L’économie de la souveraineté numérique et le piège de la dépendance vis-à-vis des infrastructures
La souveraineté numérique, ça n'a rien à voir avec l'emplacement des serveurs ; ça concerne plutôt qui contrôle leurs différents aspects.
La souveraineté numérique, ça ne se résume pas à la localisation des données. Ça concerne la propriété, le pouvoir économique, les infrastructures d’IA et la question de savoir qui contrôle l’avenir.
La plupart des discussions sur la souveraineté numérique ont tendance à tourner en rond. Les exigences de résidence des données. La conformité au RGPD. Les programmes de certification du cloud. Ou, pour parler plus simplement, où se trouve exactement le serveur physique ?
Même si ce sont là de vraies préoccupations pour certains, tous les pays du monde – à l’exception de la Chine et des États-Unis – sont en train d’être colonisés numériquement. La plupart des gens abordent ces sujets, mais dans la plupart des cas, ce ne sont que quelques-uns des symptômes. Comme je le répète depuis des années aux gouvernements et aux institutions, le problème n’est jamais le problème en soi. C’est un symptôme d’un système. Ce système est bien plus vaste, a bien plus de conséquences et est bien plus difficile à inverser que ne le réalisent actuellement la plupart des décideurs politiques.
La souveraineté numérique – la vraie souveraineté – est une question économique, géopolitique et structurelle qui porte sur les pays qui produiront des biens et ceux qui se contenteront de les consommer. Si le diagnostic est erroné, les réponses ne feront qu’effleurer la surface, tandis que les dynamiques sous-jacentes continueront de s’aggraver.
Laisse-moi t’expliquer ce que je veux dire à l’aide de quelques exemples. Mais attention, ce n’est pas une liste exhaustive des sujets concernés et il y a bien d’autres considérations qui vont plus loin et sont plus complexes que ce que cette image laisse entendre :
Index
La nécessité juridique – Et la fiction juridique des données « hébergées dans l’UE »
Commençons par l’aspect le plus évident : le cadre réglementaire. La plupart des débats commencent là et, malheureusement, s’y terminent souvent.
L’Union européenne a mis en place un cadre réglementaire impressionnant, comprenant le RGPD, la directive NIS2, entrée en vigueur en octobre 2024 et qui prévoit des amendes pouvant atteindre 2 % du chiffre d’affaires mondial d’une entreprise, ainsi que la directive DORA, qui impose depuis janvier 2025 des exigences strictes en matière de résilience du cloud à plus de 22 000 entités financières. Parmi les autres textes législatifs clés, on peut citer la loi européenne sur les données et la loi sur l’IA, qui entreront pleinement en vigueur en août 2026. Ce sont des instruments sérieux. L’idée qui les sous-tend – à savoir que l’Europe a besoin de règles applicables en matière de données – est juste et pourrait même devenir un véritable atout pour l’Europe dans le contexte géopolitique et économique actuel.
Cependant, le problème réside dans une asymétrie juridique fondamentale qui ne peut être résolue par les seules exigences de résidence des données.
Le CLOUD Act américain, adopté en 2018, permet aux forces de l’ordre américaines d’obliger n’importe quelle entreprise détenue par des Américains à fournir des données stockées n’importe où dans le monde, y compris sur des serveurs physiquement situés à Francfort ou à Amsterdam. L’emplacement du serveur en Allemagne n’a aucune importance juridique si l’entreprise qui en est propriétaire est enregistrée aux États-Unis. Chers hyperscalers adeptes du « sovereign washing », vous n’êtes pas exemptés de cette règle, peu importe vos efforts de marketing. Allons encore plus loin : la section 702 de la loi FISA permet aux agences de renseignement américaines de collecter et de traiter des données sur des citoyens non américains en dehors des États-Unis. Cette disposition a été renouvelée en avril 2024 avec un champ d’application élargi. Ajoute à cela le décret présidentiel 12333, qui régit la collecte de renseignements en dehors du territoire américain, ainsi que les « National Security Letters » (lettres de sécurité nationale) – grâce auxquelles le FBI peut exiger des données sans autorisation judiciaire préalable et souvent les accompagner d’ordonnances de silence permanentes qui empêchent légalement le fournisseur de t’en informer – et tu obtiens une architecture de surveillance structurellement incompatible avec la législation européenne en matière de protection des données.
Le mot clé dans tout ça, c’est la propriété, pas l’emplacement. Si ton fournisseur est américain, tes données ne sont jamais totalement hors de portée de la législation américaine, malgré ce que peuvent prétendre les supports marketing sur les « zones souveraines de l’UE ». Comme le souligne une analyse juridique sur ce sujet : « L’emplacement des données n’est pas synonyme de souveraineté des données, et la nationalité du fournisseur peut avoir autant d’importance que la localisation géographique des serveurs ».
En 2025, AWS a lancé son « AWS European Sovereign Cloud » dans le Brandebourg, soutenu par un investissement annoncé de 7,8 milliards d’euros. Si cela confirme la demande, cela met aussi en évidence la tendance au « souverain-washing » (une stratégie visant à donner une image de souveraineté) et son utilisation à des fins d’image de marque, ainsi que la complexité et la charge politique que revêt désormais ce sujet. Cependant, comme l’ont souligné mes collègues de TechCrunch au moment du lancement, les données restent en fin de compte sous le contrôle d’un géant américain de la tech. Une infrastructure localisée, mais une propriété non locale. Le risque juridique ne disparaît pas, et le potentiel d’extraction économique demeure.
Ce n’est pas un problème qu’on peut résoudre en rédigeant habilement un contrat. C’est un problème structurel. Tant que les décideurs politiques européens et mondiaux ne l’auront pas reconnu, tous les systèmes de certification de « souveraineté » qu’ils mettront en place seront fondamentalement viciés.
Exploitation économique – Le piège du double paiement : comment les pays cofinancent leur propre exploitation
Passons maintenant du plan juridique au plan économique, car c’est là que les dégâts sont les moins bien compris et les moins pris en compte par le grand public.
Le discours habituel, c’est que les hyperscalers investissent dans des centres de données européens, fournissant ainsi des infrastructures à l’Europe et profitant à tout le monde. Les chiffres phares sont impressionnants. On estime que Microsoft, Amazon et Google auront dépensé plus de 250 milliards de dollars en investissements dans des centres de données rien qu’en 2025. Les annonces faites par chaque pays – comme l’extension de 3,2 milliards de dollars de Microsoft en Suède et son engagement de 3 milliards de dollars au Danemark, ou les investissements d’Amazon sur plusieurs marchés européens – génèrent une couverture médiatique positive et de la bonne volonté politique. Des chiffres aussi impressionnants font toujours sensation, et les gens veulent y être associés.
Cependant, ce cycle d’annonces ne rend pas compte de la structure réelle des coûts imposée aux économies qui reçoivent ces investissements, ni du fait que la majeure partie des dollars investis revient directement à des fournisseurs américains comme AMD, Intel et NVIDIA. De plus, la création d’emplois est limitée, car même les centres de données les plus gigantesques ne génèrent pratiquement aucun emploi – ce ne sont que les chiffres qui semblent impressionnants.
Alors prenons un peu de recul et regardons la situation dans son ensemble : la demande en électricité des centres de données en Europe devrait selon les prévisions passer de 96 TWh en 2024 à 236 TWh d’ici 2035, faisant passer leur part dans la demande totale d’électricité européenne d’environ 3 % à près de 6 %. Les coûts liés à la congestion du réseau en Europe s’élevaient déjà à 4,3 milliards d’euros en 2024, selon l’Agence de l’Union européenne pour la coopération des régulateurs de l’énergie – mais comme toujours, ce chiffre exclut les coûts indirects, tels que les conséquences économiques des retards de projets. Obtenir un raccordement au réseau pour un nouveau centre de données dans les grands pôles européens prend actuellement entre sept et dix ans, rien qu’à cause de la longueur de la file d’attente. Selon l’AIE, les prix de l’électricité en Europe pour les industries grandes consommatrices d’énergie sont déjà en moyenne environ deux fois plus élevés qu’aux États-Unis – un écart qui ne fera que se creuser à mesure que les charges de travail importantes liées à l’IA se concentreront là où l’énergie est la moins chère, ce qui rendra les autres industries moins compétitives et fera donc grimper les prix.
Ce mécanisme est important car lorsqu’un hyperscaler construit un grand centre de données dans ton pays, quelqu’un doit mettre en place l’infrastructure du réseau nécessaire pour l’alimenter, notamment les lignes de transport, les sous-stations et les augmentations de capacité. Ça peut être l’État, le fournisseur d’électricité ou, en fin de compte, le contribuable. Alors que le centre de données est un actif privé qui génère des bénéfices pour ses propriétaires américains, le réseau est un coût public partagé par tout le monde dans le pays.
Réfléchis ensuite à ce qui se passe ensuite. L’hyperscaler exploite ces centres de données européens et revend ses services aux entreprises, gouvernements, hôpitaux, écoles et développeurs européens avec des marges importantes. Le marché européen du cloud souverain est estimé à 26,8 milliards de dollars en 2024, et devrait atteindre entre 191 et 321 milliards de dollars d’ici le début des années 2030. Ces revenus alimentent les bilans des entreprises américaines, subventionnés par les consommateurs, les entreprises et les contribuables européens. Pour les entreprises américaines, il s’agit d’un flux de trésorerie direct, qui est réinvesti (et mis à profit) dans davantage de puissance de calcul, de centres de données, de talents et d’acquisitions — dont la plupart se situent bien sûr aux États-Unis, avec seulement quelques emplois marginaux ailleurs. Les clients européens paient pour avoir le privilège de financer une infrastructure qui renforce leurs concurrents.
Ce n’est pas un complot (même si certains le traitent littéralement comme tel). C’est toutefois un modèle économique parfaitement rationnel — un concept qu’on connaît d’une autre époque et d’un autre contexte, mais ça mériterait une discussion plus longue. Ça veut dire qu’en tant que pays, tu paies en fait deux fois : une première fois en tant que cofinancier de l’infrastructure via les coûts publics du réseau, ses modernisations et la pression sur les prix de l’énergie ; et une deuxième fois en tant que client, en payant pour les services que cette infrastructure fournit. La valeur tirée de cette transaction ne circule pas dans ton économie. Elle est extraite et concentrée ailleurs.
Risques politiques – Quand on coupe le courant
Sans une illustration concrète des enjeux, l’argument économique peut encore paraître abstrait. L’argument concernant la dépendance politique, lui, n’a rien d’abstrait.
Lorsque la Russie a envahi l’Ukraine en 2022, les entreprises technologiques occidentales ont commencé à se retirer du marché russe, en coordination avec les sanctions. Oracle est parti « brusquement, en emportant avec lui les licences prépayées », ce qui a déclenché des litiges entre les distributeurs et les clients finaux. Microsoft a suspendu toutes les nouvelles ventes en mars 2022 et, en mars 2024, avait coupé l’accès à plus de 50 produits cloud, dont Teams, Power BI et Dynamics, pour les organisations russes. Amazon a cessé d’accepter de nouvelles inscriptions à AWS en provenance de Russie et de Biélorussie. L’ensemble de l’infrastructure cloud occidentale, que les entreprises et les clients gouvernementaux russes avaient profondément intégrée à leurs opérations, a cessé de fonctionner. Au moment du retrait, Microsoft était utilisé par jusqu’à 90 % des entreprises et des clients publics en Russie.
Dans ce cas précis, c’est le gouvernement russe qui a déclenché une guerre, provoquant une riposte géopolitique sous forme de sanctions. Le débat porte sur ce que cet événement révèle aux autres pays.
Ça montre que si tes infrastructures critiques, tes systèmes gouvernementaux, tes opérations industrielles et tes données économiques dépendent d’une technologie étrangère – contrôlée par des entreprises relevant d’une seule juridiction ayant leurs propres intérêts stratégiques –, alors la continuité de tes opérations dépend de la bonne volonté de cette juridiction. Le commutateur peut être actionné. Il peut l’être.
Ce n’est pas un risque hypothétique pour les démocraties alliées dans des conditions normales. Mais les conditions ne sont pas toujours normales. Les tensions commerciales peuvent s’intensifier. Les gouvernements changent. Les intérêts stratégiques divergent. Les pays qui ont observé le cas russe mais continuent de penser que leur dépendance est inoffensive parce qu’ils sont actuellement alignés sur Washington font un pari sur une stabilité géopolitique que l’histoire ne confirme pas.
La dimension sécuritaire aggrave encore ce problème. Lorsque les entreprises retirent leur soutien et leurs mises à jour – comme l’a fait Oracle en coupant immédiatement les correctifs de sécurité pour les utilisateurs russes –, les systèmes laissés pour compte ne cessent pas simplement de fonctionner. Ils deviennent exposés. Une infrastructure non corrigée est une infrastructure vulnérable. Les pays qui ont externalisé leur continuité opérationnelle à des fournisseurs étrangers externalisent par extension une partie de leur dispositif de sécurité.
Cependant, cela a de nombreuses autres répercussions sur les nations souveraines.
Un exemple parmi tant d’autres : l’« extraction d’innovation »
Et tout le monde sait que je suis un grand fan des start-ups — les arguments économiques et politiques ci-dessus concernent principalement des institutions comme les gouvernements, les grandes entreprises et les opérateurs d’infrastructures critiques. Mais il existe une quatrième dimension qui retient bien moins l’attention et qui détermine où se construit l’avenir : l’écosystème des start-ups.
AWS, Microsoft et Google ont mis en place dès le départ des programmes de crédits très ambitieux ciblant les start-ups. AWS Activate offre jusqu’à 100 000 dollars de crédits (jusqu’à 1 million de dollars pour certaines promotions d’accélérateurs) ; Microsoft for Startups offre jusqu’à 150 000 dollars de crédits Azure ; Google for Startups offre jusqu’à 350 000 dollars aux start-ups spécialisées dans l’IA. Ce ne sont pas des sommes négligeables pour une entreprise en phase de démarrage qui surveille de près ses réserves de trésorerie. Ces crédits ont une réelle valeur, et les hyperscalers savent exactement ce qu’ils achètent avec.
Ce qu’ils achètent, c’est une dépendance architecturale au moment où l’entreprise est la plus malléable – un peu comme un dealer qui cible les personnes qui souffrent le plus.
Une start-up qui construit toute sa pile technologique sur les services propriétaires d’AWS – c’est-à-dire des offres comme Bedrock, Lambda et DynamoDB – ne se contente pas d’utiliser une infrastructure cloud. Elle fait des choix architecturaux dont le revirement devient de plus en plus coûteux à mesure que l’entreprise se développe. Les coûts de sortie sont donc loin d’être nuls : les frais de sortie sont élevés, les dépendances vis-à-vis des API propriétaires nécessitent des réécritures, et les compétences ainsi que la « mémoire musculaire » de l’équipe d’ingénieurs sont calibrées sur la boîte à outils d’un seul fournisseur. Lorsque les crédits sont épuisés, le coût de la migration est souvent prohibitif par rapport au simple fait de continuer à payer.
La distorsion de concurrence que ça crée n’est pas subtile. Une start-up européenne qui s’appuie sur une infrastructure cloud souveraine européenne part d’une base de coûts que les hyperscalers américains peuvent sous-cotiser grâce à des crédits subventionnés pendant des années. Le résultat structurel, c’est que les start-ups européennes les plus prometteuses se retrouvent prisonnières de l’infrastructure américaine à leur phase de croissance la plus critique, avant d’être assez grandes pour évaluer sérieusement des alternatives. Des alternatives européennes comme OVHcloud ou Scaleway proposent aussi ce genre de programmes pour start-ups, mais sans la puissante machine marketing, c’est dur de rivaliser.
Même le célèbre rapport Draghi sur la compétitivité européenne a clairement mis en avant ce problème structurel : « Compte tenu de la domination des fournisseurs américains, l’UE doit trouver un juste milieu entre la promotion de son secteur du cloud national et la garantie d’un accès aux technologies dont elle a besoin. » Les fournisseurs de cloud locaux de l’UE détiennent actuellement environ 15 % du marché européen du cloud ; les hyperscalers en détiennent environ 70 %. Cet écart n’était pas inévitable. Il s’est construit, petit à petit, précisément à travers ces dynamiques – crédits, mécanismes de verrouillage, gravité de l’écosystème – qui se sont amplifiées au fil d’une décennie. On l’a littéralement invité et on l’a célébré.
Ce qu’exige réellement la souveraineté
Alors, après toutes ces « plaintes », à quoi ressemble une véritable souveraineté numérique, compte tenu de tout ça ?
Pas un mur. Tenter de couper les entreprises européennes des services cloud américains détruirait d’énormes quantités de valeur et n’est ni réaliste ni souhaitable d’aucune façon. On vit dans une économie mondialisée et ça ne changera pas à mesure que la complexité augmente ; il y a certaines choses qu’on ne peut pas changer. Le but, ce n’est pas l’autarcie – ce que la plupart des gens défendent en réalité dans le débat sur la souveraineté. C’est la capacité à faire des choix : disposer d’alternatives viables, conserver un levier d’action et éviter ce genre de dépendance critique qui t’enlève toute liberté d’action quand les enjeux sont les plus importants.
Ça implique plusieurs éléments qui doivent fonctionner en même temps :
- Une clarté réglementaire sur la propriété, pas seulement sur la localisation. Le système de certification cloud de l’UE (EUCS) reste en suspens. Tant qu’il n’aura pas tracé une ligne claire sur la question de la propriété – pas seulement où les données sont stockées, mais qui contrôle légalement l’accès à celles-ci –, il risque de donner lieu à une mise en scène de conformité qui ne profite à personne. La section 702 de la loi FISA doit être renouvelée ; les institutions européennes devraient donc se prononcer officiellement sur son incompatibilité structurelle avec tout cadre transatlantique viable de gouvernance des données. Au moins, les « Sovereignty Effectiveness Assurance Levels » (SEAL) ont été lancés en avril 2026 pour apporter plus de clarté sur la définition de la souveraineté. Cependant, cette initiative mélange plusieurs concepts — contrôle juridique, souveraineté et autarcie — qui ne sont pas encore clairement distingués les uns des autres, ce qui en fait un pas dans la bonne direction, mais pas encore tout à fait en phase avec les réalités pratiques.
- Un véritable investissement dans des alternatives européennes, pas seulement dans des infrastructures de conformité. L’enveloppe de 1,8 milliard d’euros allouée par la France dans son plan de relance pour la souveraineté du cloud et l’engagement de 3 milliards d’euros de l’Allemagne dans sa stratégie numérique sont significatifs. Mais les 50 milliards d’euros par an de nouvelles dépenses d’investissement qui seraient nécessaires pour reproduire de manière significative la capacité cloud européenne actuellement louée aux trois hyperscalers – comme le souligne le rapport Draghi – montrent l’ampleur de ce qui est réellement nécessaire. Les investissements dans les infrastructures européennes d’IA (le plan d’action « EU AI Continent » vise à tripler la capacité des centres de données de l’UE en cinq à sept ans) doivent s’accompagner d’une politique de marchés publics qui donne aux fournisseurs européens une chance réaliste de concourir pour les contrats qui financent leur croissance.
- Une approche économique honnête dans la politique des centres de données. Les pays devraient cesser d’évaluer les investissements des hyperscalers dans les centres de données uniquement en termes de victoires ou de récits médiatiques. Les coûts liés aux infrastructures publiques – modernisation du réseau électrique, pression sur les prix de l’énergie, coûts liés à la congestion – devraient être pris en compte dans le bilan, d’autant plus que des projets souverains pourraient alors se retrouver hors de prix ou être évincés. La question n’est pas de savoir si un centre de données crée des emplois (les études sont de plus en plus sceptiques quant à sa capacité à générer des emplois technologiques locaux significatifs) ; la question est de savoir si le bilan économique global est favorable, ou si le pays subventionne en réalité une infrastructure qui extrait de la valeur.
- L’interopérabilité et la portabilité comme normes non négociables. Les dispositions de la loi européenne sur les données concernant le changement de fournisseur de cloud (prévues d’ici 2027) constituent un pas dans la bonne direction, mais c’est leur application qui déterminera si elles ont un réel impact. Les frais de sortie élevés et le verrouillage par des API propriétaires ne sont pas des inévitabilités techniques — ce sont des choix de conception délibérés. Les traiter comme tels dans la réglementation change la donne.
- Une infrastructure souveraine en matière d’IA comme priorité stratégique, pas comme un simple plus. Les arguments économiques et géopolitiques convergent vers un seul point : à mesure que l’IA devient la couche infrastructurelle de l’économie – touchant la santé, l’éducation, la finance, le droit, les services publics –, la question de savoir qui contrôle cette infrastructure n’est pas une question de politique technologique. C’est une question de souveraineté économique, au même titre que l’indépendance énergétique ou financière. Les pays qui s’en rendront compte les premiers seront ceux qui auront encore le choix dans dix ans.
La vraie question
Je veux finir là où j’ai commencé : par la façon dont tout ce débat est présenté.
Chaque fois qu’on parle de souveraineté numérique dans une commission parlementaire, lors d’un conseil d’administration, d’un événement politique ou d’une réunion ministérielle, la discussion est présentée comme un défi de conformité réglementaire ou une question de protection des données (« Est-ce que quelqu’un peut accéder à nos données ? »). Ces enjeux sont bien réels, mais ils ne sont que la conséquence d’un phénomène plus vaste et bien plus inquiétant : les implications du fait de devenir un client plutôt qu’un producteur de l’infrastructure qui sera le moteur de la prochaine révolution industrielle.
On devrait donc se poser la vraie question : où la valeur est-elle créée, où s’accumule-t-elle, et quel pouvoir concentre-t-elle ?
L’Europe compte des centaines de millions d’utilisateurs, certaines des entreprises les plus importantes au monde et des instituts de recherche de premier plan, ainsi qu’une génération d’entrepreneurs qui développent des produits de classe mondiale. Toute cette activité génère des données, de la valeur économique et un effet de levier structurel. La question est de savoir si cette valeur reste au sein du système, où elle circule et s’accumule pour financer la prochaine génération de développeurs, ou si elle est extraite via la couche d’infrastructure et réinvestie ailleurs. Même si je ne suis pas favorable aux tendances nationalistes, aux économies en circuit fermé ou au protectionnisme, l’infrastructure numérique devient un élément important de la société, et on devrait la traiter de la même manière qu’on traite notre eau ou nos routes.
Pour l’instant, on se contente souvent de renoncer à notre souveraineté et on se réjouit quand on cède des infrastructures critiques à d’autres pour qu’ils nous exploitent. Ce n’est pas parce que les Européens sont moins compétents. C’est parce que les systèmes – les cadres juridiques, les flux d’investissement, les habitudes en matière de marchés publics et les programmes de crédit pour les start-ups – sont structurés de telle manière que l’extraction devient la voie de la moindre résistance.
Comme j’aime à le dire, le problème n’est jamais le problème, car les gens considèrent souvent le symptôme d’un problème comme le problème lui-même. Et oui, la plupart des discussions aujourd’hui portent sur un symptôme du système. Ici, le système a une forme bien précise : l’Europe paie pour utiliser des infrastructures qu’elle ne contrôle pas, cofinance ces infrastructures par des dépenses publiques dont elle ne rend pas pleinement compte, forme la prochaine génération de constructeurs à utiliser des outils qui les limitent, puis regarde l’effet de levier économique s’accumuler ailleurs.
Pour changer ça, il faut d’abord le voir clairement. C’est le but de cet article – et j’espère que beaucoup plus de gens prendront conscience de ce qui se passe.
Comments are closed.