Cloud
EUCS relancé, CADA en coulisses : ce que l’UE prépare vraiment pour le cloud
Par Thierry Derouet, publié le 05 février 2026
Le débat européen sur le cloud ressemble à une porte qu’on ouvre et qu’on referme depuis des années. D’un côté, l’EUCS, la future « étiquette » européenne qui doit certifier la cybersécurité des services cloud. De l’autre, une question que cette étiquette n’arrive pas à contenir : la dépendance à des fournisseurs, à des briques techniques, à des droits extra-européens. En janvier 2026, la Commission européenne choisit une stratégie de contournement : maintenir l’EUCS sur le terrain de la cyber « pure », et annoncer un futur texte, CADA, pour traiter le reste : capacité, investissements et usages publics ultra-critiques. Explication de texte.
On peut expliquer l’EUCS à un enfant de dix ans : c’est une étiquette collée sur un cloud pour dire « ce service a été évalué, il atteint tel niveau de sécurité ». Une étiquette européenne, censée être reconnue dans tous les pays de l’Union.
L’étiquette ne dit pas que le cloud est « parfait ». Elle dit qu’il répond à une liste de règles, avec des audits, une méthode, et un langage commun.
Le problème, c’est que le cloud n’est plus seulement un produit que l’on compare. C’est un système de dépendances. Un cloud, ce n’est pas un seul fournisseur : c’est souvent une chaîne de prestataires, de logiciels intégrés, de sous-traitants, d’équipes d’exploitation, de mises à jour. Une longue file de dominos derrière un seul logo. Et l’Europe, depuis trois ans, se dispute sur une question qui dépasse la cybersécurité : qu’arrive-t-il si, un jour, un des dominos n’obéit plus à la même loi, ou au même intérêt ?
C’est là que l’EUCS s’est enlisé. Parce qu’on a voulu lui faire porter deux promesses à la fois : certifier la cybersécurité, et trancher la souveraineté. Or, la souveraineté, dans ce débat, ne se résume pas à « où sont les serveurs ? ». Elle touche à la juridiction, au contrôle, à la possibilité d’un accès imposé par une puissance étrangère. En juillet 2024, la CNIL l’a écrit sans détour : dans l’état du projet, l’EUCS ne permettait plus aux fournisseurs de démontrer qu’ils protègent les données contre l’accès d’une puissance étrangère, contrairement à la qualification SecNumCloud en France, et l’autorité appelait à réintroduire de telles garanties.
Dans le reste de l’Europe, la presse a montré la fracture à ciel ouvert : d’un côté, des industriels européens qui réclamaient des clauses de souveraineté fortes pour éviter que des lois étrangères puissent ouvrir une fenêtre sur des données européennes ; de l’autre, des organisations et fédérations qui craignaient qu’un label trop « politique » ne devienne discriminatoire et ne fragmente le marché.
La relance 2026 : l’EUCS revient, mais « rétréci » au sens où Bruxelles l’entend
Ce que prépare Bruxelles, depuis janvier 2026, tient en une ligne : faire repartir l’EUCS en le remettant dans un cadre révisé, plus pilotable, et moins explosif politiquement. La Commission annonce explicitement la reprise des travaux sur l’EUCS dans le cadre de son paquet cybersécurité.
La logique est assumée : la certification sert à traiter les risques « cyber » (mesurables, auditables) ; les risques « non techniques » (dépendances, souveraineté, géopolitique) doivent être traités autrement. C’est précisément ce qu’indique la FAQ officielle : l’EUCS reprend, et un second texte va venir couvrir les angles morts liés à la souveraineté et aux risques non techniques.
Cette relance s’appuie aussi sur un renforcement de l’appareil européen, qui n’est pas anecdotique. ENISA n’est plus seulement un producteur de schémas : elle devient une pièce opérationnelle de la résilience européenne. En août 2025, l’agence reçoit une enveloppe de 36 M€ sur trois ans pour opérer la « réserve cybersécurité » de l’UE, en plus de son budget annuel 2025 (26,9 M€) — avec une logique de services mobilisables et contractualisés.
Le message est simple : on ne parle plus seulement d’étiquettes, on parle de capacité de réponse.
Et pendant que l’EUCS se remet en marche… CADA avance, plus silencieux, plus industriel
CADA, c’est le texte que Bruxelles place dans l’ombre portée de l’EUCS. Pas un label. Pas un audit. Un acte de politique industrielle et d’infrastructure. Le Parlement européen le décrit comme « annoncé » et attendu au premier trimestre 2026, sur la base du programme de travail 2026 de la Commission, après une phase de « call for evidence » close en juillet 2025.
Dans le « train » législatif lié à l’« AI Continent Action Plan », le Parlement précise l’intention : booster de grands investissements dans la capacité cloud et edge.
C’est exactement la clé narrative : l’EUCS dit comment on certifie ; CADA dit comment on construit et comment on finance. L’un s’adresse aux acheteurs et aux auditeurs. L’autre s’adresse au marché, aux investisseurs, aux opérateurs d’infrastructures, et — surtout — au secteur public européen quand il veut des capacités « EU-based » pour des usages critiques. Et la Commission assume le lien : CADA est le complément qui doit traiter les « aspects de souveraineté » que l’EUCS n’arrivait pas à porter sans se bloquer.
Ce que cela change pour l’hébergement des données, avec ou sans SecNumCloud
La conséquence la plus tangible, pour une DSI, ressemble à une cohabitation.
L’EUCS est appelé à devenir la langue commune européenne pour prouver un niveau de cybersécurité cloud. Il facilitera, s’il aboutit, les achats multipays et les comparaisons « sécurité » à l’échelle UE.
Mais la question « souveraineté au sens strict » — protection contre certaines lois extraterritoriales et critères de contrôle — n’est pas garantie par défaut si elle n’est pas dans le schéma final, et la CNIL a explicitement pointé ce risque par comparaison avec SecNumCloud. Cela signifie que, pour les données les plus sensibles, les exigences nationales continueront d’exister et les organisations devront maintenir une cartographie des données et des régimes applicables : ce que l’on met sous EUCS, ce que l’on met sous SecNumCloud, et pourquoi.
CADA, lui, ne viendra pas « remplacer » SecNumCloud. Il viendra plutôt changer le décor en amont : si l’Europe veut réduire certaines dépendances, elle doit créer des conditions de capacité — et rendre la disponibilité d’offres européennes crédible, industrialisable, finançable. C’est la logique indiquée par le Parlement sur le calendrier et l’objectif d’investissements.
L’EUCS revient parce que l’Europe a besoin d’un thermomètre commun. CADA arrive parce que l’Europe a compris qu’un thermomètre ne fabrique pas de médicaments. Entre les deux, il y aura toujours des débats de frontière : ce qui est « cyber » et ce qui est « souveraineté », ce qui relève d’une étiquette et ce qui relève d’une capacité. Mais au moins, Bruxelles assume désormais une vérité que les DSI connaissent depuis longtemps : on ne pilote pas le cloud avec un seul outil.
En résumé, ce que Bruxelles essaie de faire, en clair
L’Europe a compris qu’elle ne pouvait pas demander à un même texte de résoudre deux problèmes différents.
L’EUCS vise à produire un socle commun de cybersécurité pour les services cloud : des exigences, des niveaux, des preuves, une lisibilité européenne. Il doit redevenir un outil « utilisable », donc politiquement acceptable.
CADA vise à augmenter la capacité européenne (cloud, edge, IA) et à rendre possible, dans l’Union, des offres « EU-based » pour des usages publics hautement critiques : ce n’est plus une étiquette, c’est une stratégie d’infrastructure.
À LIRE AUSSI :
À LIRE AUSSI :
