Bruxelles choisit ses 4 champions cloud : ce que cela change pour votre infrastructure IT

# Bruxelles choisit ses 4 champions cloud : ce que cela change pour votre infrastructure IT

Depuis des années, la question de la souveraineté numérique européenne relevait davantage du discours politique que de la réalité opérationnelle. En 2026, le curseur a bougé. La Commission européenne a officialisé une sélection restreinte d'opérateurs cloud labellisés dans le cadre de l'évolution du programme EUCS — European Union Cybersecurity Certification Scheme for Cloud Services. Quatre acteurs ont décroché le niveau d'accréditation le plus élevé, celui qui conditionne désormais l'accès à certains marchés publics et aux données sensibles au sens du règlement européen.

Pour un DSI de PME ou d'ETI, la réaction instinctive est souvent : « Ça ne me concerne pas directement. » C'est exactement le genre de réflexe qu'il vaut mieux questionner avant qu'une contrainte réglementaire ou un client grand compte ne vous force à le faire dans l'urgence.

Ce qui s'est passé, et pourquoi maintenant

L'EUCS n'est pas une nouveauté. Le schéma de certification existe dans ses grandes lignes depuis 2021, mais sa mise en œuvre effective a longtemps achoppe sur un point précis : la question de l'immunité aux lois extraterritoriales. Autrement dit, comment certifier comme « souverain » un cloud opéré par une entité juridiquement soumise au Cloud Act américain ou à des législations équivalentes ?

La réponse que Bruxelles a fini par apporter est pragmatique, certains diraient ambiguë. Le niveau le plus élevé de certification — le fameux niveau « High » — exige désormais que l'opérateur soit en capacité de résister à toute injonction d'un État tiers à divulguer des données hébergées en Europe. En pratique, cela a conduit à des montages juridiques et techniques complexes, dont certains impliquent des hyperscalers américains via des coentreprises avec des opérateurs européens. C'est précisément là que le débat reste ouvert.

Parmi les quatre acteurs retenus, on retrouve OVHcloud et Deutsche Telekom's Open Telekom Cloud côté pure players européens, ainsi que deux structures hybrides résultant de partenariats entre acteurs américains et opérateurs locaux — le modèle que Microsoft a inauguré avec son accord avec Orange et que d'autres ont depuis tenté de reproduire. Sans surprise, ces derniers concentrent l'essentiel des critiques des défenseurs d'une souveraineté « dure ».

La fracture entre souveraineté nominale et souveraineté réelle

C'est le cœur du sujet, et il mérite qu'on s'y arrête sans esquiver.

Un label européen apposé sur une infrastructure dont le code, les modèles d'IA intégrés, et les équipes de support de niveau 3 restent localisés aux États-Unis : est-ce de la souveraineté ou de la mise en conformité cosmétique ? La question n'est pas rhétorique. Elle a des implications concrètes pour votre évaluation des risques.

La Commission a tranché en faveur d'une approche pragmatique : mieux vaut un cadre imparfait mais opérationnel qu'une exigence idéale qui n'aboutirait à aucune certification. L'argument se tient économiquement. L'Europe n'a pas aujourd'hui la capacité de couvrir l'ensemble des besoins cloud des grandes organisations avec des acteurs 100 % européens, en particulier sur les segments hyperscale et les services managés avancés.

Mais cette pragmatisme a un coût politique. Plusieurs États membres — la France et l'Allemagne en tête — ont exprimé des réserves officielles sur le fait que des entités soumises au droit américain puissent se voir décerner un label de confiance maximal. Ce débat n'est pas clos. Il se jouera dans les prochains cycles de révision du règlement, et potentiellement dans des contentieux qui n'ont pas encore émergé.

Pour vous, en tant que DSI, cela signifie une chose concrète : le label EUCS niveau High n'est pas une garantie absolue. C'est un indicateur de conformité réglementaire actuel, pas une assurance contre un changement de cadre juridique dans deux ou trois ans.

Ce que ça change — ou ne change pas — pour votre infrastructure

Soyons honnêtes : si vous gérez l'IT d'une ETI industrielle ou d'un cabinet de conseil, la labellisation EUCS ne va pas vous obliger à migrer votre stack cloud dès demain. Le règlement cible en priorité les opérateurs d'importance vitale, les administrations publiques, et les entreprises traitant des données sensibles au sens du RGPD renforcé.

Mais trois effets indirects méritent votre attention.

Premier effet : la pression par les donneurs d'ordre. Si vous travaillez avec des grands groupes, des acteurs de la défense, de la santé ou des institutions financières, attendez-vous à voir apparaître dans vos appels d'offres une clause exigeant que vos sous-traitants cloud figurent sur la liste des opérateurs certifiés. Ce n'est pas hypothétique — c'est déjà le cas dans certains secteurs régulés, et cela va se généraliser.

Deuxième effet : le marché se restructure autour du label. Les acteurs non certifiés vont se retrouver progressivement exclus de certains segments. Pour des fournisseurs SaaS qui hébergent leurs solutions sur des infrastructures non labellisées, c'est un risque commercial réel. Si vos logiciels métier critiques tournent chez un éditeur dont le cloud sous-jacent n'est pas certifié, vous portez une partie de ce risque.

Troisième effet, moins visible : l'effet de normalisation tarifaire. Quand le marché se réduit à quatre acteurs labellisés pour les cas d'usage les plus sensibles, la pression concurrentielle diminue mécaniquement sur ce segment. Ce n'est pas une prédiction, c'est une dynamique de marché élémentaire. Garder un œil sur l'évolution des conditions commerciales proposées par ces acteurs dans les prochains mois sera instructif.

Ce que vous devriez faire — concrètement

Pas de liste à dix points. Trois réflexions de fond, à l'usage d'un responsable IT qui doit gérer des contraintes réelles avec des budgets qui ne sont pas extensibles à l'infini.

Cartographiez votre exposition avant qu'on vous la demande. L'audit de souveraineté de votre infrastructure — quelles données chez quel opérateur, sous quelle juridiction, avec quel niveau de dépendance — n'est plus un exercice théorique pour grandes entreprises. C'est une question que votre assureur cyber, votre auditeur, ou votre client principal va vous poser. Autant y répondre de façon proactive, avec une réponse construite, plutôt que dans l'urgence d'un renouvellement de contrat.

Distinguez vos données selon leur sensibilité réelle. Toutes vos données ne méritent pas le même niveau de protection, et c'est heureux — sinon le coût de mise en conformité serait prohibitif. Un référentiel de classification simple, même imparfait, vous permet d'identifier où vous avez un vrai sujet de souveraineté et où un opérateur non labellisé mais compétent reste parfaitement acceptable. Cette granularité est ce qui rend votre stratégie défendable en interne comme en externe.

Questionnez vos éditeurs SaaS, pas seulement vos hébergeurs. C'est l'angle mort de beaucoup de DSI. On se concentre sur l'infrastructure — AWS, Azure, OVHcloud — mais on oublie de demander à l'éditeur de son ERP, de sa solution RH ou de sa plateforme de collaboration où sont réellement hébergées les données, sur quelle infrastructure, et si cette infrastructure est dans la trajectoire de certification EUCS. C'est une conversation à avoir maintenant, avant que votre renouvellement de licence ne soit dans trois mois.

La vraie question qui reste ouverte

La décision de Bruxelles règle un problème de court terme — avoir un cadre de certification opérationnel — mais elle en crée ou en reporte un autre : l'Europe est-elle en train de construire une souveraineté numérique durable, ou simplement de labelliser sa dépendance existante d'une encre européenne ?

La réponse honnête est : un peu des deux. Et ce n'est pas nécessairement un échec. La souveraineté technologique ne se décrète pas par voie réglementaire. Elle se construit sur des décennies, par l'investissement en R&D, la formation d'ingénieurs, et des décisions d'achat public cohérentes. Le label EUCS est une étape dans cette direction, mais prendre la carte pour le territoire serait une erreur.

Ce qui est certain, c'est que le sujet va rester au cœur des discussions entre Bruxelles, les États membres et les grandes entreprises technologiques dans les années qui viennent. Pour les DSI et CTO de PME/ETI, l'enjeu n'est pas de prendre position dans ce débat géopolitique, mais de ne pas se retrouver en situation de subir ses conséquences sans l'avoir anticipé.

La prochaine révision du schéma EUCS est prévue d'ici fin 2027. D'ici là, la liste des acteurs certifiés pourrait s'élargir — ou se réduire si des contentieux juridiques aboutissent. Ce n'est pas une situation figée. C'est précisément pourquoi une infrastructure cloud trop monolithique, construite sur un seul pari souverain, serait aussi imprudente qu'une dépendance totale aux hyperscalers américains.

L'agilité, dans ce contexte, n'est pas un buzzword. C'est une nécessité architecturale.