L'UE propose une réglementation du cloud pour limiter l'accès d'Amazon, Microsoft et Google à 70 % des marchés publics européens

La Commission européenne proposera mercredi des critères stricts de passation de marchés qui pourraient exclure Amazon, Microsoft et Google des contrats gouvernementaux sensibles dans le cloud dans l'ensemble des 27 États membres.

« La souveraineté technologique signifie que l'Europe a la capacité de concevoir, comprendre, choisir parmi différentes sources locales, construire, exploiter et réglementer efficacement les systèmes numériques sur lesquels sa société et son économie reposent », ont déclaré un groupe de 13 fournisseurs de cloud européens et législateurs dans une lettre ouverte consultée par Reuters.

La proposition, qui fait partie de la loi européenne sur le cloud et le développement de l'IA (Cloud and AI Development Act), introduit des critères d'attribution obligatoires non fondés sur le prix, incluant des exigences relatives aux logiciels et matériels développés au sein de l'UE. Les restrictions ciblent les charges de travail du secteur public traitant des données financières, judiciaires et de santé — les catégories les plus sensibles d'informations gouvernementales. Les entreprises du secteur privé sont explicitement exclues du champ d'application des règles.

Cette initiative, motivée par les craintes de surveillance américaine en vertu du CLOUD Act de 2018, menace environ 70 % du marché européen du cloud contrôlé par AWS, Microsoft Azure et Google Cloud. La législation nécessite le soutien des États membres de l'UE et du Parlement européen dans les mois à venir, des divergences internes étant déjà apparues entre les pays nordiques et l'Irlande — où les entreprises américaines du cloud ont des activités importantes — et les pays qui plaident pour des exigences de souveraineté plus strictes.

Le CLOUD Act, adopté par le Congrès américain en mars 2018, a résolu un long différend juridique en établissant que les entreprises constituées aux États-Unis doivent se conformer aux demandes de données du gouvernement américain, quel que soit l'emplacement de leurs serveurs. Aucune clause contractuelle de résidence des données ne peut déroger à cette obligation statutaire, selon des experts juridiques. L'arrêt Schrems II de 2020 rendu par la Cour de justice de l'Union européenne a établi que les contrats ne peuvent pas primer sur les lois étrangères d'accès aux données, créant ainsi le fondement juridique de cette poussée en faveur de la souveraineté.

Le moment choisi pour l'annonce de la Commission renforce l'argument. Dix jours avant la présentation du paquet législatif, un sous-traitant de la Cybersecurity and Infrastructure Security Agency (CISA) américaine a laissé les identifiants administratifs de trois comptes AWS GovCloud sur un dépôt GitHub public pendant six mois. Le dépôt contenait 844 mégaoctets de données, y compris des mots de passe en texte clair pour des dizaines de systèmes internes de la CISA. La CISA a déclaré n'avoir trouvé aucune preuve de compromission des données, mais l'incident a illustré les risques procéduraux inhérents à la dépendance à l'égard d'une infrastructure contrôlée par les États-Unis.

Le précédent néerlandais établit une norme en matière de contrôle des investissements

Un jour avant le paquet de la Commission, le gouvernement néerlandais a émis sa toute première interdiction d'acquisition en vertu du Bureau national de contrôle des investissements. La secrétaire d'État Willemijn Aerdts a bloqué l'acquisition de Solvinity par Kyndryl, une scission d'IBM. Solvinity est l'entreprise néerlandaise de cloud qui héberge DigiD — le système d'identité numérique national utilisé par des millions de citoyens néerlandais pour accéder aux services gouvernementaux, aux dossiers médicaux et aux déclarations fiscales. Le BTI a conclu que placer Solvinity sous le contrôle de Kyndryl soumettrait les données d'identité à une éventuelle divulgation forcée en vertu du CLOUD Act.

La proposition de la Commission suit désormais un parcours législatif à travers les 27 États membres. Les dépenses mondiales en cloud souverain devraient atteindre 80 milliards de dollars en 2026, avec une croissance des dépenses européennes de 83 % d'une année sur l'autre, à partir d'une base de 6,9 milliards de dollars en 2025, selon Gartner. Les fournisseurs de cloud européens locaux détiennent environ 15 % du marché, laissant un écart de capacité significatif que le compromis de la Commission — autorisant les technologies non européennes dans des cadres de gouvernance stricts — vise à combler.

La Commission a attribué en avril un appel d'offres de 180 millions d'euros pour le cloud souverain à quatre groupes de fournisseurs européens, dont un consortium mené par l'opérateur télécom belge Proximus utilisant l'infrastructure de S3NS, une coentreprise dans laquelle l'entreprise française de défense Thales détient une participation majoritaire et Google Cloud fournit la technologie sous-jacente. Cette inclusion a suscité des critiques de la part de l'association européenne des fournisseurs de cloud CISPE, dont le secrétaire général Francisco Mingorance a qualifié la reconnaissance de S3NS comme souverain de « clairement un but contre son camp » qui « menace d'institutionnaliser le "sovereignty washing" aux plus hauts niveaux ».

Cet article est fourni à titre d'information uniquement et ne constitue pas un conseil en investissement.