La révision du cadre européen de certification des services cloud marque un tournant politique majeur. En choisissant de recentrer le futur schéma européen sur la seule sécurité opérationnelle, la Commission européenne entérine, de facto, l’abandon de toute ambition de souveraineté juridique dans l’encadrement du cloud. Un choix présenté comme pragmatique, mais qui laisse entière la question de la dépendance européenne à des fournisseurs soumis à des lois étrangères.
Cette inflexion intervient dans un climat géopolitique particulièrement tendu, marqué par les déclarations répétées de Donald Trump à l’encontre de partenaires historiques des États-Unis. Pour de nombreux observateurs, le moment semblait au contraire propice à un renforcement de l’autonomie stratégique européenne dans le numérique.
Une révision du Cybersecurity Act qui acte un changement de cap
La Commission a présenté une proposition de révision du Cybersecurity Act, le règlement européen adopté en 2019 pour créer un cadre commun de certification des produits et services numériques.
L’objectif initial était clair : mettre fin à la fragmentation des labels nationaux, comme le visa français SecNumCloud ou le référentiel allemand C5, au profit de schémas européens harmonisés. Dans ce cadre, un schéma spécifique aux services cloud – connu sous l’acronyme EUCS – devait voir le jour.
La définition de ses critères techniques a été confiée à l’Agence de l’Union européenne pour la cybersécurité. Mais très rapidement, le dossier est devenu l’un des plus conflictuels du numérique européen.
Derrière les discussions sur les niveaux de sécurité se sont greffées des questions politiques majeures : faut-il, ou non, intégrer dans la certification des critères liés à la nationalité des fournisseurs, à leur structure capitalistique ou à leur exposition à des lois extraterritoriales ?
Faute de consensus entre États membres, le projet est resté bloqué pendant plusieurs années.
Une fracture politique entre États membres
Deux lignes se sont progressivement opposées. D’un côté, des États, au premier rang desquels la France, plaidaient pour faire de la certification cloud un véritable outil de souveraineté numérique. De l’autre, des pays comme l’Allemagne refusaient toute approche susceptible d’être perçue comme discriminatoire ou protectionniste.
Avec sa nouvelle proposition, la Commission entend clairement sortir de l’impasse institutionnelle. Le texte redéfinit les rôles : la Commission conserve le pilotage politique, l’ENISA est chargée de la rédaction technique des schémas, et les modalités d’adoption et d’application par les États membres sont plus strictement encadrées.
Sur le fond, la révision précise les objectifs couverts par la certification : confidentialité, intégrité et disponibilité des données, résilience des services, procédures d’audit, gestion des incidents et mécanismes de surveillance dans le temps.
Elle consacre également une logique de niveaux de certification gradués, avec un niveau « high » destiné aux usages les plus critiques, assorti de contrôles renforcés et d’évaluations face à des attaques sophistiquées.
La souveraineté juridique totalement écartée
Mais un point est désormais clairement tranché : aucun fondement juridique n’est prévu pour intégrer dans la certification des critères liés au contrôle des fournisseurs, à leur nationalité ou à leur exposition à des législations étrangères.
Autrement dit, un fournisseur soumis à des obligations de coopération avec un État tiers pourra obtenir la certification européenne, dès lors qu’il respecte les exigences techniques et organisationnelles définies par le schéma.
Ce choix ouvre un boulevard aux géants américains du cloud, notamment Amazon Web Services, Microsoft Azure et Google Cloud. Ces trois acteurs concentrent à eux seuls près de 70 % du marché européen.
Pour les entreprises et les administrations utilisatrices, la future certification garantira donc un niveau de cybersécurité du service, mais ne constituera en aucun cas une protection contre une dépendance juridique à un État tiers, ni contre une interruption de service décidée hors du cadre européen.
La Commission assume un périmètre volontairement limité
Dans son analyse d’impact, la Commission opère une distinction très nette entre deux catégories de risques.
Les risques dits techniques relèvent, selon elle, de la cybersécurité au sens strict et peuvent être traités par des mécanismes de certification harmonisés. Les risques non techniques, qui incluent l’influence d’un État tiers sur un fournisseur, l’application de lois extraterritoriales ou encore les dépendances stratégiques des chaînes d’approvisionnement, sont explicitement identifiés… mais exclus du périmètre du schéma cloud.
Ces risques sont pourtant reconnus comme pouvant conduire à des accès arbitraires ou extraterritoriaux aux données. La Commission considère néanmoins qu’ils doivent être traités par d’autres instruments, en particulier les politiques de sécurité des chaînes d’approvisionnement.
Ce cloisonnement est présenté comme une nécessité pour éviter de nouveaux blocages politiques et préserver l’harmonisation du marché intérieur.
Une contradiction avec le discours sur l’autonomie stratégique
Cette approche entre en tension directe avec la rhétorique européenne sur l’autonomie stratégique.
En reconnaissant que l’exposition juridique des fournisseurs et l’influence d’États tiers constituent des risques réels, tout en refusant de les intégrer dans la certification cloud, Bruxelles traite la sécurité comme un sujet purement technique et la souveraineté comme un enjeu périphérique.
Pour de nombreux acteurs du secteur, cette dissociation est artificielle. Le contrôle juridique d’un prestataire et sa capacité à résister à des injonctions extraterritoriales conditionnent directement la sécurité effective des données et la continuité de service.
La question est d’autant plus sensible que les dépendances technologiques ne relèvent plus d’un débat théorique. Les tensions géopolitiques récentes ont rappelé que le contrôle du logiciel, des infrastructures et des plateformes numériques est devenu un levier de pression économique et politique.
Berlin et les partenariats avec les hyperscalers
Derrière l’échec d’une certification intégrant la souveraineté se cachent aussi des stratégies nationales divergentes.
L’Berlin a ainsi soutenu des partenariats structurants avec des acteurs comme Amazon Web Services pour développer, sur son territoire, des offres présentées comme « souveraines ». L’introduction de critères européens stricts fondés sur la nationalité des fournisseurs ou leur exposition juridique aurait mécaniquement fragilisé ces choix industriels.
Dans ce contexte, l’émergence d’un consensus en faveur d’une certification véritablement excluante était politiquement peu probable.
En renonçant à faire du futur schéma cloud un instrument de souveraineté numérique, la Commission européenne a choisi la voie de l’accord minimal. Un compromis qui permettra enfin de débloquer la certification européenne des services cloud, mais au prix d’un renoncement assumé à traiter, dans ce cadre pourtant stratégique, la question centrale de la dépendance de l’Europe à des acteurs extra-européens.
