Souveraineté numérique : ce que c'est vraiment, et pourquoi votre stack en dépend

En mai 2025, le procureur en chef de la Cour pénale internationale a vu son compte Outlook coupé du jour au lendemain. Pas un problème de facturation. Les États-Unis venaient de le sanctionner.

En quelques jours, des juges de la CPI basés en Europe ont perdu l'accès à leurs emails, agendas et fichiers cloud. Un juge français s'est retrouvé banni d'Amazon, PayPal, Airbnb et Expedia. Sa réservation d'hôtel, en France, annulée. Ses livres Kindle, volatilisés. Il a décrit l'expérience comme "un retour dans les années 1990."

La CPI siège à La Haye. Son personnel est européen. Ses serveurs étaient en Europe. Rien de tout ça n'a compté. Le logiciel était américain, et ça a suffi.

En octobre 2025, la Cour a annoncé le remplacement de Microsoft 365 sur ses 1 800 postes par openDesk, une suite open source européenne. Leur communiqué ne faisait pas dans la dentelle : "Nous devons réduire nos dépendances et renforcer l'autonomie technologique de la Cour, même si c'est coûteux, inefficace et inconfortable à court terme."

Ce n'est pas un débat politique abstrait. C'est ce qui arrive quand on n'a pas de souveraineté numérique.

Une définition, pas un slogan

Le terme est devenu incontournable à Bruxelles. Mais si on enlève la couche politique, le concept est simple.

La souveraineté numérique, c'est la capacité de faire des choix indépendants sur son infrastructure digitale. Où vivent vos données. Qui peut y accéder. Ce qui se passe quand un gouvernement étranger change d'avis.

Le Centre commun de recherche de la Commission européenne l'a défini clairement en décembre 2025 : "la capacité de l'UE à exercer une indépendance stratégique dans le domaine numérique." Le même document précise que cela "n'équivaut ni à l'isolement ni au protectionnisme."

Cette distinction est essentielle. Souveraineté ne veut pas dire interdire AWS ou boycotter Salesforce. Ça veut dire avoir des alternatives. Ne pas être à un décret présidentiel de perdre son email.

Thierry Breton l'a formulé simplement : "Ce n'est pas un concept protectionniste. Il s'agit simplement de disposer d'alternatives technologiques européennes dans des domaines vitaux où nous sommes actuellement dépendants."

Trois piliers : données, infrastructure, logiciel

Les experts et l'industrie décomposent la souveraineté numérique en trois couches. Les comprendre permet aux décideurs tech d'identifier leurs vraies vulnérabilités.

La souveraineté des données concerne le contrôle. Où résident physiquement vos données ? Sous quelle juridiction ? Qui peut en exiger l'accès ? La tension critique ici oppose le RGPD, qui encadre les transferts et interdit l'accès par des gouvernements étrangers sans accord juridique, au CLOUD Act américain, qui autorise les autorités US à exiger des données détenues par des entreprises américaines, quel que soit l'emplacement des serveurs. Ces deux lois se contredisent frontalement. Si vous utilisez AWS, Azure ou Google Cloud, vos données vivent dans cette zone grise juridique.

La souveraineté d'infrastructure concerne l'opérateur. Qui gère les serveurs, les réseaux, les datacenters sur lesquels tourne votre activité ? Aujourd'hui, AWS, Microsoft Azure et Google Cloud contrôlent environ 70 % du marché cloud européen (Synergy Research Group, 2025). Les fournisseurs européens en détiennent à peine 15 %, contre 29 % en 2017. La tendance va dans le mauvais sens.

La souveraineté logicielle concerne le code. Le logiciel propriétaire crée de la dépendance. Quand Broadcom a racheté VMware et augmenté les prix de 800 à 1 500 % du jour au lendemain, des milliers d'organisations européennes (hôpitaux, universités, collectivités) ont découvert qu'elles n'avaient aucun levier et aucune alternative prête. Le logiciel open source, en revanche, peut être audité, forké et auto-hébergé. C'est la raison pour laquelle la CPI a pu quitter Microsoft en quelques mois, pas en années.

Le cadre réglementaire : cinq textes à connaître

L'Europe a bâti le cadre de régulation numérique le plus complet au monde. Pour un CTO ou un fondateur qui choisit sa stack, voici ce qui pèse concrètement sur vos décisions.

Le RGPD reste le socle. Sept ans après son entrée en vigueur, il a généré plus de 7 milliards d'euros d'amendes cumulées (DLA Piper, janvier 2026). Pour vos choix de stack : les articles 44 à 49 encadrent les transferts internationaux de données. Si vous envoyez des données à des prestataires US, vous dépendez du EU-US Data Privacy Framework, la troisième tentative d'accord transatlantique après le Safe Harbor et le Privacy Shield, tous deux invalidés par la Cour de justice de l'UE. Le DPF est actuellement en appel. Prévoyez un plan B.

Le CLOUD Act américain (2018) est l'adversaire structurel du RGPD. Il autorise les forces de l'ordre US à contraindre toute entreprise tech américaine à remettre des données en sa possession, même si elles sont stockées sur un serveur à Francfort ou Dublin. L'entreprise peut recevoir une injonction de silence l'empêchant de vous prévenir. Lors d'une audition au Sénat français, le président de Microsoft France a admis ne pas pouvoir garantir que les données européennes ne seraient jamais transmises aux autorités américaines. Le CEPD (Comité européen de la protection des données) a conclu que la seule contre-mesure technique fiable est le chiffrement avec des clés contrôlées par le client, qui ne quittent jamais l'UE.

L'AI Act européen est entré en vigueur en août 2024, avec un déploiement progressif. Les pratiques d'IA interdites (scoring social, reconnaissance d'émotions au travail) sont bannies depuis février 2025. Les obligations pour les modèles d'IA à usage général s'appliquent depuis août 2025. La plupart des obligations pour les systèmes à haut risque entreront en vigueur en août 2026. Les sanctions montent jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Pour les CTOs qui déploient de l'IA : l'endroit où tourne votre modèle et qui contrôle l'infrastructure a un impact direct sur la conformité.

Le Data Act est applicable depuis septembre 2025 et s'attaque directement au vendor lock-in. Les fournisseurs cloud doivent désormais lever tous les obstacles au changement. La migration doit être finalisée sous 30 jours. À partir de janvier 2027, les frais de transfert sont purement et simplement interdits. Son chapitre VII protège explicitement les données stockées dans l'UE contre les demandes d'accès illicites de gouvernements étrangers, une réponse directe au CLOUD Act.

NIS2 est la couche cybersécurité. La directive couvre 18 secteurs critiques, impose un signalement d'incident obligatoire (alerte initiale sous 24 heures) et introduit la responsabilité personnelle des dirigeants sur la cybersécurité. Point crucial pour vos choix de stack : NIS2 exige une évaluation de la sécurité de la chaîne d'approvisionnement, ce qui inclut l'évaluation du risque lié à l'exposition de votre fournisseur cloud US au CLOUD Act. Environ 16 États membres ont transposé la directive à ce jour. L'Allemagne l'a fait entrer en vigueur en décembre 2025.

Ces lois ne fonctionnent pas en silo. Elles s'imbriquent. Le RGPD pose le plancher de protection des données. Le Data Act permet de quitter un fournisseur non conforme. NIS2 vous oblige à évaluer le risque de votre chaîne d'approvisionnement. L'AI Act régule ce que vous pouvez construire et où. Ensemble, elles créent un environnement réglementaire où la souveraineté numérique n'est plus seulement une bonne idée. C'est de plus en plus une obligation de conformité.

Ce que ça change concrètement

Si le cadre réglementaire semble abstrait, voici des scénarios concrets auxquels des entreprises européennes ont déjà été confrontées.

Choc tarifaire du jour au lendemain. Après le rachat de VMware par Broadcom, les licences perpétuelles ont été supprimées, 160+ produits regroupés en 4 offres, et le passage à des abonnements de 3 ans rendu obligatoire. Tesco, premier distributeur britannique, a attaqué en justice pour 100 millions de livres après le refus de Broadcom d'honorer les contrats existants. VMware fait tourner 40 000 charges serveur chez Tesco, dont les caisses et la logistique. Tesco a prévenu que le litige pouvait affecter l'approvisionnement alimentaire au Royaume-Uni et en Irlande.

Souveraineté perdue par acquisition. En novembre 2025, l'américain Kyndryl a racheté Solvinity, un hébergeur cloud néerlandais choisi par les clients publics néerlandais (la ville d'Amsterdam, le ministère de la Justice) précisément parce qu'il était néerlandais et hors d'atteinte du CLOUD Act. Amsterdam a été prévenue un jour avant l'annonce. Le Parlement néerlandais a voté pour bloquer l'opération. Des années de planification souveraine, annulées par une seule acquisition.

Représailles géopolitiques. En décembre 2025, le représentant commercial américain Jamieson Greer a explicitement menacé SAP, Spotify et Mistral AI de "frais ou restrictions" si l'UE ne reculait pas sur sa régulation tech. Le même mois, les États-Unis ont interdit l'entrée sur le territoire américain à l'ancien commissaire Breton et quatre autres personnes. Que ces menaces s'aggravent ou non, elles montrent que la politique tech US est de plus en plus utilisée comme arme. Et les entreprises européennes sont prises entre deux feux.

La bombe à retardement du DPF. Le Data Privacy Framework EU-US, qui permet la plupart des transferts de données transatlantiques, a survécu à une première contestation juridique en septembre 2025. Mais un appel est désormais devant la Cour de justice de l'UE. Parallèlement, Trump a limogé des membres du comité de surveillance PCLOB (un pilier de la décision d'adéquation) en janvier 2025, le privant de quorum. Les deux accords précédents ont été invalidés. Si le DPF tombe, chaque entreprise européenne qui transfère des données vers des services US fait face à un vide de conformité immédiat.

L'écosystème est plus riche qu'on ne le croit

La bonne nouvelle : l'écosystème tech européen a considérablement mûri, et des alternatives européennes existent dans chaque grande catégorie logicielle.

En infrastructure cloud, des fournisseurs comme OVHcloud, Hetzner et Scaleway proposent du compute, du stockage et du réseau entièrement sous juridiction européenne, une vraie option pour les équipes qui veulent s'éloigner d'AWS. En CRM, Odoo (Belgique) est un ERP open source qui équipe plus de 12 millions d'utilisateurs. En IA, Mistral AI (France) propose des LLMs open-weight avec une approche souveraineté en priorité. En communication d'équipe, Element repose sur le protocole Matrix, le même qu'utilisent les armées française et allemande.

L'Europe compte plus de 58 000 startups tech, 601 licornes, et un écosystème venture qui a déployé environ 62 milliards d'euros en 2024. Le marché européen de l'IA seul est estimé à 58 milliards de dollars en 2025. Ça ne veut pas dire que l'Europe a comblé l'écart avec les États-Unis. Ce n'est pas le cas. Mais l'idée qu'il n'y a rien avec quoi travailler est tout simplement dépassée.

Un sondage Proton de 2025 révèle que 73 % des Européens estiment que leurs sociétés sont trop dépendantes de la tech américaine. Plus de la moitié de ceux qui suivent l'actualité disent préférer des alternatives européennes. La demande est là. L'offre suit.

La souveraineté est un spectre, pas un interrupteur

Aucune entreprise ne va remplacer toute sa stack du jour au lendemain. Et personne ne devrait essayer. La souveraineté numérique n'est pas binaire. C'est une stratégie de gestion du risque.

L'approche pragmatique pour la plupart des CTOs : classifiez vos workloads par sensibilité. Gardez vos données les plus critiques, régulées et sensibles sur une infrastructure contrôlée par l'UE. Utilisez du chiffrement avec clés client partout où c'est possible. Évaluez les alternatives européennes catégorie par catégorie. Construisez des stratégies de sortie pour chaque fournisseur majeur. Le Data Act vous en donne désormais le droit légal.

Le sommet franco-allemand sur la souveraineté numérique de novembre 2025 a réuni plus de 900 décideurs politiques et obtenu 12 milliards d'euros d'engagements volontaires des entreprises. L'UE a mobilisé des milliards via son Chips Act, ses projets IPCEI cloud et le programme Digital Europe. La trajectoire est claire.

Comme l'a montré l'expérience de la CPI, la souveraineté numérique n'est pas un sujet auquel on pense après que l'email a cessé de fonctionner. C'est un sujet qu'on planifie pendant qu'il marche encore.