L'UE prévoit de tripler sa capacité en centres de données. Cela ajoute de la complexité pour les acheteurs avant même qu'un seul serveur soit livré.

Selon l'analyse Lab Space de la Cloud Security Alliance, environ 80 % des dépenses professionnelles annuelles liées au cloud dans l'UE sont actuellement versées à des prestataires américains. La Commission européenne a publié son Paquet pour la souveraineté technologique européenne le 3 juin 2026, avec pour objectif déclaré de modifier ce rapport en reconfigurant l'infrastructure qui sous-tend chaque contrat technologique du secteur public sur le continent. Le plan de la Commission visant à tripler la capacité des centres de données européens au cours des cinq à sept prochaines années n'est pas avant tout une question de délais de construction. C'est une question d'architecture de conformité que les acheteurs et les constructeurs doivent appréhender dès maintenant, avant même que ces centres de données existent.

Ce que contient réellement le Paquet

Le Paquet pour la souveraineté technologique européenne n'est pas une loi unique. Selon la propre page de stratégie numérique de la Commission européenne, il comprend quatre composantes distinctes : deux propositions législatives, la loi sur le développement du cloud et de l'IA (CADA) et la loi sur les semi-conducteurs 2.0 (Chips Act 2.0), ainsi que deux initiatives non législatives, une Stratégie européenne pour l'open source et une Feuille de route stratégique pour la numérisation et l'IA dans le secteur énergétique. L'analyse Inside Global Tech de Covington and Burling décrit cette approche comme un « écosystème » couvrant l'ensemble de la pile technologique, des puces et de l'infrastructure jusqu'aux logiciels, au cloud et à l'intelligence artificielle.

Les propositions législatives doivent faire l'objet de négociations avec le Parlement européen et le Conseil avant de devenir contraignantes ; les initiatives non législatives n'imposent aucune échéance de conformité directe. La conséquence pratique est que les constructeurs travaillent dans un calendrier non résolu : l'orientation politique est ferme, mais les obligations exécutoires sont encore en transit dans une procédure législative pluriannuelle qui, comme l'a relevé The Parliament Magazine, a été jugée beaucoup trop longue par des critiques, dont l'eurodéputé Axel Voss.

CADA et le cadre de souveraineté à quatre niveaux

C'est avec CADA que les conséquences sur les marchés publics deviennent concrètes. L'analyse Lab Space de la Cloud Security Alliance décrit CADA comme établissant un cadre formel d'assurance de souveraineté à quatre niveaux, déterminant quels services cloud peuvent traiter des charges de travail sensibles du secteur public, avec des conséquences directes en aval pour les entreprises privées qui fournissent des services, s'intègrent à des organismes publics ou opèrent sous contrat avec eux.

Cette dernière précision est d'importance : les obligations ne se limitent pas aux grands fournisseurs cloud qui répondent à des appels d'offres gouvernementaux. Toute équipe dont le produit s'inscrit dans une chaîne d'approvisionnement en contact avec un organisme public devra comprendre où se situe son empreinte cloud dans cette hiérarchie à quatre niveaux.

TechPolicy.Press a rapporté que le paquet prévoit d'exclure des marchés publics sensibles les entreprises cloud ne satisfaisant pas aux critères de souveraineté de l'UE, et conférerait à Bruxelles des pouvoirs d'urgence pour prioriser la production de puces en période de crise d'approvisionnement, y compris la capacité d'annuler des accords commerciaux existants. L'analyse de la CSA souligne également que CADA ne s'inscrit pas dans un vide réglementaire ; il vient s'ajouter à une architecture réglementaire interconnectée déjà existante, comprenant les exigences de portabilité cloud du Data Act de l'UE entrées en vigueur en septembre 2025, les obligations de cybersécurité de NIS2, et le régime de surveillance des tiers en matière de TIC instauré par DORA pour le secteur financier.

Les questions d'application restées en suspens

Le reportage du Parliament Magazine daté du 8 juin 2026 constitue le correctif le plus utile à toute lecture du paquet comme une politique pleinement aboutie. La Commission a renvoyé aux États membres la question de la mise en œuvre concrète des règles de passation de marchés « Fabriqué en Europe » envisagées, et le paquet ne précise pas d'où proviendrait le financement du changement d'infrastructure requis. Il ne s'agit pas là de détails d'application mineurs : la fragmentation de l'application entre 27 États membres est précisément ce qui complique la planification de la conformité pour les équipes opérant à l'échelle transfrontalière.

L'analyse de Stratfor note que les divisions internes à l'UE et la capacité industrielle limitée du bloc contraindront probablement l'impact à court terme du paquet, et que les entreprises européennes devront s'attendre à absorber des coûts de compétitivité supplémentaires pendant la période de transition.

La composante open source ajoute une dimension supplémentaire. La Stratégie européenne pour l'open source est non législative, ce qui signifie qu'il n'y a pas d'échéance de conformité directe, mais les équipes qui achètent pour le secteur public ou qui lui vendent leurs services devraient la considérer comme un signal directionnel sur les futures préférences en matière de marchés publics, en particulier dans les contextes de l'éducation et de la recherche où les alternatives open source sont de plus en plus souvent spécifiées.

Ce que les constructeurs et les acheteurs devraient faire avant que la loi soit définitive

L'intervalle entre la proposition d'un paquet et le moment où ses obligations deviennent exécutoires est précisément la fenêtre au cours de laquelle les décisions d'architecture prises aujourd'hui deviennent coûteuses à défaire ultérieurement. L'analyse Lab Space de la CSA décrit cela comme une « cascade de conformité » : les organisations qui attendent le texte législatif final avant d'ajuster leurs contrats fournisseurs, leurs configurations de résidence des données ou leurs accords de sous-traitants se retrouveront à réévaluer le coût des migrations sous pression de délais plutôt que dans des conditions de planification sereines.

Trois questions concrètes méritent une réponse immédiate. Premièrement, votre empreinte cloud inclut-elle des services qui traitent des données du secteur public, directement ou via une chaîne d'approvisionnement ? Si oui, cartographier ces services par rapport au cadre à quatre niveaux de CADA, même dans sa forme proposée, fera apparaître les contrats présentant le risque le plus élevé. Deuxièmement, vos contrats fournisseurs incluent-ils les dispositions de portabilité déjà exigées par le Data Act de l'UE, entré en vigueur en septembre 2025 selon l'analyse de la CSA ? Dans le cas contraire, il s'agit d'une obligation actuelle, et non future. Troisièmement, vos décisions d'architecture traitent-elles la conformité au cloud souverain et à l'open source comme des ajouts optionnels ou comme des contraintes de conception de premier ordre ? La formulation de la Commission, telle que décrite dans les analyses de TechPolicy.Press et de Global Policy Watch, est que ces exigences sont structurelles, et non cosmétiques.

La procédure législative pour CADA et la loi sur les semi-conducteurs 2.0 se déroulera sur plusieurs années. Mais le signal en matière de marchés publics est déjà interprété par les acheteurs du secteur public à travers le continent, et les listes de fournisseurs sont d'ores et déjà évaluées à l'aune des critères de souveraineté. Les équipes qui traitent cela comme un problème futur prennent, en pratique, une décision d'architecture.

Le prochain élément à surveiller est la manière dont les États membres choisiront de mettre en œuvre la préférence d'achat « Fabriqué en Europe », car c'est là que la variation dans l'application sera la plus marquée et que les acheteurs dans les domaines de l'éducation, de la recherche et de l'administration publique ressentiront la pression la plus directe.