Gouvernance

Éric Haddad (NumSpot) : « Mieux vaut un référentiel imparfait que pas de référentiel du tout ! »

Par Thierry Derouet, publié le 24 mars 2026

Le 17 mars, 24 dirigeants européens du cloud et du numérique, réunis autour du CISPE, ont adressé une lettre à Henna Virkkunen, vice-présidente exécutive de la Commission européenne en charge de la souveraineté technologique. Leur message est limpide : à force d’entretenir le flou, Bruxelles laisse prospérer une souveraineté d’affichage, pendant que les hyperscalers continuent d’imposer leurs standards au marché européen.

«Mieux vaut un référentiel imparfait que pas de référentiel du tout. » La formule, lâchée par Éric Haddad, CEO de NumSpot et cosignataire du courrier envoyé à Bruxelles via le CISPE, résume à elle seule le malaise du moment. Derrière les acronymes — EUCS d’un côté, CADA de l’autre — et derrière les arbitrages encore en suspens, une question plus simple s’impose : que signifie encore, concrètement, une offre cloud « souveraine » ? Tant que l’Europe ne répond pas clairement à cette question, d’autres continueront de le faire à sa place.

Un courrier qui en dit long

À première vue, ce n’est qu’une lettre de plus dans le maquis bruxellois. En réalité, ce courrier dit beaucoup de la séquence en cours. Car il ne parle pas seulement de cybersécurité, ni même de cloud. Il parle de vocabulaire, donc de pouvoir.

Le CISPE, pour Cloud Infrastructure Services Providers in Europe, rassemble des fournisseurs de services d’infrastructure cloud opérant en Europe. Pas des universitaires. Pas des observateurs lointains. Des acteurs de marché, confrontés tous les jours à un environnement où la souveraineté est revendiquée à peu près partout, selon des critères de plus en plus extensibles.

Si cette lettre a été envoyée maintenant, ce n’est pas par hasard. Elle s’inscrit exactement dans la zone de frottement que nous décrivions déjà dans EUCS relancé, CADA en coulisses : ce que l’UE prépare vraiment pour le cloud. D’un côté, l’Europe continue de travailler sur EUCS, son schéma de certification cloud. De l’autre, elle laisse monter un texte d’une tout autre nature, le Cloud and AI Development Act, ou CADA, qui relève moins du thermomètre cyber que de la politique industrielle.

Le problème, c’est qu’entre les deux, le brouillard persiste. Et ce brouillard commence à agacer sérieusement les acteurs européens.

Le vrai sujet : le contrôle

Le fond du message du CISPE tient en une idée très simple : la souveraineté ne peut pas être déclarative.

Autrement dit, elle ne se résume ni à la localisation des données, ni à l’hébergement dans un datacenter européen, ni à l’obtention d’une certification cyber, aussi sérieuse soit-elle. Ce que demandent les signataires, c’est de remettre au centre la question du contrôle réel : qui opère, qui administre, qui maîtrise les dépendances, qui garde la main quand la situation se tend.

C’est précisément ce que résume la formule choisie dans la lettre : « Buy European – Ensure Resilience – or Explain. »

En une ligne, tout est là. On n’est plus seulement dans un débat de conformité. On entre dans un débat de hiérarchie des offres, de commande publique, d’arbitrage économique. En clair : dans un débat politique.

Ce que l’EUCS n’a pas tranché

Pendant des mois, Bruxelles a tenté de faire tenir dans EUCS une partie du débat souverain. La question était simple : jusqu’où un schéma de certification cyber peut-il embarquer des exigences qui relèvent en réalité d’un choix public ?

La réponse, on la connaît désormais : difficilement.

À force de compromis, de reports et d’hésitations, l’EUCS a peu à peu été renvoyé vers ce qu’il sait faire le mieux : qualifier des niveaux de cybersécurité. Ce n’est pas rien. Mais ce n’est pas la même chose que définir ce qu’est une offre souveraine ni ce que l’Europe veut réellement protéger.

Le CADA revient donc par une autre porte. Non plus comme annexe de la certification, mais comme tentative de structuration du marché cloud et IA européen.

Pourquoi ils parlent de « sovereignty-washing »

Le mot n’a pas été choisi au hasard. Il vise une dérive désormais visible : la souveraineté d’affichage.

Une offre coche quelques cases — présence locale, hébergement régional, conformité partielle — et le mot « souverain » apparaît. Le problème n’est pas que ces éléments soient faux. Le problème, c’est qu’ils ne suffisent pas à qualifier une autonomie réelle. On coche les cases… sans changer la dépendance.

Pour un DSI, la question devient alors très concrète : qui garde la main ? Qui administre ? Qui peut imposer une évolution ? Qui supporte le risque juridique ?

Quand le marché demande des critères

C’est là que l’éclairage d’Éric Haddad apporte quelque chose de très concret. Son intérêt n’est pas de pousser une ligne maximaliste. Il dit au contraire être nuancé sur ces sujets. Mais il met le doigt sur ce qui manque au débat européen : un langage commun. « Il faut remettre des mots sur ce qui est souverain… et sur ce qui ne l’est pas. » Et surtout : « Mieux vaut un référentiel imparfait que pas de référentiel du tout. » Le marché n’attend pas un idéal. Il attend des critères utilisables.

SecNumCloud, repère plus que solution

Dans ce paysage, SecNumCloud reste une référence. Il fixe un niveau d’exigence élevé. Il donne un point d’appui. Mais il ne règle pas tout.

Une qualification, même robuste, ne supprime pas la dépendance technologique ni la dépendance opérationnelle. Elle élève le niveau, sans suffire à définir une souveraineté complète.

Le problème des acheteurs

Pour les DSI, le sujet devient immédiatement concret. Sans critères partagés, impossible de rédiger un appel d’offres discriminant, impossible de comparer réellement les offres, impossible de justifier un arbitrage. Une doctrine qui ne se traduit pas dans les clauses finit toujours par céder face au marché.

Bruxelles redoute surtout de trancher

Au fond, le malaise est peut-être là. Définir la souveraineté, c’est accepter ses conséquences : réserver certains segments, orienter la commande publique, structurer un marché. Tant que tout reste dans la même brume — cybersécurité, confiance, localisation, souveraineté —, chacun peut continuer à se dire compatible. Et cette brume profite toujours aux mieux installés.

Une question simple pour les DSI

Le courrier du CISPE pose finalement une question très directe : sur quels critères décider, quand toutes les offres se disent à la fois sécurisées, conformes et souveraines ?

À LIRE AUSSI :

Cloud

Cloud, souveraineté, Bruxelles : comment le lobbying gagne du temps pendant que l’Europe perd du terrain

Thierry Derouet

11 Mar

Hermitage Solutions adopte la virtualisation de Nexvam

Frédéric Bergonzoli
Éric Haddad (NumSpot) : « Mieux vaut un référentiel imparfait que pas de référentiel du tout ! »

Thierry Derouet
Quand le cloud tue la compétence

Thomas Chejfec
Maki : une IA pour optimiser les entretiens de recrutement

Marie Varandat
Digital Product Passport (DPP) : Un champ d’opportunités sous-estimé

Marie Varandat
NetApp place la donnée comme boussole dans la tempête du Flash

Vincent Verhaeghe
Thierry Breton aux DSIN de l’année : « La confiance s’est effondrée »

Thierry Derouet
IA, agents, deepfakes, post-quantique : pourquoi il faut voir le replay de notre Matinale cyber

Thierry Derouet
Sophie Deleval (Ingram Micro) « Dans un environnement instable, la qualité de la relation, l’agilité opérationnelle et la confiance entre partenaires sont déterminantes »

Frédéric Bergonzoli
Forge, Small 4, Leanstral : Mistral AI accélère en mode « entreprise-first »

Laurent Delattre

Éric Haddad (NumSpot) : « Mieux vaut un référentiel imparfait que pas de référentiel du tout ! »