Qui contrôle vraiment les données sensibles ?
Pour une administration, une armée ou un service de renseignement, la vraie question n’est pas seulement la vitesse du cloud. C’est de savoir qui tient l’interrupteur. En Europe, cette dépendance aux services américains pousse déjà les gouvernements à changer d’outils. La France, par exemple, a annoncé qu’elle allait abandonner progressivement Zoom et Teams pour une solution maison d’ici 2027.
Le sujet n’a rien d’abstrait. Depuis le retour de Donald Trump à la Maison Blanche, la souveraineté numérique est redevenue un réflexe politique à Bruxelles comme dans plusieurs capitales. L’Union européenne veut aussi réduire sa dépendance sécuritaire vis-à-vis des États-Unis et orienter davantage ses achats de défense vers l’Europe. Le cloud est donc entré dans le même débat que les missiles, les logiciels et les chaînes d’approvisionnement.
Ce que montre le rapport
Le document au cœur de l’alerte estime que 23 des 28 pays étudiés reposent sur des technologies américaines pour des fonctions liées à la sécurité nationale. Il juge 16 d’entre eux exposés à un risque élevé face à un potentiel « kill switch », c’est-à-dire une coupure d’accès ou une désactivation à distance. L’Allemagne, la Pologne, le Royaume-Uni et la France figurent parmi les cas les plus discutés.
Le rapport s’appuie sur des sources publiques : sites ministériels, marchés publics, documents institutionnels et presse. Il pointe surtout les grands fournisseurs américains, au premier rang desquels Microsoft, Google, Amazon et Oracle. En face, la France apparaît un peu moins vulnérable que d’autres pays, car elle dispose déjà d’un socle plus avancé de solutions qualifiées pour les données sensibles, via la doctrine française SecNumCloud et le cloud de confiance, ainsi que d’offres comme le cloud de défense Nexium de Thales.
Le vrai risque : la dépendance d’exploitation
Le danger ne tient pas seulement à l’endroit où les données sont stockées. Il tient aussi à qui contrôle l’infrastructure, les mises à jour, les accès administrateurs et le support. Amazon dit avoir lancé en Europe un service de « souverain cloud » séparé physiquement et juridiquement de ses autres serveurs. Mais Reuters rappelle que le Cloud Act permet aux autorités américaines de demander des données à des fournisseurs basés aux États-Unis, même lorsque ces données sont hébergées à l’étranger.
Autrement dit, déplacer les serveurs ne suffit pas toujours à déplacer le pouvoir. Si le fournisseur reste soumis au droit américain, la question juridique reste ouverte. Et si des sanctions, des restrictions d’exportation ou un changement de ligne politique touchent le support, les mises à jour ou la maintenance, ce sont d’abord les services les plus dépendants qui encaissent le choc. Les administrations qui gèrent des données classifiées, des communications opérationnelles ou des systèmes critiques ont donc le plus à perdre.
Qui gagne, qui perd ?
À court terme, les grands gagnants restent les hyperscalers américains. Ils offrent la capacité, les outils et l’intégration déjà présents dans une partie des administrations européennes. Mais cette domination a un coût politique. Elle rend l’Europe vulnérable dès que la relation transatlantique se tend. L’AP a montré récemment que la France, l’Autriche et certains Länder allemands ont déjà commencé à basculer vers des solutions plus locales ou libres.
En face, les fournisseurs européens essaient de transformer la méfiance en marché. L’ANSSI explique que SecNumCloud sert précisément à protéger les données sensibles face à la menace cyber et à l’application de lois extraterritoriales. La Commission européenne, elle, prépare pour 2026 un Cloud and AI Development Act censé tripler la capacité des centres de données de l’Union et réserver les capacités les plus sûres aux usages critiques. Les États y voient une protection. Les industriels européens, eux, y voient surtout une chance de rattraper leur retard.
La réponse américaine ne clôt pas le débat
Les géants américains ont bien compris que le sujet était devenu politique. Amazon promet un cloud européen opéré et surveillé par une société allemande, avec des garanties de souveraineté et des équipes européennes. Microsoft assure, sur demande, stocker les données de clients européens dans des centres de données situés en Europe. Ces offres répondent à une vraie demande : garder les services sans tout reconstruire.
Mais la critique ne disparaît pas pour autant. La souveraineté ne se résume pas à une carte des data centers. Elle dépend aussi du droit applicable, de la capacité à migrer vers un autre fournisseur et du pouvoir réel de reprendre la main en cas de crise. C’est pour cela que les critères de sécurité, d’indépendance opérationnelle et de conformité juridique deviennent centraux dans le débat européen. La Commission les a d’ailleurs intégrés dans son Cloud Sovereignty Framework.
Ce qu’il faut surveiller maintenant
La suite se joue sur deux fronts. À Bruxelles, la future politique cloud dira si l’Union accepte encore que ses administrations critiques dépendent d’un petit nombre de fournisseurs non européens. À Paris, la montée en puissance des offres SecNumCloud dira si l’État peut élargir le cercle des solutions vraiment utilisables pour ses services sensibles. L’enjeu n’est plus seulement technique. Il est budgétaire, industriel et stratégique.
Dans les prochains mois, le signal à suivre sera simple : les critères de souveraineté vont-ils devenir des règles d’achat, ou rester des promesses ? Tant que la capacité, les prix et les outils avancés resteront concentrés chez les mêmes acteurs, l’Europe pourra corriger sa trajectoire, mais sans reprendre totalement la main. C’est là que se joue, très concrètement, la dépendance mise en lumière par le rapport.
