Tandis que Bruxelles lance avec peine ses nombreux programmes pour sa souveraineté numérique, les géants américains, Amazon à leur tête, entendent asseoir leur domination, quitte à prétendre se soucier des inquiétudes européennes. La firme de Seattle a annoncé le lancement de son “cloud souverain et indépendant” dédié à l’UE, affirmant que personne autre que les Européens ne peut accéder aux données hébergées. Pas de quoi convaincre les spécialistes.
Les hyperscalers, ces géants de la tech qui fournissent des services cloud comme Amazon Web Services (AWS), Google Cloud, Microsoft Azure ou encore IBM Cloud, contrôlent entre 70 et 80% du marché en Europe. Mais, rattrapée par les tensions géopolitiques comme la guerre en Ukraine, les restrictions sur les semi-conducteurs ou encore les risques de représailles de la part de Washington, liées aux amendes prononcées contre les géants US de la tech, Bruxelles a pris conscience, un peu tardivement, des risques qui planent sur ses données, voire ses opérations, ses institutions étant elles-mêmes utilisatrices des services de Microsoft ou Amazon.
“Souverain et indépendant”
Malgré la présence de datacenters en Europe, comme en Irlande, en Suède ou au Danemark, ceux-ci sont toujours contrôlés par les sociétés américaines et sont soumis à une juridiction US, à savoir le Cloud ACT.
Pour se dégager de cette dépendance, l’UE a lancé en 2025 le programme Digital Europe Programme 2025-2027, dont une partie du budget est allouée au déploiement de technologies critiques comme le supercalcul et l’IA souveraine. L’UE souhaite, à terme, pouvoir conserver ses données en Europe en finançant des infrastructures locales. Début janvier, l’Union a annoncé le programme “European Open Digital Ecosystems”, une initiative visant à bâtir des écosystèmes numériques ouverts basés sur l’open source en cloud, IA et cybersécurité.
Mais Amazon entend y faire son nid, annonçant jeudi dernier, via sa filiale AWS, le lancement d’un “cloud souverain et indépendant” pour ses clients dans l’UE. Annoncée fin 2023, cette offre, lancée en version bêta en Allemagne, à Brandenburg, propose, un peu plus de deux ans plus tard, un cloud “indépendant pour l’Europe, entièrement situé au sein de l’UE, physiquement et logiquement séparé des autres régions AWS”. L’offre devrait s’élargir sur le Vieux Continent pour être commercialisée en Belgique, aux Pays-Bas ainsi qu’au Portugal.
Dans son communiqué, AWS explique que son cloud “souverain” répond “aux besoins des gouvernements et des entreprises européennes en matière de données sensibles”. “Les clients veulent le meilleur des deux mondes : pouvoir utiliser l’ensemble du portefeuille de services cloud et IA d’AWS tout en respectant des exigences de souveraineté strictes”, a rappelé Stéphane Israël, directeur général de l’AWS European Sovereign Cloud.
Une souveraineté technique mais pas légale
Comment procèdent-t-ils pour tenir cet engagement ? AWS explique que le cloud est protégé par des “restrictions d’accès de sorte que personne, y compris les employés d’AWS, ne puisse accéder aux données”, et que les clients pourraient utiliser un outil de “chiffrement avancé” pour les protéger encore “davantage”. Les opérations, la gouvernance et la gestion des accès devront être assurées uniquement par des résidents de l’UE aux commandes de sociétés constituées en Allemagne, selon ce que prévoit cette offre.
En outre, des employés résidant en Europe “auront dans des cas exceptionnels un accès indépendant à une réplique du code source nécessaire au maintien des services AWS European Sovereign Cloud”. La firme de Seattle ne détaille pas ces “cas exceptionnels” mais ceux-ci rappellent un kill switch étatique, que l’on pourrait imager en “bouton rouge” pouvant être actionné, par un État contre son peuple ou contre un autre État, pour couper brutalement Internet ou des télécommunications.
Techniquement, cette dite “souveraineté” est, techniquement, possible, avec l’isolation des data centers, un staff et une gouvernance en Europe, un exemplaire de code en Europe, ainsi qu’un contrôle local de l’exploitation. Juridiquement, ce nouveau dispositif ne change aucunement la nature d’AWS : une filiale d’un groupe US, soumis aux lois US, principalement le Cloud Act. En d’autres termes, lorsqu’un juge américain ordonnera à Amazon de fournir des accès à certaines données ou métadonnées, le caractère “européen” de l’offre, ou des infrastructures, ne fournira aucun bouclier juridique.
Harald Wehnes, professeur en informatique à l’université de Wurtzbourg, a d’ailleurs évoqué un cas de “souveraineté washing”. “Les données sensibles des Européens peuvent se retrouver entre les mains de l’administration américaine dès qu’elles sont confiées à des entreprises américaines de cloud, même si elles sont stockées sur des serveurs européens ”, rappelle-t-il. “Cela ne s’applique pas en recourant à un fournisseur européen de cloud”, a-t-il ajouté.
