Critiquée pour la rigidité réglementaire de ses cadres numériques, l’Union européenne cherche à assouplir la ligne souverainiste qu’elle a durcie ces dernières années. Le nouveau cadre cloud publié en octobre 2025 propose une approche plus graduée, où la souveraineté n’est plus une exigence binaire, mais un ensemble de garanties modulables selon les contextes. Mais à trop vouloir ménager la chèvre et le chou, la Commission risque de vider le concept même de souveraineté de sa substance.
La version 1.2.1 du « Cloud Sovereignty Framework » européen fournit pour la première fois une architecture normative commune aux appels d’offres publics impliquant des services cloud. Ce document s’articule autour de huit objectifs de souveraineté (SOV-1 à SOV-8), couvrant notamment la gouvernance stratégique, la juridiction applicable, le traitement des données, la chaîne d’approvisionnement, la résilience opérationnelle ou encore l’impact environnemental. Chaque fournisseur se voit attribuer un niveau d’assurance, de SEAL-0 à SEAL-4, selon son degré d’alignement avec les principes définis. Un score global de souveraineté, pondéré par critère, vient compléter cette évaluation.
Sur le papier, l’approche se veut systémique, alignée sur les initiatives du CIGREF, de Gaia-X ou encore du schéma européen de cybersécurité (ENISA). En pratique, ce cadre reflète un compromis assumé entre doctrine d’autonomie stratégique et ouverture à la compétition. Il vise autant à renforcer la transparence qu’à éviter l’exclusion systématique d’acteurs non européens. Ce positionnement hybride donne une apparence de rigueur, tout en laissant la porte ouverte à une diversité d’interprétations.
SEAL-3 ou l’ambiguïté d’une souveraineté sans contrôle
Le cœur de la controverse réside dans le niveau SEAL-3, défini comme un état de « résilience numérique » où l’Europe conserve une influence significative sur les services, sans pour autant en détenir le contrôle exclusif. Les fournisseurs peuvent ainsi répondre aux exigences en assurant la continuité de service, la localisation des opérations, et une conformité aux lois européennes, tout en conservant des dépendances techniques ou juridiques avec des entités hors UE. À l’inverse, le niveau SEAL-4 implique une souveraineté totale, c’est-à-dire un service contrôlé exclusivement par des entités européennes, soumis uniquement au droit de l’Union, sans dépendances critiques à l’étranger.
La coexistence de ces deux seuils, présentée comme une flexibilité stratégique, introduit une ambiguïté majeure. De nombreux marchés publics pourraient être attribués à des opérateurs n’offrant qu’un SEAL-3, dès lors que les critères minimaux sont respectés. Cette logique laisse entendre que la souveraineté ne serait plus un principe à atteindre, mais un état à géométrie variable. Or, dans les secteurs sensibles, santé, défense, infrastructures critiques, cette dilution du concept risque de compromettre la maîtrise réelle des chaînes numériques. En tolérant des dépendances structurelles sous prétexte de résilience, l’UE s’éloigne de sa propre doctrine d’autonomie technologique.
Une souveraineté déterminée par les acheteurs… et variable selon les cas
Le cadre souveraineté n’impose pas une ligne unique, mais délègue aux acheteurs publics la responsabilité de fixer, pour chaque appel d’offres, les niveaux de SEAL minimaux requis par objectif. Une administration pourra exiger un SEAL-4 pour la souveraineté juridique tout en acceptant un SEAL-2 pour l’opérationnel ou l’environnement. Cette approche permet d’adapter les exigences aux contextes métiers, mais elle favorise aussi une logique d’arbitrage opaque. Deux projets comparables pourront être confiés à des fournisseurs aux profils de souveraineté très différents, simplement en fonction de la souplesse des cahiers des charges.
Ce mécanisme ouvre aussi la voie à des stratégies de contournement. Des fournisseurs bien informés peuvent calibrer leurs réponses pour maximiser les points du Sovereignty Score, sans garantir une réelle indépendance technologique ou juridique. Dans un environnement de marché compétitif, la tentation est grande de substituer un bon scoring à une véritable souveraineté. Le cadre ne prévoit ni mécanisme de certification obligatoire ni audit indépendant systématique. Cette faiblesse structurelle remet en question la portée normative de l’évaluation, surtout en l’absence d’harmonisation avec des référentiels plus stricts comme SecNumCloud.
Le CISPE dénonce une « souveraineté washing »
Quelques jours après la publication du cadre, le CISPE (Cloud Infrastructure Services Providers in Europe), l’association des fournisseurs de cloud européens, a publié une note virulente intitulée « No such thing as 75% organic ». Ce document fustige l’idée même d’une souveraineté partielle, comparée à un produit prétendument bio dont une partie seulement respecterait les normes. L’organisation dénonce une « souveraineté washing » institutionnalisé, où des fournisseurs continuent de dépendre d’infrastructures, de lois ou de technologies extraterritoriales tout en s’affichant comme compatibles avec la doctrine européenne.
Le CISPE plaide pour une vérification stricte, indépendante, et harmonisée des critères de souveraineté, sur le modèle du référentiel SecNumCloud développé par l’Anssi. Il alerte également sur le risque de confusion pour les acheteurs publics et les entreprises utilisatrices, qui pourraient interpréter un score élevé comme une garantie de contrôle total, alors qu’il s’agit d’un simple agrégat pondéré. Selon le collectif, seule une souveraineté intégrale, juridique, technique, opérationnelle — permet de répondre aux ambitions fixées par la Commission en matière de résilience numérique.
Vers une souveraineté fonctionnelle ou modulaire ?
Au-delà des critiques, le cadre européen traduit une inflexion stratégique assumée. Plutôt que d’imposer une vision dogmatique de la souveraineté, l’UE semble privilégier une approche modulaire : chaque fournisseur peut composer son profil souverain selon ses points forts, et chaque acheteur définir sa propre tolérance au risque. Cette logique pourrait favoriser l’émergence de configurations hybrides, où des briques européennes viennent compléter des offres globales, sans imposer une rupture frontale avec les acteurs extra-européens. Elle reflète aussi la complexité du marché cloud, marqué par des interdépendances technologiques, des dynamiques de standardisation mondiale, et une concurrence asymétrique.
,Mais ce réalisme stratégique est en contradiction avec les initiatives et la stratégie déployée jusqu’à présent. À l’heure où un écosystème européen souverain se met en place, poussé par une politique résolue et un mouvement venu d’en bas, les propositions de l’Europe sonnent comme une lamentable retraite, peut-être utile à court terme, mais dangereuse sur le long terme. L’Union européenne devra clarifier rapidement cette ligne, si elle veut éviter que son cadre cloud ne devienne un simple dispositif de labellisation sans portée réelle sur les trajectoires industrielles. Une souveraineté sans vérifiabilité ni cohérence risque de renforcer, plutôt que de réduire, les asymétries de pouvoir dans l’économie numérique.
