Depuis que le Cloud Act américain a été promulgué en 2018, le débat public sur la souveraineté numérique tourne en boucle autour d’un seul et même axe : qui peut accéder légalement à nos données ? Les gouvernements européens, les juristes, les régulateurs, tous ont concentré leur énergie sur cette question, pourtant incomplète. Car pendant que les diplomates négocient des clauses d’extraterritorialité et que les juristes débattent de la primauté du droit européen, une réalité bien plus profonde s’installe silencieusement dans les infrastructures des entreprises, des hôpitaux, des États : une dépendance technique, économique et stratégique dont personne, ou presque, ne mesure encore la véritable portée.
Le gouvernement a choisi son cap et a présenté fin avril un plan d’électrification structuré autour de 22 mesures, avec une idée simple : réduire la dépendance française au pétrole et au gaz importés, alléger la facture énergétique et appuyer la souveraineté sur une électricité produite en France. Rappelons que les énergies fossiles représentaient encore 58 % de la consommation finale en 2024, contre 27 % pour l’électricité, et que la facture énergétique du pays s’est élevée à 57,8 milliards d’euros. Il faut d’abord rendre justice au combat légal. La mobilisation autour du Cloud Act, puis autour des arrêts Schrems I et II, a eu le mérite de mettre le sujet sur la table. En invalidant le Privacy Shield en 2020, la Cour de justice de l’Union européenne a envoyé un signal fort : les données des européens ne peuvent pas être livrées sans condition aux autorités américaines. Le cadre Data Privacy Framework, signé en 2023, a tenté de colmater la brèche. Mais cet accord demeure fragile, suspendu à l’équilibre politique entre Washington et Bruxelles, et déjà contesté par des associations de défense des libertés numériques.
Ce débat est légitime. Mais il occulte l’essentiel. Même dans un monde hypothétique où les données des Européens seraient juridiquement inviolables, la dépendance technologique demeurerait entière. Car le vrai verrou n’est pas dans les textes de loi, mais dans les câbles, les lignes de code et les modèles économiques.
La dépendance technique : quand l’infrastructure commande
Commençons par le substrat physique. Trois entreprises américaines (Amazon Web Services, Microsoft Azure et Google Cloud) représentent aujourd’hui plus de 65 % du marché mondial du cloud. En Europe, leur part cumulée dépasse les 70 % selon les estimations de Gartner publiées en 2025. Derrière cette statistique se cache une réalité opérationnelle : des milliers d’entreprises, d’administrations et d’hôpitaux européens font tourner leurs systèmes critiques sur des serveurs qu’ils ne possèdent pas, dans des architectures qu’ils ne maîtrisent pas, via des interfaces qu’ils n’ont pas conçues.
Cette dépendance technique prend plusieurs visages. Le premier est l’enfermement propriétaire, ou vendor lock-in dans le jargon du secteur. Migrer d’AWS vers Azure, ou vers un cloud souverain européen comme OVHcloud ou Outscale, n’est pas une simple opération de copier-coller. Les bases de données propriétaires, les fonctions serverless spécifiques, les outils d’intelligence artificielle intégrés, tout cela a été conçu pour être indissociable de l’écosystème du fournisseur. Le coût d’une migration peut représenter des mois de travail technique et des milliers (voire millions) d’euros. Pour beaucoup d’organisations, c’est une frontière infranchissable en pratique.
Le deuxième visage est plus discret. Il s’agit de la dépendance aux mises à jour et aux correctifs de sécurité. Une organisation qui externalise son infrastructure remet entre les mains de son fournisseur la responsabilité de sa sécurité opérationnelle. Lorsqu’une faille critique est découverte (comme la vulnérabilité Log4Shell en 2021, qui a ébranlé des millions de systèmes dans le monde), c’est le fournisseur qui décide du calendrier de correction, de la communication publique et des priorités de déploiement. Le client, lui, attend.
La dépendance économique : le piège de la gratuité progressive
Le modèle économique des géants du cloud est d’une redoutable efficacité. L’accès initial est rendu attractif par des prix compétitifs, des offres d’essai généreuses et des intégrations gratuites avec d’autres outils du même écosystème. Une fois l’organisation accrochée (une fois ses données migrées, ses équipes formées, ses processus reconfigurés autour des APIs du fournisseur), la dépendance est consommée. Le levier tarifaire peut alors s’exercer.
Ce n’est pas une théorie complotiste : c’est un modèle d’affaires documenté. En 2023, plusieurs entreprises européennes ont rapporté des hausses tarifaires significatives de la part de leurs fournisseurs cloud américains, sans possibilité réelle de renégociation ou de départ rapide. L’ANSSI a régulièrement alerté sur ce risque dans ses rapports annuels sur la menace numérique, soulignant que la concentration du marché crée mécaniquement des situations de rente.
Il faut ajouter à cela la dimension monétaire, souvent négligée. Les contrats cloud sont quasi universellement libellés en dollars américains. Pour les entreprises et les États européens, cela signifie une exposition permanente au risque de change, et une contribution structurelle à la domination du dollar dans les échanges technologiques mondiaux. Chaque facture AWS payée en euros convertis en dollars est, à sa façon, un soutien indirect à la puissance financière américaine.
La dépendance stratégique : la donnée comme renseignement
C’est sans doute la dimension la plus sous-estimée. Au-delà des données personnelles au sens du RGPD, ce sont les métadonnées industrielles, les flux de trafic, les patterns d’utilisation qui constituent une mine d’or stratégique. Savoir qu’un grand groupe aéronautique européen augmente soudainement sa consommation de puissance de calcul dans une région donnée peut en dire long sur ses projets de recherche. Savoir qu’un ministère de la défense sollicite massivement ses serveurs cloud à certaines heures peut trahir un rythme opérationnel.
Les fournisseurs américains de cloud sont légalement tenus de coopérer avec les agences de renseignement américaines dans le cadre de la Foreign Intelligence Surveillance Act (FISA). Même les données hébergées physiquement en Europe ne sont pas à l’abri : si elles sont gérées par une entité de droit américain, les autorités peuvent exiger leur communication. C’est précisément ce que la Commission européenne et le Parlement européen ont tenté de combattre depuis des années, sans succès total à ce jour.
Le risque stratégique dépasse même le champ du renseignement. Lors d’une crise géopolitique, un gouvernement américain pourrait-il exercer une pression sur ses entreprises technologiques pour restreindre l’accès aux services cloud de nations adverses ou de leurs alliés ? La question n’est pas théorique. En 2022, les grandes entreprises tech américaines ont coupé leurs services en Russie dans les jours suivant l’invasion de l’Ukraine. Des décisions saluées dans ce contexte précis, mais qui ont démontré la réalité du levier.
Ce que l’Europe peut encore faire
La situation n’est pas irrémédiable. L’initiative GAIA-X, lancée en 2020 sous l’impulsion franco-allemande, portait l’ambition de construire une infrastructure cloud européenne interopérable et souveraine. L’initiative a trébuché sur ses contradictions internes, notamment l’inclusion de fournisseurs américains dans son conseil de gouvernance, mais elle a posé les jalons d’une réflexion collective indispensable. Le label SecNumCloud de l’ANSSI constitue également un outil de qualification rigoureux pour identifier les offres réellement souveraines.
Sur le plan réglementaire, le Data Act européen entré en vigueur en 2024 introduit pour la première fois des obligations de portabilité des données et des mécanismes de switching facilité entre fournisseurs cloud. Une avancée concrète contre le vendor lock-in !
Mais la réglementation seule ne suffit pas sans une politique industrielle volontariste : financement public des alternatives européennes, clauses de préférence dans les marchés publics, formation massive aux architectures hybrides et multi-cloud.
Car la souveraineté numérique ne se décrète pas dans des directives, elle se construit dans des datacenters, dans des lignes de code open source, dans des équipes capables de maintenir une infrastructure sans appeler le support technique de Virginie ou de Seattle. C’est un projet de long terme, coûteux, exigeant. Mais l’alternative (continuer à sous-traiter l’infrastructure de nos sociétés à des acteurs soumis à d’autres lois, d’autres intérêts et d’autres priorités stratégiques) est une abdication dont le prix se paiera, un jour ou l’autre, bien au-delà de la facture mensuelle.
