L’Europe se divise. Les États-Unis renforcent leur emprise sur le numérique mondial. Entre lobbying intensif, dépendances industrielles et manque de volontarisme politique, la bataille autour du schéma de certification EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) illustre les fragilités de la souveraineté et stratégie numérique européenne.
Face à cela, l’Agence de l’Union européenne pour la cybersécurité (ENISA) ambitionne d’harmoniser les exigences de sécurité cloud à l’échelle européenne. Et ce, depuis 2019.
EUCS : une promesse ambitieuse, un compromis affaibli
Lancée en 2019 par l’ENISA, la certification EUCS visait à harmoniser les exigences de sécurité cloud au niveau européen. Trois niveaux sont proposés selon la criticité des usages :
• Élevé, subdivisé en « High » et « High+ »
• Basique
• Substantiel
Le niveau High+ prévoyait des protections fortes contre l’extraterritorialité du droit non-européen. Ses exigences s’inspiraient directement de la certification SecNumCloud et envisageait donc :
• L’obligation d’un contrôle européen sur l’opérateur
• L’exclusion des fournisseurs soumis à des lois étrangères contraires au droit européen
Mais ce niveau est devenu un point de rupture politique. Soutenu par la France, l’Italie et l’Espagne comme un socle de souveraineté, il s’est heurté à l’opposition de l’Allemagne et des Pays-Bas. Véridiquement, ces derniers ne veulent pas exclure leurs partenaires commerciaux américains.
Fatalement, le niveau High+ a été retiré du projet. Le schéma EUCS est dans une impasse.
Une domination américaine toujours plus marquée
En 2025, les tensions géopolitiques mondiales ont une fois de plus des répercussions directes sur la cybersécurité, la souveraineté et sur les choix technologiques de l’Europe.
Les GAFAM occupent toujours une position dominante dans des secteurs critiques. Cloud computing, intelligence artificielle, cybersécurité, etc. Mais cette domination ne repose pas uniquement sur leur puissance technologique. Elle repose également sur un arsenal juridique qui étend la juridiction américaine à toute donnée hébergée sur leurs infrastructures. Et ce, peu importe sa localisation géographique. Le Cloud Act illustre de fait parfaitement cet arsenal.
Les tensions internationales ont déjà montré les effets concrets de cette dépendance. Ce risque de “kill switch” n’est plus un fantasme. C’est une menace stratégique avérée.
Ce scénario n’est pas théorique. Il s’est déjà concrétisé avec la Russie. Des services cloud ont été interrompus et des mises à jour logicielles ont été restreintes. Tout cela, à la suite de décisions prises unilatéralement par les États-Unis.
Privacy Shield 2.0 : des garanties et une souveraineté toujours contestées
Adopté en 2023, l’EU-U.S. Data Privacy Framework (DPF) est un accord transatlantique sur le transfert de données personnelles entre l’Union européenne et les États-Unis. Il remplace le précédent accord, le Privacy Shield, invalidé par la Cour de justice de l’UE en 2020 (arrêt “Schrems II”).
Il introduit donc plusieurs engagements du gouvernement américain pour rassurer les organisations et autorités européennes :
• Limitation des accès de services de renseignement US
• Création d’un tribunal de recours indépendant
• Engagement contraignants pour les entreprises
Ce nouvel accord est déjà contesté. Le militant autrichien Max Schrems estime en effet que les garanties américaines restent insuffisantes. A l’origine des précédentes invalidations, il défend :
• Le DPRC n’est pas un vrai tribunal au sens de l’UE.
• Les pratiques de surveillance restent trop larges.
Un recours juridique par l’ONG NOYB est attendu et IT for Business espère en ce sens une nouvelle invalidation “Schrems III”.
L’Europe peine à trancher
En mars 2025, c’est dans ce contexte d’incertitude que 95 entreprises technologiques européennes appellent à un soutien accru de l’UE. Leur revendication ? La construction d’infrastructures numériques européennes autonomes.
Malgré ces efforts, les prises de décisions sur les exigences de sécurité ne semblent pas se débloquer.
Dans sa version actuelle, l’EUCS ne garantit alors pas que les données stockées en Europe soient protégées contre l’accès des autorités étrangères. Au contraire, la qualification française SecNumCloud l’assure.
De fait, les exigences actuelles permettent-elles donc réellement de faire émerger des alternatives solides aux hyperscalers ?
Pour une EUCS exigeante et transparente
L’Europe est désormais engagée dans une bataille stratégique. De long terme. Il lui faut défendre sa souveraineté numérique, ses valeurs démocratiques et sa capacité d’innovation indépendante.
Autrement dit, la souveraineté numérique ne doit pas rester un simple slogan. Elle exige des garanties solides, techniques et juridiques.
De toute évidence, une certification européenne ambitieuse devra impérativement intégrer ces exigences. Il est nécessaire de répondre pleinement aux besoins des organisations soucieuses de protéger leurs données sensibles face aux risques d’ingérence étrangère.
Pourquoi faire confiance à NetExplorer en matière de souveraineté et sécurité des données ?
Conforme RGPD, NIS 2, DORA, certifié ISO 27001, ISO 9001 et HDS (Hébergeurs de Données de Santé), nous faisons de la sécurité des données notre priorité. Nous sommes également en cours de qualification SecNumCloud.
En tant qu’éditeur et hébergeur souverain, NetExplorer continuera à porter cet engagement de transparence. La confiance numérique est la base indispensable d’une économie digitale européenne forte et indépendante.
En ce sens, plus de 1800 organisations font confiance à NetExplorer, découvrez nos différents cas d’usage ici.
