L'élection de Donald Trump et les tensions commerciales internationales ont remis au premier plan la question cruciale de la souveraineté technologique européenne. Le récent rapport du Parlement européen sur la souveraineté technologique et les infrastructures numériques (Knafo, 2025) dresse un constat alarmant : l'Europe dépend à d'entreprises non européennes pour ses services cloud.
Cette domination se traduit concrètement par une mainmise quasi-totale des géants américains sur le marché européen :
- Amazon Web Services (AWS)
- Microsoft Azure
- Google Cloud Platform
Ces trois acteurs contrôlent ensemble environ du marché européen de l'infrastructure cloud, reléguant les fournisseurs européens comme OVHcloud ou Deutsche Telekom à seulement de parts de marché.
Le rapport parlementaire souligne que des données occidentales sont stockées aux États-Unis, dans des infrastructures détenues et exploitées par des fournisseurs américains. Cette situation expose l'Europe à plusieurs risques critiques :
- L'extraterritorialité juridique : Le Cloud Act américain permet aux autorités américaines d'accéder aux données hébergées par des entreprises américaines, même si ces données sont physiquement stockées en Europe. Cette législation entre en conflit direct avec le RGPD européen et nos valeurs de protection des données personnelles.
- La dépendance infrastructurelle : L'Union européenne ne dispose que de 10 à de capacité d'hébergement de données sur son propre territoire, la rendant incapable de répondre seule à ses besoins croissants.
- Les risques pour les services critiques : Cette domination américaine s'étend aux infrastructures stratégiques incluant les services publics, la santé, la recherche et la défense.
Des incidents concrets qui alertent
La suspension du compte Microsoft du procureur de la Cour pénale internationale a démontré la réalité de ces risques. Face à ces incidents, les géants américains tentent de rassurer en proposant des solutions "souveraines" via des partenariats locaux, comme l'initiative Bleu entre Microsoft, Orange et Capgemini.
D'autres incidents ont eu lieu ces dernières années sans que nous puissions aujourd'hui comprendre leurs impacts et leurs dimensions. En 2023, Microsoft a été au cœur d'un scandale majeur après le vol d'une clé cryptographique OAuth ayant permis à des hackers chinois d'accéder à des e-mails gouvernementaux américains et européens. Parallèlement, des vulnérabilités critiques dans Azure Key Vault ont mis en lumière les limites de sécurité de ses services cloud. Ces incidents, jugés graves par les agences de cybersécurité (CSRB, CISA), ont alimenté la méfiance croissante de l'Union européenne vis-à-vis des GAFAM. Ils ont renforcé les initiatives de souveraineté numérique et de certification cloud sécurisé en Europe, accélérant les efforts vers des infrastructures plus résilientes et indépendantes.
Plus récemment, lors d'une audition de la commission d'enquête du Sénat français sur la commande publique et la souveraineté numérique (Commission d'enquête du Sénat, 2025), des soupçons ont été évoqués concernant un possible transfert de clés de chiffrement Outlook aux autorités américaines par Microsoft. Bien que ces allégations n'aient pas été confirmées et restent au stade de soupçons, elles soulèvent des inquiétudes légitimes sur la confidentialité des données.