La phrase qui a fait le travail était celle d’Henna Virkkunen. À la conférence de presse à Bruxelles le mardi 3 juin 2026, la vice-présidente exécutive à la Souveraineté tech, à la Sécurité et à la Démocratie a dit aux journalistes à quoi servait le paquet souveraineté tech : « We want to be sure nobody has a kill switch. » Nous voulons être sûrs que personne n’a de kill switch. Ursula von der Leyen a enveloppé la politique : « We cannot afford to depend on others for the technologies that keep our hospitals running, our energy grids stable and our services secure. » Nous ne pouvons pas nous permettre de dépendre d’autrui pour les technologies qui font tourner nos hôpitaux, stabilisent nos réseaux énergétiques et sécurisent nos services.

Quatre instruments derrière la phrase. Une proposition législative pour le Cloud and AI Development Act (CADA) avec un cadre d’évaluation de souveraineté et des restrictions sur les fournisseurs hors UE pour les données sensibles de gouvernement. Une proposition législative pour le Chips Act 2.0 relevant la part ciblée de l’UE dans la production mondiale de puces. Une stratégie open source formalisant l’open source comme élément structurel de la politique numérique de l’UE. Et une feuille de route stratégique pour la numérisation et l’IA dans l’énergie. Le commissaire Dan Jørgensen, en charge de l’Énergie, a rejoint Virkkunen à la tribune.

La Commission a maintenant fait ce que la Commission peut faire. Les décisions conséquentes sont en aval de cette annonce, pas en amont.

Ce que CADA propose réellement

La composante cloud est la plus substantielle. CADA propose une évaluation de souveraineté à quatre niveaux dans un ordre croissant de séparation structurelle vis-à-vis du contrôle hors UE. Le plus haut niveau est, par sa propre logique juridique, inatteignable pour les fournisseurs domiciliés aux États-Unis parce que le CLOUD Act crée un conflit structurel.

CADA propose que les données financières, judiciaires et de santé des gouvernements et organisations du secteur public soient tenues de fonctionner sur une infrastructure au plus haut niveau de souveraineté. Ce n’est pas une recommandation. C’est une obligation contraignante écrite dans la proposition, avec des autorités nationales désignées pour la faire appliquer.

La base juridique est l’article 114 du TFUE — harmonisation du marché intérieur. Cela compte : l’article 114 produit du règlement directement applicable avec effet sur le marché intérieur, et non une directive que les États membres transposent. Si CADA passe, les États membres ne sont pas libres d’en affaiblir l’application individuellement.

Ce que le paquet réussit

Le paquet écrit un test de souveraineté non franchissable par les États-Unis dans un règlement contraignant. Les instruments européens de souveraineté précédents manquaient de dents (labellisation Gaia-X), étaient aspirationnels (schéma cybersécurité de l’ENISA), ou étaient sectoriels. CADA propose une mesure réglementaire horizontale qui ne peut explicitement pas être satisfaite par les fournisseurs américains sans restructuration architecturale. C’est structurellement différent.

Il associe la restriction de souveraineté à un renforcement de capacités. Virkkunen, interrogée par des journalistes pour savoir si le paquet visait à exclure les fournisseurs américains, a été précise : « L’Europe veut être en mesure de faire ses propres choix, en évitant les dépendances à risque envers des fournisseurs dominants uniques, une entreprise ou un pays tiers. » Le Chips Act 2.0 et la stratégie open source apportent la réponse côté offre à la restriction. Une restriction pure sans capacité alternative est inopérable ; la Commission l’a évité.

Il traite l’open source comme une infrastructure plutôt que comme du théâtre politique. La stratégie open source, prenant appui sur l’appel à preuves de janvier–février 2026, cadre l’OSS comme un élément structurel de long terme plutôt qu’une préoccupation d’amateurs. Ce langage n’était pas dans les précédentes communications de la Commission. Il ouvre un espace pour les instruments de marchés publics et de financement alignés sur l’infrastructure OSS.

Ce que le paquet ne traite pas

CADA traite l’infrastructure cloud et certaines catégories de données de gouvernement. Il ne traite pas, dans la proposition actuelle, les couches sous le cloud.

L’infrastructure d’hébergement de code : les solutions de souveraineté de l’UE sont majoritairement hébergées sur GitHub, propriété de Microsoft. C’est la lacune de souveraineté la plus profonde et la moins traitée. Les chaînes de confiance cryptographiques : les autorités de certification et les opérations des serveurs racine DNS restent dominées par les États-Unis. Les niveaux de souveraineté de CADA n’énumèrent pas explicitement les critères de chaîne de confiance. Les pipelines CI/CD : GitHub Actions, npm, PyPI, Docker Hub — l’infrastructure de build, de packaging et de distribution dont tout dépend reste majoritairement hébergée aux États-Unis.

Ce n’est pas une critique du périmètre rédigé du CADA. C’est une observation que CADA ne délivre pas, à lui seul, une souveraineté aux couches sous l’infrastructure cloud. Un lecteur célébrant CADA comme l’achèvement du projet européen de souveraineté lira quelque chose que la proposition ne prétend pas — et que Virkkunen elle-même n’a pas prétendu à Bruxelles.

Le trilogue, et qui se positionne pour lui

Le passage cui-bono est direct. Les fournisseurs européens de cloud souverain bénéficient largement — OVHcloud, IONOS, Schwarz Digits/StackIT, Outscale, la division souveraine d’Atos. Ces entreprises ont passé des années à faire du lobbying pour exactement ce cadre réglementaire. Mistral, Aleph Alpha et l’écosystème européen d’infrastructure IA bénéficient de la logique d’adoption obligatoire à la KIPITZ passée à l’échelle de l’UE. La Commission, institutionnellement, étend sa compétence : un règlement fondé sur l’article 114 produit un effet direct plutôt qu’une transposition nationale. Les politiques industrielles française et allemande bénéficient parce que les deux ont de solides constellations de fournisseurs alignées sur les critères du CADA. Les constellations italienne, espagnole et est-européenne ont une base industrielle plus mince pour capter l’opportunité des marchés publics.

Trois objections sérieuses circulent, qu’aucune la Commission ne peut trancher seule.

La première est que l’article 114 est la mauvaise base juridique. L’harmonisation du marché intérieur est contestable comme base de restrictions principalement géopolitiques plutôt que fonctionnelles au marché. La Cour de justice de l’Union européenne a historiquement été protectrice de la logique d’intégration du marché de l’article 114. Un recours devant la CJUE pourrait restreindre le périmètre contraignant du règlement après son adoption.

La deuxième est que le trilogue diluera le plus haut niveau de souveraineté. La représentation du Conseil inclut des États membres avec des positions d’investissement industriel tech américain plus profondes — l’Irlande, le Luxembourg, les Pays-Bas. Le trilogue assouplit typiquement les propositions de la Commission à la marge. Le niveau le plus élevé non franchissable par les États-Unis est exactement le type de disposition qui se voit assouplir.

La troisième est que l’industrie contournera les restrictions via des filiales européennes. Un hyperscaler américain peut constituer une filiale européenne, structurer la gouvernance et la garde des clés sur place, et postuler au plus haut niveau de souveraineté. Que cette structure passe le test substantiel dépend de la rigueur avec laquelle l’autorité d’évaluation interprète le « contrôle ». La proposition existante de Microsoft Sovereign Cloud est essentiellement un pari sur la faisabilité de ce contournement.

Ce que cet article n’est pas

Ce n’est pas l’affirmation que CADA passera tel que rédigé. Le trilogue modifiera la proposition ; la question est de combien.

Ce n’est pas l’affirmation que la stratégie open source est vide. Elle cadre l’OSS structurellement. Qu’elle produise des financements est une autre question, tranchée dans le prochain cycle de cadre financier pluriannuel plutôt qu’en juin 2026.

Ce n’est pas l’affirmation que la souveraineté européenne est réglée par le paquet. Le paquet traite une couche de la dépendance, en laisse d’autres intactes et dépend d’un processus législatif qui s’étend jusqu’en 2027 ou 2028.

Ce qu’il faut surveiller en premier

Le premier signal est la première lecture du Conseil. Les États membres aux positions tech-industrielles alignées sur les États-Unis indiqueront, via leur orientation générale, à quel point ils entendent se battre sur le plus haut niveau de souveraineté.

Le deuxième est la désignation du rapporteur du Parlement européen — quelle commission, quel groupe politique. ITRE, IMCO, LIBE produiront chacune des versions différentes de CADA, et le choix de la compétence en commission façonnera l’accent de la proposition sur la politique industrielle, le marché intérieur ou les droits fondamentaux respectivement.

Le troisième est de savoir si les financements de mise en œuvre des composants de la stratégie open source se matérialisent dans le prochain cycle budgétaire de l’UE. Sans budget, l’OSS-comme-infrastructure reste de la rhétorique, quelle que soit la force du cadrage de Virkkunen à la conférence de presse.

La Commission a posé les termes politiques et juridiques. Les deux prochaines années de négociation inter-institutionnelle détermineront si les termes tiennent.

Sources

Aperçu thématique : Souveraineté numérique en Europe Articles connexes : Microsoft livre des noms NL, Souveraineté dans le §58 VgV