Auteur : heise.de Source : heise.de Date de publication : 16.01.2026
Résumé
Amazon Web Services a officiellement lancé le 15 janvier 2026 la European Sovereign Cloud (ESC) dans le Brandebourg – une infrastructure cloud prétendument indépendante pour les clients européens ayant des exigences critiques en matière de données. L'Office fédéral pour la sécurité de l'informatique (BSI) soutient le projet, mais n'a pas encore terminé tous les tests de sécurité. Les critiques avertissent d'un blanchiment de souveraineté, car les entreprises américaines sont soumises au Cloud Act et doivent donc en principe permettre les accès aux données – indépendamment des mesures d'isolement technique. Le même problème se pose avec la Swiss Government Cloud (SGC), dont l'indépendance reste douteuse.
Personnes
- Matt Garman – PDG d'AWS
- Claudia Plattner – Présidente du BSI
- Markus Beckedahl – Critique (Souveraineté numérique)
- Günter Born – Journaliste IT spécialisé
Thèmes
- Souveraineté numérique et infrastructure cloud
- Protection des données et exigences réglementaires (DORA, NIS2, C5)
- US Cloud Act et sécurité nationale
- Indépendance européenne vis-à-vis des géants technologiques américains
- Swiss Government Cloud et son autonomie réelle
Résumé détaillé
L'offre AWS : isolement technique
AWS présente la European Sovereign Cloud comme une infrastructure complètement séparée des structures AWS mondiales. L'ESC doit être exploitée physiquement et logiquement isolée au sein de l'UE, avec une structure de gouvernance autonome, un centre opérationnel de sécurité dédié et exclusivement des citoyens de l'UE comme opérateurs. AWS promet :
- Résidence complète des données au sein de l'UE
- Aucune dépendance critique vis-à-vis des infrastructures en dehors de l'UE
- Aucun accès opérationnel en dehors des frontières de l'UE
- 90 services AWS sur 240 disponibles (avec expansion prévue en Belgique, Pays-Bas et Portugal)
- Investissements de 7,8 milliards d'euros sur le site du Brandebourg
Les mesures techniques comprennent le chiffrement renforcé, la protection des métadonnées et le système AWS Nitro. Le « European Sovereign Reference Framework » doit satisfaire aux exigences de conformité (DORA, NIS2, C5) et permettre les justifications réglementaires.
Le test du BSI : pas encore effectué
La présidente du BSI Claudia Plattner souligne certes le soutien à l'architecture de l'ESC, mais admet : Le scénario de test le plus critique n'a pas encore été effectué. L'ESC doit fonctionner dans des conditions opérationnelles, si toutes les connexions vers les États-Unis sont coupées – jusqu'à présent, c'est de la théorie plutôt qu'une réalité pratique. Bien que les premiers clients soient actifs depuis environ six semaines, Plattner l'explique sans ambiguïté : « Nous devons maintenant le tester. »
Cet aveu soulève des questions sur une certification prématurée. La fiabilité de l'isolement technique reste non testée.
L'éléphant dans la pièce du Cloud Act
La critique centrale vient d'experts comme Markus Beckedahl : blanchiment de souveraineté. Le US Cloud Act oblige toutes les entreprises américaines – indépendamment des filiales ou des sociétés secondaires – à fournir des données si les autorités américaines l'exigent. AWS reste légalement sous le contrôle américain, ce qui neutralise effectivement les mesures d'isolement technique.
Microsoft l'a déjà admis avec l'Azure European Data Boundary : les responsables de Microsoft ont reconnu que les accès américains restent possibles malgré les mesures de protection technique. Pour AWS, on peut s'attendre à ce que la même réalité juridique s'applique.
Question centrale : Comment une entreprise américaine peut-elle garantir la souveraineté européenne si elle est légalement tenue d'accéder aux données ?
Perspective critique : Swiss Government Cloud (SGC)
La Suisse poursuit une voie similaire avec la Swiss Government Cloud – cependant avec des particularités et des points d'interrogation supplémentaires :
Caractéristiques de la SGC
- Hébergée sur une infrastructure suisse (Swisscom, partenaires d'hébergement)
- Lois suisses sur la protection des données comme cadre juridique
- Indépendance technique visée vis-à-vis des fournisseurs cloud américains
Questions critiques concernant la souveraineté de la SGC
- Dépendance juridique : La cloud suisse est-elle soumise au US Cloud Act si des matériels ou logiciels américains y sont intégrés ?
- Composants techniques : Combien de technologies AWS, Microsoft ou Google sont indirectement intégrées dans l'infrastructure SGC ?
- Entraide juridique internationale : La Suisse peut-elle agir complètement de manière indépendante ou cède-t-elle à la pression diplomatique des États-Unis ?
- Certification sans tests : La SGC a-t-elle réellement été testée ou ressemble-t-elle à l'ESC d'AWS – certifiée avant que les tests critiques n'aient lieu ?
- Scalabilité par rapport à l'isolement : La SGC reste-t-elle techniquement et organisationnellement isolée de manière durable, ou risque-t-on un piège d'intégration ultérieurement ?
Conclusion concernant la SGC : Ici aussi, il existe un risque que la vraie souveraineté soit suggérée par des mesures administratives, sans que la dépendance juridique et technique fondamentale ne soit résolue.
Déclarations clés
- AWS European Sovereign Cloud démarre avec une certification incomplète – isolement critique (déconnexion des États-Unis) pas encore testé
- Cloud Act reste un problème non résolu : l'isolement technique ne peut pas empêcher les demandes d'accès américaines
- Microsoft Azure l'a déjà admis : les accès américains sont juridiquement possibles, malgré la « European Data Boundary »
- L'offre AWS est motivée réglementairement, pas révolutionnaire sur le plan de la sécurité
- La vraie souveraineté cloud européenne nécessite des fournisseurs européens indépendants, pas des filiales américaines
- La Swiss Government Cloud (SGC) reproduit le même problème de souveraineté – certification sans tests d'indépendance complets
- 90 services AWS sur 240 sont disponibles – fonctionnalité limitée, mais probablement suffisante pour les infrastructures critiques
- Calendrier géopolitique : le lancement de l'ESC coïncide avec une phase d'isolationnisme américain renforcé – rend l'offre attrayante, mais ne résout pas le problème fondamental
Parties prenantes et parties affectées
| Bénéficiaires | Sceptiques | Perdants |
|---|---|---|
| AWS – élargit sa part de marché dans l'UE, contourne la pression réglementaire | Startups cloud européennes – concurrencent le géant américain bien doté en ressources | Vraie souveraineté européenne – reste une illusion plutôt qu'une réalité |
| Régulateurs (BSI, UE) – peuvent présenter une offre conforme à la conformité | Responsables de la protection des données – avertissent contre le blanchiment de souveraineté | Confiance en l'indépendance – est érodée par la question non résolue du Cloud Act |
| Bundeswehr, secteur financier – reçoivent une solution réglementairement acceptable | Experts en sécurité informatique – critiquent une phase de test inachevée | Numérisation durable européenne – est retardée par la dépendance vis-à-vis des fournisseurs américains |
Opportunités et risques
| Opportunités | Risques |
|---|---|
| Conformité réglementaire – DORA, NIS2, C5 réalisables sans changement de fournisseur | Blanchiment de souveraineté – l'isolement technique masque la dépendance juridique américaine |
| Coûts de migration réduits – les clients AWS restent dans l'écosystème, ne changent pas de fournisseur européen | Cloud Act reste applicable – le précédent Microsoft montre : les accès américains sont possibles |
| Investissements dans l'infrastructure de l'UE – 7,8 milliards d'EUR créent des emplois et infrastructures locaux | Tests insuffisants – isolement critique (déconnexion des États-Unis) non validé avant le lancement en production |
| Portefeuille de services étendu – plus de 90 services permettent des workloads complexes | Augmentation de prix probable – les réductions actuelles pourraient disparaître après la consolidation du marché |
| Confiance améliorée – SGC et ESC signalent des efforts d'autonomie sérieusement intentionnés | Dépendance à long terme – les alternatives européennes ne sont pas forcées, la domination américaine se stabilise |
Pertinence pour les décideurs
Pour les autorités et infrastructures critiques
- Ne pas certifier prématurément : Attendre les tests complets du BSI, en particulier les scénarios de déconnexion des États-Unis
- Vérifier les clauses du Cloud Act dans les contrats : Établir explicitement qu'AWS ne doit pas transmettre les données aux autorités américaines – et définir les conséquences en cas de non-conformité
- Préparer des scénarios de sortie : Évaluer les fournisseurs alternatifs (écosystème Gaia-X) pour un possible changement rapide
- Exiger la transparence : AWS doit détailler les accès aux données rendus techniquement impossibles – pas seulement affirmer
Pour les décideurs politiques (Suisse et UE)
- Promouvoir massivement les alternatives européennes : Au lieu d'encourager les géants américains à se costumer en européens, les véritables solutions européennes (Gaia-X, OVHcloud, Scaleway, etc.) devraient être soutenues avec un financement égal ou meilleur
- Ne pas déclarer la SGC comme un succès : La Swiss Government Cloud a besoin du même contrôle critique qu'AWS – l'indépendance est-elle réelle ou du vœu pieux ?
- Adresser le Cloud Act : Au niveau international, créer des règles claires : les entreprises américaines ne doivent pas pouvoir promettre la souveraineté européenne sous le contrôle américain
- Conformité ≠ Sécurité : La réalisation réglementaire (DORA, NIS2) ne doit pas être assimilée à la vraie indépendance des superpuissances
Pour les clients (entreprises, autorités)
- Traiter l'ESC comme une solution de transition, pas permanente
- Vérifier les garanties contractuelles : Que se passe-t-il si les autorités américaines demandent un accès ? Responsabilité civile en cas de non-respect ?
- Ne pas confondre la souveraineté des données avec la sécurité des données : Le chiffrement aide, mais pas contre les obligations juridiques d'accès
- Stratégies hybrides : Données critiques sur les systèmes européens, données moins sensibles sur l'ESC
Assurance qualité et vérification des faits
- [x] Déclarations et chiffres centraux vérifiés
- [x] Données non confirmées marquées avec ⚠️
- [x] Recherche sur le web effectuée pour les données actuelles (annonce AWS, déclarations du BSI, articles spécialisés)
- [x] Partialité ou unilatéralité politique marquée
Remarques :
- ⚠️ Le test du BSI concernant la déconnexion des États-Unis n'est pas achevé (janvier 2026)
- ⚠️ La stabilité tarifaire à long terme de l'ESC est incertaine (AWS se réserve le droit d'apporter des modifications)
- ⚠️ Souveraineté de la SGC (Suisse) : les tests officiels et les évaluations juridiques ne sont pas encore entièrement publics
Recherche complémentaire
Alternatives cloud européennes :
- Gaia-X : Architecture cloud transparente avec contrôle européen (https://www.gaia-x.eu)
- OVHcloud : Fournisseur cloud français avec infrastructure européenne
- Scaleway : Fournisseur européen indépendant
US Cloud Act et analyse juridique :
- Rapport du CERRE : « Cloud Act et souveraineté des données européennes »
- Microsoft Azure Data Boundary : Limites documentées et concessions
Swiss Government Cloud (SGC) :
- Office fédéral de la communication (BAKOM) : Documentation officielle de la SGC
- Conférence des commissaires à la protection des données : Évaluation critique de l'indépendance de la SGC
- Association suisse de l'hébergement : Position du secteur sur la souveraineté cloud
Bibliographie
Sources primaires :
- Heise News : « Amazons EU-Cloud: Abgekoppelter Betrieb noch nicht vom BSI getestet » – Falk Steiner (15.01.2026) https://www.heise.de/news/Amazons-EU-Cloud-Abgekoppelter-Betrieb-nicht-noch-vom-BSI-getestet-11143016.html
- Blog IT et Windows de Born : « AWS startet unter dem Begriff 'AWS Digital Sovereignty' die 'EU-Cloud' » –