Lundi matin, 9h15. Thomas, CTO d'une PME lyonnaise spécialisée dans la gestion de données de santé, ouvre son dashboard AWS. Ses serveurs tournent en Irlande, ses sauvegardes en Virginie. Son équipe juridique lui a transmis la veille un PDF de quarante pages : le Cloud and AI Development Act, promulgué le 3 juin 2026. Il parcourt le texte, marque quelques passages en jaune, et pose son stylo. Il sait que quelque chose vient de changer — il ne sait pas encore exactement quoi.
À deux rues de là, Yasmine, ingénieure cloud dans un ESN parisien, briefera ce matin ses clients grands comptes sur ce même texte. Dans sa to-do list : expliquer pourquoi le niveau 2 d'assurance implique de revoir l'architecture de stockage, comment le SBOM obligatoire va modifier les pratiques DevOps, et ce que "contrôle effectif par un pays tiers" signifie concrètement pour un contrat signé en 2023.
Thomas et Yasmine incarnent les deux faces d'une même réalité : l'Europe vient de redessiner les règles du jeu cloud, et personne ne peut se permettre de lire ce texte en diagonale.
Une symphonie souveraine face à la polarité mondiale
Le marché européen du cloud ressemble à une toile de maître dominée par des ombres extérieures, la part des fournisseurs locaux ayant chuté de 29% en 2017 à 15% en 2022. Actuellement, trois hyperscalers américains contrôlent plus de 70% de cet écosystème.
- Amazon Web Services (AWS) : le premier violon de cette orchestration conserve sa prédominance historique, sa part oscillant entre 31% et 33% du territoire européen ;
- Microsoft Azure : le second mouvement, porté par un écosystème logiciel omniprésent dans les structures d'entreprise, s'accapare une part solide de 25% à 27% ;
- Google Cloud Platform (GCP) : le virtuose de la donnée et des architectures d'intelligence artificielle ferme la marche de ce podium avec environ 11% à 13%.
C'est précisément pour offrir une alternative à ce trio hégémonique (et pour protéger les données face aux lois à portée extraterritoriale) que l'Europe dresse ses quatre niveaux d'assurance de souveraineté.
Face à ce constat digne d'un clair-obscur de Rembrandt, le Cloud and AI Development Act (CADA), promulgué le 3 juin 2026, propose de rééquilibrer la partition en introduisant une réglementation harmonisée.
L'Europe choisit de faire dialoguer ses forces vives (Mistral AI, Kyutai) avec les réalités d'un marché mondial où les acteurs chinois (Baichuan, Moonshot AI) bousculent également les équilibres. Cette nouvelle donne législative s'articule autour de grands défis industriels et d'exigences techniques claires, loin de tout protectionnisme stérile.
L'impératif industriel : verdir l'infrastructure pour maximiser le ROI
Le premier mouvement de cette symphonie législative cible l'infrastructure physique, véritable point névralgique de la révolution de l'intelligence artificielle. Les architectures massives de type Mixture of Experts (MoE) ou les pipelines de Retrieval-Augmented Generation (RAG) imposent une consommation énergétique colossale. L'Europe y répond par des indicateurs d'une rigueur mathématique :
- Un objectif de PUE fixé à 1.15 : les centres de données cloud et edge ont l'obligation d'atteindre une efficacité de calcul optimale , obligeant les ingénieurs à concevoir des systèmes de refroidissement liquide avancés et des solutions de revalorisation de la chaleur résiduelle.
- Un taux d'utilisation des serveurs de 50% : l'époque des ressources dormantes est révolue. Le texte impose une optimisation dynamique des charges de travail en s'appuyant sur des algorithmes prédictifs d'ordonnancement.
Pour fluidifier ces investissements, les États membres doivent créer des "zones d'accélération" pour les centres de données. Les procédures d'autorisation y sont plafonnées à 12 mois maximum , réduisant drastiquement les barrières bureaucratiques qui freinaient jusqu'alors le déploiement de la puissance de calcul brute.
Les quatre cercles de la confiance : décodage des "Union assurance levels"
Au cœur du CADA se trouve le cadre de souveraineté logicielle, une structure graduelle semblable aux cercles d'une partition polyphonique, visant à protéger la commande publique et les industries critiques.
Niveau 1 : le socle de base
Ce premier niveau impose l'établissement du fournisseur au sein de l'Union européenne. Les infrastructures et le traitement des données clients (y compris les métadonnées et la télémétrie) doivent demeurer sur le territoire européen. L'auto-évaluation est ici admise pour les fournisseurs.
Niveau 2 : la souveraineté certifiée
L'évaluation bascule ici sous le contrôle d'auditeurs tiers indépendants. Le service requiert une certification de cybersécurité de niveau "substantiel". Le contrôle par une entité extra-européenne demeure toléré uniquement si des garanties techniques et juridiques strictes empêchent toute interférence ou interruption de service. La transparence devient totale avec l'obligation de fournir un Software Bill of Materials (SBOM) complet.
Niveau 3 : l'autonomie stratégique
Ce niveau s'adresse aux traitements hautement sensibles et aux informations classifiées. Le contrôle effectif par un pays tiers est proscrit par principe, sauf dérogation explicite via un acte d'exécution de la Commission. Le personnel gérant l'infrastructure doit obligatoirement posséder la citoyenneté européenne.
Niveau 4 : la sanctuarisation maximale
L'apothéose de ce cadre de confiance exclut toute influence étrangère, directe ou indirecte. Les exigences culminent avec une certification de cybersécurité de niveau "élevé". Le fournisseur doit prouver qu'il détient le contrôle exclusif de la conception, de la maintenance et de l'évolution technique de ses composants logiciels. Toute possibilité d'accès à distance depuis un territoire tiers est techniquement verrouillée.
Le dilemme algorithmique : concilier frontier AI et autonomie logicielle
Le texte de la Commission introduit le concept de "Frontier AI", désignant ces modèles multimodaux de nouvelle génération dont les capacités d'abstraction cognitive et de raisonnement agentique redéfinissent l'état de l'art. L'évaluation de ces géants algorithmiques s'effectue désormais à l'aune de benchmarks rigoureux, à l'image des classements LMSYS ou des plateformes d'évaluation d'Hugging Face.
Pour les ingénieurs et CTO, le défi technique est double :
- L'optimisation des modèles : l'obligation d'efficacité énergétique pousse la recherche vers des techniques poussées de quantification (Quantization), d'élagage (Pruning) et d'architectures de rechange.
- Le cloisonnement des données d'entraînement : le niveau 2 et les niveaux supérieurs interdisent formellement l'utilisation des données générées par les utilisateurs pour entraîner des systèmes d'IA exploités par des puissances étrangères. Les architectures de Federated Learning et le chiffrement homomorphe s'imposent alors comme des solutions incontournables pour collaborer à l'échelle industrielle sans divulguer de secrets commerciaux.
L'open source élevé au rang de norme étatique
Thomas finira par fermer son PDF vers midi. Il aura surligné trois passages, coché deux actions prioritaires, et envoyé un message à son prestataire cloud pour demander un audit de conformité. Yasmine, elle, aura passé sa matinée à traduire du juridique en architecture — son métier favori, dit-elle, "quand la loi oblige enfin les gens à penser leur SI comme un bien commun."
Le Cloud and AI Development Act ne résoudra pas en un texte l'hégémonie de trente ans des hyperscalers américains. Mais il pose quelque chose de rare dans le paysage réglementaire européen : une partition lisible, graduée, techniquement honnête. Quatre niveaux d'assurance qui laissent à chacun le temps de s'accorder, sans imposer un unisson brutal à des orchestres aux tailles et aux moyens très différents.
La souveraineté numérique n'est pas une posture idéologique. C'est un chantier. Et pour la première fois, l'Europe lui donne un plan d'architecte.
