Un cadre unique d’évaluation de la souveraineté
La Commission européenne a officialisé le 3 juin une proposition législative majeure destinée à renforcer la souveraineté numérique du Vieux Continent. Baptisé Cloud and AI Development Act (CAIDA), ce texte constitue l’un des piliers d’un vaste plan d’investissement de 200 milliards d’euros visant à réduire la dépendance technologique de l’Europe dans les domaines du cloud, de l’intelligence artificielle et des semi-conducteurs. Jusqu’à présent, aucun référentiel commun n’existait au sein de l’Union européenne pour mesurer le degré de souveraineté d’une offre de cloud. Le CAIDA entend combler ce vide en instaurant un système harmonisé fondé sur quatre « niveaux d’assurance de l’Union ».
Quatre niveaux, des exigences croissantes
Le dispositif repose sur une gradation des contraintes. Le niveau 1, le moins contraignant, exige que les données demeurent stockées sur le territoire de l’Union européenne. Il reste accessible aux fournisseurs contrôlés par des entités extra-européennes et n’écarte donc pas les hyperscalers américains comme Google, Amazon ou Microsoft, dès lors qu’ils disposent d’infrastructures locales. Le niveau 2 impose des garde-fous supplémentaires visant à empêcher tout accès illicite aux données par un pays tiers ou toute interruption de service. Bien que théoriquement plus strict, ce niveau reste ouvert aux acteurs sous contrôle étranger, à condition qu’ils apportent la preuve de garanties juridiques, techniques et organisationnelles suffisantes.
Le niveau 3 constitue un seuil qualitatif plus élevé. Il exige en principe que le fournisseur et ses sous-traitants ne soient soumis à aucun contrôle d’un pays tiers. Le texte prévoit néanmoins une dérogation : la Commission peut reconnaître que certains États extérieurs offrent des garanties équivalentes, sur un modèle inspiré des décisions d’adéquation en matière de protection des données. Enfin, le niveau 4 est réservé aux usages les plus sensibles. Il impose une absence totale de contrôle par un pays tiers et exige que les composants logiciels critiques ne soient pas détenus par des acteurs étrangers.
Des marchés publics encadrés, mais pas fermés
Contrairement à une approche protectionniste, le CAIDA ne réserve pas les marchés publics aux seuls fournisseurs européens. Les niveaux 2 et 3 demeurent accessibles, sous conditions, à des opérateurs soumis à un contrôle extra-européen. Les administrations devront toutefois respecter un processus précis : une évaluation des risques devra être menée pour chaque activité utilisant le cloud, puis le niveau d’assurance approprié (2, 3 ou 4) sera déterminé en fonction de la sensibilité des données, du risque d’accès illicite par un pays tiers et du risque d’interruption de service. La Commission fixera la méthodologie exacte par actes d’exécution.
Calendrier et activités concernées
Dans l’année suivant l’entrée en vigueur du règlement, les États membres et les entités de l’UE devront recenser toutes les activités publiques qui recourent au cloud et qui contribuent à la préservation de l’ordre public. Sont notamment visés les secteurs couverts par la directive NIS 2, la sécurité nationale, la gestion des frontières, la défense et le maintien de l’ordre. Pour les activités non sensibles, les administrations devront utiliser des services certifiés au moins au niveau 1. Des dérogations exceptionnelles sont prévues en cas d’absence d’alternative viable ou d’appel d’offres infructueux dans l’année écoulée.
Un équilibre entre souveraineté et pragmatisme
En instaurant ce référentiel à plusieurs vitesses, l’exécutif européen cherche à concilier l’objectif de souveraineté numérique avec la réalité du marché, dominé par des acteurs non européens. Le CAIDA offre un cadre clair aux administrations publiques tout en laissant une porte ouverte aux hyperscalers, sous réserve qu’ils se conforment à des exigences de plus en plus strictes. La proposition devra désormais être examinée par le Parlement européen et le Conseil de l’Union européenne avant une adoption définitive.
