L'Union européenne envisage de nouvelles règles qui limiteraient l'utilisation par les gouvernements de fournisseurs de cloud américains pour les données sensibles, une mesure qui défie directement la domination d'Amazon, Microsoft et Google dans la région.
L'Union européenne se prépare à dévoiler un « paquet sur la souveraineté technologique » le 27 mai, qui pourrait empêcher ses gouvernements d'utiliser des fournisseurs de cloud américains pour les données sensibles du secteur public, selon des responsables de la Commission. La proposition vise le traitement des données financières, judiciaires et de santé, dans le but de renforcer l'autonomie stratégique du bloc vis-à-vis des géants technologiques américains.
« Ce paquet est le signe que l'Europe se réveille et se reprend en main », a déclaré un porte-parole de la Commission à CNBC. Il permettrait d'« améliorer les opportunités pour les offres de cloud souverain, y compris par le biais des marchés publics, et de soutenir l'entrée sur le marché d'un ensemble plus diversifié de fournisseurs de services de cloud et d'IA ».
Cette initiative intervient alors que les tensions transatlantiques mettent en évidence la dépendance de l'Europe à l'égard des hyperscalers américains. En vertu du CLOUD Act de 2018, les forces de l'ordre américaines peuvent contraindre les entreprises technologiques américaines à fournir les données des utilisateurs, quel que soit l'endroit où elles sont stockées dans le monde. Cela a alimenté les inquiétudes au sein de l'UE concernant la souveraineté des données et la surveillance étrangère potentielle, en particulier pour les informations gouvernementales critiques.
L'enjeu est une part importante du marché du cloud pour le secteur public européen, où Amazon Web Services, Microsoft Azure et Google Cloud sont dominants. Les règles proposées ne constitueraient pas une interdiction pure et simple, mais limiteraient l'utilisation de plateformes cloud non européennes en fonction de la sensibilité des données, ce qui pourrait déplacer des contrats gouvernementaux lucratifs vers des fournisseurs européens nationaux.
Le cœur de la proposition, qui doit être approuvée par les 27 États membres, consiste à définir des secteurs spécifiques qui doivent héberger leurs données sur une infrastructure cloud européenne. Le « Paquet sur la souveraineté technologique » comprend deux piliers législatifs clés : le Cloud and AI Development Act (CADA) et le Chips Act 2.0. Tous deux sont conçus pour encourager le développement et l'acquisition de solutions technologiques européennes souveraines.
Cette offensive législative reflète une volonté politique croissante de réduire la dépendance numérique. Plusieurs gouvernements européens ont déjà commencé à explorer des alternatives à la technologie américaine. La France, par exemple, a annoncé en janvier qu'elle déploierait Visio, un outil de visioconférence développé par le gouvernement, comme alternative à Microsoft Teams et Zoom d'ici 2027. Signe de l'évolution du paysage des marchés publics, l'UE a récemment attribué un appel d'offres de 180 millions d'euros à quatre projets européens de cloud souverain.
Le principal moteur de l'action de l'UE est la portée juridique du gouvernement des États-Unis. Le CLOUD Act américain et l'article 702 de la loi FISA (Foreign Intelligence Surveillance Act) créent un conflit potentiel pour les fournisseurs de cloud basés aux États-Unis opérant en Europe. Ces lois peuvent les contraindre à fournir une « assistance technique » aux autorités américaines pour accéder aux données, même si celles-ci appartiennent à des citoyens étrangers et sont stockées sur un sol étranger.
Cela crée ce que les experts appellent un « paradoxe de la souveraineté ». Les clouds à l'échelle mondiale d'entreprises comme Amazon, Microsoft et Google réalisent des économies d'échelle grâce à leur nature globale et interconnectée. Cependant, en tant qu'entités américaines, elles sont soumises aux ordonnances des tribunaux américains qui peuvent l'emporter sur les promesses locales de protection des données. Selon une enquête de Computer Weekly, même avec des mesures telles que les clés détenues par le client et le cryptage, les données peuvent être vulnérables pendant le traitement ou par le biais de mises à jour logicielles ordonnées par le tribunal.
La dépendance est frappante. Dans le seul secteur public britannique, 95 % des organismes gouvernementaux centraux et locaux ont dépensé de l'argent pour des services de cloud hyperscale américains au cours de l'exercice financier 2023-2024, soulignant l'intégration profonde à laquelle les nouvelles règles de l'UE cherchent à remédier.
Cet article est uniquement à titre informatif et ne constitue pas un conseil en investissement.
