Depuis la fin du Privacy Shield invalidé par la Cour de justice de l’Union européenne (CJUE) dans l’arrêt Schrems II du 16 juillet 2020, le droit européen interdit explicitement tout transfert de données à caractère personnel vers des pays tiers ne garantissant pas un niveau de protection équivalent à celui de l’Union. Les États-Unis, soumis au Cloud Act de 2018, ne remplissent pas cette exigence. Ce texte permet aux autorités américaines d’exiger l’accès à des données stockées en dehors du territoire américain dès lors que l’entreprise concernée relève de la juridiction des États-Unis. Aucune clause contractuelle, aucun chiffrement, aucun « partenariat local » ne peut neutraliser cet impératif légal extraterritorial.
La détérioration des relations internationales ne fait qu’exacerber les inquiétudes. Les initiatives isolationnistes et parfois ouvertement hostiles de l’administration américaine, ainsi que les discours techno-nationalistes ont ranimé le besoin de souveraineté. Aussi, la prise de conscience des risques liés à la dépendance technologique et juridique vis-à-vis d’acteurs étrangers pousse les États et les entreprises européennes à renforcer leur autonomie stratégique numérique pour garantir la protection des données, la sécurité des infrastructures et la maîtrise de leur espace numérique.
L’Europe envoie environ 265 Md$ aux États-Unis
D’après une étude publiée par le Cigref en mai dernier, l’Europe envoie 265 milliards de dollars au États-Unis en dépenses dans le numérique, soit 80 % des dépenses totale dans les logiciels et les service cloud professionnels. Ces dépenses financent environ 2 millions d’emplois aux États-Unis. Si, en 2035, 15 % de ces dépenses étaient faites au sein de l’économie européenne, elles entraîneraient la création d’environ 500 000 emplois directs, indirects et induits.Face au « réveil » des européens, les fournisseurs américains, et même le chinois Alibaba Cloud, ont ajusté leur stratégie en adoptant une posture d’adaptation mimétique et de soumission partielle aux exigences locales, tout en conservant leur domination technologique et économique. Grâce à des partenariats locaux, ils prétendent répondre aux exigences des gouvernements européens en matière de souveraineté numérique. Mais derrière ce glissement sémantique orchestré se cache une réalité juridique persistante : tant que ces solutions restent opérées, gouvernées ou accessibles par une maison mère soumise au droit américain, elles ne peuvent prétendre à aucune forme de souveraineté au sens du droit européen.
Un glissement stratégique préoccupant
Le dernier rapport du Boston Consulting Group, publié fin juin 2025 sous le titre Sovereign Clouds Are Reshaping National Data Security, offre un panorama structurant des initiatives en matière de cloud souverain à travers le monde. Ce document distingue deux modèles principaux : d’un côté, les clouds hyperscaler enrichis de fonctions de souveraineté, où l’infrastructure reste sous contrôle du fournisseur ; de l’autre, les clouds opérés localement, physiquement et juridiquement séparés des plateformes globales. Dans le premier cas, la souveraineté est revendiquée par configuration ; dans le second, par architecture.Cette typologie a le mérite de clarifier les lignes de force, mais elle révèle aussi un glissement stratégique préoccupant : en adoptant les codes de la souveraineté (résidence des données, chiffrement, cloisonnement), les hyperscalers tentent de redéfinir à leur avantage ce que le mot signifie. C’est un glissement sémantique orchestré destiné à créer l’illusion d’un cloud souverain, même s'il est opéré par une entreprise étrangère, dans un cadre juridique extraterritorial, et dont le Cloud Act américain demeure le bras armé. Et pour parfaire l’illusion et rester compétitifs et éligibles aux marchés publics, les hyperscalers investissent dans l’obtention de certifications européennes (telles que SecNumCloud), ceci en adaptant leurs services aux réglementations européennes, notamment le RGPD et les nouvelles règles sur l’intelligence artificielle. Aussi, les expressions mimétiques « cloud souverain » et « cloud de confiance » auxquelles ils recourent sont trompeuses.
Pourtant, le droit européen est sans équivoque
L’article 44 du Règlement général sur la protection des données stipule que tout transfert de données à caractère personnel vers un pays tiers doit faire l’objet de garanties juridiques effectives, et ne peut être autorisé que si les personnes concernées disposent de droits opposables et de voies de recours équivalentes à celles de l’Union. Or, la Cour de justice de l’Union européenne, dans son arrêt Schrems II, a formellement invalidé le Privacy Shield sur cette base, considérant que le droit américain (notamment les lois FISA et le Cloud Act) ne garantit pas un niveau de protection équivalent.Peu importe que les données soient hébergées à Francfort, à Paris ou Madrid. Si l’entité qui les opère est contrôlée par une maison mère américaine, elle reste susceptible d’être contrainte, sans information préalable, à transmettre ces données aux autorités américaines. Aucune clause contractuelle, aucun chiffrement local, aucun datacenter « air-gapped » n’annule ce risque juridique. C’est ce que rappelait encore le Conseil d’État français dans son avis du 13 avril 2021 sur l’usage des clouds américains dans l’administration : « La simple localisation des données sur le territoire de l’Union européenne ne suffit pas à écarter les risques juridiques. »
La grille du BCG, un bon point de départ… pour un malentendu
Le BCG identifie huit critères fondamentaux pour qualifier un cloud souverain : le contrôle de l’infrastructure, la résidence des données, la séparation des environnements, la sécurité, la gouvernance, l’opérabilité locale, la qualité de service, et la capacité d’innovation. Dans cette approche multidimensionnelle, les analystes du BCG n'ont pas su se détacher de leurs réflexes d'observateurs des technologies du numérique : leur grille est profitable pour évaluer la maturité opérationnelle d’un dispositif, mais elle évacue un point essentiel : sans dissociation juridique effective, aucune de ces dimensions ne suffit à garantir la souveraineté.Par exemple, AWS annonce le lancement, fin 2025, de son European Sovereign Cloud, doté de datacenters physiquement isolés, d’une structure européenne basée en Allemagne et d’une promesse d’autonomie opérationnelle. Mais ni l’infrastructure, ni la couche logicielle, ni la responsabilité légale ne sont détachées d’AWS inc., la maison mère américaine, et donc du Cloud Act. Microsoft, avec son initiative Cloud for Sovereignty, suit une trajectoire comparable, en collaborant avec des partenaires locaux (Bleu, Capgemini), mais sans céder les opérations de ses environnements Azure. Google, de son côté, propose des solutions « air-gapped » ou localisées, mais continue d’en contrôler les couches profondes via ses propres équipes.
Une stratégie de souveraineté mimétique
Une stratégie mimétique désigne une approche où un acteur imite les comportements, les pratiques ou les offres d’un autre acteur perçu comme un modèle ou un leader, souvent pour s’adapter à un environnement concurrentiel ou pour bénéficier de la légitimité associée à ce modèle. Cette imitation peut concerner des produits, des services, des processus ou même des discours, et vise généralement à obtenir un avantage compétitif ou à rassurer des parties prenantes.En somme, ce qui se joue actuellement est plus qu’un débat technique. Il s’agit d’un processus actif de réappropriation lexicale et normative : les géants du cloud s’emparent des standards de souveraineté définis initialement par les régulateurs européens (ANSSI, BSI, ENISA…) pour les faire glisser vers des modèles commerciaux compatibles avec leur architecture globale. Ils ne se conforment pas à l’exigence souveraine : ils la reconfigurent. En façade, ils parlent de gouvernance locale, de transparence, de confiance. En profondeur, ils conservent les leviers stratégiques — les couches d’orchestration, le déploiement des mises à jour, l’accès aux journaux, l’exploitation des métadonnées, le support technique.
Dans les semaines à venir, nous publierons une série d’articles consacrés aux offres dites « souveraines » des principaux fournisseurs non européens : Microsoft, AWS, Google, Oracle, Salesforce, IBM. À chaque fois, nous évaluerons la conformité réelle de leur architecture, de leur gouvernance et de leurs contrats au regard des exigences du droit européen. Nous déconstruirons les promesses, analyserons les partenariats, examinerons la responsabilité juridique en cas de conflit d’extraterritorialité.
Car il ne suffit pas d’« héberger en Europe » pour être souverain. Il faut aussi, et surtout, que la souveraineté juridique, technique et opérationnelle soit exercée depuis l’Europe, par des entités européennes, dans un cadre européen. C’est cette exigence qui n’est pas remplie par les montages compliqués et une phraséologie imitative, alors que la réalité technique et juridique ne change pas fondamentalement. La souveraineté n’est pas une option marketing. C’est un principe de droit. Et un choix qui doit être fait en connaissance de cause.
