Gouvernance
Cloud, IA, puces : Bruxelles tente de transformer la souveraineté numérique en critère d’achat
Par Thierry Derouet, publié le 04 juin 2026
Avec son nouveau paquet sur la souveraineté technologique, la Commission européenne veut réduire les dépendances de l’Union dans les semi-conducteurs, le cloud, l’IA et les logiciels. La nouveauté ne tient pas seulement au discours. Bruxelles veut désormais introduire des niveaux d’assurance souveraine, orienter certains achats publics vers des acteurs européens et distinguer les usages ordinaires des infrastructures réellement critiques. Une bascule attendue, mais encore loin de régler le déficit industriel européen.
Acheter européen pour éviter que l’Europe ne devienne une « colonie numérique ». La formule, portée au printemps 2025 par le collectif EuroStack, avait tout du cri d’alarme. Elle disait, en peu de mots, ce que les rapports, les auditions et les conférences sur la souveraineté numérique répètent depuis des années : l’Europe a réglementé le numérique mieux que personne, mais elle continue d’en acheter l’essentiel ailleurs.
Bruxelles semble avoir entendu le message. Le nouveau paquet présenté par la Commission européenne sur la souveraineté technologique marque une inflexion importante. Il ne s’agit plus seulement de défendre une « autonomie stratégique » à l’horizon des communiqués, mais de commencer à la traduire dans les marchés publics, les critères cloud, les capacités de calcul, les semi-conducteurs et les infrastructures d’IA. En clair : l’Union européenne tente de faire passer la souveraineté numérique du registre de l’incantation à celui de l’arbitrage.
Le mot est important. Car jusqu’ici, l’Europe a surtout buté sur une contradiction. Elle voulait réduire ses dépendances sans fermer son marché, bâtir des champions sans véritable préférence d’achat, protéger ses données sans toujours définir qui contrôle réellement l’infrastructure, et promouvoir un cloud européen sans lui garantir de débouchés suffisants. Le résultat est connu : des textes, des labels, des initiatives, des stratégies, mais une dépendance persistante aux hyperscalers américains, aux GPU américains, aux fonderies asiatiques et à des chaînes logicielles dont le centre de gravité reste largement extérieur à l’Union. Comme nous l’écrivions récemment dans notre analyse sur les retards européens du cloud souverain, le sujet n’est plus seulement de savoir si le lobbying agit, mais pourquoi l’Europe accepte encore que le temps joue contre elle.
La fin de la souveraineté en trompe-l’œil ?
Le cœur politique du paquet se trouve dans le futur Cloud and AI Development Act. Son objectif est double : accélérer le déploiement d’infrastructures cloud et IA en Europe, tout en introduisant un cadre européen d’évaluation de la souveraineté. La Commission veut notamment au moins tripler les capacités européennes de data centers dans les cinq à sept prochaines années, simplifier les procédures d’autorisation et favoriser les projets répondant à des critères de durabilité, d’innovation et de résilience.
Mais l’élément le plus structurant est ailleurs. Bruxelles propose de distinguer plusieurs niveaux d’assurance souveraine pour les services cloud et IA. Le premier niveau relève de la localisation et du traitement des données dans l’Union. Les niveaux supérieurs ajoutent progressivement des exigences d’indépendance vis-à-vis de pays tiers, de transparence sur la chaîne logicielle, de contrôle européen, puis de maîtrise complète de la chaîne de décision, d’exploitation et d’accès.
C’est précisément là que l’Europe avait longtemps hésité. Pendant des années, la souveraineté cloud a été confondue avec la localisation des données. Or un service peut être hébergé en Europe tout en restant administré, maintenu, mis à jour, audité ou juridiquement exposé à un acteur placé sous l’autorité d’un État tiers. Pour un DSI, la vraie question n’est donc plus seulement : « où sont mes données ? » Elle devient : « qui peut agir sur mon service, qui peut l’interrompre, qui peut en modifier les règles, qui peut y accéder sous contrainte juridique, et qui contrôle les clés de reprise en cas de crise ? »
Cette évolution rejoint les débats français autour de SecNumCloud et des clouds de confiance. Dans notre décryptage sur la sémantique du cloud souverain, nous rappelions que la confiance ne se décrète pas : elle se démontre, exigence après exigence, dans l’architecture, l’exploitation, le contrôle et la gouvernance. La Commission semble vouloir porter cette logique à l’échelle européenne. Elle ne dit pas que tout doit être européen. Elle dit plutôt que plus un service est critique, plus son niveau de contrôle doit être élevé. Un outil marketing, un environnement de test, une application collaborative standard et un système d’information hospitalier ne relèvent pas du même niveau de risque. C’est une évidence opérationnelle pour les DSI. C’était beaucoup moins évident dans les politiques d’achat.
La commande publique, angle mort devenu levier
Le deuxième déplacement tient à la commande publique. L’Europe n’a jamais manqué de discours sur l’innovation, mais elle a souvent refusé d’utiliser son propre marché comme un outil industriel. Les États-Unis et la Chine n’ont pas cette pudeur. Ils financent, orientent, protègent, commandent, consolident. L’Union, elle, a longtemps préféré croire que la concurrence, la régulation et les programmes de recherche suffiraient à faire émerger une industrie numérique souveraine.
Le paquet présenté par Bruxelles rompt partiellement avec cette retenue. Certains marchés critiques pourraient intégrer des critères non tarifaires liés à la souveraineté, à la protection des données, à l’origine des composants matériels et logiciels, ou à l’exposition à des législations extraterritoriales. Dans les secteurs sensibles – santé, énergie, banque, administrations critiques – le prix et la performance ne seraient donc plus les seuls juges de paix.
Ce point est central. Car l’une des raisons de l’échec relatif des précédentes ambitions européennes tient à l’absence de débouchés garantis. Les acteurs européens du cloud, du logiciel ou de la cybersécurité ont souvent été encouragés dans les discours, puis contournés dans les achats. La souveraineté était célébrée le matin et arbitrée contre le moins-disant l’après-midi. Ce paradoxe était déjà au cœur de notre papier sur le contrat stratégique de filière « Logiciels et solutions numériques de confiance » : la filière ne demande plus des déclarations d’amour, mais des preuves budgétaires, des calendriers et des commandes.
Si Bruxelles va au bout de cette logique, les appels d’offres pourraient devenir beaucoup plus exigeants. Ils ne se contenteraient plus de demander une certification, un hébergement local ou une clause contractuelle rassurante. Ils pourraient interroger la chaîne complète : capital, gouvernance, support, accès administrateur, dépendance aux briques propriétaires, réversibilité, résilience, localisation des équipes d’exploitation, capacité de fonctionner en mode dégradé, exposition au Cloud Act américain ou à d’autres régimes juridiques étrangers.
Pour les DSI, cela signifie une bascule concrète. La souveraineté ne serait plus une annexe juridique ou un argument commercial. Elle deviendrait une matrice d’architecture. C’est aussi ce que pointe le Cigref lorsqu’il évalue le coût de la dépendance européenne aux clouds américains : la question n’est plus seulement patriotique, elle est économique, industrielle et opérationnelle. Sur ce point, notre article sur la dépendance européenne aux clouds américains garde toute son actualité.
Le souvenir de Gaia-X
Cette évolution ne tombe pas du ciel. Elle intervient après une longue série de déceptions européennes. Gaia-X devait créer un espace de données et de services cloud européens. Le projet a surtout produit des standards, des cadres de confiance, des discussions de gouvernance et beaucoup d’ironie sur l’écart entre l’ambition initiale et le résultat industriel.
Le problème n’était pas seulement technique. Il était politique. L’Europe voulait organiser un écosystème sans trancher la question de la préférence. Fallait-il intégrer les hyperscalers américains comme partenaires ? Les tenir à distance ? Les contraindre ? Construire des standards ouverts ? Financer des alternatives ? Protéger certains marchés ? À force de vouloir tout tenir ensemble, l’initiative a perdu une partie de sa lisibilité.
Le nouveau paquet semble tirer une leçon de cet échec : la souveraineté ne peut pas être seulement une architecture de coopération. Elle doit aussi être un choix d’achat. Sans demande, il n’y a pas d’offre. Sans volume, il n’y a pas de montée en gamme. Sans marchés critiques accessibles aux acteurs européens, il n’y a pas d’industrie européenne durable.
La formulation peut paraître brutale, mais elle est simple : on ne bâtit pas un cloud souverain avec des encouragements. On le bâtit avec des contrats.
Les puces, ou le retour du réel industriel
Le Chips Act 2.0 complète cette logique. Le premier Chips Act européen, adopté en 2023, avait fixé une ambition spectaculaire : porter l’Europe à 20 % de la production mondiale de semi-conducteurs à l’horizon 2030. Mais l’IA générative a brutalement déplacé le centre de gravité du marché. Ce ne sont plus seulement les puces industrielles, automobiles ou embarquées qui comptent. Ce sont les accélérateurs IA, les GPU, les architectures spécialisées, les interconnexions, les mémoires, les capacités de production avancée et les écosystèmes logiciels associés.
Sur ce terrain, l’Europe dispose d’atouts réels, mais incomplets. ASML est un acteur absolument stratégique de la chaîne mondiale des semi-conducteurs. STMicroelectronics, Infineon, NXP ou Soitec incarnent des compétences industrielles solides. Mais l’Europe ne contrôle ni les GPU dominants, ni les grands clouds d’IA, ni les plateformes d’entraînement à l’échelle des géants américains.
Le Chips Act 2.0 cherche donc à renforcer les capacités européennes, à réduire les dépendances stratégiques et à soutenir les technologies avancées. Mais il ne faut pas se tromper de temporalité. Une filière puces ne se décrète pas en un cycle politique. Elle suppose du capital, de l’énergie disponible, des compétences rares, des usines, des clients, des standards, des logiciels, des partenariats industriels et des années de continuité.
C’est ici que l’ambition européenne retrouve sa limite habituelle. Elle sait très bien écrire la règle. Elle sait plus difficilement financer l’échelle.
L’open source, de la vertu au levier industriel
Le troisième pilier, plus discret mais peut-être le plus intéressant, concerne l’open source. Bruxelles veut en faire un levier de souveraineté, non par folklore communautaire, mais parce que les logiciels ouverts permettent de réduire le verrouillage propriétaire, d’améliorer l’auditabilité, de mutualiser certains développements et de créer des bases technologiques plus contrôlables.
Là encore, la cohérence avec les blocages passés est forte. L’Europe a souvent eu de bons ingénieurs, de bons projets, de bons composants, mais une difficulté chronique à transformer ces briques en plateformes industrielles. L’open source peut être une réponse, à condition de ne pas être réduit à une réserve gratuite de code. Il faut des modèles économiques, des mainteneurs, des garanties de support, des intégrateurs, des acheteurs publics formés et des politiques de contribution.
Pour les DSI publics, le sujet est très concret. Un logiciel ouvert n’est pas automatiquement souverain, sécurisé ou maintenable. Mais il offre une possibilité de contrôle que ne donne pas toujours une solution propriétaire fermée. Il peut surtout devenir une infrastructure commune, si les administrations cessent de se comporter uniquement comme consommatrices et acceptent d’en devenir contributrices.
Une politique de souveraineté, pas encore une industrie
Le paquet européen a donc une cohérence. Il répond aux trois grands points de blocage des années précédentes : l’absence de définition opérationnelle de la souveraineté, l’absence de préférence d’achat suffisamment assumée, et l’absence d’articulation entre cloud, IA, puces et logiciel.
Mais cette cohérence ne suffit pas à en garantir l’efficacité. La souveraineté technologique ne se gagne pas seulement dans les textes. Elle se gagne dans les bilans d’investissement, les carnets de commandes, les data centers raccordés, les ingénieurs recrutés, les chaînes d’approvisionnement sécurisées, les coûts d’énergie, les API disponibles et la confiance des DSI.
Le risque serait de produire une nouvelle couche réglementaire sans capacité industrielle correspondante. Les acheteurs publics pourraient alors se retrouver avec des critères plus stricts, mais une offre encore insuffisante en face. Les DSI, eux, savent ce que cela signifie : des arbitrages complexes, des architectures hybrides, des compromis entre performance, conformité, souveraineté, coût et disponibilité des compétences. C’est pourquoi les initiatives comme NumSpot, S3NS ou Bleu restent observées avec autant d’attention : elles incarnent chacune, avec leurs compromis, la difficulté française à concilier souveraineté juridique, puissance technologique et réalité des usages.
L’Europe ne peut pas remplacer brutalement les hyperscalers américains. Elle ne le prétend d’ailleurs pas. La question n’est pas l’autarcie, mais la hiérarchisation des dépendances. Tous les usages ne justifient pas le même niveau de souveraineté. Tous les risques ne méritent pas la même réponse. Mais certains actifs numériques ne peuvent plus être traités comme de simples prestations externalisées.
C’est sans doute la vraie nouveauté du moment. La souveraineté numérique européenne n’échoue pas faute de discours. Elle échoue quand elle refuse de dire à partir de quel niveau de criticité une dépendance devient inacceptable.
Avec ce paquet, Bruxelles tente de tracer cette ligne. Elle n’a pas encore bâti l’industrie qui permettra de la tenir. Mais elle reconnaît enfin que la souveraineté numérique ne se mesure pas seulement à l’endroit où l’on stocke les données. Elle se mesure à la capacité de continuer à fonctionner quand le droit, la géopolitique ou le fournisseur ne jouent plus dans le même camp.
Après avoir échoué à faire naître un cloud souverain par incantation, l’Europe tente désormais de le faire émerger par la commande publique, la certification et la contrainte d’architecture. C’est plus sérieux. Ce n’est pas encore une victoire. Mais c’est peut-être la première fois que la souveraineté numérique européenne commence à ressembler à une politique industrielle.
Les quatre niveaux d’assurance de souveraineté cloud et IA
Avec le Cloud and AI Development Act, la Commission européenne propose de classer les services cloud et IA selon quatre niveaux d’assurance de souveraineté. L’objectif est de sortir du flou habituel autour du « cloud souverain » et d’adapter le niveau d’exigence à la criticité des usages.
Niveau 1 – La donnée reste dans l’Union européenne
Le premier niveau impose que les données soient traitées et stockées dans l’UE. C’est le socle minimal : il répond à la question de la localisation, mais ne garantit pas encore le contrôle complet du service.
Niveau 2 – Une indépendance renforcée vis-à-vis des pays tiers
Le deuxième niveau ajoute des exigences sur l’indépendance à l’égard de pays non européens et sur la transparence de la chaîne logicielle. Il ne suffit plus d’héberger les données en Europe : il faut commencer à documenter les dépendances techniques et juridiques.
Niveau 3 – Un contrôle exercé depuis l’Union européenne
Le troisième niveau franchit un cap : le service doit être détenu et contrôlé depuis l’UE, avec des garanties supplémentaires sur la gouvernance, l’exploitation et les dépendances. C’est le niveau qui vise les usages sensibles, là où la souveraineté ne peut pas se limiter à une promesse contractuelle.
Niveau 4 – La maîtrise complète de la chaîne logicielle
Le niveau le plus élevé suppose une transparence et un contrôle complets de la chaîne logicielle, sans possibilité d’interférence d’un pays tiers. Il s’adresse aux services les plus critiques, pour lesquels une dépendance juridique, technique ou opérationnelle extérieure devient un risque stratégique.
En creux, la Commission acte une distinction essentielle pour les DSI : un cloud hébergé en Europe n’est pas nécessairement un cloud souverain. La localisation des données n’est qu’un premier étage. La souveraineté se joue aussi dans le contrôle du capital, de l’exploitation, du logiciel, des accès administrateurs, des mises à jour, des clés et des obligations juridiques auxquelles le fournisseur est soumis.
SoftBank en France : souveraineté ou dépendance sous perfusion étrangère ?
Le paradoxe est presque trop parfait. Au moment où Bruxelles veut réduire les dépendances technologiques de l’Europe, la France déroule le tapis rouge à SoftBank pour construire des infrastructures d’IA sur son sol. Le groupe japonais a annoncé vouloir investir jusqu’à 75 milliards d’euros dans des data centers en France, avec une première phase de 45 milliards d’euros dans les Hauts-de-France et une capacité annoncée de 3,1 GW. Un projet distinct, mené avec Sesterce, doit porter sur un data center IA de 1 GW à Bosquel.
Faut-il y voir une contradiction ? Oui, si l’on confond souveraineté numérique et nationalité du foncier. Non, si l’on admet que la souveraineté se joue désormais à plusieurs étages : l’énergie, le site, les données, le capital, les clients, les modèles, les puces, le logiciel, l’exploitation et le droit applicable. Installer des data centers en France ne suffit pas à créer une souveraineté européenne. Cela peut, au mieux, créer une capacité de calcul située en Europe. C’est déjà beaucoup. Ce n’est pas tout.
Masayoshi Son n’investit pas en France par amour du code civil ou de la souveraineté numérique européenne. Il investit parce que la France dispose d’électricité bas carbone, de foncier industriel, d’une volonté politique de simplification et d’un besoin colossal de calcul pour l’IA. Dans la grande géographie de l’intelligence artificielle, l’Hexagone devient une prise électrique bien placée. C’est flatteur. C’est aussi une forme de rappel à l’ordre : l’Europe peut vouloir maîtriser sa pile technologique, mais elle a encore besoin de capitaux venus d’ailleurs pour construire ses cathédrales de calcul.
Le cas SoftBank oblige donc à poser une question dérangeante : une infrastructure étrangère implantée en France est-elle plus souveraine qu’un cloud européen sous-capitalisé incapable de fournir l’échelle attendue ? La réponse n’est pas binaire. Un data center SoftBank raccordé au réseau français, soumis au droit européen, opéré avec des partenaires locaux et utilisé par des clients européens peut renforcer l’autonomie de calcul du continent. Mais si les GPU, les modèles, les clients stratégiques, la couche logicielle et les décisions d’investissement restent pilotés ailleurs, l’Europe n’aura pas conquis sa souveraineté. Elle aura simplement loué l’emplacement de sa dépendance.
C’est ici que le discours européen devra être testé. Réserver certains marchés critiques aux Européens n’a de sens que si l’on sait définir ce qu’est un acteur européen. Est-ce une société de droit européen ? Une gouvernance européenne ? Un contrôle capitalistique européen ? Une chaîne logicielle auditée ? Une capacité à fonctionner sans injonction étrangère ? Ou simplement un bâtiment posé sur le sol français, alimenté par des électrons français, mais branché sur une stratégie mondiale qui se décide à Tokyo, Seattle, San Francisco ou Abou Dhabi ?
La souveraineté numérique ne se résume donc pas à savoir où seront construits les data centers. Elle consiste à savoir qui décidera de ce qu’ils calculent, pour qui, avec quelles puces, sous quel droit, et au bénéfice de quelle industrie. À défaut, l’Europe risque de passer du vieux rêve du cloud souverain à une souveraineté immobilière : des murs chez nous, des machines chez nous, de l’électricité chez nous – et la valeur, toujours, ailleurs.
À LIRE AUSSI :
