Lecture : 11 min · MAJ 28 mai 2026 · Sources primaires uniquement.

Depuis 2020, « souveraineté numérique » est devenu un mot d'ordre de Bruxelles à Paris. En 2026, la réalité technique reste têtue : la majorité des données publiques et privées européennes transite par des infrastructures soumises à une loi américaine de 2018, le CLOUD Act. Entre le discours de souveraineté et l'architecture de dépendance, l'écart n'est pas un détail de mise en œuvre. C'est une décision structurelle que personne n'assume publiquement.

Cet article cartographie cet écart sur trois couches : le cloud, le paiement, l'identité. Sources primaires — règlements, doctrines techniques, textes de loi. Aucune dépêche prise pour argent comptant.

La souveraineté comme label, pas comme architecture

Le mot recouvre deux choses très différentes.

La souveraineté juridique : qui a le droit d'accéder à la donnée. La souveraineté technique : qui peut, physiquement, y accéder. L'Europe a beaucoup légiféré sur la première. Elle a peu construit sur la seconde.

Le cas du cloud est le plus net. Selon les estimations du marché (Synergy Research Group), les trois hyperscalers américains — Amazon Web Services, Microsoft Azure, Google Cloud — captent autour de deux tiers du marché du cloud européen. Les fournisseurs européens se partagent les miettes. Cette donnée est stable depuis des années.

Le CLOUD Act : le point que les communiqués évitent

Le Clarifying Lawful Overseas Use of Data Act, voté aux États-Unis en mars 2018, oblige tout fournisseur soumis au droit américain à remettre aux autorités américaines les données qu'il détient — y compris lorsqu'elles sont stockées sur des serveurs situés en Europe.

Conséquence directe : une donnée hébergée chez un hyperscaler américain en Irlande ou en France reste, juridiquement, atteignable depuis Washington. Le chiffrement géré par le fournisseur ne change rien si c'est lui qui détient les clés.

C'est précisément le trou que les offres dites « souveraines » tentent de colmater — avec un succès très inégal.

L'audit des « clouds souverains »

La France a posé une exigence technique : le référentiel SecNumCloud de l'ANSSI, qui impose notamment l'immunité aux lois extraterritoriales. Sur le papier, c'est la bonne réponse.

Dans les faits, les offres présentées comme souveraines reposent souvent sur la technologie des hyperscalers, sous licence, opérée par une coentreprise européenne. Deux exemples documentés :

  • Bleu — coentreprise Capgemini / Orange, qui exploite la technologie Microsoft Azure.
  • S3ns — coentreprise Thales / Google, sur technologie Google Cloud.

L'argument de leurs promoteurs : la coentreprise est de droit français, capital et opérations européens, donc hors d'atteinte du CLOUD Act. L'argument inverse, défendu par plusieurs experts en sécurité : la dépendance technologique demeure (briques logicielles, mises à jour, support, savoir-faire), et l'immunité juridique reste à prouver dans la durée [hypothèse ★★★☆ probable].

La question n'est pas tranchée par un communiqué. Elle le sera par un cas concret de réquisition — qui n'a pas encore eu lieu publiquement.

Deuxième couche : le paiement et l'euro numérique

La Banque centrale européenne a lancé en novembre 2023 la phase de préparation de l'euro numérique, prévue pour deux ans, suivie d'une décision sur une éventuelle émission.

L'argument officiel : réduire la dépendance de l'Europe aux schémas de paiement américains (Visa, Mastercard) et aux acteurs privés. L'objectif de souveraineté est ici réel et explicite.

Mais l'euro numérique est aussi une infrastructure, pas seulement un moyen de paiement. Qui opère les nœuds, qui voit les transactions, quelles limites de détention, quelle programmabilité : ces choix d'architecture déterminent un rapport de pouvoir, pas seulement une commodité de paiement. C'est l'objet d'un autre article de ce thread (voir le thread Infrastructure de contrôle).

Troisième couche : l'identité

Le règlement (UE) 2024/1183, dit eIDAS 2.0, impose à chaque État membre de proposer un portefeuille d'identité numérique européen (EUDI Wallet). C'est la couche d'identité de l'édifice : ce qui relie une personne à ses données, ses diplômes, ses paiements, demain peut-être sa santé.

Sur cette couche au moins, la pile technologique est davantage européenne. Mais l'enjeu se déplace : moins « qui héberge » que « qui définit les règles d'usage, et qu'est-ce qui devient obligatoire ». Sujet traité en détail dans notre lecture du portefeuille numérique européen.

Le contre-angle qu'il faut entendre

La dépendance n'est pas un complot : c'est le résultat de deux décennies de retard d'investissement. Les hyperscalers américains offrent un service que l'Europe n'a pas su produire à l'échelle ni au prix. Choisir Azure ou AWS, pour un hôpital ou une administration en 2026, c'est souvent le choix rationnel à court terme — fiabilité, coût, compétences disponibles.

De même, GAIA-X — le projet d'écosystème cloud européen lancé en 2019 — n'a pas « échoué » au sens binaire : il a produit des standards d'interopérabilité utiles. Il n'a simplement pas produit d'hyperscaler. Confondre les deux, c'est se tromper de reproche.

La critique tient malgré tout : un choix rationnel répété pendant vingt ans produit une dépendance structurelle. Et une dépendance structurelle, en cas de tension géopolitique, devient un levier.

Pour la France et l'Europe : la conclusion stratégique

La souveraineté juridique sans souveraineté technique est une fiction confortable. Un référentiel comme SecNumCloud ne vaut que s'il s'accompagne d'une capacité industrielle réelle — sinon c'est un label sur une dépendance.

Le test n'est pas l'annonce, c'est la réquisition. Tant qu'aucun cas de demande américaine sur des données « souveraines » n'a été tranché publiquement, l'immunité reste théorique. Surveiller ce signal.

Cloud, paiement, identité forment une seule pile. Les traiter séparément, c'est rater l'essentiel : celui qui contrôle les trois couches contrôle l'infrastructure civile du continent.


Ce qu'il faut retenir

La dépendance est documentée, structurelle, et concentrée sur trois couches critiques. Elle ne produit pas de crise immédiate, mais elle constitue un levier mobilisable en cas de tension transatlantique.

Ce qui ferait passer à 9/10 : une réquisition américaine effective sur des données hébergées en « cloud souverain » européen, qui démontrerait l'inefficacité juridique du dispositif.

Ce qui le ramènerait à 4/10 : l'émergence d'un acteur cloud européen à l'échelle des hyperscalers, ou une jurisprudence solide validant l'immunité des coentreprises.


FAQ — questions que les lecteurs posent

Qu'est-ce que la souveraineté numérique, concrètement ?
La capacité d'un État ou d'un ensemble d'États à maîtriser ses infrastructures numériques — données, cloud, paiement, identité — sans dépendre d'un pouvoir extérieur pour y accéder ou les couper. Elle se décline en souveraineté juridique (qui a le droit) et technique (qui peut, physiquement).

Pourquoi le CLOUD Act pose-t-il problème en Europe ?
Parce qu'il permet aux autorités américaines d'exiger des données détenues par un fournisseur soumis au droit américain, même stockées sur des serveurs européens. Le lieu de stockage ne protège pas ; c'est la nationalité juridique du fournisseur qui compte.

Un « cloud souverain » français est-il vraiment souverain ?
Cela dépend de l'architecture. Une offre construite sur la technologie d'un hyperscaler américain, même opérée par une coentreprise française, conserve une dépendance technologique. L'immunité juridique revendiquée reste à confirmer par un cas concret.

L'euro numérique renforce-t-il la souveraineté ?
En intention, oui : réduire la dépendance aux schémas de paiement américains. Mais en tant qu'infrastructure, ses choix d'architecture (qui voit les transactions, quelles limites, quelle programmabilité) soulèvent des questions de contrôle distinctes de la seule souveraineté.


Tisons Desk · Veille alternative · Posture sceptique systémique · Sources primaires uniquement.

Les signaux, avant qu'ils ne fassent les gros titres.

Analyses sourcées aux documents primaires. Prédictions datées, probabilisées, notées publiquement — sans réécriture. Gratuit.

Recevoir les prochains signaux →