L’Union européenne envisage de durcir les règles encadrant l’usage de services cloud américains pour le traitement de données sensibles détenues par les administrations publiques. Des échanges en ce sens seraient en cours au sein de la Commission, dans le cadre d’un futur paquet de mesures visant à renforcer la « souveraineté » européenne sur les technologies clés.

Vers des restrictions pour certains secteurs publics

Selon des informations liées aux discussions, la Commission prépare un ensemble de propositions qui pourrait limiter l’exposition des données sensibles du secteur public à des plateformes de cloud situées en dehors de l’Union européenne. L’objectif serait d’augmenter l’autonomie stratégique du bloc dans des domaines numériques considérés comme critiques.

Une idée centrale ressortirait : définir des secteurs où l’hébergement devrait relever de capacités cloud européennes. Dans ce schéma, les fournisseurs de cloud basés dans des pays tiers — y compris les entreprises américaines — pourraient être concernés, mais pas nécessairement exclus des marchés publics.

Les discussions n’iraient pas jusqu’à interdire totalement les solutions de fournisseurs étrangers dans les contrats publics. Elles porteraient plutôt sur l’usage de ces infrastructures pour le traitement de données sensibles, avec un niveau de contrainte modulé selon la criticité des informations.

Les données financières, judiciaires et de santé figureraient parmi les catégories susceptibles d’exiger une infrastructure cloud dite « souveraine ». Les échanges indiquent toutefois que ces réflexions ne viseraient pas les entreprises du secteur privé.

Un paquet « souveraineté technologique » encore en préparation

Le dispositif envisagé s’inscrirait dans le « Tech Sovereignty Package », dont la présentation par la Commission est attendue. Une partie des mesures devrait aussi s’appuyer sur d’autres textes destinés à soutenir le développement d’offres européennes, notamment dans le cloud et l’intelligence artificielle, ainsi que sur des initiatives de soutien à la filière des semi-conducteurs.

Avant toute application, le paquet devrait être validé par l’ensemble des 27 États membres. En pratique, le contenu exact des obligations et la façon de les traduire dans les marchés publics restent donc encore à préciser.

Du côté de la Commission, l’orientation générale serait de favoriser davantage les offres cloud « souveraines », notamment via la commande publique, et de contribuer à diversifier les prestataires accessibles aux institutions européennes.

Contexte : dépendance aux fournisseurs américains et préoccupations transatlantiques

La question se pose d’autant plus que, dans de nombreux cas, les administrations européennes recourent déjà à des services cloud fournis par des acteurs étrangers, souvent américains, en raison de la place dominante de ces fournisseurs sur le marché. Cette utilisation peut viser des données très sensibles, notamment dans les domaines de la santé et de la finance, dans le respect des règles existantes.

La demande de réexamen s’est renforcée ces derniers mois avec la hausse des tensions entre l’UE et Washington. Un point de vigilance fréquemment évoqué concerne la possibilité pour les autorités américaines d’accéder à des données d’utilisateurs détenues par des entreprises basées aux États-Unis, y compris lorsque les informations sont stockées ailleurs.

Dans ce contexte, plusieurs États membres ont annoncé des efforts pour identifier des alternatives européennes ou davantage « ouvertes », et pour accroître leurs budgets liés à la souveraineté numérique. Des initiatives de déploiement d’outils et de services publics plus directement contrôlés par des acteurs nationaux seraient également en cours.

Parallèlement, des marchés publics européens ont déjà été attribués à des projets de cloud qualifiés de « souverains », avec l’ambition de rapprocher les capacités techniques des exigences du secteur public.

Produits et solutions : sur quels choix s’appuyer ?

Pour les organisations publiques qui cherchent à mieux structurer leur modèle d’hébergement et de conformité, les offres de gestion d’infrastructure et de supervision peuvent aider à cadrer les exigences (traçabilité, contrôle des accès, continuité). À titre d’exemples discrets, certaines équipes se tournent vers des solutions de chiffrement et gestion de la protection des données adaptées à des environnements multi-acteurs.

La planification des environnements hybrides (cloud + ressources internes) peut aussi s’appuyer sur des outils de pilotage et d’administration du cloud hybride, afin de faciliter la gouvernance lorsque les règles d’hébergement évoluent.