Fondée en 2010 à Nantes, en France, Clever Cloud s’est imposée comme un acteur de premier plan du cloud computing européen, spécialisé dans des solutions de Platform as a Service (PaaS) innovantes. Notre mission première est de donner aux développeurs les moyens d’agir, en fournissant une infrastructure fiable, scalable et sécurisée qui permet de développer, déployer et gérer des applications sans friction. Clever Cloud est fermement attachée aux principes de la souveraineté numérique et aux valeurs européennes, tout en plaidant pour un écosystème numérique résilient et stratégiquement autonome. Nous estimons que l’Europe doit faire de son écosystème numérique une priorité, afin que les entreprises et les autorités publiques puissent fonctionner de façon indépendante, sans dépendre de solutions non européennes inadaptées. Notre expertise, portée par des effectifs composés à plus de 70 % de développeurs et d’ingénieurs, fait de nous une entreprise d’experts dédiée à la fois à l’excellence technique et à de fortes valeurs éthiques européennes.
Acteur engagé du cadre législatif européen, Clever Cloud participe à des initiatives décisives pour renforcer la souveraineté numérique de l’Europe. Nous contribuons à l’élaboration de cadres clés comme le Digital Markets Act (DMA), l’EU Cybersecurity Act et, bien sûr, le futur EU Cloud and AI Development Act, entre autres… Notre implication dans des organisations telles qu’Eurosmart, l’European Alliance for Industrial Data, Edge & Cloud, France Digitale, l’Open Internet Project et CISPE reflète notre engagement à promouvoir des schémas de certification européens robustes et à garantir que l’infrastructure cloud respecte et protège les droits des utilisateurs. À travers des partenariats avec de grandes entreprises technologiques européennes, tout en préservant la liberté de marché. De fait, nous bâtissons un écosystème numérique cohérent qui favorise l’innovation et une concurrence réellement libre, tout en préservant les libertés individuelles. Notre engagement à créer des projets open source et à y contribuer témoigne encore de notre conviction que la collaboration est un moyen de renforcer la souveraineté numérique européenne.
Une première étape bienvenue et pionnière vers une souveraineté numérique effective, ancrée dans les capacités européennes
Jean Monnet observait, dans une formule restée célèbre, que les gens n’acceptent le changement que lorsqu’il devient nécessaire, et ne reconnaissent la nécessité qu’en temps de crise.
Le 3 juin 2026, la Commission européenne a dévoilé le Cloud and AI Development Act (CAIDA), franchissant une étape importante et opportune face à l’un des défis stratégiques les plus pressants de l’Europe : garantir que l’Union puisse s’appuyer sur une infrastructure numérique sûre, résiliente, compétitive et réellement européenne.
Dans le cadre du Tech Sovereignty Package, la proposition s’inscrit dans un effort plus large visant à renforcer la souveraineté technologique et la capacité industrielle de l’Europe dans le cloud, les centres de données et l’intelligence artificielle. Elle introduit un cadre commun bâti autour de quatre niveaux d’assurance harmonisés à l’échelle de l’UE pour les services cloud, et cherche à apporter une réponse plus structurée aux risques nés d’une dépendance excessive à l’égard d’un nombre limité de fournisseurs non européens.
Clever Cloud salue cette initiative comme une étape importante et opportune pour renforcer la souveraineté numérique de l’Europe.
Pour la première fois, l’infrastructure cloud, la gouvernance des données, les plateformes, les algorithmes et l’intelligence artificielle ne sont plus traités comme de simples couches techniques ou des lignes d’achat, mais comme des actifs stratégiques sur lesquels reposent la compétitivité, la résilience, les services publics et l’autonomie démocratique de l’Europe. La manière dont l’Europe conçoit, achète et gouverne son infrastructure numérique ne peut pas être dictée par la seule commodité de court terme ni par le pouvoir de marché d’une poignée de fournisseurs dominants non européens. Elle doit aussi refléter les valeurs de l’Union, ses intérêts stratégiques et sa capacité d’agir sur le long terme.
Le CAIDA envoie un signal fort : l’Europe n’est pas condamnée à rester suiveuse ni simple consommatrice de technologies conçues et gouvernées ailleurs. Elle a la capacité de redevenir innovatrice et de reprendre le leadership, en concevant, construisant et exploitant l’infrastructure numérique critique qui soutiendra sa compétitivité, ses services publics et son autonomie démocratique.
Le cadre proposé de niveaux d’assurance constitue une avancée particulièrement importante. En s’éloignant d’une lecture binaire opposant cloud « souverain » et « non souverain », le CAIDA introduit une approche plus mûre et opérationnelle, fondée sur des critères documentés, auditables et vérifiables. C’est essentiel. La souveraineté ne doit plus être quelque chose qu’un fournisseur peut simplement revendiquer. Elle doit être démontrée.
Un tel cadre peut aussi contribuer à rétablir les conditions d’un marché du cloud plus fonctionnel et d’une concurrence plus équitable. La souveraineté numérique ne doit pas s’entendre comme une fermeture du marché. Elle doit plutôt s’entendre comme la capacité de l’Union à corriger les asymétries structurelles qui empêchent aujourd’hui les fournisseurs européens de concurrencer à armes égales des acteurs mondiaux dominants, bénéficiant d’effets d’échelle massifs, de dépendances enracinées et de positions quasi systémiques dans la commande publique.
Clever Cloud salue également l’objectif de la proposition d’attribuer 25 % de la commande publique innovante dans le cloud et l’IA à des PME innovantes. C’est un signal fort et bienvenu. Depuis le principe « Think Small First » introduit en 2008, l’Union a reconnu à plusieurs reprises la nécessité de mieux intégrer les PME à la politique industrielle et à la commande publique. Le CAIDA offre désormais l’occasion de traduire ce principe dans les faits et de poser les bases d’un véritable Small Business Act européen pour le cloud et l’IA.
Toutefois, si le CAIDA pose les bonnes fondations, il doit maintenant être renforcé tout au long du processus législatif.
La proposition entre en procédure législative ordinaire, et son impact final dépendra des amendements adoptés par les colégislateurs, ainsi que des actes d’exécution ultérieurs, des actes délégués, des méthodologies d’audit, de l’interprétation des niveaux d’assurance, de l’articulation avec les schémas de certification existants et des critères retenus pour désigner les pays tiers comme « partenaires de confiance ».
Plusieurs éléments appellent donc une attention particulière.
- Premièrement, le traitement des fournisseurs de pays tiers doit être clarifié et resserré. Si le CAIDA traite à juste titre les risques liés aux fournisseurs sous contrôle étranger, le traitement des hyperscalers américains reste une question centrale. Clever Cloud soutient le choix de ne pas adopter une approche binaire simpliste de la souveraineté numérique. Cependant, les conditions dans lesquelles des fournisseurs sous contrôle d’un pays tiers peuvent accéder à des niveaux d’assurance élevés, notamment le niveau 3, doivent être définies avec le plus haut degré de précision juridique et opérationnelle.
- Sur certains sujets, comme la conformité au RGPD ou l’existence de mécanismes d’adéquation pour les transferts de données au titre de l’EU-U.S. Data Privacy Framework, une discussion est possible. Pourtant, les véritables préoccupations de souveraineté se situent ailleurs : extraterritorialité, accès potentiel par des autorités étrangères, interruption ou dégradation de service, sanctions, embargos, dépendance technologique et contrôle effectif. Sur ces points, la confiance ne peut être présumée. Elle doit être évaluée, documentée, surveillée et, le cas échéant, retirée. De fait, nous considérons que la proposition vise avant tout les fournisseurs non européens, en particulier chinois, mais qu’elle ne traite pas la question des hyperscalers américains. Et c’est particulièrement vrai lorsqu’il s’agit du US Cloud Act ou du FISA.
- Deuxièmement, le CAIDA ne doit pas devenir un véhicule de légitimation du « sovereign washing ». Un service cloud ne devrait pas être considéré comme souverain au seul motif que les données sont hébergées en Europe, ou qu’une couche contractuelle européenne est posée par-dessus une stack technologique non européenne. La souveraineté numérique effective doit s’apprécier à l’aune du contrôle, de l’exposition juridictionnelle, de l’autonomie opérationnelle, de l’auditabilité, de la réversibilité, de la continuité de service et de la gestion des dépendances.
- Troisièmement, la relation entre le CAIDA et les schémas de certification cloud existants ou à venir, en particulier le European Cybersecurity Certification Scheme for Cloud Services (EUCS), doit être explicitée. Le CAIDA devrait prévoir une mise en correspondance cohérente avec les schémas de certification pertinents lorsque les exigences se recoupent, tout en garantissant que la certification de cybersécurité n’est pas utilisée comme substitut à l’évaluation de souveraineté. EUCS et CAIDA devraient être complémentaires : la certification peut soutenir la collecte de preuves, mais elle ne doit pas diluer les critères de souveraineté distincts introduits par le CAIDA.
- Quatrièmement, la proposition devrait mieux reconnaître le rôle des fournisseurs privés européens de confiance. La EuroCloud Federation, telle qu’envisagée actuellement, paraît conçue avant tout comme un mécanisme de coopération public-public. Une telle coopération est précieuse et doit être soutenue. Pourtant, l’Europe ne parviendra pas à une souveraineté numérique effective par le seul partage d’infrastructures publiques. Elle doit aussi mobiliser des fournisseurs privés européens qualifiés, auditables et de confiance, capables d’apporter innovation, excellence opérationnelle, résilience et passage à l’échelle.
Le débat ne porte donc plus seulement sur la définition de ce qu’est un cloud souverain. La question centrale est de savoir si l’Europe est prête à prendre les mesures globales nécessaires pour rendre la souveraineté effective : par la commande publique, l’auditabilité, l’open source, la capacité de centres de données, la concurrence équitable, la participation des PME, les dépendances technologiques, le contrôle du capital, les cadres de certification, les obligations de migration, la gouvernance des infrastructures critiques et une préférence européenne claire.
À travers ce position paper, Clever Cloud entend identifier les priorités clés nécessaires pour que le CAIDA ne soit pas un simple cadre réglementaire de plus, mais un véritable instrument de souveraineté numérique effective, ancrée dans les capacités européennes, la concurrence équitable et la résilience technologique.
La première étape a été franchie. L’Europe doit maintenant s’assurer qu’elle tient ses promesses.
1. Réserver le niveau d’assurance 3 de l’Union aux fournisseurs sous contrôle européen
L’article 18 introduit un mécanisme par lequel la Commission peut, au moyen d’actes d’exécution, identifier des pays tiers dont les fournisseurs de services cloud, ou les fournisseurs contrôlés par des entités juridiques établies dans ces pays, peuvent être audités au regard des critères du niveau d’assurance 3 de l’Union.
Si ce mécanisme reflète l’approche de la proposition fondée sur les risques et non binaire de la souveraineté numérique, il soulève aussi une préoccupation importante quant à l’intégrité du cadre des niveaux d’assurance.
Clever Cloud soutient une approche proportionnée et différenciée. Toutes les charges de travail ne requièrent pas le même niveau d’assurance, et pour des cas d’usage à faible risque ou peu sensibles, il peut être approprié de permettre à des fournisseurs contrôlés depuis des pays tiers de confiance de se qualifier dans des conditions strictes et clairement définies.
Cependant, le niveau d’assurance 3 de l’Union devrait représenter un seuil plus élevé d’assurance de souveraineté. Il devrait être le niveau auquel le contrôle européen effectif devient une exigence structurelle, et non une affaire d’atténuation, de garanties contractuelles ou de désignation politique.
La difficulté tient à la relation entre l’article 18 et l’article 45 du RGPD. Au titre de l’article 18, l’existence d’une décision d’adéquation au sens de l’article 45 du RGPD est l’une des conditions qui peuvent permettre à la Commission d’identifier un pays tiers comme suffisamment de confiance aux fins du cadre d’assurance du CAIDA. Dans le cas des États-Unis, l’EU-U.S. Data Privacy Framework pourrait ainsi créer une voie juridique et politique permettant de traiter les fournisseurs américains comme des fournisseurs issus d’un pays tiers « de confiance ».
Cela soulève une contradiction fondamentale.
L’objectif politique du CAIDA est précisément de réduire l’exposition de l’Europe au contrôle d’un pays tiers, aux législations extraterritoriales et à la dépendance stratégique dans les infrastructures cloud et IA critiques. Or, si l’article 18 permet de reconnaître un pays tiers comme de confiance en raison d’un cadre d’adéquation pour les transferts de données, des fournisseurs soumis à l’ordre juridique de ce pays pourraient tout de même accéder au niveau d’assurance 3 de l’Union, alors même qu’ils restent exposés à des législations extraterritoriales, dont le US CLOUD Act et le FISA.
La question dépasse donc largement les transferts de données personnelles. Les décisions d’adéquation au titre de l’article 45 du RGPD peuvent traiter une partie du cadre juridique applicable aux transferts internationaux de données personnelles. Elles ne traitent pas, en revanche, l’ensemble des risques de souveraineté plus larges que posent l’accès par une autorité étrangère, l’exposition aux sanctions, la continuité de service, la dépendance technologique, l’autonomie opérationnelle ou le contrôle effectif non européen.
Cette préoccupation n’est pas théorique. Les récentes tensions transatlantiques autour de la régulation numérique européenne, dont les critiques américaines à l’égard du Digital Services Act et les accusations de « censure extraterritoriale » visant des acteurs européens, illustrent que la régulation numérique et la gouvernance technologique sont désormais des leviers géopolitiques. Elles montrent aussi que le statut d’allié n’élimine pas le risque de pression politique, de conflit juridique ou d’affirmation extraterritoriale dans la sphère numérique.
À cet égard, le CAIDA traite à juste titre les risques liés aux fournisseurs contrôlés depuis des juridictions où n’existent ni décision d’adéquation, ni accès réciproque au marché, ni cadre de coopération de confiance, comme la Chine. Cependant, la rédaction actuelle reste moins robuste lorsqu’elle s’applique aux fournisseurs américains. L’EU-U.S. Data Privacy Framework peut soutenir une partie de l’évaluation d’adéquation pour les transferts de données personnelles, mais il ne devrait pas être considéré comme suffisant pour résoudre les préoccupations fondamentales de souveraineté liées à l’extraterritorialité, au contrôle effectif et à l’autonomie opérationnelle.
Pour ces raisons, Clever Cloud considère que la reconnaissance d’un pays tiers au titre de l’article 18 ne devrait pas ouvrir de voie d’accès au niveau d’assurance 3 de l’Union. Une telle reconnaissance peut être appropriée pour les niveaux d’assurance inférieur ou substantiel, sous réserve de garanties strictes, mais le niveau 3 devrait rester réservé aux fournisseurs établis dans l’Union et soumis à un contrôle européen effectif.
Recommandations
Clever Cloud recommande que la reconnaissance d’un pays tiers au titre de l’article 18 n’ouvre l’accès qu’au niveau d’assurance 2 de l’Union, et non au niveau 3.
Le niveau d’assurance 3 de l’Union devrait être réservé aux fournisseurs qui sont :
- établis dans l’Union ;
- soumis à un contrôle européen effectif ;
- non contrôlés par un pays tiers ou par une entité juridique établie dans un pays tiers ;
- protégés des régimes juridiques étrangers permettant accès, perturbation, dégradation ou influence coercitive ;
- autonomes sur le plan opérationnel au sein de l’Union ;
- en mesure de démontrer leur contrôle sur l’infrastructure critique, le personnel, le support, les plans de gestion (management planes), le matériel cryptographique et les procédures de continuité.
Cela préserverait la proportionnalité tout en maintenant l’intégrité du cadre :
- Niveau 1 : assurance de base, ouverte lorsque les exigences pertinentes sont remplies ;
- Niveau 2 : assurance substantielle, potentiellement ouverte à des fournisseurs de pays tiers de confiance sous garanties strictes et cumulatives ;
- Niveau 3 : assurance de souveraineté élevée, réservée aux fournisseurs sous contrôle européen ;
- Niveau 4 : assurance de souveraineté la plus élevée, réservée aux cas d’usage les plus critiques.
L’objectif n’est pas d’exclure les fournisseurs de pays tiers du marché européen, mais de garantir que l’assurance de souveraineté élevée conserve un sens.
2. Garantir une mise en correspondance cohérente entre les niveaux d’assurance du CAIDA et la certification EUCS
Le CAIDA introduit un nouveau cadre fondé sur quatre niveaux d’assurance harmonisés à l’échelle de l’UE pour les services cloud. C’est une avancée bienvenue, car elle offre une approche structurée des risques liés à la souveraineté, au-delà des seules considérations techniques de cybersécurité.
Cependant, la proposition devrait préciser davantage la manière dont ce nouveau cadre s’articulera avec les schémas de certification européens existants ou à venir, en particulier le European Cybersecurity Certification Scheme for Cloud Services (EUCS).
À ce stade, le CAIDA semble permettre au cadre de souveraineté de s’appuyer sur les schémas de certification existants lorsque c’est pertinent. C’est utile. Pourtant, la relation inverse n’est pas suffisamment claire.
Un service cloud certifié au titre de l’EUCS devrait pouvoir réutiliser les preuves de cybersécurité pertinentes pour soutenir l’évaluation au titre du CAIDA lorsque les exigences se recoupent réellement. Cependant, la certification EUCS ne devrait pas accorder automatiquement un niveau d’assurance CAIDA.
Certification de cybersécurité et évaluation de souveraineté sont complémentaires, mais elles ne sont pas équivalentes.
L’EUCS traite avant tout des critères de cybersécurité. Le CAIDA traite des considérations de souveraineté plus larges, dont le contrôle, l’exposition juridictionnelle, l’accès par des autorités étrangères, la continuité de service, la réversibilité, les risques de dépendance et l’autonomie opérationnelle effective.
Recommandations
Le CAIDA devrait prévoir explicitement un mécanisme structuré et bidirectionnel de mise en correspondance entre les niveaux d’assurance du CAIDA et la certification EUCS.
Ce mécanisme devrait :
- identifier quelles exigences EUCS peuvent être réutilisées comme preuves pour les niveaux 1, 2, 3 ou 4 du CAIDA ;
- clarifier quelles exigences de souveraineté du CAIDA ne sont pas couvertes par l’EUCS et doivent être évaluées séparément ;
- permettre aux fournisseurs de services cloud de réutiliser les preuves d’audit et de certification d’un cadre à l’autre ;
- empêcher toute équivalence automatique entre certification de cybersécurité et reconnaissance de souveraineté ;
- permettre aux entités privées de s’appuyer sur les niveaux d’assurance du CAIDA comme cadre de référence volontaire pour la commande publique, l’évaluation des fournisseurs et la gestion du risque cloud ;
- réduire la charge administrative tout en préservant l’intégrité du cadre de souveraineté.
Le principe directeur devrait être clair :
L’EUCS peut soutenir la collecte de preuves pour le CAIDA, mais il ne doit pas remplacer l’évaluation dédiée des critères de souveraineté.
3. Établir un cadre structuré d’accréditation et d’audit pour l’annexe II et l’annexe III dans le cadre du New Legislative Framework
L’article 21 prévoit que les organismes d’audit évaluent la conformité aux critères énoncés à l’annexe II sur la base des preuves d’audit listées à l’annexe III. Il habilite également la Commission à adopter des actes délégués pour modifier l’annexe III en fixant les preuves nécessaires à l’évaluation des critères d’audit de l’annexe II.
Cette disposition est importante, mais insuffisante.
L’annexe II et l’annexe III définiront la substance pratique du CAIDA. Elles détermineront ce que la souveraineté signifie concrètement, comment elle est démontrée, et quelles preuves les fournisseurs devront soumettre aux auditeurs.
Ces annexes ne devraient pas être traitées comme des listes statiques. Les risques de souveraineté évoluent vite. Les législations extraterritoriales, les mécanismes d’accès par une autorité étrangère, les architectures de plans de gestion, les dépendances des infrastructures d’IA, les pratiques de chiffrement, les modèles de support, les exigences d’interopérabilité et les contraintes de portabilité ne sont pas figés.
Si l’annexe II et l’annexe III ne sont pas maintenues par un processus structuré et transparent, plusieurs risques peuvent survenir :
- interprétation incohérente d’un État membre à l’autre ;
- pratiques d’audit divergentes ;
- forum shopping de la part des fournisseurs ;
- exigences de preuve obsolètes ;
- évaluation insuffisante des risques émergents ;
- charge de conformité excessive pour les PME européennes ;
- perte de crédibilité du cadre des niveaux d’assurance.
L’écosystème d’audit doit lui aussi être harmonisé. Les audits indépendants par des tiers ne seront dignes de confiance que si les organismes qui les réalisent sont compétents, indépendants et accrédités selon une approche européenne commune.
Recommandations
Clever Cloud recommande d’établir un cadre structuré d’accréditation et d’audit pour le CAIDA.
Premièrement, la Commission devrait évaluer régulièrement l’adéquation, la pertinence et la proportionnalité de l’annexe II et de l’annexe III, en tenant compte des évolutions technologiques, juridiques, géopolitiques et de marché.
Deuxièmement, cette revue devrait être soutenue par un mécanisme d’experts public-privé, capable d’apporter un éclairage sur les questions d’interprétation, les risques émergents, les preuves d’audit et les mises à jour nécessaires.
Troisièmement, les organismes d’audit devraient être accrédités par des organismes nationaux d’accréditation au sens du règlement (CE) n° 765/2008, ou d’un cadre d’accréditation équivalent de l’Union. Cela alignerait le cadre d’audit sur la logique du New Legislative Framework et aiderait à éviter la fragmentation.
L’autorité nationale compétente devrait rester responsable de la décision finale de reconnaissance. L’audit sous-jacent devrait toutefois être réalisé par des organismes accrédités dotés d’une compétence technique, juridique et organisationnelle démontrée.
Le périmètre d’accréditation devrait couvrir la capacité à évaluer :
- le contrôle effectif ;
- l’exposition juridictionnelle ;
- l’extraterritorialité ;
- le fait que le contrôle ultime des droits de vote soit détenu de façon prédominante par des entités européennes ;
- la localisation des données ;
- l’autonomie opérationnelle ;
- la continuité de service ;
- les risques de dépendance ;
- la réversibilité ;
- l’interopérabilité ;
- la portabilité ;
- la qualité des preuves d’audit.
L’objectif de politique publique devrait être simple :
L’annexe II et l’annexe III doivent être activement maintenues, et les audits doivent être réalisés par des organismes accrédités dans le cadre d’un dispositif européen harmonisé.
4. Établir un forum d’experts public-privé sur l’assurance cloud pour soutenir l’interprétation et l’évolution du CAIDA
Le CAIDA introduit un cadre de niveaux d’assurance complexe et innovant. Son efficacité dépendra d’une interprétation cohérente, de mises à jour régulières et d’orientations pratiques.
Cependant, la proposition manque pour l’instant d’un mécanisme d’experts public-privé dédié pour soutenir l’interprétation des niveaux d’assurance, des exigences de l’annexe II et la mise en œuvre pratique du cadre.
C’est une lacune critique.
Le cadre devra traiter des questions évolutives et complexes : extraterritorialité, contrôle effectif, autonomie opérationnelle, risques de dépendance, réversibilité, interopérabilité, portabilité, preuves d’audit, statut de partenaire de confiance et menaces technologiques émergentes.
Ces questions ne peuvent être traitées par les seules dispositions juridiques statiques. Elles exigent un dialogue continu entre autorités publiques, autorités nationales compétentes, fournisseurs de services cloud, experts en cybersécurité, auditeurs, PME, utilisateurs, communautés open source et parties prenantes de la société civile.
Des mécanismes comparables existent déjà dans d’autres domaines de la politique numérique de l’UE. Le NIS Cooperation Group offre un forum aux autorités nationales. Les cadres de certification de cybersécurité s’appuient eux aussi sur la coopération et l’apport d’experts pour soutenir maintenance et interprétation.
Le CAIDA devrait suivre la même logique.
Recommandations
Clever Cloud recommande d’établir un forum d’experts public-privé sur l’assurance cloud dans le cadre du CAIDA.
Ce forum ne devrait pas se substituer à la Commission, aux États membres ou aux autorités nationales compétentes. Son rôle devrait être d’apporter un éclairage technique, de marché et opérationnel structuré.
Il devrait soutenir la Commission et les autorités nationales compétentes en :
- facilitant l’échange d’informations et de bonnes pratiques ;
- soutenant l’interprétation des niveaux d’assurance de l’Union ;
- contribuant à l’interprétation de l’annexe II et de l’annexe III ;
- identifiant les risques juridiques, géopolitiques, techniques et de marché émergents ;
- conseillant sur les mises à jour des annexes, des orientations, des spécifications techniques et des actes d’exécution ;
- soutenant l’élaboration d’orientations pour le secteur privé au titre de l’article 31 ;
- contribuant aux exigences d’interopérabilité, de portabilité, de réversibilité et de lutte contre le verrouillage (anti-lock-in) ;
- veillant à ce que les PME et les fournisseurs cloud européens puissent apporter une contribution pratique.
Le forum devrait inclure des représentants :
- des fournisseurs de services cloud européens ;
- des PME et des entreprises de taille intermédiaire (mid-cap) ;
- des utilisateurs du secteur public ;
- des utilisateurs du secteur privé opérant dans des secteurs critiques ;
- des organismes d’audit ;
- des experts en cybersécurité ;
- des organismes de normalisation ;
- des communautés open source ;
- des experts de la protection des données ;
- des organisations de la société civile.
Le principe directeur devrait être :
Le CAIDA ne devrait pas reposer uniquement sur l’interprétation administrative. Il a besoin d’un mécanisme d’experts public-privé structuré pour rester pratique, favorable à l’innovation et résilient face aux risques de souveraineté émergents.
5. La EuroCloud Federation : inclure les fournisseurs privés européens de confiance
La EuroCloud Federation, introduite par l’article 34, est l’un des leviers clés par lesquels le CAIDA cherche à soutenir la coopération cloud du secteur public. Elle vise à faciliter le partage de services cloud et de centres de données entre entités de l’Union et organismes du secteur public.
L’idée d’un mécanisme de coopération public-public approfondi est utile et doit être soutenue.
Cependant, telle qu’elle est conçue actuellement, la EuroCloud Federation paraît trop limitée. Elle n’inclut pas les fournisseurs privés européens de confiance.
L’Europe ne bâtira pas une souveraineté numérique effective par le seul partage d’infrastructures publiques. Elle doit aussi mobiliser des fournisseurs privés européens qualifiés, auditables et de confiance, capables d’apporter innovation, excellence opérationnelle, résilience et passage à l’échelle.
Une fédération limitée aux acteurs publics risque de passer à côté d’une part significative de la capacité cloud et de l’écosystème d’innovation existants en Europe.
Recommandations
Clever Cloud recommande que le CAIDA reconnaisse mieux le rôle des fournisseurs privés européens de confiance, au sein ou aux côtés de la EuroCloud Federation.
Cela ne signifie pas transformer la EuroCloud Federation en une place de marché commerciale non régulée. Il s’agit plutôt de créer un rôle structuré pour les fournisseurs privés européens qui satisfont à des exigences claires de souveraineté, d’auditabilité et de confiance.
Cela pourrait passer par :
- un cadre dédié aux fournisseurs privés européens de confiance ;
- l’intégration des fournisseurs cloud européens reconnus dans les catalogues liés à EuroCloud ;
- des canaux de commande publique reliés à la EuroCloud Federation ;
- des mécanismes de mutualisation de capacités public-privé ;
- un accès prioritaire pour les fournisseurs reconnus au titre des niveaux d’assurance CAIDA élevés ;
- des mécanismes permettant aux organismes du secteur public de s’appuyer sur des partenaires privés européens de confiance pour le déploiement, l’exploitation, le passage à l’échelle et la résilience.
L’objectif devrait être de combiner coopération public-public et mobilisation public-privé.
Le principe directeur devrait être :
« La EuroCloud Federation ne devrait pas devenir un mécanisme fermé, réservé au public. Elle devrait aider à mobiliser l’ensemble de l’écosystème cloud européen, y compris les fournisseurs privés européens de confiance. »
6. Permettre aux entités privées d’utiliser le CAIDA comme cadre pratique d’évaluation des risques
L’article 31 permet aux entités du secteur privé opérant dans des secteurs à forte criticité de réaliser des évaluations d’impact similaires à celles exigées des organismes du secteur public.
C’est une disposition positive. Les risques de souveraineté ne concernent pas que le secteur public. Les entreprises privées traitent elles aussi des données sensibles, critiques ou stratégiques et dépendent des services cloud pour des opérations essentielles.
Cependant, l’article 31 reste trop limité. Il ne devrait pas se contenter de permettre aux entités privées de mener des évaluations. Il devrait leur fournir un cadre pratique, harmonisé et réutilisable.
Les entités privées devraient pouvoir s’appuyer sur les niveaux d’assurance du CAIDA pour la commande de services cloud, l’évaluation des fournisseurs et la gestion des risques. Cela est particulièrement pertinent pour les entreprises soumises à NIS2, au CRA, à DORA, au RGPD, au Data Act ou à d’autres exigences sectorielles.
Par exemple, une entreprise privée sélectionnant un service cloud pour des cas d’usage opérationnels ou industriels sensibles devrait pouvoir utiliser les orientations de la Commission pour mener une évaluation des risques de souveraineté, déterminer le niveau CAIDA pertinent et choisir un service reconnu ou audité en conséquence.
Recommandations
Clever Cloud recommande que la Commission publie des orientations dédiées aux entités du secteur privé, dont les PME et les entreprises opérant dans des secteurs à forte criticité, afin que toutes les entreprises européennes ayant des ambitions légitimes de traiter, héberger ou gérer des données critiques puissent s’appuyer sur un cadre clair, proportionné et opérationnel.
De telles orientations devraient inclure :
- une méthodologie d’évaluation des risques de souveraineté cloud pour le secteur privé ;
- des modèles pratiques et des outils d’évaluation ;
- des exemples sectoriels ;
- des orientations pour les PME et les entreprises de taille intermédiaire (mid-cap) ;
- une mise en correspondance entre catégories de données, criticité métier et niveaux CAIDA pertinents ;
- des mesures d’atténuation suggérées ;
- des orientations sur le moment d’utiliser le niveau 1, 2, 3 ou 4 ;
- des orientations sur les stratégies multi-cloud et multi-fournisseurs ;
- un alignement avec NIS2, le CRA, DORA, le RGPD, le Data Act et les obligations sectorielles.
L’usage du CAIDA par le secteur privé devrait rester volontaire, mais le cadre devrait être suffisamment utilisable pour devenir un standard de marché de confiance.
Le principe directeur devrait être : « L’article 31 devrait devenir le pont entre le CAIDA et le marché privé. »
7. Transformer l’objectif de 25 % de commande publique aux PME en un véritable Small Business Act européen pour le cloud et l’IA
L’article 33 introduit l’une des dispositions les plus prometteuses du CAIDA : les États membres poursuivent l’objectif qu’au moins 25 % de leur commande publique de services cloud et de systèmes d’IA soit attribuée à des PME innovantes.
Clever Cloud salue vivement cette disposition, qui reflète une mesure que nous défendons depuis 2010.
C’est une étape importante et plutôt inattendue vers la traduction du principe de longue date « Think Small First » en résultats concrets de marché.
Cependant, la rédaction actuelle reste trop faible. Un objectif non contraignant, sans mécanismes clairs de suivi, de reporting, d’audit ou d’application, risque de rester purement déclaratif.
Si le CAIDA doit devenir un véritable instrument de politique industrielle, l’article 33 devrait être renforcé pour devenir un vrai Small Business Act européen pour le cloud et l’IA.
La commande publique est l’un des instruments de structuration de marché les plus puissants de l’Union européenne. Elle détermine quelles entreprises peuvent passer à l’échelle, quelles technologies deviennent des standards de fait, et quelles chaînes de valeur l’Europe contrôle sur le long terme.
Dans les secteurs numériques stratégiques (cloud, IA, cybersécurité, infrastructures de données, logiciels critiques et services publics numériques) les choix de commande publique ne sont pas neutres. Ils façonnent la structure du marché.
Un système de commande publique qui favorise structurellement les grands acteurs en place affaiblit la capacité d’innovation de l’Europe. L’innovation est souvent portée par les nouveaux entrants, les PME et les scale-ups. Le cadre plus large de la destruction créatrice, associé à Schumpeter puis développé par des économistes comme Philippe Aghion, montre que les nouveaux entrants jouent un rôle central dans la disruption technologique, la transformation des marchés et la croissance de la productivité.
C’est particulièrement important dans le cloud et l’IA, où l’Europe fait déjà face à une dépendance structurelle à l’égard d’un petit nombre d’hyperscalers non européens.
Recommandations
Clever Cloud recommande de renforcer l’article 33 de trois manières.
Premièrement, l’objectif devrait être relevé de 25 % à 35 % pour la commande publique numérique et technologique stratégique.
Deuxièmement, l’objectif devrait être rendu mesurable, auditable et soumis à reporting. Les États membres devraient inscrire dans leurs stratégies nationales des plans clairs pour l’atteindre, incluant des mesures sur l’allotissement, des procédures de passation simplifiées, des critères d’éligibilité proportionnés, la participation des PME aux consortiums, la réduction de la charge administrative et la prévention de la dépendance aux fournisseurs dominants.
L’objectif renforcé de commande publique aux PME devrait être soutenu par un rôle plus important du Network of SME Envoys. Les SME Envoys devraient aider à suivre la mise en œuvre au niveau national, à identifier les obstacles structurels à la participation des PME à la commande publique cloud et IA, et à apporter régulièrement à la Commission un éclairage sur la question de savoir si les États membres traduisent effectivement le principe « Think Small First » en résultats de commande publique. Ils devraient aussi contribuer aux évaluations ex ante des procédures de passation pertinentes, afin de garantir que la conception des appels d’offres, les critères d’éligibilité, la structure des lots et les exigences administratives sont réellement applicables et accessibles aux PME.
Troisièmement, le cadre devrait être étendu comme référence volontaire pour la commande du secteur privé, en particulier dans les secteurs critiques où la diversité des fournisseurs, la réversibilité et la réduction de la dépendance sont des enjeux stratégiques.
L’objectif renforcé devrait explicitement couvrir :
- les services de cloud computing, y compris IaaS, PaaS et SaaS ;
- les systèmes et services d’intelligence artificielle ;
- les services et produits de cybersécurité ;
- les infrastructures et plateformes de données ;
- les espaces de données de confiance et les infrastructures de données de santé ;
- le calcul haute performance et les ressources de calcul pour l’IA ;
- les services publics numériques ;
- les logiciels critiques et les technologies de plateforme.
La Commission devrait publier un tableau de bord annuel évaluant les progrès des États membres.
Le principe directeur devrait être : « Le CAIDA devrait passer d’un objectif PME déclaratif à un Small Business Act européen mesurable pour le cloud et l’IA. »
8. Introduire un objectif clair de préférence européenne pour la commande publique stratégique cloud, IA et numérique
L’article 33 est une première étape bienvenue. En fixant l’objectif qu’au moins 25 % de la commande publique des États membres pour les services cloud et les systèmes d’IA soit attribuée à des PME innovantes, le CAIDA reconnaît que la commande publique doit jouer un rôle plus fort dans la structuration de l’écosystème numérique et industriel de l’Europe.
Cependant, l’objectif PME ne devrait pas être le point d’arrivée. Il devrait être le point de départ.
Dans les secteurs numériques stratégiques tels que le cloud, l’IA, la cybersécurité, les infrastructures de données, les services publics numériques et les logiciels critiques, les choix de commande publique ne sont pas neutres. Ils déterminent quels fournisseurs passent à l’échelle, quelles technologies s’installent durablement dans les administrations publiques, et quelles chaînes de valeur l’Europe contrôle sur le long terme.
Aujourd’hui, la commande publique européenne renforce trop souvent la dépendance à l’égard des fournisseurs non européens, en particulier dans le cloud et les infrastructures numériques. Cela ne résulte pas avant tout d’un manque de capacités européennes. L’Europe dispose d’un écosystème solide de fournisseurs cloud, de spécialistes du PaaS, d’entreprises de cybersécurité, d’acteurs de l’IA et des infrastructures de données, de PME, de scale-ups et d’entreprises technologiques de taille intermédiaire. Le problème, c’est que les cadres de commande publique favorisent souvent les grands acteurs en place, les appels d’offres surdimensionnés, les écosystèmes fermés et les fournisseurs mondiaux établis.
Le CAIDA devrait donc aller un cran plus loin. En complément de l’objectif de commande publique aux PME, il devrait introduire un objectif clair de préférence européenne pour la commande publique stratégique cloud, IA et numérique.
Cela ne devrait pas s’entendre comme une mesure protectionniste ni comme une exclusion générale des fournisseurs non européens. Cela devrait être conçu comme un objectif de commande publique transparent, proportionné et fondé sur des règles, visant à garantir que la demande publique européenne contribue au développement, au passage à l’échelle et à la résilience de l’écosystème technologique propre à l’Europe.
Recommandations
Clever Cloud recommande que le CAIDA établisse un objectif dédié de participation technologique européenne pour la commande publique numérique stratégique.
Pour le cloud, l’IA, la cybersécurité, les infrastructures de données et les services numériques critiques, les États membres devraient être encouragés à garantir qu’une part significative de la valeur annuelle de la commande publique soit attribuée à des fournisseurs technologiques européens.
Une fourchette cible comprise entre 40 % et 60 % donnerait un signal politique clair tout en laissant aux États membres une flexibilité suffisante pour adapter la mise en œuvre à la disponibilité du marché, à la maturité sectorielle et aux besoins opérationnels.
Cet objectif devrait s’appliquer au niveau agrégé, et non nécessairement au niveau de chaque appel d’offres individuel. Il devrait faire l’objet d’un suivi annuel, d’un reporting par les États membres et d’une transcription dans les stratégies nationales au titre de l’article 7.
L’objectif devrait couvrir, en particulier :
- les services de cloud computing, y compris IaaS, PaaS et SaaS ;
- les systèmes et services d’intelligence artificielle ;
- les services et produits de cybersécurité ;
- les infrastructures et plateformes de données ;
- les espaces de données de confiance et les infrastructures de données de santé ;
- le calcul haute performance et les ressources de calcul pour l’IA ;
- les services publics numériques ;
- les logiciels critiques, les middlewares et les technologies de plateforme.
Pour garantir la sécurité juridique et éviter des définitions purement formelles, l’éligibilité au statut de fournisseur technologique européen devrait reposer sur des critères objectifs reflétant un contrôle européen effectif et une substance économique réelle.
Les critères pertinents pourraient inclure :
- un siège social et un établissement effectif dans l’Union européenne ;
- un contrôle ultime des droits de vote situé au sein de l’Union ;
- une majorité d’actionnaires établis ou résidents dans l’Union ;
- au moins 51 % des activités de R&D réalisées en Europe ;
- au moins 51 % des effectifs situés en Europe ;
- une direction générale et une prise de décision stratégique ancrées dans l’Union ;
- l’absence de contrôle par une entité d’un pays tiers ;
- l’absence d’exposition à des obligations juridiques extraterritoriales incompatibles avec le droit de l’Union ;
- la conformité à l’acquis numérique et de cybersécurité de l’UE.
La finalité de tels critères n’est pas de créer un label formel fondé sur la seule incorporation. Elle est de garantir que la préférence européenne profite à des entreprises qui contribuent réellement à la base technologique de l’Europe, à l’emploi, à la capacité d’innovation, à l’autonomie juridique et à la résilience opérationnelle.
Cette approche compléterait, plutôt qu’elle ne remplacerait, l’objectif PME de l’article 33. Les deux objectifs devraient fonctionner ensemble :
- l’objectif PME garantit que des fournisseurs innovants de plus petite taille peuvent accéder aux marchés publics ;
- l’objectif de préférence européenne garantit que la demande publique stratégique renforce plus largement les capacités technologiques européennes.
Ensemble, ils aideraient à transformer la commande publique d’une fonction d’achat passive en un instrument stratégique de souveraineté numérique, de concurrence équitable et de capacité industrielle.
Le principe directeur devrait être clair :
Dans les technologies numériques stratégiques, la commande publique européenne ne devrait pas bâtir systématiquement une capacité industrielle non européenne là où des alternatives européennes capables existent.
Conclusion
Le CAIDA est une première étape bienvenue et pionnière. Il marque un jalon important dans la reconnaissance du cloud, des logiciels et des infrastructures d’IA comme actifs stratégiques pour la compétitivité, la résilience et la souveraineté numérique de l’Europe.
Cette première étape doit maintenant être consolidée. Le CAIDA devrait devenir l’instrument législatif clé de la souveraineté numérique européenne dans le cloud, les logiciels et l’IA, en rendant la souveraineté opérationnelle, mesurable et ancrée dans les capacités européennes.
Clever Cloud se tient prête à contribuer à cet effort et à mettre son expertise technique, opérationnelle et de marché à la disposition des institutions européennes, des États membres et des parties prenantes.
L’objectif est clair : aider à bâtir un écosystème numérique européen résilient, souverain et stratégiquement autonome, capable de soutenir l’innovation, la concurrence équitable et un leadership technologique durable.