Tech Sovereignty Package : l'Europe veut restreindre AWS, Azure et Google sur ses données sensibles
Avec son Tech Sovereignty Package, la Commission européenne veut limiter le recours aux clouds américains pour les données publiques sensibles. Une ambition assumée, mais un chemin semé d'obstacles techniques, politiques et commerciaux.
Fin mai 2026, la Commission européenne a dévoilé son très attendu Tech Sovereignty Package, un ensemble de mesures destinées à renforcer l’autonomie stratégique du continent dans le numérique. La mesure la plus commentée : la possibilité de restreindre AWS, Microsoft Azure et Google Cloud pour le traitement des données sensibles des administrations publiques.
Le constat de départ est sans appel. Les acteurs américains contrôlent environ 70 % du marché cloud européen. Dans les secteurs critiques (santé, justice, finances publiques), cette dépendance soulève une question que la simple conformité RGPD ne suffit pas à régler : qui peut, en dernier ressort, accéder à nos données ?
Sa présentation, attendue le 27 mai 2026, s’est faite dans un climat de fortes résistances, et son calendrier comme son périmètre restent discutés. Voyons ensemble ce que contient ce paquet, pourquoi il vise un angle mort du RGPD, et les obstacles qui se dressent sur sa route.
Que contient le Tech Sovereignty Package ?
Le paquet ne se limite pas au cloud. Il s’articule autour de quatre piliers :
- le Cloud and AI Development Act (CADA), pièce maîtresse sur le cloud et l’intelligence artificielle ;
- un Chips Act 2.0 dédié aux semi-conducteurs et aux technologies de calcul de nouvelle génération ;
- une stratégie open source européenne ;
- la numérisation du secteur de l’énergie.
Le point décisif tient à la base juridique retenue pour le CADA : l’article 114 du traité sur le fonctionnement de l’UE (harmonisation du marché intérieur). Contrairement à des initiatives volontaires antérieures comme Gaia-X, ce fondement confère au texte une portée contraignante. C’est un changement de nature, pas seulement d’ambition.
La mesure phare : restreindre le cloud américain sur les données publiques
L’objectif affiché est de définir les secteurs qui devront être hébergés sur des capacités cloud européennes. Trois catégories de données publiques sensibles sont visées en priorité :
- les données financières (notamment fiscales) ;
- les données judiciaires (dossiers de justice) ;
- les données sanitaires (dossiers médicaux des patients).
L’approche se veut nuancée : il ne s’agit pas d’exclure totalement les fournisseurs étrangers des marchés publics, mais de limiter leur usage pour le traitement des données sensibles, selon leur classification et leur degré de sensibilité. À ce stade, les entreprises privées ne seraient pas concernées et resteraient libres de choisir leur plateforme. Une limitation politique qui laisse, de fait, la porte ouverte à un élargissement ultérieur.
Pourquoi le RGPD ne suffit pas : le spectre du CLOUD Act
C’est ici que se joue la vraie bataille. Beaucoup d’organisations pensent qu’héberger leurs données « en Europe » suffit à les protéger. C’est une illusion.
Le CLOUD Act américain, adopté en 2018, autorise les autorités américaines à contraindre une entreprise de droit américain à fournir des données, quelle que soit leur localisation physique. Un serveur AWS installé à Francfort n’offre donc aucune garantie contre une injonction judiciaire américaine.
Être conforme au RGPD et être réellement souverain sont deux choses différentes. La localisation des serveurs ne dit rien de la juridiction qui peut, in fine, y accéder.
C’est toute la distinction entre conformité et souveraineté : on peut cocher toutes les cases du RGPD tout en restant exposé à un droit extraterritorial. Le Tech Sovereignty Package vise précisément à éliminer cette dépendance pour les données les plus critiques.
Les obstacles : capacités, États membres et tensions commerciales
L’ambition est claire, mais le chemin est étroit.
Un écart technique réel
L’Europe ne part pas de zéro. Des acteurs comme OVHcloud, Scaleway, Exoscale ou Hetzner proposent des infrastructures crédibles. Mais soyons lucides : aucun ne peut, à lui seul, remplacer l’intégralité du catalogue de services d’Amazon, Google, Microsoft, Oracle ou IBM. Combler cet écart dans le délai réglementaire imparti sera un défi de taille.
Des États membres divisés
L’Irlande, qui héberge de nombreux centres de données américains et en tire d’importantes retombées fiscales, pourrait freiner le projet. De son côté, Microsoft invoque déjà les règles de l’Organisation mondiale du commerce pour qualifier ces mesures de potentiellement « discriminatoires ».
Un calendrier sous tension
La mise en œuvre complète n’est pas attendue avant 2027 au plus tôt. Entre-temps : migrations, certifications et démonstrations de capacité par les fournisseurs européens. C’est court.
Notre analyse
Le Tech Sovereignty Package est un signal politique fort, mais plusieurs questions de fond restent ouvertes, et elles décideront de sa portée réelle.
La distinction public / privé est-elle tenable ? Si une collectivité sous-traite un service à une entreprise privée qui s’appuie elle-même sur AWS, la donnée publique retombe dans le périmètre américain par la bande. Par ailleurs, les « clouds souverains » des hyperscalers (à l’image d’un AWS Sovereign Cloud opéré en Europe) offrent-ils une protection juridique réelle contre le CLOUD Act, ou s’agit-il avant tout d’un argument commercial ? Enfin, une restriction explicite du cloud américain pourrait alimenter une escalade commerciale transatlantique dont l’Europe n’a pas forcément les moyens.
La vérité se situe probablement entre l’autonomie revendiquée et la dépendance constatée. Ce paquet n’est pas une rupture immédiate, mais le début d’une trajectoire qu’il faudra suivre de près.
Ce que les entreprises doivent anticiper
Les actions prioritaires :
- Cartographier ses dépendances cloud : identifier où sont hébergées les données sensibles et sous quelle juridiction elles tombent réellement.
- Distinguer conformité et souveraineté : un hébergement en Europe ne protège pas du droit extraterritorial ; évaluer l’exposition au CLOUD Act.
- Évaluer les alternatives européennes pour les traitements les plus critiques, sans céder à une migration précipitée.
- Suivre la qualification des données : la classification par sensibilité conditionnera les futures obligations.
- Anticiper les certifications (schémas de cybersécurité européens) qui structureront les marchés publics de demain.
Besoin d’y voir clair sur votre exposition au cloud extra-européen et vos options de souveraineté ? Découvrez nos services pour une approche personnalisée.
Concepts & Notions
Notions essentielles abordées
Souveraineté numérique
Enjeux de la dépendance européenne aux infrastructures cloud américaines et risques liés aux lois extraterritoriales
Lire l'article →CLOUD Act
Loi américaine de 2018 permettant aux autorités d'exiger des données détenues par une entreprise américaine, où qu'elles soient stockées
Lire l'article →SaaS & sécurité cloud
Enjeux de sécurité et de localisation lorsqu'un traitement de données est confié à un prestataire cloud externe
Lire l'article →Cloud and AI Development Act (CADA)
Texte central du Tech Sovereignty Package, fondé sur l'article 114 du TFUE, visant à développer des capacités cloud et IA européennes
Hyperscaler
Fournisseur de cloud à très grande échelle (AWS, Microsoft Azure, Google Cloud) capable d'absorber des charges massives à l'échelle mondiale
Cloud souverain
Infrastructure cloud conçue pour échapper aux juridictions extra-européennes et garantir un contrôle complet sur la localisation et l'accès aux données
Gaia-X
Initiative européenne de fédération de services cloud, de nature volontaire, dont le Tech Sovereignty Package entend dépasser les limites par une approche contraignante
Extraterritorialité
Application du droit d'un État au-delà de ses frontières : ici, la capacité du droit américain à atteindre des données hébergées en Europe
Article 114 du TFUE
Base juridique relative à l'harmonisation du marché intérieur, qui confère au futur règlement une portée contraignante
Autonomie stratégique
Capacité de l'Union européenne à agir et décider sans dépendre de puissances ou d'acteurs extérieurs dans les secteurs critiques
📚 Sources et références ▼
Sources et couverture
- CNBC - EU weighs restricting use of U.S. cloud platforms to process sensitive government data
- L'Usine Digitale - Bruxelles veut restreindre AWS, Azure et Google pour les données sensibles des administrations
- Developpez - L'Europe veut reprendre le contrôle de ses données publiques avec le Tech Sovereignty Package
Analyses
Contexte réglementaire
Pour aller plus loin
Souveraineté numérique : quand les infrastructures américaines deviennent des armes géopolitiques
Analyse des contrôles américains sur les infrastructures technologiques mondiales et stratégies pour renforcer la souveraineté numérique européenne.
Lire l'article → Concepts & NotionsCLOUD Act : législation américaine sur l'accès extraterritorial aux données
Comprendre le CLOUD Act américain de 2018, son conflit avec le RGPD européen et ses implications pour les entreprises utilisant des services cloud US.
Lire l'article → Concepts & NotionsSouveraineté numérique : définition, enjeux et stratégies pour l'Europe
Comprendre la souveraineté numérique, ses enjeux stratégiques pour l'Europe, et les initiatives pour réduire la dépendance aux géants technologiques américains.
Lire l'article → Sécurité & conformitéSaaS et sécurité des données : comment gérer les risques à l'ère du cloud ?
Découvrez comment gérer les risques de sécurité des données dans le cloud. Apprenez les meilleures pratiques en matière de SaaS et de données !
Lire l'article →