Le 3 juin 2025, la Commission européenne a présenté le paquet européen sur la souveraineté technologique, un ensemble de mesures visant à renforcer les capacités de l’Europe dans les domaines des semi-conducteurs, de l’intelligence artificielle (IA), de l’informatique en nuage et de l’open source, qui concerneraient au premier plan les organismes du secteur public. Ce paquet s’inscrit dans une dynamique plus large de consolidation de l’autonomie stratégique numérique de l’Union.
I. Le contexte : une dépendance aux acteurs extra-européens
Cette initiative intervient dans un contexte de forte dépendance de l’Europe vis-à-vis de fournisseurs situés en dehors de l’Union européenne. Selon les chiffres avancés par la Commission, l’Union reposerait à hauteur de 80 % sur des acteurs étrangers pour ses achats de services et d’infrastructures numériques[1]. Cette dépendance est particulièrement marquée dans le secteur du cloud, où les hyperscalers américains (AWS, Microsoft Azure et Google Cloud) concentrent l’essentiel des infrastructures utilisées par les administrations et entreprises européennes. Or, ces fournisseurs sont soumis au Cloud Act américain, qui permet aux autorités des États-Unis d’accéder aux données hébergées par leurs entreprises, y compris en dehors de leur territoire. S’y ajoute le risque d’un « kill switch », c’est-à-dire la coupure unilatérale d’un service par un État tiers.
II. Le contenu du paquet : quatre instruments complémentaires
Le paquet comprend deux propositions législatives, complétées par une stratégie non contraignante et une feuille de route sectorielle.
Le règlement sur les semi-conducteurs 2.0 (« Chips Act 2.0 ») constitue la révision du règlement européen sur les semi-conducteurs adoptés en 2023[2]. Il vise à corriger les faiblesses du texte original en simplifiant les procédures d’approbation, en renforçant la coordination entre recherche et fabrication, et en réduisant la dépendance de l’Europe aux fournisseurs extérieurs.
Le règlement poursuit trois objectifs :
- soutenir la recherche, le développement et l’innovation pour déployer la prochaine génération de technologies cloud et d’IA ;
- accélérer le déploiement de centres de données dans l’ensemble de l’UE, notamment au bénéfice du secteur public dont les besoins en puissance de calcul explosent sous l’effet du développement de l’IA ;
- et enfin instaurer un cadre d’évaluation à l’échelle de l’Union pour la souveraineté cloud et IA, accompagné d’un mécanisme d’adoption par le secteur public.
Pour poursuivre ce troisième objectif, le règlement CADA institue un système de niveaux d’assurance de l’Union européenne (dits « Union Assurance Levels »), structuré en quatre paliers progressifs de souveraineté, dont l’application aux organismes du secteur public est encadrée par une logique d’analyse de risque.
Selon l’article 30 du règlement, le niveau 1 constitue le régime de droit commun : tous les organismes publics utilisant des services cloud doivent a minima recourir à des services certifiés à ce niveau, sauf si leurs activités sont identifiées comme sensibles pour l’ordre public. À ce stade, le fournisseur doit être établi dans l’UE, le service doit être conforme aux exigences de cybersécurité de pointe, et les infrastructures et les données doivent rester sur le territoire de l’UE, sauf exigence contraire de l’organisme public.
Lorsqu’une activité est identifiée comme sensible pour l’ordre public, notamment dans les secteurs couverts par la directive NIS2 (tels que l’énergie, les transports, la santé, l’eau potable…) ou dans des domaines tels que la sécurité nationale, la défense, la justice ou les activités de police, les organismes publics ne pourront recourir qu’à des services certifiés de niveau 2, 3 ou 4, selon les conclusions de leur analyse de risque. Cette analyse devra tenir compte de la sensibilité des données, du risque d’accès par un pays tiers, du risque d’interruption de service ou encore du niveau de criticité opérationnelle.
Les exigences attachées à chaque niveau se resserrent progressivement autour de critères de souveraineté européenne.
- Le niveau 2 impose que le support technique et l’administration du service soient opérés exclusivement depuis l’UE, que les données ne puissent pas être utilisées pour entraîner des IA de pays tiers, et que le fournisseur soit en mesure de démontrer une protection effective contre les accès étrangers ou les interruptions imposées par un État tiers.
- Le niveau 3 introduit une véritable exigence de souveraineté capitalistique et humaine : les personnels opérant le service doivent être citoyens de l’Union, et le fournisseur ne peut en principe plus être contrôlé par un pays tiers. Une dérogation reste toutefois possible par décision spécifique de la Commission (article 19), sous réserve de garanties très fortes de séparation juridique, technique et organisationnelle.
- Enfin, le niveau 4, réservé aux usages les plus sensibles (défense, sécurité nationale, données classifiées), impose une maîtrise européenne effective de l’ensemble de la chaîne technologique (conception, maintenance, évolution logicielle) sans possibilité de dérogation quant au contrôle par un pays tiers.
Une dérogation exceptionnelle est toutefois prévue, permettant de s’affranchir de ces exigences lorsqu’aucun service adéquat ne figure dans le registre européen des fournisseurs de services reconnu au titre d’un niveau d’assurance européen (article 22), ou lorsque le respect des obligations entraînerait un coût disproportionné.
Stratégie en faveur de l’open source : La Commission entend mobiliser l’écosystème européen de contributeurs open source pour développer des alternatives souveraines dans le cloud, l’IA et la cybersécurité, et en favoriser l’adoption par les administrations publiques via des lignes directrices de marchés publics et des standards d’interopérabilité.
Feuille de route stratégique pour la numérisation et l’IA dans le secteur de l’énergie : La feuille de route pour la numérisation et l’IA dans le secteur énergétique vise à concilier l’intégration de centres de données fortement consommateurs d’électricité et l’utilisation de l’IA pour optimiser la gestion des réseaux, à partir de données exclusivement européennes.
III. État d’avancement et perspectives
Il ne s’agit à ce stade que de propositions législatives, les textes doivent désormais entrer dans le processus ordinaire de co-décision entre le Parlement européen et le Conseil de l’Union européenne. Si le fond de la proposition s’inspire largement de positions défendues de longue date par la France, la Commission doit redoubler de diplomatie pour concilier impératif de souveraineté, respect des compétences nationales et apaisement des tensions transatlantiques[3].
_____
[1] « Au nom de la souveraineté numérique, l’UE veut réserver des contrats aux Européens », 3 juin 2026, France 24
[2] Règlement (UE) 2023/1781 établissant un cadre de mesures pour renforcer l’écosystème européen des semi-conducteurs
[3] En août 2025, Donald Trump avait accusé sur Truth Social les réglementations numériques européennes de « discriminer » les entreprises technologiques américaines, menaçant les pays concernés de droits de douane supplémentaires et de restrictions sur l’exportation de technologies et de puces américaines. (V. Lequeux, 25 août 2025, « Numérique : Donald Trump menace de sanctions les pays qui « discriminent » la tech américaine », Toute l’Europe)