Souveraineté numérique : l'Europe peut-elle s'émanciper des géants ?
En janvier 2025, le gouvernement français a appris que les données de santé de 67 millions de citoyens, hébergées par Microsoft Azure dans le cadre du Health Data Hub, restaient techniquement accessibles aux autorités américaines en vertu du CLOUD Act. Malgré les clauses contractuelles, malgré le RGPD, malgré les garanties affichées. Le droit américain prime sur le droit européen dès lors que l'opérateur est une entreprise américaine.
Ce n'est pas un incident isolé. C'est le symptôme d'une dépendance structurelle que l'Europe peine à nommer — et encore plus à corriger.
La souveraineté numérique désigne la capacité d'un État ou d'un continent à maîtriser ses infrastructures numériques, ses données et ses technologies sans dépendance vis-à-vis de puissances étrangères. Formulé autrement : pouvoir décider qui stocke vos données, qui les traite, avec quels logiciels, sur quels serveurs, et selon quelles règles.
L'Europe en est loin. Et le temps presse.
Le constat : une dépendance quasi totale
Le cloud, nerf de la guerre
Commençons par l'infrastructure la plus fondamentale : le cloud. Les serveurs sur lesquels tournent vos emails, vos documents partagés, vos applications d'entreprise, vos données de santé.
En 2026, trois entreprises américaines contrôlent environ 65 % du marché mondial du cloud : Amazon Web Services (AWS, 31 %), Microsoft Azure (25 %), Google Cloud Platform (GCP, 11 %). En Europe, leur part de marché combinée dépasse les 70 %. Le premier acteur européen, l'allemand SAP, plafonne à 2 % du marché mondial. OVHcloud, le champion français, pèse moins de 1 %.
Ces chiffres ont une conséquence directe : la majorité des données des entreprises et des administrations européennes sont stockées sur des infrastructures contrôlées par des entreprises soumises au droit américain. Les [données personnelles](-> Article 2 : Les données personnelles) de centaines de millions de citoyens européens transitent par des serveurs que le gouvernement américain peut légalement sonder.
Pas de moteur de recherche. Pas de réseau social. Pas d'OS mobile.
Le cloud n'est que la partie visible. Passez en revue le reste de la chaîne : Google détient plus de 90 % du marché de la recherche en Europe (Qwant n'a jamais dépassé 1 %). Pas un seul réseau social à audience de masse n'est européen — Facebook, Instagram, TikTok, YouTube, X, LinkedIn sont tous américains ou chinois. Android (Google) et iOS (Apple) contrôlent 99 % des smartphones. Les grands modèles d'IA (OpenAI, Google, Anthropic, Meta) sont tous américains, avec des budgets de recherche dix fois supérieurs au champion européen Mistral AI.
Semi-conducteurs : la dépendance stratégique
Les puces qui font tourner cette infrastructure ne sont pas fabriquées en Europe. TSMC (Taïwan) produit environ 60 % des semi-conducteurs mondiaux et plus de 90 % des puces les plus avancées. Samsung (Corée du Sud) occupe l'essentiel du reste. L'Europe a laissé filer cette industrie pendant trois décennies. Il y a une exception notable. Nous y reviendrons.
À retenir :
- Le cloud européen est dominé à plus de 70 % par trois acteurs américains (AWS, Azure, GCP)
- L'Europe n'a ni moteur de recherche, ni réseau social, ni OS mobile, ni grand modèle d'IA de rang mondial
- La fabrication des puces est concentrée à Taïwan et en Corée — l'Europe en dépend presque totalement
- Les [données personnelles](-> Article 2 : Les données personnelles) des citoyens européens sont majoritairement hébergées hors d'Europe
Les tentatives européennes : entre ambition et réalité
Cloud souverain : Gaia-X et ses limites
Face à ce constat, l'Europe a réagi. Avec des projets ambitieux. Et des résultats contrastés.
Gaia-X, lancé en 2019 par la France et l'Allemagne, devait être le grand projet fédérateur du cloud européen. L'idée : créer un cadre commun de règles et d'interopérabilité pour que les fournisseurs de cloud européens puissent proposer une alternative crédible aux hyperscalers américains. Pas un cloud unique, mais un écosystème de clouds compatibles, respectant des normes européennes de protection des données.
Six ans plus tard, le bilan est mitigé. Gaia-X a produit des spécifications techniques, des labels, des groupes de travail. Mais pas de concurrent crédible à AWS. Le consortium compte plus de 350 membres — y compris, ironie de l'histoire, Amazon, Microsoft et Google, qui ont rejoint le projet. Les critiques pointent une usine à normes qui ne produit pas de services concrets. D'anciens membres, comme Scaleway, ont claqué la porte en dénonçant la mainmise des géants américains sur le projet.
Des hébergeurs européens existent : OVHcloud (France, 800 M€ de CA), Scaleway (Iliad/Free), T-Systems (Deutsche Telekom), Hetzner, Infomaniak. Mais aucun n'atteint la profondeur de catalogue d'AWS (plus de 200 services). Les coûts de migration, la compatibilité des outils, les compétences des équipes — tout pousse à rester chez l'incumbent.
En France, le label SecNumCloud (ANSSI) certifie un niveau élevé de sécurité et exige un opérateur de droit européen. OVHcloud et 3DS Outscale l'ont obtenu. NumSpot, consortium réunissant Docaposte, Dassault Systèmes, Bouygues Telecom et la Banque des Territoires, vise un cloud souverain SecNumCloud pour le secteur public et la santé. Un début. Pas une solution à l'échelle du continent.
Semi-conducteurs : le European Chips Act
Le European Chips Act (2023) mobilise 43 milliards d'euros pour doubler la part de l'Europe dans la production de puces (de 10 % à 20 % d'ici 2030). Des usines sont prévues : Intel à Magdebourg, TSMC à Dresde, STMicroelectronics à Crolles. Mais 43 milliards, c'est ce que TSMC investit à lui seul en un an. La course aux puces avancées avance plus vite que les permis de construire européens.
ASML : l'atout maître que l'Europe sous-estime
ASML (Pays-Bas, spin-off de Philips) est le seul fabricant mondial de machines de lithographie par ultraviolet extrême (EUV). Ces machines, entre 150 et 350 millions d'euros pièce, sont indispensables pour graver les puces en dessous de 7 nanomètres. TSMC, Samsung et Intel achètent tous leurs machines EUV chez ASML. Pas d'alternative : 20 ans de R&D et des dizaines de milliards d'investissement rendent cette technologie irreproductible à court terme.
Ce monopole confère à l'Europe un levier géopolitique rare. Quand les États-Unis ont voulu freiner l'accès de la Chine aux puces avancées, c'est sur ASML qu'ils ont fait pression : depuis 2023, les Pays-Bas ont restreint les exportations de machines EUV vers la Chine. ASML est au centre du bras de fer entre les deux premières puissances mondiales.
L'ironie : l'Europe possède l'entreprise la plus stratégique de la chaîne des semi-conducteurs, mais ne fabrique presque pas de puces elle-même.
Intelligence artificielle : Mistral et les autres
Mistral AI (France, valorisée à plus de 6 milliards d'euros) est la vitrine de l'IA européenne. Fondée en 2023 par d'anciens chercheurs de Google DeepMind et Meta, elle développe des modèles de langage compétitifs — dont Mistral 7B, open-source, qui a prouvé qu'un modèle efficient pouvait rivaliser avec des géants. Aleph Alpha (Allemagne) cible le secteur public. Kyutai (France) travaille sur des modèles ouverts.
Mais la réalité des chiffres est brutale : les labs américains comptent leurs budgets en dizaines de milliards de dollars, les européens en centaines de millions d'euros. La puissance de calcul (GPU) nécessaire à l'entraînement des modèles frontières est elle-même concentrée aux États-Unis. L'Europe a les cerveaux. Elle n'a pas les moyens de calcul.
À retenir :
- Gaia-X n'a pas produit d'alternative concrète au cloud américain ; les hébergeurs européens (OVH, Scaleway) progressent mais restent marginaux
- Le European Chips Act (43 Md) vise à doubler la production européenne de puces, mais les budgets restent inférieurs à ceux de TSMC seul
- ASML (Pays-Bas) détient un monopole mondial sur les machines de lithographie EUV — un levier stratégique majeur mais sous-exploité
- Mistral AI incarne l'ambition européenne en IA, mais avec des budgets dix fois inférieurs aux labs américains
Le transfert de données UE-USA : une saga sans fin
De Safe Harbor au Data Privacy Framework
L'histoire du transfert de données UE-USA est celle d'un éternel recommencement. Safe Harbor (2000) : premier accord, invalidé par la CJUE en 2015 (arrêt Schrems I) après les révélations Snowden sur la surveillance NSA. Privacy Shield (2016) : deuxième accord, invalidé en 2020 (arrêt Schrems II) — les lois américaines de surveillance (FISA Section 702) permettent un accès massif aux données des non-Américains, sans recours effectif. Data Privacy Framework (2023) : troisième accord, basé sur un Executive Order de Joe Biden créant un mécanisme de recours. Max Schrems a annoncé qu'il le contesterait.
En 2026, le DPF est toujours en vigueur. Mais l'Executive Order peut être révoqué par n'importe quel président américain d'un trait de plume. La protection qu'il offre est politique, pas structurelle. Un arrêt Schrems III est probable.
Le CLOUD Act : le vrai problème
Adopté en 2018, le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) autorise les autorités américaines à exiger la remise de données détenues par des entreprises américaines, quel que soit le lieu de stockage physique des données. Vos données hébergées par Microsoft Azure dans un data center à Amsterdam ? Le FBI peut les réclamer. Vos emails sur Google Workspace ? Accessibles sur mandat judiciaire américain, même si vous êtes français et que les serveurs sont en Irlande.
Le CLOUD Act entre en contradiction frontale avec le RGPD, qui interdit le transfert de données personnelles vers un pays tiers ne garantissant pas un niveau de protection adéquat. Une entreprise prise entre les deux textes se retrouve dans une impasse juridique : obéir au CLOUD Act, c'est violer le RGPD ; respecter le RGPD, c'est risquer de violer la loi américaine.
C'est précisément ce conflit qui rend la souveraineté numérique impossible tant que les infrastructures restent américaines. Le problème n'est pas technique (les serveurs peuvent être en Europe). Il est juridique : le droit américain s'applique à l'entreprise, pas au serveur.
À retenir :
- Trois accords de transfert de données UE-USA ont été successivement invalidés ou contestés en 25 ans
- Le CLOUD Act permet aux autorités américaines d'accéder aux données détenues par des entreprises US, même en Europe
- Le Data Privacy Framework (2023) repose sur un Executive Order révocable — sa solidité juridique est incertaine
- Tant que les données européennes sont chez des opérateurs américains, le RGPD est structurellement contournable
La Chine : l'autre modèle
Autonomie technologique totale — à quel prix
La Chine offre un contre-exemple radical. Derrière le Grand Firewall, un écosystème numérique complet s'est développé : Baidu (recherche), WeChat (messagerie, paiement, services), Alibaba (e-commerce), Douyin (vidéo), Huawei (hardware + HarmonyOS), DeepSeek (IA). Les BATX (Baidu, Alibaba, Tencent, Xiaomi) ne dépendent pas des GAFAM.
Mais le prix est élevé. Le Grand Firewall est aussi un outil de contrôle : censure, surveillance de masse, crédit social, reconnaissance faciale généralisée. L'autonomie technologique chinoise est indissociable d'un modèle autoritaire que l'Europe ne peut ni ne veut reproduire.
La leçon retirable n'est pas le modèle de surveillance. C'est l'idée qu'une politique industrielle volontariste, portée sur plusieurs décennies, avec protection du marché intérieur et investissements massifs, peut créer des champions technologiques. L'Europe a fait le choix inverse — ouverture totale, pas de préférence locale. Le résultat est sous nos yeux.
À retenir :
- La Chine a construit un écosystème numérique complet et autonome (BATX, DeepSeek, HarmonyOS)
- Cette autonomie s'accompagne d'un contrôle étatique incompatible avec les valeurs européennes
- L'Europe peut retenir la leçon industrielle (investissement massif, protection du marché) sans copier le modèle autoritaire
L'Europe, régulatrice du monde
Le "Brussels effect"
L'Europe ne produit pas de champions tech. Elle excelle dans la régulation — et cette régulation a un impact mondial.
Le RGPD (2018) a imposé ses standards bien au-delà de l'UE : le Brésil (LGPD), le Japon, l'Inde, le Kenya ont adopté des lois inspirées du texte européen. C'est le "Brussels effect" théorisé par Anu Bradford (Columbia) : la capacité de l'UE à exporter ses normes par la seule force de son marché de 450 millions de consommateurs. Le DSA (2023) impose transparence et modération aux plateformes. Le DMA (2024) contraint les "gatekeepers" à ouvrir leurs écosystèmes — Apple a dû autoriser les boutiques d'apps alternatives sur iOS en Europe. L'AI Act (2024), premier cadre mondial sur l'IA, classe les systèmes par niveau de risque et interdit certains usages (notation sociale, reconnaissance faciale en temps réel).
Le paradoxe du régulateur
Réguler n'est pas produire. L'Europe régule les algorithmes des autres, encadre le cloud des autres, pose des règles sur l'IA des autres — mais ne crée pas les siens. Un arbitre, pas un joueur.
Les entreprises tech l'ont compris : elles se conforment au RGPD et au DMA le minimum nécessaire. Meta a tenté de facturer Facebook et Instagram sans publicité en Europe pour contourner les règles de consentement. Sans capacité technologique propre, la régulation européenne reste un levier puissant mais incomplet.
À retenir :
- Le RGPD, le DSA, le DMA et l'AI Act font de l'Europe le principal régulateur numérique mondial
- Le "Brussels effect" exporte les normes européennes bien au-delà de l'UE
- Réguler sans produire crée une dépendance structurelle : l'Europe fixe les règles d'un jeu joué par d'autres
- Le DMA a déjà produit des résultats concrets (ouverture d'iOS), mais les géants tech cherchent à en minimiser l'impact
Le débat : réguler ou innover ?
Faut-il créer des "GAFAM européens" ?
La question revient à chaque sommet européen. Les partisans citent le modèle Airbus et les succès partiels de Mistral ou ASML. Les sceptiques objectent que les conditions qui ont produit les GAFAM — marché unifié anglophone, capital-risque illimité, culture du risque — ne se répliquent pas par décret. L'Europe a 27 marchés, 24 langues et un quart du capital-risque américain.
Vers un modèle hybride
La voie réaliste combine les deux : réguler (le socle — sans RGPD ni DMA, rien ne bouge), investir dans des secteurs stratégiques ciblés (cloud souverain pour les données sensibles, IA efficiente, semi-conducteurs via ASML), favoriser l'interopérabilité pour réduire la dépendance à un fournisseur unique, et utiliser la commande publique comme levier — diriger les milliards que les administrations européennes dépensent en cloud vers des acteurs SecNumCloud-compatibles.
L'Europe ne deviendra ni la Chine ni les États-Unis. Mais elle peut construire un modèle propre : des infrastructures souveraines pour les données critiques, une régulation qui contraint les géants, et un tissu industriel qui garantit l'autonomie stratégique.
En résumé
La souveraineté numérique européenne se résume à un paradoxe en trois temps.
Le constat. L'Europe est dépendante des États-Unis pour le cloud (AWS, Azure, GCP), les moteurs de recherche (Google), les réseaux sociaux (Meta), les systèmes d'exploitation mobiles (Android, iOS), l'intelligence artificielle (OpenAI, Anthropic, Google) et les semi-conducteurs (TSMC, Samsung). Les données de ses citoyens sont juridiquement accessibles aux autorités américaines via le CLOUD Act.
La réponse. L'Europe régule (RGPD, DSA, DMA, AI Act) avec un impact mondial réel. Elle investit (Chips Act, cloud souverain, Mistral AI). Elle possède un atout stratégique unique avec ASML. Mais les budgets sont insuffisants, les projets fédérateurs (Gaia-X) peinent à produire des résultats, et l'écart avec les géants américains et chinois continue de se creuser.
L'enjeu. La souveraineté numérique n'est pas une question technique. C'est une question de pouvoir. Qui contrôle l'infrastructure contrôle les données. Qui contrôle les données contrôle les algorithmes. Qui contrôle les algorithmes influence les comportements, les marchés, les élections. L'Europe doit décider si elle veut être l'arbitre ou le joueur — ou si elle peut être les deux.
Pour le citoyen européen, la conséquence est directe : vos droits RGPD sont votre premier outil de souveraineté individuelle. Exercer votre droit d'accès, de suppression, de portabilité face aux géants du numérique, c'est rappeler que ces données vous appartiennent — pas à l'entreprise qui les stocke, ni au gouvernement qui veut y accéder.
FAQ
Qu'est-ce que la souveraineté numérique ?
La souveraineté numérique désigne la capacité d'un État ou d'un ensemble d'États à maîtriser ses infrastructures numériques (serveurs, réseaux, logiciels), ses données et ses technologies sans dépendance vis-à-vis de puissances étrangères. Pour l'Europe, cela implique de réduire sa dépendance aux entreprises technologiques américaines (cloud, IA, OS) et asiatiques (semi-conducteurs), tout en préservant les libertés individuelles protégées par le RGPD.
Le CLOUD Act peut-il vraiment accéder à mes données en Europe ?
Oui. Le CLOUD Act (2018) autorise les autorités américaines à exiger la remise de données détenues par des entreprises américaines, quel que soit le pays où les serveurs sont physiquement situés. Si vos données sont chez Microsoft, Google, Amazon ou toute autre entreprise de droit américain, elles sont potentiellement accessibles sur mandat judiciaire américain. Le RGPD interdit ce type de transfert, mais le conflit juridique entre les deux textes n'est toujours pas résolu.
Gaia-X est-il un échec ?
Le bilan est nuancé. Gaia-X a produit des spécifications techniques et des labels utiles. Mais il n'a pas atteint son objectif initial : créer un écosystème cloud européen capable de rivaliser avec AWS ou Azure. L'inclusion de géants américains dans le consortium, les départs de membres fondateurs et l'absence de services concrets ont affaibli sa crédibilité. Les hébergeurs européens (OVHcloud, Scaleway) progressent indépendamment de Gaia-X.
Pourquoi ASML est-elle si stratégique ?
ASML est le seul fabricant mondial de machines de lithographie EUV, indispensables pour graver les puces les plus avancées (en dessous de 7 nm). Sans machines ASML, ni TSMC, ni Samsung, ni Intel ne peuvent fabriquer les processeurs de dernière génération. Ce monopole technologique donne à l'Europe — et spécifiquement aux Pays-Bas — un levier géopolitique considérable dans la guerre des semi-conducteurs entre les États-Unis et la Chine.
L'Europe peut-elle rattraper les États-Unis en intelligence artificielle ?
Sur le terrain de la course à la taille des modèles, probablement pas. Les budgets sont trop déséquilibrés. Mais l'Europe peut se positionner sur l'IA efficiente (modèles plus petits et performants, comme ceux de Mistral), l'IA de confiance (encadrée par l'AI Act), et l'IA appliquée à des secteurs où elle excelle (industrie, santé, énergie). La stratégie réaliste n'est pas de copier OpenAI, mais de construire une IA au service des besoins européens et de la protection des données.
Le Data Privacy Framework va-t-il être invalidé comme les accords précédents ?
Le risque est réel. Le DPF repose sur un Executive Order américain que tout président peut révoquer. Max Schrems et l'association noyb ont annoncé qu'ils le contesteraient. La CJUE a déjà invalidé deux accords précédents (Safe Harbor en 2015, Privacy Shield en 2020) pour des motifs similaires. Tant que le droit américain permet une surveillance de masse des non-Américains sans recours juridictionnel effectif, la stabilité de tout accord est précaire.
Vos données, votre première ligne de souveraineté
Les débats sur la souveraineté numérique se jouent dans les sommets européens, les conseils d'administration et les tribunaux. Mais ils commencent par un geste individuel : savoir qui détient vos données et décider ce qu'il en advient.
Chaque entreprise à laquelle vous avez confié votre email, votre numéro de téléphone, votre historique de navigation détient un fragment de votre vie numérique. Le RGPD vous donne le droit de le récupérer, de le faire supprimer, de refuser qu'il soit exploité. La souveraineté numérique de l'Europe ne se construira pas sans la souveraineté numérique de chaque citoyen.
Fairmi vous permet d'exercer vos droits RGPD auprès de n'importe quelle entreprise — en quelques clics, sans jargon juridique, sans modèle de lettre à rédiger. Accès, suppression, opposition : vous choisissez le droit, vous désignez l'entreprise, la demande est envoyée.