Depuis plusieurs mois, un mouvement de fond traverse les administrations et institutions publiques européennes. Sans annonces tonitruantes ni déclarations politiques spectaculaires, de nombreux organismes revoient en profondeur leur dépendance aux grands fournisseurs de cloud américains. Ce basculement progressif n’a rien d’idéologique. Il est avant tout pragmatique, technique et juridique, porté par une accumulation de signaux faibles que les décideurs publics ne peuvent plus ignorer.Pour les professionnels de l’informatique, ce mouvement est loin d’être anecdotique. Il redéfinit les stratégies d’hébergement, les architectures de systèmes d’information et, à terme, l’équilibre du marché cloud sur le continent.
Les révélations de Snowden montrent que les États-Unis se livrent à une surveillance de masse des utilisateurs de l'UE en récupérant des données personnelles auprès des grandes entreprises américaines. En conséquence, un rapport en 2020 a révélé que les Européens ne font pas confiance aux géants américains de la technologie pour leurs dossiers personnels. Le rapport, basé sur une enquête auprès de 4500 personnes au Royaume-Uni, en France et en Allemagne, a montré que les plus grandes inquiétudes concernent l'utilisation des données personnelles à des fins commerciales (51 %) et la possibilité de piratage (43 %). C’est dans ce contexte que de plus en plus de clients européens des grands fournisseurs de services Cloud US envisagent de s’affranchir.
Des fournisseurs comme Nextcloud et OVHCloud font état d'un pic de demandes de renseignements de la part de leurs clients. Les responsables desdites structures attribuent ce phénomène non seulement à l'effet Trump, mais aussi aux actions de l'administration américaine dans son ensemble.
La loi américaine CLOUD Act au cœur du problème ?
La quête de souveraineté numérique de l'Europe est entravée par une dépendance à 90 % vis-à-vis de l'infrastructure cloud américaine, affirme Cristina Caffarra, experte en concurrence et l'un des moteurs de l'initiative Eurostack.
Alors que Bruxelles défend des initiatives politiques et que les géants technologiques américains commercialisent leurs propres solutions « souveraines », quelques autorités publiques en Autriche, en Allemagne et en France, ainsi que la Cour pénale internationale de La Haye, prennent des mesures concrètes pour reprendre le contrôle de leurs technologies de l'information.
Ces cas constituent un modèle potentiel pour un continent aux prises avec son autonomie technologique, tout en révélant les défis juridiques et commerciaux profondément enracinés qui rendent si difficile l'accès à une véritable indépendance.
Le cœur du problème réside dans un conflit juridique direct et irréconciliable. La loi américaine CLOUD Act de 2018 permet aux autorités américaines d'obliger les entreprises technologiques basées aux États-Unis à fournir les données demandées, quel que soit l'endroit où ces données sont stockées dans le monde. Cela place les organisations européennes dans une position précaire, car cela entre en conflit direct avec la réglementation européenne stricte en matière de confidentialité, le règlement général sur la protection des données (RGPD).
Cela crée un risque difficile, voire impossible, à atténuer par voie contractuelle. Tout contrat privé entre un client européen et un fournisseur de services cloud américain est en fin de compte soumis à la législation fédérale américaine. Un mandat délivré en vertu du CLOUD Act oblige légalement une entreprise américaine à remettre des données, passant outre tout engagement contractuel en matière de résidence des données ou de confidentialité.
De plus, ces mandats s'accompagnent souvent d'une ordonnance de silence, interdisant légalement au fournisseur d'informer son client que ses données ont été consultées. Cela rend sans effet toute clause contractuelle exigeant la transparence ou la notification. Si des mesures techniques telles que le chiffrement sont souvent proposées comme solution, leur efficacité dépend entièrement de la personne qui contrôle les clés de chiffrement. Si le fournisseur américain gère les clés, comme c'est souvent le cas dans de nombreux services cloud standard, il peut être contraint de déchiffrer les données pour les autorités, rendant ainsi ces mesures de protection inutiles.
Le conflit entre le CLOUD Act et la législation européenne en matière de protection des données devient un obstacle pratique en vertu de l'article 35 du RGPD, qui impose une analyse d'impact relative à la protection des données (AIPD) avant le déploiement de toute nouvelle technologie « susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques ».
Lorsqu'elles sont réalisées pour les services hyperscalers américains, ces AIPD signalent invariablement le CLOUD Act comme un risque important, souvent inacceptable. Cette obligation légale incite de plus en plus les organismes publics à rechercher des alternatives.
Ce que l'Autriche a appris
Le ministère fédéral autrichien de l'Économie, de l'Énergie et du Tourisme en est un bon exemple. Le ministère a récemment achevé la migration de 1 200 employés vers la plateforme collaborative open source européenne Nextcloud, mais le projet ne consistait pas à migrer depuis un fournisseur de cloud américain existant. Il s'agissait d'un choix délibéré de ne pas en adopter un.
Contrairement à de nombreuses organisations qui se sont précipitées pour adopter des solutions cloud américaines pendant la pandémie de COVID-19, le ministère autrichien a eu plus de temps pour évaluer les alternatives, car il utilisait encore Skype for Business. Ce répit s'est avéré crucial.
Florian Zinnagl, le CISO du ministère, et Martin Ollrom, son CIO, ont dirigé le projet. Le ministère traite non seulement les données des employés, mais aussi des informations sensibles provenant des citoyens et des entreprises externes, ce qui rend l'évaluation des risques DPIA particulièrement critique. Pour Ollrom, la question dépassait le simple choix technologique.
« Il ne s'agit pas seulement de Microsoft. Il s'agit d'un changement fondamental, les grandes entreprises technologiques transférant toutes vos données et le contrôle opérationnel vers leurs clouds », explique-t-il. « Au sein du département informatique, nous nous inquiétons depuis des années de perdre le contrôle de notre propre infrastructure. »
Le principal facteur déterminant n'était pas le coût, mais la souveraineté. « Il ne s'agissait pas d'économiser de l'argent », ajoute Zinnagl. « Il s'agissait de garder le contrôle sur nos propres données et nos propres systèmes. »
Une validation de principe de trois mois sur les serveurs du ministère a convaincu l'équipe que Nextcloud pouvait offrir les fonctionnalités dont elle avait besoin. Plus important encore, elle offrait quelque chose que Microsoft n'avait jamais pu offrir, selon le RSSI : « Nous pouvons voir notre contribution dans les versions de Nextcloud. C'est un sentiment que nous n'avons jamais eu avec Microsoft », explique Zinnagl.
La migration, achevée en seulement quatre mois, a démontré que de tels projets peuvent être exécutés rapidement. La solution Nextcloud s'est avérée nettement moins coûteuse, explique-t-il , mais le principe de maintien du contrôle est resté primordial.
Le cas autrichien illustre également les limites pratiques de la souveraineté numérique
Cette décision a eu un effet boule de neige, puisque plusieurs autres ministères autrichiens ont depuis commencé à mettre en œuvre Nextcloud. Pour Zinnagl et Ollrom, cela prouve qu'une organisation prête à faire le premier pas peut inciter d'autres à suivre son exemple.
Leur conseil aux autres gouvernements européens est clair : soyez courageux, impliquez la direction et lancez-vous. « On n'atteint pas la souveraineté numérique du jour au lendemain », explique Ollrom. « Il faut passer par plusieurs étapes, mais il faut commencer par la première. Ne vous contentez pas d'en parler, passez à l'action. »
Cependant, le cas autrichien illustre également les limites pratiques de la souveraineté numérique. Nextcloud sert désormais de principale plateforme de collaboration pour la communication interne et le partage de fichiers, mais Microsoft Teams n'a pas été entièrement interdit.
Son utilisation est strictement limitée à la communication externe avec les parties qui continuent de l'utiliser, telles que la Commission européenne. Même dans ce cas, des règles strictes s'appliquent : aucune information sensible ne peut être discutée sur Teams, et son utilisation est réduite au strict minimum. Cette approche hybride reflète une reconnaissance pragmatique du fait que l'indépendance totale n'est pas toujours possible immédiatement lorsque les partenaires externes restent liés aux plateformes américaines.
L'ampleur du déficit technologique de l'Europe rend les migrations telles que celle de l'Autriche intimidantes pour la plupart des organisations. Une analyse récente de l'Australian Strategic Policy Institute a révélé que sur 64 technologies cruciales, la Chine est en tête dans 57 d'entre elles et les États-Unis dans les sept restantes. L'Europe n'est en tête dans aucune d'entre elles.
Le rapport Draghi sur la compétitivité européenne, publié en septembre 2024, mettait également en garde contre la dépendance croissante de l'Europe vis-à-vis des fournisseurs de technologies étrangers.
Cette dure réalité souligne une vulnérabilité plus générale : l'infrastructure numérique européenne dépend presque entièrement de fournisseurs non européens. Si un grand fournisseur américain de services cloud venait à restreindre l'accès aux Européens ou à cesser ses activités, les conséquences seraient immédiates et graves. Cette fragilité a créé une opportunité de marché que les hyperscalers américains exploitent désormais.
Les organisations à travers l'Europe prennent des mesures pour atteindre une véritable souveraineté
Poussées par les impératifs juridiques du RGPD et les préoccupations croissantes concernant l'accès aux données, les organisations à travers l'Europe prennent des mesures concrètes pour atteindre une véritable souveraineté. La Cour pénale internationale (CPI) à La Haye a annoncé en novembre 2025 qu'elle remplaçait son logiciel Microsoft Office par une alternative européenne.
La décision d'adopter OpenDesk, une suite bureautique et collaborative open source fournie par le Centre allemand pour la souveraineté numérique (ZenDiS), a été considérée comme une réponse directe à la pression politique exercée par les États-Unis, qui ont déjà sanctionné des employés de la CPI par le passé. Cette décision aurait été motivée par un incident au cours duquel le procureur général Karim Khan s'est vu temporairement privé d'accès à son compte de messagerie Outlook.
Le nouveau système, soutenu par le gouvernement allemand, regroupe les services de fournisseurs européens tels que Nextcloud et Collabora, et implique l'institut national néerlandais de santé RIVM. Il s'agit d'un exemple frappant d'une institution internationale, située au cœur de l'Europe, qui s'oppose à la domination des hyperscalers.
Cette tendance est visible à travers tout le continent. En Allemagne, le Land de Schleswig-Holstein mène un projet encore plus ambitieux visant à remplacer les produits Microsoft par des alternatives open source pour ses 30 000 fonctionnaires. Le Land a entamé sa migration en mars 2024 et a déjà fait passer 24 000 employés à LibreOffice, Nextcloud, Open Xchange et Thunderbird.
Depuis, le projet a inspiré une collaboration européenne plus large. En juillet 2025, l'Allemagne, la France, l'Italie et les Pays-Bas ont créé le Consortium européen pour les infrastructures numériques communes afin de développer et de déployer conjointement des outils numériques souverains tels qu'OpenDesk.
En France, le ministère de l'Économie et des Finances a récemment achevé NUBO, une initiative de cloud privé basée sur OpenStack et conçue pour traiter les données et les services sensibles. Ces exemples montrent que, même si une rupture totale avec les hyperscalers américains peut sembler irréaliste, comme le prédit Forrester, des migrations ciblées pour des applications spécifiques à haut risque sont non seulement possibles, mais activement recherchées. Elles représentent un mouvement populaire, motivé par des obligations légales et un désir croissant d'autonomie.
Le choix délibéré d'un fournisseur local n'offre aucune garantie : le cas du rachat de Solvinity aux Pays-Bas
Même lorsque les organisations font des choix délibérés en faveur des fournisseurs européens, ces décisions peuvent être annulées par les forces du marché. Une récente acquisition aux Pays-Bas illustre ce risque. En novembre 2025, le géant américain des services informatiques Kyndryl a annoncé son intention d'acquérir Solvinity, un fournisseur néerlandais de services cloud gérés.
Cette annonce a été une « mauvaise surprise » pour plusieurs de ses clients gouvernementaux, notamment la municipalité d'Amsterdam et le ministère néerlandais de la Justice et de la Sécurité. Ces organismes avaient spécifiquement choisi Solvinity afin de réduire leur dépendance vis-à-vis des entreprises américaines et d'atténuer les risques liés au CLOUD Act.
Solvinity gère des infrastructures nationales critiques, notamment le système d'authentification des citoyens néerlandais et le portail des services publics. Cette acquisition place ces systèmes à la portée potentielle des autorités américaines. Cette affaire démontre que même le choix délibéré d'un fournisseur local n'offre aucune garantie de souveraineté à long terme lorsque ce fournisseur peut être racheté par une entité basée aux États-Unis, exposant ainsi une faille critique dans la stratégie européenne qui ne peut être résolue par la seule passation de marchés publics.
Aussi, pour que ces succès individuels se transforment en un changement à l'échelle du continent, il faut s'attaquer aux obstacles structurels. Le chemin vers la souveraineté numérique n'est pas un geste unique et grandiose, mais une série de choix délibérés, souvent difficiles. Les exemples de l'Autriche, de la France et de la CCI montrent que le voyage commence par un seul pas courageux, souvent motivé par la réalité banale d'une évaluation de la protection des données.
Ils prouvent qu'il existe des alternatives et que les avantages vont au-delà de la simple conformité. Pourtant, le cas de Solvinity aux Pays-Bas sert d'avertissement sévère : les marchés publics ne suffisent pas ; sans mécanismes pour protéger les champions européens contre les acquisitions étrangères, tout progrès peut être réduit à néant du jour au lendemain.
Pour l'Europe, la question n'est plus de savoir si elle doit poursuivre la souveraineté numérique, mais si elle a la volonté collective d'arrêter de parler, de commencer à construire et, surtout, de distinguer la véritable autonomie du marketing intelligent.
[B]La souveraineté des données redevient une...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.