CADA : Quand la souveraineté cloud devient une obligation d’acquisition

6 Min. Temps de lecture

Le 3 juin 2026, la Commission européenne a présenté une proposition qui rend la souveraineté du cloud mesurable pour la première fois. Le Cloud and AI Development Act la décline en quatre niveaux. Dès le deuxième niveau, l’indépendance vis-à-vis des pays tiers est prise en compte, et à partir du troisième niveau, il devient pratiquement impossible pour les fournisseurs contrôlés par les États-Unis. Il s’agit encore d’un projet, mais quiconque envisage de passer des marchés publics devrait comprendre les niveaux dès maintenant.

Les points clés en bref

• La souveraineté devient un niveau vérifiable : Le CADA définit quatre niveaux d’assurance pour les services cloud destinés à la puissance publique, du niveau 1 comme exigence minimale au niveau 4 avec un contrôle total de la chaîne d’approvisionnement sans influence de pays tiers.
• À partir du niveau 3, l’origine compte : Les fournisseurs doivent être possédés et contrôlés par l’UE, avec des critères de nationalité du personnel. Cela exclut pratiquement les hyperscalers contrôlés par les États-Unis.
• C’est encore une proposition : Le projet date du 3 juin 2026, l’adoption est encore en attente. Mais quiconque envisage une passation de marchés publics peut déjà bénéficier de la compréhension de la logique des niveaux.

Lié :Le Deutschland-Stack devient opérationnel  /  NIS2 et DORA : séparation propre des clusters de conformité dans Kubernetes

Ce que le Cloud and AI Development Act veut réglementer

Qu’est-ce que le CADA ? Le Cloud and AI Development Act est une proposition de règlement de la Commission européenne du 3 juin 2026, qui vise à renforcer la souveraineté du cloud et de l’IA en Europe. Il ne s’agit pas encore d’une loi en vigueur, mais plutôt du début de la procédure législative. Son cœur est constitué de deux éléments clés.

Le premier est l’infrastructure. La Commission constate un déficit structurel de capacité de centres de données dans l’UE et souhaite la tripler dans un délai de cinq à sept ans. Cet objectif doit être principalement soutenu par des investissements privés, la Commission évaluant le montant nécessaire à environ 200 milliards d’euros. Il est important de distinguer : la triplication est l’objectif de capacité, les 200 milliards sont la somme d’investissement à mobiliser, et non un budget de soutien.

Le deuxième élément clé est la dépendance. Une grande partie de l’utilisation du cloud européen se fait via un petit nombre de fournisseurs en dehors de l’UE. Le CADA veut opposer un cadre vérifiable à cette concentration, et c’est précisément ici que les niveaux d’assurance entrent en jeu.

Quatre niveaux qui rendent la souveraineté vérifiable

Le levier de CADA consiste à lier la souveraineté à des critères vérifiables. Un slogan devient une classification. La proposition définit quatre niveaux d’assurance que le secteur public peut exiger selon son évaluation des risques. La classification repose sur des critères tels que le contrôle du service, le contrôle de la chaîne d’approvisionnement, le traitement des données, le lieu de l’infrastructure et la cybersécurité.

La gradation n’oblige personne de façon générale à adopter une solution européenne. Elle laisse l’évaluation du risque à la charge de chaque autorité. Pour une administration manipulant des données sensibles, le niveau 3 ou 4 devient l’exigence évidente, ce qui détermine le choix du fournisseur avant même la première esquisse d’architecture.

Ce que les niveaux signifient pour les achats

Ici, une proposition de règlement se transforme en une question d’achat concrète. Les fournisseurs sont reconnus par les États membres après un audit dans le cadre du dispositif. Qui ne satisfait pas le niveau 3 ou 4 ne peut tout simplement pas répondre aux appels d’offres qui exigent ce niveau. Ce n’est pas une interdiction de fournisseurs spécifiques, mais en pratique cela s’apparente à une exclusion, car un hyperscaler contrôlé par les États‑Unis peut difficilement répondre aux critères de propriété et de personnel.

Pour les architectes, cela signifie que le niveau de souveraineté doit désormais figurer en tête de la planification. Qui conçoit un système pour le secteur public et ne réalise que tard que l’autorité cible exige le niveau 3 doit alors réorganiser la moitié du stockage des données. La conséquence sobre est une question préalable dans chaque projet d’achat : quel niveau est requis, et quelle partie du stack le satisfait déjà aujourd’hui ?

Concrètement, cela concerne bien plus que l’emplacement des serveurs. Le niveau 3 exige la propriété et le contrôle depuis l’UE, ce qui, pour un fournisseur dont la maison‑mère est américaine, échoue déjà au niveau de la structure du groupe, quel que soit le lieu des serveurs. La gestion des clés en fait également partie. Qui détient les clés cryptographiques et sous quelle juridiction, détermine le classement. Les critères de personnel s’étendent jusqu’à la question de qui a accès administrativement à l’infrastructure. Une simple résidence des données dans un centre de données francilien ne satisfait qu’une partie de ces exigences, et cette confusion est fréquente dans les arguments de souveraineté.

Pourquoi la décision d’architecture est-elle cruciale maintenant

Il est tentant de reporter le sujet tant que le CADA n’est qu’une proposition. Cette approche est rarement payante. Un stack souverain ne peut être mis en place dans le trimestre qui suit la parution de l’appel d’offres. La gestion des données, la gestion des clés et la chaîne d’approvisionnement sont des décisions à long terme.

Quiconque construit ou vend du Cloud pour le secteur public devrait aujourd’hui effectuer une auto-évaluation honnête : Quel niveau atteint son propre stack, et où se situe l’influence du prochain État tiers qui empêche le niveau 3 ? Cette question ne coûte pas cher et permet d’éviter plus tard une refonte coûteuse sous pression de temps.

Foire aux questions

CADA est-il déjà en vigueur ?

Non. CADA est, depuis le 3 juin 2026, une proposition de la Commission européenne et suit la procédure législative. Le texte peut encore évoluer au cours des négociations avec le Parlement et le Conseil.

Quels sont les quatre niveaux d’Assurance ?

Quatre niveaux de souveraineté gradués pour les services cloud destinés au secteur public. Le niveau 1 représente le standard minimal, le niveau 2 exige l’indépendance vis‑à‑vis des tiers‑états et la transparence de la chaîne d’approvisionnement, le niveau 3 impose la propriété de l’UE ainsi que des critères de personnel, le niveau 4 assure un contrôle total de la chaîne d’approvisionnement.

CADA exclut-elle les fournisseurs américains ?

Pas par une interdiction, mais en pratique. Pour les appels d’offres exigeant les niveaux 3 ou 4, un hyperscaler contrôlé par les États‑Unis ne peut guère satisfaire les critères de propriété et de personnel et ne peut donc pas participer.

Que signifie le triplement de la capacité des datacenters ?

La Commission souhaite tripler la capacité des centres de données de l’UE d’ici cinq à sept ans. Ce projet doit être principalement financé par des investissements privés d’environ 200 milliards d’euros, ce qui ne doit pas être confondu avec un budget de subvention.

Que doivent faire les architectes cloud dès maintenant ?

Procéder à une auto‑évaluation honnête de votre stack et vérifier le niveau d’Assurance qu’il atteint. La conservation des données, la gestion des clés et la chaîne d’approvisionnement ont des délais de mise en œuvre longs et ne peuvent pas être élevés rapidement au niveau 3.

Source de l’image : générée par IA (juin 2026)

Images dans l’article : générées par IA (mai 2026)