Cloud : la grenouille, le colibri… et la souveraineté numérique

L’Europe subit une véritable dépendance numérique car elle doit s’appuyer sur des infrastructures étrangères. Pourtant, ce n’est pas une fatalité et Sébastien Lescop, directeur général de Cloud Temple, montre qu’il est encore possible de retrouver une indépendance en la matière.

La domination des Big Tech sur le Vieux Continent est évidente, écrasante même. Et, contexte oblige, la souveraineté numérique européenne est plus que jamais une question brûlante. Les infrastructures cloud qui permettent de gérer, stocker et transformer des masses de données appartiennent à Microsoft, Amazon, Google et consorts. Ce sont des instruments de pouvoir qui sont dans les mains d’entreprises soumises à des administrations capables d’interférer à tout moment dans les affaires européennes. Peut-on encore laisser un double des clefs de la maison à l’Oncle Sam ou au camarade Xi ? Sébastien Lescop, directeur général de Cloud Temple, nous alerte : si l’Europe ne prend pas le problème à bras le corps, elle restera un Petit Poucet sans caillou, errant dans la grande forêt du numérique, vulnérable face aux géants du cloud. Elle a les moyens de réagir et de reprendre le contrôle de son avenir numérique. Les solutions existent. On lira ici un vibrant plaidoyer pour l’indépendance numérique européenne.
Marie-Virginie Klein, présidente du cabinet de conseil iconic., et François Backman, membre de l’Observatoire de l’Afrique Subsaharienne, codirectrice et codirecteur de l’Observatoire de la tech et du numérique

L’Europe subit une véritable dépendance numérique. Nos vies digitales – personnelles, professionnelles – reposent sur des infrastructures étrangères. Il en va de même pour les entreprises et nombre de services publics. Le développement de l’intelligence artificielle (IA) ne fait qu’accentuer cet état de fait. Nos données de santé, nos applications administratives, nos services critiques sont hébergés par les datacenters et le cloud de Microsoft, Google ou Amazon.

Les huit applications les plus utilisées en Europe sont américaines, hors TikTok (Chine). En avril dernier, Meta modifie les politiques de confidentialité de Facebook et Instagram pour entraîner son IA sur les comptes utilisateurs, sans opposition massive. Les solutions Microsoft sont utilisées par 80% des entreprises du CAC40. L’Europe est devenue un marché captif¹Gilles Babinet, Milena Harito, « L’ombre du Cloud : armer l’Europe dans la guerre invisible des données », Le Grand Continent, 1^er mai 2025 et Jean-Noël Tronc, « Réindustrialiser l’Europe : un nouveau logiciel », Le Grand Continent, 27 mai 2025..

L’IA, les jumeaux numériques, la cybersécurité, les simulations scientifiques, les plateformes collaboratives, tout repose désormais sur des infrastructures cloud, capables de stocker, traiter et transmettre la masse gigantesque de données numériques. Ces infrastructures articulent tous les secteurs, de l’industrie à la défense, de la recherche à la santé publique en passant par la culture. Sans cloud, pas d’IA, pas de services numériques, pas de transformation industrielle, aucun secteur d’activité ne pouvant se développer sans numérique et sans cloud. Le cloud, c’est le nouveau réseau ferré de nos sociétés, l’ossature du numérique moderne.

Une dépendance manifeste

Or, ces infrastructures sont aujourd’hui massivement contrôlées par des groupes non européens. Amazon Web Services, Microsoft Azure et Google Cloud, les fameux hyperscalers, se taillent la part du lion. Huit des dix plus grands modèles d’IA sont américains, les deux autres chinois. Leur puissance de calcul double tous les six mois. Leur consommation énergétique suit la même pente. Ce rythme effréné d’investissement échappe à toute tentative de régulation. Cette année, les Big Tech américaines investissent trois cents milliards de dollars dans l’IA et les datacenters. Amazon consacre à lui seul plus de 70 milliards par an à la R&D (recherche et développement), soit davantage que l’ensemble du budget de la recherche publique française. Le déséquilibre atteint une ampleur historique.

Si le marché européen du cloud a crû très rapidement, c’est au bénéfice des géants américains. Entre 2017 et 2022, la part de marché des acteurs européens est passée de 26% à 13%, alors même que le marché global était multiplié par cinq. Amazon, Microsoft et Google contrôlent aujourd’hui près de 70% du cloud en Europe²Jean-François Soupizet, « Des géants du Net toujours plus puissants », Futuribles, n°464, janvier-février 2025, pp. 19-39. En 2023, c’est l’activité cloud qui a été la plus rentable pour Amazon..

Cette domination technologique entraîne une dépendance stratégique. Chaque année, les entreprises européennes transfèrent environ 250 milliards d’euros vers les États-Unis pour des services cloud, logiciels et abonnements numériques. Cela représente près de deux millions d’emplois soutenus hors d’Europe. Réorienter seulement 15% de ces dépenses sur notre continent permettrait de créer plus de 300 000 emplois, sur des métiers à forte valeur ajoutée³La dépendance technologique au cloud-logiciel américain : une estimation des conséquences économiques en Europe, Asteres, avril 2025..

Tout ceci n’est pas qu’une question de choix technologique : c’est une question de pouvoir. Derrière le cloud, il y a des données. Et derrière les données, il y a du pouvoir. Le pouvoir de surveiller, d’anticiper, d’influencer. Le pouvoir de se faire une place dans le monde qui vient. Le pouvoir de dire oui ou non à un service public, une entreprise, une administration. Le pouvoir, enfin, de modeler les usages numériques du continent et les valeurs qu’il porte.

Au-delà des flux économiques, la dépendance est donc politique. Le gouvernement états-unien, du fait de l’extraterritorialité de son arsenal législatif et notamment du Cloud Act, peut à tout moment accéder aux données hébergées sur les serveurs des hyperscalers, même si elles sont situées en Europe. En outre, avec le dispositif FISA, il peut collecter des données sous un prétexte de sécurité nationale via des entreprises privées⁴Le Cloud Act pour Clarifying Lawful Overseas Use of Data Act, le FISA pour Foreign Intelligence Surveillance Act. Voir Frederick T. Davis et Charlotte Gunka, « Perquisitionner les nuages. Cloud Act, souveraineté européenne et accès à la preuve dans l’espace pénal numérique », Revue critique de droit international privé, 2021, n°1, pp. 43-66 ; Théodore Christakis , « Les flux de données transfrontaliers à l’épreuve de la méfiance et de la souveraineté », Études françaises de renseignement et de cyber, 2024/3, pp. 79-87 ; et Clotilde Bômont, « Extension de la loi FISA. La souveraineté numérique européenne loin des préoccupations américaines », Brève stratégique, Institut de recherche stratégique de l’École militaire, n°70, 3 juin 2024.. Cela crée une insécurité juridique majeure pour les administrations, les entreprises critiques, le monde de la recherche et celui de l’information.

En mars 2025, Polytechnique, école dépendant du ministère des Armées et gérant des données sensibles, annonce sa migration vers Microsoft 365, avec hébergement des données sur des infrastructures américaines. Le Health Data Hub lancé en 2019 par l’État français, qui regroupe les données santé de dizaines de millions de nos concitoyens, reste hébergé sur Microsoft Azure malgré les recommandations initiales de la Commission nationale de l’informatique et des libertés (Cnil). Plus récemment, Microsoft, sur instruction de l’administration américaine, a suspendu l’accès du procureur de la Cour pénale internationale à ses outils numériques dans un contexte de tensions diplomatiques⁵Imposing sanctions on the International Criminal Court, 6 février 2025.. Ces exemples, quelques-uns parmi tant d’autres, montrent que cette dépendance n’est plus théorique : elle est vécue.

Cette fragilité touche aussi le monde industriel. De nombreux secteurs stratégiques – aéronautique, énergie, transport, santé – s’appuient sur des services cloud non européens pour héberger des données sensibles. Dans certains cas, les appels d’offres de ces diverses structures imposent des solutions américaines, excluant de facto tout fournisseur européen de cloud…

Sortir de la dépendance, c’est inventer une voie européenne : les trois leviers

L’Europe ne pourra pas lutter à armes égales sur le terrain des hyperscalers. Jamais une grenouille ne deviendra un bœuf, nous dit la fable⁶« La Grenouille qui se veut faire aussi grosse que le boeuf », dans Les Fables de La Fontaine, Paris, Louis Hachette, 1868.. Mais la grenouille peut sauter vite – à condition de viser juste, et de surcroît, le batracien peut sauter et enjamber les écueils en version leapfrog, le saut de grenouille anglais. L’Europe a les moyens de se frayer un chemin entre les tech made in USA et made in China.

Comme certains pays d’Afrique, d’Asie ou d’Amérique latine qui ont sauté l’étape du téléphone filaire pour passer directement au mobile, l’Europe peut choisir une voie différente : une stratégie d’agilité, de spécialisation, de sécurité. Il ne s’agit pas de répliquer le modèle américain, mais d’inventer une alternative. Un colibri est toujours plus mobile, plus réactif et plus à l’affût qu’un éléphant. Trois leviers peuvent permettre de construire cette souveraineté numérique européenne : l’open source, la mutualisation continentale et une régulation ambitieuse et assumée.

Premier levier : l’open source, socle d’indépendance et de confiance

L’open source est une arme technologique, économique et politique. Il permet de bâtir des solutions ouvertes, contrôlables, interopérables, auditées. Le code est public, les dépendances sont identifiées, les risques sont maîtrisables. L’open source n’est pas gratuit, mais il offre une souveraineté de conception, de maintenance, de déploiement.

Les outils open source sont déjà omniprésents dans le numérique mondial. On pense bien évidemment à Linux, mais il y a également Git, PostgreSQL, Jupyter ou Kubernetes. Ils forment l’épine dorsale, invisible, de l’internet. Ils sont souvent plus fiables, plus sécurisés et plus économes que les équivalents propriétaires des hyperscalers.

En Europe, plusieurs hôpitaux, universités, administrations migrent vers des solutions open source, souvent hébergées en version dite « cloud souverain » donc hermétique aux éventuelles ingérences étrangères. L’AP-HP, par exemple, a déployé des environnements analytiques open source au sein de son infrastructure interne. La Direction interministérielle du numérique française (Dinum) pousse activement les alternatives ouvertes concernant les messageries, la bureautique ou la gestion documentaire. Plus globalement, en matière de messagerie, de documentation, de réseaux collaboratifs et de stockage, des outils solides made in Europe sont bel et bien là.

La Commission européenne estime qu’une hausse de 10% des investissements dans l’open source générerait 100 milliards d’euros de PIB supplémentaire chaque année et environ un millier d’entreprises numériques nouvelles⁷Knut Blind et al., « The Impact of Open Source Software and Hardware on Technological Independence, Competitiveness and Innovation in the EU Economy: Final Study Report », Commission européenne, 2021 ; voir également Alice Pannier, « Sources d’influence. Enjeux économiques et géopolitiques des logiciels open source », Études de l’Ifri, Ifri, décembre 2022.. La Chine, elle, l’a déjà compris : en 2025, le modèle DeepSeek, agent conversationnel open source, rivalise avec ChatGPT-4⁸Benjamin Pajot, « Un ‘‘moment DeepSeek’’ ? », Briefings de l’Ifri, Ifri, 26 mars 2025. L’auteur note que « DeepSeek se situe aujourd’hui là où les Européens auraient dû être » et que son plus grand apport est de rouvrir le champ des possibles en matière de solutions indépendantes et souveraines. Voir également : « L’affaire DeepSeek et le futur de l’IA, une conversation avec Gary Marcus », Le Grand Continent, 28 janvier 2025.. En France, Mistral AI poursuit la même ambition avec une approche transparente et distribuée. Ceci montre qu’il est possible de faire aussi bien, avec moins, que les hyperscalers américains, et surtout que des solutions existent.

Deuxième levier : la mutualisation, condition d’échelle

La mutualisation des ressources et des talents représente un deuxième levier. Les grands acteurs mondiaux sont nés sur des marchés intérieurs consolidés : Google, Meta, Amazon aux États-Unis ; Alibaba, Huawei, Tencent en Chine. L’Europe dispose d’un marché de 450 millions d’habitants, mais il est éclaté, segmenté, les outils restant peu interopérables.

Là encore, des initiatives se font jour. Gaia-X, lancée par la France et l’Allemagne, entend bâtir un socle commun d’infrastructures cloud fédérées, interopérables et transparentes. Elle regroupe plus de 340 organisations membres réparties dans 25 pays, incluant des entreprises, des institutions de recherche, des administrations et des associations. Cette initiative européenne vise à créer une infrastructure de données fédérée, sécurisée et interopérable⁹Anne-Sophie Taillandier et Pierre Gronlier, « Les apports de Gaia-X », Annales des Mines – Enjeux numériques, n°27, septembre 2024, pp. 85-94, et Francesca Musiani, « Gaia‑X : le pari d’un cloud européen souverain », Polytechnique Insights, 18 juin 2025.. En matière de santé, le projet Gaia-X Health entend permettre à plusieurs pays européens de mutualiser des services de données, avec des garanties de sécurité, de conformité et d’éthique. Pour la recherche, l’EOSC (European Open Science Cloud) propose une infrastructure commune. Quant au projet IPCEI CIS (Projet important d’intérêt européen commun sur les infrastructures et services cloud de nouvelle génération), il fédère des industriels pour concevoir des solutions continentales de bout en bout.

Ces dispositifs manquent encore d’impact. Il faut aller plus loin : unifier les règles d’achat public, créer des labels européens communs, définir des standards interopérables, investir massivement, comme on a pu le faire pour l’aéronautique ou le spatial. Sans mutualisation, l’Europe n’atteindra pas une masse critique.

Troisième levier : la régulation, gage de rééquilibrage

Le troisième levier est la régulation. L’Union européenne a su imposer le règlement général de protection des données (RGPD) en 2016, suivi entre autres par son Digital Services Act cadrant la modération des plateformes et le Digital Markets Act s’adressant aux marchés numériques¹⁰Michel Séjean, « Les acteurs visés par la législation européenne sur la cybersécurité », Annales des Mines – Enjeux numériques, n°30, juin 2025, pp. 13-19.. Plus récemment, l’AI Act de 2024 entend quant à lui cadrer et sécuriser les usages de l’IA. Elle est la seule puissance à structurer un droit numérique complet.

Mais le cloud reste à la marge de cette régulation. À cet égard, le projet de règlement européen en matière de cybersécurité, l’EUCS (European Cybersecurity Scheme for Cloud Services) représente une opportunité historique. Il permettrait de garantir un haut niveau de cybersécurité, mais aussi – potentiellement – de souveraineté.

La version « High+ » de l’EUCS, défendue par la France, l’Allemagne, l’Espagne ou la Pologne, vise à exclure les fournisseurs soumis à des lois extraterritoriales notamment américaines. Cette ligne est soutenue par la Cnil, l’Agence nationale de la sécurité des systèmes d’information, la Commission supérieure du numérique et une large coalition d’acteurs industriels¹¹Commission supérieure du numérique et des postes, Avis n°2024-05 du 4 septembre 2024 sur les enjeux politiques et économiques du schéma européen de certification de sécurité des services cloud (EUCS), 19 juillet 2024¹², et Henri d’Agrain, « L’Europe au défi de la tech américaine », Futuribles, n°465, mars-avril 2025, pp. 21-35..

Face à cela, les États-Unis exercent une pression diplomatique forte. En 2023, Antony Blinken déclarait publiquement que ce règlement, s’il était adopté, menaçait les relations bilatérales entre États-Unis et l’Union européenne (« could also negatively impact the US-EU bilateral economic and security relationship »). La question n’est toujours pas tranchée ; pourtant, il paraît légitime que les données sensibles des citoyens européens ne soient pas accessibles à des puissances étrangères.

Là où l’Europe cherche à encadrer, les États-Unis assouplissent. L’abrogation des décrets Biden perçus comme un obstacle à la suprématie américaine par l’administration Trump, notamment en matière d’IA, montre un écart croissant de doctrine. L’Europe doit incarner un contre-modèle : exigeant, protecteur, mais aussi innovant.

Les pressions du gouvernement américain et le lobbying des hyperscalers traduisent de manière éclatante la volonté de leadership des États-Unis pour qui toute tentative de régulation non conforme à leurs intérêts est perçue comme une menace latente. Et l’administration Trump pousse la logique jusqu’au bout, entendant faire pression sur l’Union européenne pour qu’elle assouplisse son AI Act et mettre de côté un ensemble de règles concernant les bonnes pratiques en matière d’usage et de développement de l’intelligence artificielle. Elle voit dans la réglementation un moyen permettant à la Chine de rattraper son retard, de plus en plus ténu semble-t-il, sur les États-Unis¹³La Chine compte dans ses rangs près de la moitié des meilleurs établissements de recherche en IA. Entre 2019 et 2023, elle a déposé quatre fois plus de brevets en la matière que les États-Unis et vingt fois plus que l’Europe, cf. Sylvain Duranton, « Cloud souverain : le test-match pour l’Europe post-Trump », Les Échos, 8 mai 2025.. « On ne gagnera pas dans l’IA de demain si on se fait des nœuds au cerveau avec la sécurité¹⁴« La tech américaine et Trump alignés sur la dérégulation de l’IA, le reste du monde prend acte », France 24 avec AFP, 21 mars 2025. », déclarait à cet égard J.D. Vance lors du sommet de l’IA à Paris en février dernier. C’est une façon de voir…

Derrière cela, c’est toute la question de la dérégulation numérique qui est posée – dérégulation pouvant favoriser les concentrations, baisser le niveau de sécurité, affaiblir la sécurité numérique et fragmenter davantage l’écosystème technologique européen entre différents blocs, reléguer des régions entières dans un no man’s land numérique…

Conclusion : un enjeu de civilisation

Pour faire face, préserver son modèle et ses valeurs, l’Europe doit réaffirmer son indépendance et sa souveraineté numériques. Trois décisions concrètes sont à portée de main.

Premièrement, réserver les services critiques – santé, défense, justice, recherche stratégique, éducation – à des clouds européens, conformes aux certifications de cybersécurité et indépendants de tout droit extraterritorial.

Deuxièmement, réorienter massivement les achats publics vers des solutions européennes, notamment open source, auditables et interopérables. L’exemplarité des acteurs publics est déterminante pour créer un effet d’entraînement.

Troisièmement, créer un fonds européen pour la souveraineté numérique : un outil de financement pérenne, orienté vers les logiciels libres, les infrastructures souveraines, les certifications européennes, les plateformes mutualisées. Ce fonds pourrait être alimenté par une part des dépenses cloud publiques.

Développer un cloud européen est un choix civilisationnel. Le cloud structure désormais nos capacités à produire, soigner, défendre, éduquer, innover. Ce n’est pas uniquement un débat de directeurs des systèmes d’information (DSI) ou un thème de colloque. C’est une question de souveraineté démocratique. Si nous ne contrôlons pas notre infrastructure numérique, nous ne contrôlons plus nos données. Et si nous ne contrôlons plus nos données, nous ne contrôlons plus notre avenir.

Le numérique de demain sera façonné par ceux qui agissent aujourd’hui. L’Europe n’a plus le temps d’attendre. Souveraineté numérique ou dépendance choisie : il est plus que temps de trancher. L’Europe a les talents, le marché, les valeurs. Ce qu’il lui manque, ce n’est pas la vision. C’est la volonté politique.

• 1
  Gilles Babinet, Milena Harito, « L’ombre du Cloud : armer l’Europe dans la guerre invisible des données », Le Grand Continent, 1^er mai 2025 et Jean-Noël Tronc, « Réindustrialiser l’Europe : un nouveau logiciel », Le Grand Continent, 27 mai 2025.
• 2
  Jean-François Soupizet, « Des géants du Net toujours plus puissants », Futuribles, n°464, janvier-février 2025, pp. 19-39. En 2023, c’est l’activité cloud qui a été la plus rentable pour Amazon.
• 3
  La dépendance technologique au cloud-logiciel américain : une estimation des conséquences économiques en Europe, Asteres, avril 2025.
• 4
  Le Cloud Act pour Clarifying Lawful Overseas Use of Data Act, le FISA pour Foreign Intelligence Surveillance Act. Voir Frederick T. Davis et Charlotte Gunka, « Perquisitionner les nuages. Cloud Act, souveraineté européenne et accès à la preuve dans l’espace pénal numérique », Revue critique de droit international privé, 2021, n°1, pp. 43-66 ; Théodore Christakis , « Les flux de données transfrontaliers à l’épreuve de la méfiance et de la souveraineté », Études françaises de renseignement et de cyber, 2024/3, pp. 79-87 ; et Clotilde Bômont, « Extension de la loi FISA. La souveraineté numérique européenne loin des préoccupations américaines », Brève stratégique, Institut de recherche stratégique de l’École militaire, n°70, 3 juin 2024.
• 5
  Imposing sanctions on the International Criminal Court, 6 février 2025.
• 6
  « La Grenouille qui se veut faire aussi grosse que le boeuf », dans Les Fables de La Fontaine, Paris, Louis Hachette, 1868.
• 7
  Knut Blind et al., « The Impact of Open Source Software and Hardware on Technological Independence, Competitiveness and Innovation in the EU Economy: Final Study Report », Commission européenne, 2021 ; voir également Alice Pannier, « Sources d’influence. Enjeux économiques et géopolitiques des logiciels open source », Études de l’Ifri, Ifri, décembre 2022.
• 8
  Benjamin Pajot, « Un ‘‘moment DeepSeek’’ ? », Briefings de l’Ifri, Ifri, 26 mars 2025. L’auteur note que « DeepSeek se situe aujourd’hui là où les Européens auraient dû être » et que son plus grand apport est de rouvrir le champ des possibles en matière de solutions indépendantes et souveraines. Voir également : « L’affaire DeepSeek et le futur de l’IA, une conversation avec Gary Marcus », Le Grand Continent, 28 janvier 2025.
• 9
  Anne-Sophie Taillandier et Pierre Gronlier, « Les apports de Gaia-X », Annales des Mines – Enjeux numériques, n°27, septembre 2024, pp. 85-94, et Francesca Musiani, « Gaia‑X : le pari d’un cloud européen souverain », Polytechnique Insights, 18 juin 2025.
• 10
  Michel Séjean, « Les acteurs visés par la législation européenne sur la cybersécurité », Annales des Mines – Enjeux numériques, n°30, juin 2025, pp. 13-19.
• 11
  Commission supérieure du numérique et des postes, Avis n°2024-05 du 4 septembre 2024 sur les enjeux politiques et économiques du schéma européen de certification de sécurité des services cloud (EUCS)
• 12
  , et Henri d’Agrain, « L’Europe au défi de la tech américaine », Futuribles, n°465, mars-avril 2025, pp. 21-35.
• 13
  La Chine compte dans ses rangs près de la moitié des meilleurs établissements de recherche en IA. Entre 2019 et 2023, elle a déposé quatre fois plus de brevets en la matière que les États-Unis et vingt fois plus que l’Europe, cf. Sylvain Duranton, « Cloud souverain : le test-match pour l’Europe post-Trump », Les Échos, 8 mai 2025.
• 14
  « La tech américaine et Trump alignés sur la dérégulation de l’IA, le reste du monde prend acte », France 24 avec AFP, 21 mars 2025.