Cloud : la grenouille, le colibri… et la souveraineté numérique

---

L’Europe subit une véritable dépendance numérique car elle doit s’appuyer sur des infrastructures étrangères. Pourtant, ce n’est pas une fatalité et Sébastien Lescop, directeur général de Cloud Temple, montre qu’il est encore possible de retrouver une indépendance en la matière.

---

La domination des Big Tech sur le Vieux Continent est évidente, écrasante même. Et, contexte oblige, la souveraineté numérique européenne est plus que jamais une question brûlante. Les infrastructures cloud qui permettent de gérer, stocker et transformer des masses de données appartiennent à Microsoft, Amazon, Google et consorts. Ce sont des instruments de pouvoir qui sont dans les mains d’entreprises soumises à des administrations capables d’interférer à tout moment dans les affaires européennes. Peut-on encore laisser un double des clefs de la maison à l’Oncle Sam ou au camarade Xi ? Sébastien Lescop, directeur général de Cloud Temple, nous alerte : si l’Europe ne prend pas le problème à bras le corps, elle restera un Petit Poucet sans caillou, errant dans la grande forêt du numérique, vulnérable face aux géants du cloud. Elle a les moyens de réagir et de reprendre le contrôle de son avenir numérique. Les solutions existent. On lira ici un vibrant plaidoyer pour l’indépendance numérique européenne. Marie-Virginie Klein, présidente du cabinet de conseil iconic., et François Backman, membre de l’Observatoire de l’Afrique Subsaharienne, codirectrice et codirecteur de l’Observatoire de la tech et du numérique L’Europe subit une véritable dépendance numérique. Nos vies digitales – personnelles, professionnelles – reposent sur des infrastructures étrangères. Il en va de même pour les entreprises et nombre de services publics. Le développement de l’intelligence artificielle (IA) ne fait qu’accentuer cet état de fait. Nos données de santé, nos applications administratives, nos services critiques sont hébergés par les datacenters et le cloud de Microsoft, Google ou Amazon. Les huit applications les plus utilisées en Europe sont américaines, hors TikTok (Chine). En avril dernier, Meta modifie les politiques de confidentialité de Facebook et Instagram pour entraîner son IA sur les comptes utilisateurs, sans opposition massive. Les solutions Microsoft sont utilisées par 80% des entreprises du CAC40. L’Europe est devenue un marché captif1. L’IA, les jumeaux numériques, la cybersécurité, les simulations scientifiques, les plateformes collaboratives, tout repose désormais sur des infrastructures cloud, capables de stocker, traiter et transmettre la masse gigantesque de données numériques. Ces infrastructures articulent tous les secteurs, de l’industrie à la défense, de la recherche à la santé publique en passant par la culture. Sans cloud, pas d’IA, pas de services numériques, pas de transformation industrielle, aucun secteur d’activité ne pouvant se développer sans numérique et sans cloud. Le cloud, c’est le nouveau réseau ferré de nos sociétés, l’ossature du numérique moderne. Une dépendance manifeste Or, ces infrastructures sont aujourd’hui massivement contrôlées par des groupes non européens. Amazon Web Services, Microsoft Azure et Google Cloud, les fameux hyperscalers, se taillent la part du lion. Huit des dix plus grands modèles d’IA sont américains, les deux autres chinois. Leur puissance de calcul double tous les six mois. Leur consommation énergétique suit la même pente. Ce rythme effréné d’investissement échappe à toute tentative de régulation. Cette année, les Big Tech américaines investissent trois cents milliards de dollars dans l’IA et les datacenters. Amazon consacre à lui seul plus de 70 milliards par an à la R&D (recherche et développement), soit davantage que l’ensemble du budget de la recherche publique française. Le déséquilibre atteint une ampleur historique. Si le marché européen du cloud a crû très rapidement, c’est au bénéfice des géants américains. Entre 2017 et 2022, la part de marché des acteurs européens est passée de 26% à 13%, alors même que le marché global était multiplié par cinq. Amazon, Microsoft et Google contrôlent aujourd’hui près de 70% du cloud en Europe2. Cette domination technologique entraîne une dépendance stratégique. Chaque année, les entreprises européennes transfèrent environ 250 milliards d’euros vers les États-Unis pour des services cloud, logiciels et abonnements numériques. Cela représente près de deux millions d’emplois soutenus hors d’Europe. Réorienter seulement 15% de ces dépenses sur notre continent permettrait de créer plus de 300 000 emplois, sur des métiers à forte valeur ajoutée3. Tout ceci n’est pas qu’une question de choix technologique : c’est une question de pouvoir. Derrière le cloud, il y a des données. Et derrière les données, il y a du pouvoir. Le pouvoir de surveiller, d’anticiper, d’influencer. Le pouvoir de se faire une place dans le monde qui vient. Le pouvoir de dire oui ou non à un service public, une entreprise, une administration. Le pouvoir, enfin, de modeler les usages numériques du continent et les valeurs qu’il porte. Au-delà des flux économiques, la dépendance est donc politique. Le gouvernement états-unien, du fait de l’extraterritorialité de son arsenal législatif et notamment du Cloud Act, peut à tout moment accéder aux données hébergées sur les serveurs des hyperscalers, même si elles sont situées en Europe. En outre, avec le dispositif FISA, il peut collecter des données sous un prétexte de sécurité nationale via des entreprises privées4. Cela crée une insécurité juridique majeure pour les administrations, les entreprises critiques, le monde de la recherche et celui de l’information. En mars 2025, Polytechnique, école dépendant du ministère des Armées et gérant des données sensibles, annonce sa migration vers Microsoft 365, avec hébergement des données sur des infrastructures américaines. Le Health Data Hub lancé en 2019 par l’État français, qui regroupe les données santé de dizaines de millions de nos concitoyens, reste hébergé sur Microsoft Azure malgré les recommandations initiales de la Commission nationale de l’informatique et des libertés (Cnil). Plus récemment, Microsoft, sur instruction de l’administration américaine, a suspendu l’accès du procureur de la Cour pénale internationale à ses outils numériques dans un contexte de tensions diplomatiques5. Ces exemples, quelques-uns parmi tant d’autres, montrent que cette dépendance n’est plus théorique : elle est vécue. Cette fragilité touche aussi le monde industriel. De nombreux secteurs stratégiques – aéronautique, énergie, transport, santé – s’appuient sur des services cloud non européens pour héberger des données sensibles. Dans certains cas, les appels d’offres de ces diverses structures imposent des solutions américaines, excluant de facto tout fournisseur européen de cloud… Recevez chaque semaine toutes nos analyses dans votre boîte mail Abonnez-vous Sortir de la dépendance, c’est inventer une voie européenne : les trois leviers L’Europe ne pourra pas lutter à armes égales sur le terrain des hyperscalers. Jamais une grenouille ne deviendra un bœuf, nous dit la fable6. Mais la grenouille peut sauter vite – à condition de viser juste, et de surcroît, le batracien peut sauter et enjamber les écueils en version leapfrog, le saut de grenouille anglais. L’Europe a les moyens de se frayer un chemin entre les tech made in USA et made in China. Comme certains pays d’Afrique, d’Asie ou d’Amérique latine qui ont sauté l’étape du téléphone filaire pour passer directement au mobile, l’Europe peut choisir une voie différente : une stratégie d’agilité, de spécialisation, de sécurité. Il ne s’agit pas de répliquer le modèle américain, mais d’inventer une alternative. Un colibri est toujours plus mobile, plus réactif et plus à l’affût qu’un éléphant. Trois leviers peuvent permettre de construire cette souveraineté numérique européenne : l’open source, la mutualisation continentale et une régulation ambitieuse et assumée. Premier levier : l’open source, socle d’indépendance et de confiance L’open source est une arme technologique, économique et politique. Il permet de bâtir des solutions ouvertes, contrôlables, interopérables, auditées. Le code est public, les dépendances sont identifiées, les risques sont maîtrisables. L’open source n’est pas gratuit, mais il offre une souveraineté de conception, de maintenance, de déploiement. Les outils open source sont déjà omniprésents dans le numérique mondial. On pense bien évidemment à Linux, mais il y a également Git, PostgreSQL, Jupyter ou Kubernetes. Ils forment l’épine dorsale, invisible, de l’internet. Ils sont souvent plus fiables, plus sécurisés et plus économes que les équivalents propriétaires des hyperscalers. En Europe, plusieurs hôpitaux, universités, administrations migrent vers des solutions open source, souvent hébergées en version dite « cloud souverain » donc hermétique aux éventuelles ingérences étrangères. L’AP-HP, par exemple, a déployé des environnements analytiques open source au sein de son infrastructure interne. La Direction interministérielle du numérique française (Dinum) pousse activement les alternatives ouvertes concernant les messageries, la bureautique ou la gestion documentaire. Plus globalement, en matière de messagerie, de documentation, de réseaux collaboratifs et de stockage, des outils solides made in Europe sont bel et bien là. La Commission européenne estime qu’une hausse de 10% des investissements dans l’open source générerait 100 milliards d’euros de PIB supplémentaire chaque année et environ un millier d’entreprises numériques nouvelles7. La Chine, elle, l’a déjà compris : en 2025, le modèle DeepSeek, agent conversationnel open source, rivalise avec ChatGPT-48. En France, Mistral AI poursuit la même ambition avec une approche transparente et distribuée. Ceci montre qu’il est possible de faire aussi bien, avec moins, que les hyperscalers américains, et surtout que des solutions existent. Deuxième levier : la mutualisation, condition d’échelle La mutualisation des ressources et des talents représente un deuxième levier. Les grands acteurs mondiaux sont nés sur des marchés intérieurs consolidés : Google, Meta, Amazon aux États-Unis ; Alibaba, Huawei, Tencent en Chine. L’Europe dispose d’un marché de 450 millions d’habitants, mais il est éclaté, segmenté, les outils restant peu interopérables. Là encore, des initiatives se font jour. Gaia-X, lancée par la France et l’Allemagne, entend bâtir un socle commun d’infrastructures cloud fédérées, interopérables et transparentes. Elle regroupe plus de 340 organisations membres réparties dans 25 pays, incluant des entreprises, des institutions de recherche, des administrations et des associations. Cette initiative européenne vise à créer une infrastructure de données fédérée, sécurisée et interopérable9. En matière de santé, le projet Gaia-X Health entend permettre à plusieurs pays européens de mutualiser des services de données, avec des garanties de sécurité, de conformité et d’éthique. Pour la recherche, l’EOSC (European Open Science Cloud) propose une infrastructure commune. Quant au projet IPCEI CIS (Projet important d’intérêt européen commun sur les infrastructures et services cloud de nouvelle génération), il fédère des industriels pour concevoir des solutions continentales de bout en bout. Ces dispositifs manquent encore d’impact. Il faut aller plus loin : unifier les règles d’achat public, créer des labels européens communs, définir des standards interopérables, investir massivement, comme on a pu le faire pour l’aéronautique ou le spatial. Sans mutualisation, l’Europe n’atteindra pas une masse critique. Troisième levier : la régulation, gage de rééquilibrage Le troisième levier est la régulation. L’Union européenne a su imposer le règlement général de protection des données (RGPD) en 2016, suivi entre autres par son Digital Services Act cadrant la modération des plateformes et le Digital Markets Act s’adressant aux marchés numériques10. Plus récemment, l’AI Act de 2024 entend quant à lui cadrer et sécuriser les usages de l’IA. Elle est la seule puissance à structurer un droit numérique complet. Mais le cloud reste à la marge de cette régulation. À cet égard, le projet de règlement européen en matière de cybersécurité, l’EUCS (European Cybersecurity Scheme for Cloud Services) représente une opportunité historique. Il permettrait de garantir un haut niveau de cybersécurité, mais aussi – potentiellement – de souveraineté. La version « High+ » de l’EUCS, défendue par la France, l’Allemagne, l’Espagne ou la Pologne, vise à exclure les fournisseurs soumis à des lois extraterritoriales notamment américaines. Cette ligne est soutenue par la Cnil, l’Agence nationale de la sécurité des systèmes d’information, la Commission supérieure du numérique et une large coalition d’acteurs industriels11, 19 juillet 202412. Face à cela, les États-Unis exercent une pression diplomatique forte. En 2023, Antony Blinken déclarait publiquement que ce règlement, s’il était adopté, menaçait les relations bilatérales entre États-Unis et l’Union européenne (« could also negatively impact the US-EU bilateral economic and security relationship »). La question n’est toujours pas tranchée ; pourtant, il paraît légitime que les données sensibles des citoyens européens ne soient pas accessibles à des puissances étrangères. Là où l’Europe cherche à encadrer, les États-Unis assouplissent. L’abrogation des décrets Biden perçus comme un obstacle à la suprématie américaine par l’administration Trump, notamment en matière d’IA, montre un écart croissant de doctrine. L’Europe doit incarner un contre-modèle : exigeant, protecteur, mais aussi innovant. Les pressions du gouvernement américain et le lobbying des hyperscalers traduisent de manière éclatante la volonté de leadership des États-Unis pour qui toute tentative de régulation non conforme à leurs intérêts est perçue comme une menace latente. Et l’administration Trump pousse la logique jusqu’au bout, entendant faire pression sur l’Union européenne pour qu’elle assouplisse son AI Act et mettre de côté un ensemble de règles concernant les bonnes pratiques en matière d’usage et de développement de l’intelligence artificielle. Elle voit dans la réglementation un moyen permettant à la Chine de rattraper son retard, de plus en plus ténu semble-t-il, sur les États-Unis13. « On ne gagnera pas dans l’IA de demain si on se fait des nœuds au cerveau avec la sécurité14 », déclarait à cet égard J.D. Vance lors du sommet de l’IA à Paris en février dernier. C’est une façon de voir… Derrière cela, c’est toute la question de la dérégulation numérique qui est posée – dérégulation pouvant favoriser les concentrations, baisser le niveau de sécurité, affaiblir la sécurité numérique et fragmenter davantage l’écosystème technologique européen entre différents blocs, reléguer des régions entières dans un no man’s land numérique… Conclusion : un enjeu de civilisation Pour faire face, préserver son modèle et ses valeurs, l’Europe doit réaffirmer son indépendance et sa souveraineté numériques. Trois décisions concrètes sont à portée de main. Premièrement, réserver les services critiques – santé, défense, justice, recherche stratégique, éducation – à des clouds européens, conformes aux certifications de cybersécurité et indépendants de tout droit extraterritorial. Deuxièmement, réorienter massivement les achats publics vers des solutions européennes, notamment open source, auditables et interopérables. L’exemplarité des acteurs publics est déterminante pour créer un effet d’entraînement. Troisièmement, créer un fonds européen pour la souveraineté numérique : un outil de financement pérenne, orienté vers les logiciels libres, les infrastructures souveraines, les certifications européennes, les plateformes mutualisées. Ce fonds pourrait être alimenté par une part des dépenses cloud publiques. Développer un cloud européen est un choix civilisationnel. Le cloud structure désormais nos capacités à produire, soigner, défendre, éduquer, innover. Ce n’est pas uniquement un débat de directeurs des systèmes d’information (DSI) ou un thème de colloque. C’est une question de souveraineté démocratique. Si nous ne contrôlons pas notre infrastructure numérique, nous ne contrôlons plus nos données. Et si nous ne contrôlons plus nos données, nous ne contrôlons plus notre avenir. Le numérique de demain sera façonné par ceux qui agissent aujourd’hui. L’Europe n’a plus le temps d’attendre. Souveraineté numérique ou dépendance choisie : il est plus que temps de trancher. L’Europe a les talents, le marché, les valeurs. Ce qu’il lui manque, ce n’est pas la vision. C’est la volonté politique.

---