catégories définies par NIS 2 :
Le reste du marché aurait fonctionné avec les niveaux Basic/Substantial/High classiques.
Compromis n°3 : L'audit juridique obligatoire
Sans exiger l'immunité totale aux lois étrangères, imposer :
Ce compromis donnait de la visibilité aux acheteurs sans exclure les fournisseurs américains.
Compromis n°4 : Le "niveau européen" distinct
Créer un label complémentaire (non obligatoire) attestant :
Les fournisseurs américains auraient pu obtenir High, seuls les européens High+. Marché préservé, différenciation possible.
Compromis n°5 : La clause de revue périodique
Intégrer dans l'EUCS un mécanisme de révision tous les 3 ans permettant d'ajouter des exigences de souveraineté si le contexte géopolitique l'exigeait. Cette clause aurait évité le verrouillage actuel.
Compromis n°6 : La reconnaissance mutuelle conditionnelle
Reconnaître SecNumCloud comme équivalent à High+ sous conditions :
La France aurait pu maintenir son standard, l'Europe son schéma unifié.
Pourquoi ces compromis ont échoué
La position américaine (relayée par la lettre Blinken et le lobbying AmCham/CCIA/ITI) refusait toute distinction qui aurait pu désavantager les hyperscalers US, même optionnelle, même limitée aux données critiques. C'était le High+ ou rien.
L'Allemagne, après avoir soutenu la France, a cédé à cette pression en octobre 2023, rendant tout compromis impossible.
VIII. Leviers d'action et perspectives
8.1 Les voies de recours existantes
La directive NIS 2 (entrée en vigueur octobre 2024) impose aux entreprises critiques de documenter leur exposition aux risques, y compris juridiques. Elle pourrait justifier des appels d'offres exigeant des protections contre les lois extraterritoriales.
Le décret SREN français maintient l'exigence SecNumCloud pour les données sensibles de l'État, malgré l'absence de reconnaissance européenne.
La révision du Cybersecurity Act pourrait, si elle aboutit, permettre la réintégration de critères "non techniques" dans les schémas de certification.
8.2 Les recommandations de la Cour des comptes
La Cour des comptes a formulé des recommandations concrètes :
8.3 Le calendrier européen
Q1 2026 : Proposition CADA (Cloud and AI Development Act) 2026-2027 : Examen du Cybersecurity Act 2 par le Parlement et le Conseil Date inconnue : Reprise des travaux EUCS
Ce calendrier laisse présager plusieurs années avant toute évolution significative du cadre européen.
8.4 Les conditions d'un redressement
Un redressement supposerait :
Au niveau européen :
Au niveau français :
Au niveau industriel :
La probabilité de réunir ces conditions dans un délai raisonnable reste faible. Le rapport de forces institutionnel et économique reste défavorable aux partisans de la souveraineté.
Conclusion : chronique d'une subordination consentie
L'EUCS comme révélateur
L'affaire EUCS révèle le fonctionnement réel des rapports de force au sein de l'Union européenne et entre l'Europe et les États-Unis.
Une proposition initialement ambitieuse (immunité aux lois extraterritoriales) a été méthodiquement vidée de sa substance sous l'effet combiné :
La France, pionnière avec SecNumCloud, s'est retrouvée isolée. Ses alertes institutionnelles (CNIL, CSNP, Cour des comptes) sont restées sans effet. La Commission a formalisé l'abandon.
Le prix de la dépendance
L'Europe paie désormais le prix de décennies de négligence technologique :
La souveraineté numérique européenne n'existe pas. Elle reste un discours sans traduction opérationnelle, un objectif sans moyens, une ambition sans volonté.
Au-delà de l'EUCS
Le cas EUCS s'inscrit dans un pattern plus large. L'Europe a renoncé au contrôle de ses infrastructures critiques :
Dans chacun de ces domaines, le même schéma se reproduit : discours d'autonomie, impuissance pratique, subordination effective.
La question qui reste posée
L'Europe acceptera-t-elle indéfiniment cette subordination consentie ? Le réveil géopolitique amorcé en 2024-2025 produira-t-il des résultats concrets ? Ou la dépendance continuera-t-elle de s'approfondir pendant que les débats se prolongent ?
L'histoire de l'EUCS suggère que sans choc majeur forçant une rupture, l'inertie et les rapports de force établis conduisent à la perpétuation du statu quo. L'Europe sait ce qu'il faudrait faire. Elle dispose des ressources pour le faire. Elle ne parvient pas à décider de le faire.
Cette incapacité à transformer la conscience en action, le diagnostic en politique, constitue peut-être la pathologie centrale du projet européen contemporain.
Recommandations actionnables
Pour l'Union européenne
Pour les États membres
Pour les acheteurs publics
Annexe : Chronologie détaillée
| Date | Événement |
|---|---|
| Avril 2019 | Adoption du Cybersecurity Act, création du cadre de certification EUCS |
| 2019-2022 | Travaux ENISA sur l'EUCS avec niveau High+ |
| Mars 2022 | Publication SecNumCloud 3.2 avec exigences de souveraineté |
| Juin 2022 | Première version EUCS incluant critères de souveraineté |
| 2022-2023 | Lobbying américain contre les exigences de souveraineté |
| Sept. 2023 | Lettre Blinken à von der Leyen |
| Oct. 2023 | Déclaration commune France-Allemagne-Italie (dernier front uni) |
| Fin 2023 | Retournement allemand, France isolée |
| Mars 2024 | Publication EUCS sans niveau High+ ni critères de souveraineté |
| Été 2024 | Avis CNIL et CSNP alertant sur les risques |
| Oct. 2024 | Entrée en vigueur directive NIS 2 |
| Oct. 2025 | Lancement Cloud Sovereignty Score |
| Déc. 2025 | Qualification SecNumCloud pour S3NS/PREMI3NS |
| Déc. 2025 | Rapport Université Cologne confirmant exposition Cloud Act |
| Jan. 2026 | Publication Cybersecurity Act 2 formalisant l'abandon |
Annexe : Sources
Sources institutionnelles
Sources médias
Sources industrielles
Sources juridiques
Analyse rédigée dans une perspective souverainiste et critique. Les faits présentés sont documentés et sourcés. Les interprétations et jugements de valeur engagent l'auteur.