L’Union européenne a engagé une dynamique ambitieuse pour renforcer la sécurité de son espace numérique. Avec les directives NIS2 et REC, ou encore le Cyber Resilience Act, elle pousse une logique de sécurité plus exigeante, homogène et maîtrisée.
Cette trajectoire, défendue et accompagnée par SPAC Alliance et ses membres, se heurte cependant à un mur concernant un sujet central de notre sécurité : le Cloud.
Faute de cadre juridique adapté et imposé, des données et services hébergés en cloud peuvent rester exposés à un risque d’accès extraterritorial si l’opérateur relève d’un cadre juridique non européen.
Un cloud souverain n’existera pas sans cadre juridique souverain.
Même les données sensibles sont exposées
Les faits : les leaders du marché européen, trois géants américains se partageant 65% du marché, sont soumis à des obligations légales extraterritoriales, au premier rang desquelles le US CLOUD Act, pouvant forcer un accès aux données où qu’elles soient hébergées dans le monde.
La menace : les données hébergées par ces acteurs sont exposées. Même si les serveurs sont ultra sécurisés, situés en Europe et pilotés par des équipes européennes opérant pour des filiales locales.
À l’échelle européenne, il n’existe pas de garantie harmonisée et lisible de protection juridique des données cloud les plus sensibles.
Plusieurs acteurs européens comme OVHcloud s’appuient sur des certifications et cadres légaux spécifiques (loi française, certification SecNumCloud) afin de protéger techniquement et juridiquement les données hébergées. Autre initiative, onze acteurs européens majeurs se sont regroupés en Alliance pour créer des solutions adaptées (ESTIA – European Sovereign Tech Industry Alliance).
Cependant, notre conviction reste que la seule bonne réponse doit être européenne, lisible et définitive. Si les travaux réalisés concernant le cloud sont pertinents en matière de sécurité, il n’en va pas de même pour la souveraineté.
EUCS : un schéma de certification européen
La première réponse européenne est l’EUCS, un schéma commun de certification de cybersécurité pour les services cloud. Son apport est réel. Il permettra d’harmoniser l’évaluation des offres, de créer une base de lecture commune à l’échelle européenne et d’améliorer la lisibilité du marché. En ce sens, EUCS répond à un besoin concret : disposer d’un langage commun pour évaluer le niveau de sécurité d’un service cloud (basique, substantiel ou élevé).
Mais cela ne règle pas l’essentiel. Le débat a montré qu’il était possible de certifier la cybersécurité d’une offre sans trancher clairement la question de la protection juridique effective des données qu’elle héberge. Autrement dit, l’Europe progresse sur l’évaluation de la sécurité technique, mais sans définir de manière suffisamment lisible le niveau de garantie attendu contre les contraintes extraterritoriales, même pour les usages les plus sensibles.
C’est précisément ce que soulignait l’approche inspirée du SecNumCloud : pour certains usages, la confiance ne peut pas reposer uniquement sur des mesures techniques ou organisationnelles. Elle doit aussi intégrer la gouvernance de l’opérateur, son degré de contrôle et son exposition éventuelle à des droits non européens. Ainsi, plusieurs pays ont défendu l’ajout d’un niveau de sécurité, « élevé+« , incluant dans la certification des critères liés à la souveraineté.
Début 2026, ce niveau « élevé+ » n’est finalement pas retenu.
CADA : accompagner une offre européenne souveraine
Le sujet de la souveraineté revient au travers d’une autre problématique européenne. Celle de notre capacité réelle à être autonome. Début 2026, un briefing préparatoire du European Parliamentary Research Service souligne que cette absence de clarté juridique freine à la fois l’offre et la demande de solutions totalement sécurisées. Ce document précise la trajectoire prise par le Cloud and AI Development Act (CADA).
Avec le CADA, nous passons sur le terrain industriel et stratégique. L’objectif est d’augmenter notre capacité de stockage et de calcul afin de répondre aux besoins croissants liés à l’IA comme aux usages critiques en matière d’hébergement.
Il est construit autour de trois piliers :
- Faire progresser la recherche et l’innovation
- Créer les conditions favorables à l’investissement et au déploiement de centres de données
- Garantir une capacité cloud et de calcul IA hautement sécurisée, basée dans l’UE
Il pourrait constituer le véhicule politique permettant de réintroduire explicitement cette exigence de souveraineté au niveau européen.
Nous veillerons donc à ce que le CADA définisse un niveau lisible et exigeant de protection juridique pour les services cloud critiques.
Point positif : le référentiel Cloud Souverain publié fin 2025, et cité dans le briefing du CADA, décrit un niveau de sécurité intégrant des garanties technologiques, opérationnelles et juridiques qui correspondent aux attentes du marché.
Le cloud : point commun entre sécurité physique et cybersécurité
Pour SPAC Alliance, cette clarification est primordiale. Elle conditionne directement la sécurité de fonctions déjà largement adossées au cloud dans les environnements de sécurité physique que cyber.
Le cloud intervient déjà dans des fonctions directement liées à la chaîne de confiance : gestion des identités, contrôle d’accès, attribution et révocation des droits, administration distante, journalisation des événements, supervision ou encore gestion des équipements.
Dans ce contexte, une incertitude sur le cadre juridique applicable à ces services constitue une vulnérabilité de sécurité à part entière.
La souveraineté européenne des services cloud reste un enjeu majeur si nous voulons garantir une sécurité homogène, transparente et maîtrisée.
