Cloud Souveraine : Une Étiquette Trompeuse pour le Mauvais Niveau

Auteur: heise.de

Résumé Exécutif

Amazon et Microsoft ont introduit en 2026 des offres cloud sous le label « souverain » : AWS European Sovereign Cloud en Brandebourg avec exploitation par l'UE et Microsoft 365 Local avec matériel on-premises. L'auteur Golo Roden argue que ces solutions adressent la résidence des données et l'autonomie opérationnelle, mais laissent la souveraineté juridique intacte. Le problème: Le CLOUD Act et la section 702 de la FISA permettent aux autorités américaines d'accéder aux données des entreprises américaines, indépendamment du lieu physique ou de la filiale européenne.

Personnes

• Golo Roden (Fondateur et CTO, the native web GmbH)

Sujets

• Cloud Sovereignty
• Souveraineté Numérique
• Résidence des Données
• Cloud Governance
• Réglementation de l'UE

Clarus Lead

La Commission européenne a créé avec le Cloud and AI Development Act un cadre qui mesure la souveraineté par étapes – et ainsi nommé le problème: « Souverain » n'est pas une étiquette fiable, mais du marketing pour des mesures techniques qui ignorent le niveau décisif. Avec les deux tiers du marché cloud européen contrôlés par trois entreprises américaines, la pression politique augmente pour réduire cette dépendance, mais sans définitions claires, les organisations achètent une illusion plutôt que du contrôle.

Résumé Détaillé

Roden distingue trois niveaux de souveraineté cloud. La résidence des données concerne le lieu physique des données; l'autonomie opérationnelle l'exploitation par un personnel indépendant; la souveraineté juridique la juridiction à laquelle la société mère est soumise. Seuls les deux premiers peuvent être établis contractuellement et techniquement. Le troisième – qui a le dernier mot en cas de conflit – échappe à de telles mesures, car il ne dépend pas du lieu du serveur, mais de l'ordre juridique de l'entreprise.

AWS European Sovereign Cloud fonctionne dans une partition séparée avec son propre système de facturation en euros et un personnel exclusivement basé dans l'UE. Microsoft déplace les services sensibles comme Exchange sur le matériel client en dehors du cloud public. Les deux ne font que déplacer le problème de juridiction sans le résoudre. Une autorité américaine peut ordonner à la société mère de contraindre sa filiale européenne à prendre des mesures – une construction juridiquement non testée. Microsoft a confirmé devant le Sénat français en 2025 qu'elle ne pouvait pas garantir que les données européennes ne seraient jamais transmises aux autorités américaines.

Le cadre de réglementation de l'UE reconnaît cette lacune: Le Cloud and AI Development Act définit la souveraineté par étapes. Le niveau inférieur exige uniquement le traitement par l'UE; le niveau supérieur demande la propriété, le contrôle et l'indépendance du personnel vis-à-vis des pays tiers. Cette distinction montre que la souveraineté véritable est une discipline de conception, non un achat. Les fournisseurs européens ne détiennent actuellement que 15 pour cent du marché; via les exigences d'approvisionnement, ils pourraient gagner de l'espace.

Roden plaide pour la résilience comme ligne de repli: le chiffrement contrôlé par le client, la portabilité des données et la réversibilité technique protègent contre l'accès extraterritorial, sans exiger une indépendance complète. Des initiatives comme l'EuroStack et les migrations dans l'administration publique indiquent une voie plus laborieuse, mais plus stable – contrôler sa propre pile au lieu d'hériter de la dépendance des fournisseurs.

Points Clés

• La souveraineté a trois niveaux: résidence des données, autonomie opérationnelle et contrôle juridique; les offres cloud actuelles ne traitent que les deux premiers.
• Le CLOUD Act et la section 702 de la FISA permettent aux autorités américaines un accès aux données extraterritorial, que les filiales européennes ne peuvent pas empêcher.
• Le cadre de l'UE (Cloud and AI Development Act) définit la souveraineté en étapes mesurables et montre que « souverain » en tant que simple étiquette est incomplet.
• La souveraineté véritable exige des décisions de conception délibérées par système, non un déplacement global vers les hyperscalers.
• La résilience par le chiffrement et la portabilité des données offre une protection pragmatique sans exiger une indépendance complète.

Questions Critiques

1. Preuve/Qualité des Données: L'auteur affirme que les autorités américaines peuvent contraindre une filiale européenne à transmettre des données – quels précédents ou avis juridiques soutiennent concrètement cette hypothèse de juridiction?

2. Conflits d'Intérêts: Golo Roden est fondateur d'une entreprise de développement logiciel. Le secteur profite-t-il du scepticisme envers les hyperscalers, et comment cela influence-t-il son argumentation?

3. Causalité/Alternatives: L'absence de garantie de Microsoft devant le Sénat français est-elle une preuve d'impossibilité technique ou plutôt d'incertitude juridique et de manque de contrats contraignants?

4. Faisabilité/Risques: Des initiatives comme l'EuroStack ont été annoncées – dans quelle mesure est-il réaliste d'avoir un marché cloud européen viable compte tenu du financement, de la pénurie de talents et des dépendances actuelles d'AWS/Azure?

5. Causalité: La classification en « niveaux de souveraineté » conduit-elle effectivement à un meilleur contrôle, ou est-elle factuellement ignorée par les autorités quand les considérations de coûts prévalent?

6. Conflits d'Intérêts: Quels fournisseurs cloud européens profitent directement d'une définition restrictive de la souveraineté, et leurs positions dans le débat sont-elles transparentes?

7. Qualité des Données: L'affirmation que les 2/3 du marché cloud européen sont contrôlés par trois entreprises – quelle délimitation de marché (Cloud Public? Hybride? SaaS?) sous-tend ce chiffre?

Bibliographie

Source Primaire: Le cloud souverain qui n'en est pas – une étiquette pour le mauvais niveau – heise.de, Juin 2026

Normalisation et Réglementation Complémentaires:

1. Commission Européenne: Cloud and AI Development Act (Juin 2026)
2. Bundesamt für Sicherheit in der Informationstechnik (BSI): Katalog de Critères Souveraineté Cloud
3. Cour de Justice Européenne: Schrems II (2020) – Invalidité Privacy Shield
4. US CLOUD Act (2018); FISA Section 702; Executive Order 12333

État de Vérification: ✓ Juin 2026

Ce texte a été créé avec l'aide d'un modèle d'IA. Responsabilité Éditoriale: clarus.news | Vérification des Faits: Juin 2026