AWS lance son « European Sovereign Cloud » avec une naïveté calculée très américaine…

AWS, à l’instar de ses concurrents, lance officiellement son « AWS European Sovereign Cloud » annoncé il y a 18 mois. Ainsi, l’étiquette « EU sovereign » se diffuse chez les hyperscalers pour répondre aux exigences européennes de secteurs régulés, sans pour autant résoudre le cœur du sujet : la souveraineté juridictionnelle. Mais le vrai sujet n’est-il pas en réalité ailleurs ?

Souvenez-vous… Le 25 octobre 2023, Amazon annonçait débuter la construction d’une version européenne, « indépendante », de son cloud AWS afin de satisfaire aux contraintes de bien des secteurs publics et industries règlementées en Europe, à défaut de satisfaire aux contraintes françaises du cloud de confiance.
Cette semaine, AWS annonce officiellement le lancement de son offre « AWS European Sovereign Cloud » avec cette déconcertante naïveté calculée du marketing américain qui croit qu’il suffit d’apposer le mot « Sovereign » à une offre pour que celle-ci soit officiellement « souveraine ».
Sur le papier, « AWS European Sovereign Cloud » est bien une nouvelle entité cloud reprenant les technologies AWS mais dans des infrastructures européennes, gérées par du personnel européen, et séparées (physiquement et logiquement) des opérations internationales d’AWS.

Cette entité gère une infrastructure qui propose déjà plus de 90 services (IA, calcul, bases de données, sécurité, stockage, etc.) en mode « souverain », et repose sur :

* Une gouvernance européenne : puisque l’offre est gérée et fournie par une structure dédiée comprenant une société mère et trois filiales constituées en Allemagne, dirigées par des citoyens de l’UE soumis au droit européen. AWS crée également un Comité consultatif, dont les membres sont tous citoyens et résidents européens. Tout ceci n’est évidemment que de la poudre aux yeux d’un point de vue souveraineté juridictionnelle.

* Une autonomie opérationnelle européenne : l’infrastructure qui reprend techniquement le principe des AWS Local Zones est physiquement et logiquement isolée des autres régions AWS. Elle est exploitée exclusivement par des résidents de l’UE et n’a pas de dépendance critique avec les infrastructures AWS américaines.

* La résidence complète des données : Dans la même logique qu’une AWS Local Zone, toutes les métadonnées (rôles, autorisations, configurations) sont conservées intégralement dans l’UE, incluant la gestion des identités, les accès, la facturation et d’autres mesures d’utilisations. Bien évidemment, données et traitements restent également cantonnés dans la zone européenne.

Le tout bénéficie en outre de la même conception sécurisée et optimisée, AWS Nitro, que le reste de l’infrastructure AWS.

Et AWS met le paquet! Le groupe prévoit d’investir plus de 7,8 milliards d’euros en Allemagne et de soutenir environ 2 800 emplois équivalents temps plein par an. L’entité va par ailleurs étendre son infrastructure européenne en Belgique, aux Pays-Bas et au Portugal.

Reste que la démarche n’est pas nouvelle. On a vu Oracle (OCI) procéder exactement de la même façon avec son « EU Sovereign Cloud ».
Microsoft joue à la fois une carte similaire avec son « EU Data Boundary » (qui couvre tout Microsoft Cloud, pas uniquement Azure) et une carte SecNumCloud avec Bleu Cloud (sous la direction de Orange et Capgemini) et avec Delos Cloud en Allemagne.
Idem avec Google Cloud qui joue d’une parte une offre « Sovereign Cloud » articulée sur les « contrôles locaux » et un volet « trusted cloud » comme S3NS en France, piloté par Thales, qui vient de recevoir sa qualification SecNumCloud.

Une souveraineté en trompe-l’œil…

Le truc, c’est que le marketing américain confond, de façon totalement volontaire, « souveraineté opérationnelle » et « souveraineté juridique ».

Or, le débat de la « souveraineté » est un sujet juridique. Pas plus qu’Oracle ou Microsoft, la solution AWS European Sovereign Cloud n’apporte pas – et ne peut pas apporter – une garantie absolue.

Le 10 juin 2025, auditionné sous serment, le directeur des affaires publiques et juridiques de Microsoft France est invité à garantir que des données de citoyens français hébergées par Microsoft ne seraient jamais transmises à des autorités étrangères sans accord des autorités françaises. Réponse : « Non, je ne peux pas le garantir ».

Le CLOUD Act (via l’amendement du Stored Communications Act) repose sur une logique très claire : un fournisseur soumis au droit américain peut être contraint de produire des données relevant de sa “possession, custody, or control”, indépendamment du lieu de stockage. Autrement dit, la géographie, même “UE-only”, ne suffit pas si l’autorité américaine estime qu’une entité US du groupe a le contrôle effectif (directement ou via le groupe).

Par ailleurs, la section 702 de FISA autorise la collecte ciblée de renseignements sur des non-Américains situés hors des États-Unis, avec l’assistance contrainte de fournisseurs américains de services de communication au sens large. C’est précisément ce mécanisme (assistance contrainte, directives, secret) qui alimente depuis dix ans la défiance européenne.

Même si les opérations quotidiennes sont confinées en Europe, l’exposition dépend du lien de rattachement au droit américain (entité US, contrôle, obligations de groupe) et de la capacité des autorités à imposer des obligations, souvent sous secret.

Tant que l’écosystème reste adossé à un hyperscaler américain (marque, IP, chaîne logicielle, organisation de groupe, intérêts économiques, et, potentiellement, capacités d’influence), l’argument “immunité Cloud Act” reste au mieux fragile. L’architecture complique, segmente, retarde, crée des frictions et des conflits de lois. Mais elle ne supprime pas le risque.

Ce n’est pas de la théorie… c’est une réalité

Et les récents évènements montrent que ce risque est – surtout sous l’égide de Trump – n’est pas nul… Il est extrême !

L’affaire dite Microsoft Ireland est un cas d’école. Microsoft conteste une demande d’accès à des emails stockés en Irlande ; le litige monte jusqu’à la Cour suprême… et se retrouve neutralisé politiquement par l’adoption du CLOUD Act, précisément conçu pour clarifier/étendre l’accès transfrontalier aux données détenues par des fournisseurs soumis au droit US. Message implicite : quand le droit existant gêne, le législateur américain peut changer la règle.
Plus récemment, alors que le président de Microsoft venait de jurer solennellement devant le parlement européen qu’il ferait tout pour défendre par tous les moyens les droits européens, son entreprise s’est vue contrainte de fermer le compte Microsoft 365 de la CPI (Cour pénale internationale, basée en Europe) suite à des sanctions décidées par Donald Trump.

Rappelons aussi que l’UE a déjà vécu deux cycles où l’on promettait un cadre “de confiance” pour les transferts — Safe Harbor puis Privacy Shield — avant que la réalité de la surveillance américaine ne fasse tout exploser.

Et puis, le problème n’est pas qu’Américain. L’an dernier un tribunal de l’Ontario a ordonné à OVHcloud de transmettre aux autorités canadiennes des données hébergées sur des serveurs situés notamment en France. C’est une nouvelle illustration de la mécanique extraterritoriale : un juge d’un pays tiers estime pouvoir contraindre un fournisseur et le fournisseur se retrouve pris entre injonctions et contraintes du droit local sur la communication d’informations à des autorités étrangères.

Alors, ne nous y trompons pas. Au final, l’annonce AWS ne cherche qu’à faire converger son offre vers celle des autres clouds américains avec à la clé la même équation : rassurer les régulateurs et les DSI européens par des garanties opérationnelles (où sont les données, qui opère, qui peut administrer), tout en restant incapable de promettre une immunité juridique totale contre les textes extraterritoriaux US et les pratiques du gouvernement Trump. Mais sur le fond, l’offre AWS n’est pas, pour l’Europe, plus souveraine que celles des autres fournisseurs européens.

Surtout, elle ne change rien à l’autre pendant, celui de la dépendance de l’Europe aux technologies américaines. Or, vu le contexte géopolitique actuel, ce sujet est aujourd’hui peut-être plus universel et plus urgent encore que celui du terrain juridique de la souveraineté !

À LIRE AUSSI :

Cloud

S3NS obtient la certification SecNumCloud : voilà qui va relancer les débats

Laurent Delattre

5 Jan

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !