Golden Gate : Apple fait de l’intelligence artificielle un fossé de protection
Bernhard Liebl
8 min de lecture Le véritable message de la WWDC 2026 se cache dans le sous-texte de la présentation ...
Lire l'article
6 min de lecture
6 min de lecture
Le 27 mai, l’Union européenne a présenté son paquet sur la souveraineté technologique. Il propose de limiter l’utilisation des fournisseurs de cloud américains pour les données sensibles des autorités dans tous les 27 États membres. Trois grands groupes américains contrôlent environ 70 % du marché européen du cloud. Ainsi, une question qui a longtemps été débattue dans les achats IT devient désormais une affaire de direction : à qui revient le droit d’accéder à nos données, et que se passe-t-il lorsque la géopolitique bascule ?
Les points clés en bref
- L’UE impose des limites au sourcing. Le paquet sur la souveraineté technologique vise à restreindre l’utilisation des clouds américains pour les données sensibles des autorités.
- Trois fournisseurs, 70 % du marché. La concentration sur AWS, Azure et Google Cloud est même devenue un risque.
- Le CLOUD Act étend les contrats. Le droit américain peut exiger la divulgation de données, indépendamment du lieu où se trouvent les serveurs.
Connexions :Pourquoi les comités de direction exigent-ils une capacité de défense ?/Comment le marché des capitaux évalue-t-il la gouvernance ?
Pourquoi cette question est-elle maintenant une affaire de direction ?
Qu’est-ce que le CLOUD Act ? Le CLOUD Act est une loi américaine qui oblige les entreprises américaines à divulguer les données qu’elles stockent, quel que soit l’endroit où se trouvent les serveurs. Un fournisseur détenu par des Américains ne peut pas se soustraire à cette obligation grâce à une clause contractuelle stipulant que les données doivent être conservées sur place, car la loi prévaut sur ces accords.
Pendant longtemps, le choix du cloud était considéré comme une décision d’approvisionnement : quel fournisseur offrait quelle performance à quel prix. Cette perspective est désormais dépassée. Avec le paquet de l’UE et l’attention croissante portée au CLOUD Act, la question se transforme en une réflexion stratégique sur les risques, que le conseil d’administration, le service juridique et la conformité doivent aborder conjointement. Il s’agit de résilience opérationnelle, de dépendance géopolitique et de la question de savoir ce qui se passe lorsque l’accès est restreint pour des raisons politiques.
Les événements récents le montrent clairement : des rapports ont fait état d’un service Microsoft souverain à Francfort qui a temporairement cessé de fonctionner, ainsi que de clés cloud exposées d’une autorité américaine. Ces incidents ne sont plus une préoccupation abstraite, mais des preuves concrètes que la dépendance à quelques fournisseurs constitue une catégorie de risque propre. Un conseil d’administration qui n’a pas pris en compte ces enjeux a créé une lacune dans sa gestion des risques.
70 %
du marché européen du cloud sont détenus par trois fournisseurs américains. Cette concentration est même devenue un risque stratégique.
Source : analyses de marché de l’UE concernant le paquet sur la souveraineté technologique, mai 2026
Ce que la souveraineté signifie concrètement
La souveraineté n’est pas synonyme de résidence des données. Un centre de données à Francfort respecte la résidence, mais si l’opérateur est sous propriété américaine, l’exposition au CLOUD Act persiste. Une véritable souveraineté exige que ni l’exploitation ni l’accès juridique ne dépendent d’une juridiction étrangère. Cette distinction doit figurer dans chaque discussion du comité exécutif, car elle fait la différence entre apparence et substance.
L’UE a elle-même donné le signal. En avril, la Commission a attribué un contrat allant jusqu’à 180 millions d’euros sur six ans à quatre fournisseurs européens, et ce pour la première fois avec des critères explicites de souveraineté dans l’appel d’offres. Cela va au-delà de la symbolique. Cela établit la souveraineté comme norme d’acquisition et crée un marché pour les fournisseurs qui répondent à ces critères.
Souveraineté apparente
- Serveurs dans l’UE, opérateur sous propriété américaine
- Résidence des données garantie par contrat
- L’exposition au CLOUD Act persiste
Souveraineté fiable
- Exploitation et propriété dans une juridiction UE
- Aucun levier d’accès soumis à une loi étrangère
- Souveraineté ancrée comme critère d’appel d’offres
Ce que les comités exécutifs DACH devraient faire maintenant
La première étape consiste en un état des lieux honnête des dépendances. Quels processus critiques s’exécutent chez quel fournisseur, où se trouvent les données et sous quelle juridiction relève réellement l’opérateur. Cette cartographie fait défaut dans de nombreuses entreprises, car le choix du cloud a été historiquement décentralisé et fonctionnel, et non basé sur les risques géopolitiques.
La deuxième étape n’est pas une migration précipitée. Personne ne profite d’un retrait nocturne de tout depuis le cloud américain. Une approche graduée est pertinente : quels charges de travail sont non critiques et restent là où elles sont, lesquelles sont suffisamment sensibles pour que la question de la souveraineté devienne impérative. Cette priorisation est une décision du comité exécutif, car elle arbitre entre risque, coûts et efforts, et il ne s’agit pas d’une simple question informatique.
Un serveur à Francfort ne prouve rien si une loi étrangère peut accéder à ses données. La souveraineté se décide au niveau de la juridiction, pas du code postal.
Il reste à classer cela comme une tâche obligatoire, et non optionnelle. L’orientation de la réglementation est fixée, la concentration du marché est réelle, et les incidents des semaines dernières montrent que le risque n’est pas théorique. Un comité exécutif n’a pas besoin de finaliser cette évaluation aujourd’hui. Mais il doit pouvoir démontrer qu’il l’a entamée. Celui qui, lors du prochain audit ou de la prochaine perturbation géopolitique, n’a pas de réponse, a laissé la question trop longtemps sans réponse dans les services achats.
Foire aux questions
Un centre de données européen suffit-il pour la souveraineté des données ?
Non. Un emplacement dans l’UE respecte la résidence des données, mais si l’opérateur est sous contrôle américain, l’exposition au CLOUD Act persiste. La souveraineté exige que l’accès juridique soit également soumis à la juridiction européenne.
Que propose le paquet sur la souveraineté technologique de l’UE ?
Il propose de restreindre l’utilisation de fournisseurs de cloud américains pour les données sensibles des administrations dans les États membres. Le contexte est une forte concentration du marché : trois fournisseurs américains détiennent environ 70 % du marché européen du cloud.
Les entreprises devraient-elles migrer hors du cloud américain dès maintenant ?
Pas systématiquement. Il est judicieux de procéder par gradation selon le niveau de sensibilité : les charges de travail non critiques restent, tandis que les sensibles sont évaluées au regard de la question de la souveraineté. Une migration précipitée crée plus de risques qu’elle n’en résout.
Pourquoi s’agit-il d’une question relevant du conseil d’administration ?
Parce qu’il s’agit de résilience opérationnelle, de dépendance géopolitique et de continuité réglementaire, et non de performance ou de prix. Cette évaluation relève conjointement du conseil d’administration, du service juridique et de la conformité, et non uniquement du service achats.
Existe-t-il des alternatives fiables ?
Le marché émerge. En avril, la Commission européenne a attribué pour la première fois un contrat de cloud avec des critères explicites de souveraineté à des fournisseurs européens. Cela établit une norme et crée une demande pour des offres souveraines.
Plus d’infos depuis le réseau MBF Media
mybusinessfuture
securitytoday
Source de l’image : générée par IA (mai 2026), certificat C2PA intégré à l’image