L'Union européenne envisage d'introduire de nouvelles réglementations pour restreindre le recours aux fournisseurs de services cloud américains par les gouvernements membres lors du traitement de données sensibles, afin de réduire la dépendance à l'égard des infrastructures numériques non européennes et de promouvoir le développement de « cloud souverains » locaux. Plusieurs responsables bien informés de la Commission européenne ont révélé aux médias que cette idée devrait être incluse dans le « paquet de souveraineté technologique » de l'UE qui sera annoncé le 27 mai.
Selon certaines informations, la Commission européenne envisage, dans le cadre du prochain plan, de fixer un seuil de « souveraineté » pour le choix des services cloud du secteur public, en se concentrant sur la réduction de l'exposition des données sensibles du secteur public aux plates-formes cloud non européennes. Un responsable anonyme a déclaré : « L’idée principale est de définir un certain nombre de domaines clés qui doivent être hébergés sur les capacités cloud européennes. » Les fournisseurs de services cloud de pays tiers comme les États-Unis peuvent être concernés.
Selon l'orientation actuelle des discussions, les propositions pertinentes n'interdiront pas complètement aux fournisseurs de services cloud étrangers de participer aux contrats gouvernementaux, mais imposeront des restrictions à leur utilisation dans le traitement des données sensibles dans le secteur public, en fonction du niveau de sensibilité des données. Un responsable a souligné que cela signifie que « les fournisseurs de services cloud américains pourraient être confrontés à des restrictions d'utilisation dans certains domaines sensibles et stratégiques des institutions publiques des pays membres ». À l’heure actuelle, la finance, la justice et la santé médicale sont considérées comme des types de données sensibles faisant l’objet de discussions. À l’avenir, ils pourraient être amenés à s’appuyer davantage sur une infrastructure cloud dotée d’attributs souverains.
Il convient de noter que ce cycle de discussions sur la souveraineté des services cloud se concentre uniquement sur les données gouvernementales et du secteur public, et n'implique pas pour l'instant les entreprises privées. En d'autres termes, le « Plan de souveraineté technologique » n'imposera pas directement d'exigences obligatoires aux entreprises privées lors du choix des plateformes cloud.
Derrière les tendances mentionnées ci-dessus se cache le resserrement des relations entre l’UE et le nouveau gouvernement américain dirigé par le président Trump ces derniers mois, et les inquiétudes concernant la « dépendance numérique » en Europe se sont rapidement accrues. Actuellement, les entreprises américaines dominent toujours le marché européen du cloud computing : Amazon, Microsoft et Google contrôlent collectivement plus de 70 % des parts de marché, Amazon représentant environ 29 %, Microsoft environ 24 % et Google environ 18 %. Dans le cadre du Cloud Act promulgué en 2018, les forces de l’ordre américaines ont le droit de récupérer les données des entreprises américaines, quel que soit l’endroit où les données sont physiquement stockées. Cela a encore accru les inquiétudes des pays européens quant à la sécurité des données critiques.
Dans ce contexte, les gouvernements européens accélèrent la recherche d’alternatives locales et open source et augmentent les budgets liés à la souveraineté numérique. En février de cette année, des responsables gouvernementaux de nombreux pays ont déclaré qu’ils évaluaient déjà des solutions développées par eux-mêmes ou européennes pour remplacer les plates-formes technologiques américaines à grande échelle. Le gouvernement français a annoncé en janvier dernier le lancement de l'outil de visioconférence « Visio » développé sous l'impulsion du gouvernement, et prévoit de remplacer progressivement les outils américains tels que Microsoft Teams et Zoom dans les systèmes gouvernementaux d'ici 2027.
Le niveau européen encourage également la construction d’un cloud souverain à travers des projets concrets. En avril de cette année, la Commission européenne a attribué des contrats d'appel d'offres totalisant 180 millions d'euros à quatre projets de cloud souverains européens pour fournir des solutions de services cloud aux agences et institutions de l'UE. L'un des projets implique une coentreprise entre l'entreprise française d'aérospatiale et de défense Thales et Google Cloud, qui reflète l'accent mis par l'UE sur la souveraineté tout en équilibrant les besoins de sécurité et d'innovation par le biais de coentreprises et de coopération technique.
Le « Plan de souveraineté technologique » devrait couvrir non seulement le cloud computing, mais également la loi sur le développement du cloud et de l'IA (CADA) et le « Chip Act 2.0 », visant à encourager la culture de solutions et de produits plus locaux dans des domaines clés tels que le cloud computing, l'intelligence artificielle et les semi-conducteurs. Une fois que le plan aura été formellement proposé par la Commission européenne, il devra encore être approuvé par les 27 États membres avant de pouvoir entrer en vigueur.
Concernant les inquiétudes extérieures quant à savoir si le plan déclencherait des frictions technologiques et commerciales transatlantiques, un porte-parole de la Commission européenne n'a pas répondu directement aux détails, mais a souligné que le plan "est lié à la conscience de soi et à la capacité de l'Europe à agir à l'ère numérique". Le porte-parole a déclaré que l'objectif du plan est d'élargir les opportunités de « cloud souverain » grâce aux marchés publics et à d'autres outils et d'aider davantage de fournisseurs de services de cloud et d'intelligence artificielle issus de divers horizons à entrer sur le marché.
Du point de vue de l’opinion publique européenne, ce cycle de discussions sur la voie à suivre vers l’accès au cloud pour les données gouvernementales sensibles n’est pas seulement une question de concurrence sur un marché unique, mais est également considéré comme un jeu global autour de la concurrence géopolitique, de la souveraineté des données et des risques de sécurité. Comment trouver un équilibre entre assurer la sécurité des données critiques, maintenir des marchés ouverts et promouvoir l'innovation technologique deviendra un test à long terme pour l'UE après l'introduction du « Plan de souveraineté technologique ».