AWS et Azure dans le viseur du DMA : Bruxelles ouvre la voie à un encadrement inédit des géants du cloud
La Commission européenne a ouvert en novembre 2025 des enquêtes formelles visant Amazon Web Services (AWS) et Microsoft Azure pour les désigner comme "services de plateforme essentiels" au sens du Digital Markets Act. Si cette qualification est confirmée, elle soumettra ces deux mastodontes du cloud à des obligations de transparence, d'interopérabilité et d'ouverture sans précédent en Europe. Un tournant réglementaire majeur pour toutes les organisations qui s'appuient sur ces infrastructures.
Ce qui s'est passé
En novembre 2025, la Commission européenne a ouvert des enquêtes formelles contre AWS et Microsoft Azure dans le cadre du Digital Markets Act (DMA). L'objectif : déterminer si ces deux fournisseurs cloud atteignent les seuils requis pour être qualifiés de "contrôleurs d'accès" (gatekeepers) au titre de leurs services d'infrastructure cloud.
Trois critères ont particulièrement motivé l'ouverture de ces enquêtes : le poids économique considérable d'AWS et Azure en Europe, les effets de verrouillage qu'ils génèrent pour les entreprises clientes (coûts de migration, dépendances techniques), et surtout leurs capacités croissantes en intelligence artificielle. L'IA a donc joué un rôle déterminant dans la décision de Bruxelles d'élargir le champ du DMA au-delà des plateformes de consommation.
AWS et Azure disposent désormais de droits de défense avant la publication d'un avis préliminaire de la Commission. Ce mécanisme contradictoire est classique dans les procédures DMA, mais la temporalité est serrée : une désignation formelle pourrait intervenir d'ici fin 2026.
Pourquoi c'est important
Jusqu'ici, le DMA ciblait principalement les plateformes grand public : moteurs de recherche, réseaux sociaux, app stores. L'extension aux services cloud B2B constitue un précédent majeur. AWS contrôle environ 30 % du marché cloud mondial, Azure environ 25 %. À eux deux, avec Google Cloud, ces trois acteurs représentent plus de 70 % du marché européen — une concentration que Bruxelles juge incompatible avec une économie numérique compétitive.
Cette démarche s'inscrit dans un contexte plus large de paquet souveraineté technologique dévoilé par la Commission en juin 2026, qui prévoit notamment le triplement des capacités de datacenters en Europe d'ici 2030 et l'introduction de critères non tarifaires dans les marchés publics pour favoriser les prestataires cloud européens.
La dimension IA est centrale : en intégrant leurs capacités d'intelligence artificielle comme critère de désignation DMA, la Commission signale que les modèles de fondation et les services d'IA embarqués dans les offres cloud (Amazon Bedrock, Azure OpenAI Service) entrent désormais dans le radar réglementaire. Une logique cohérente avec l'AI Act, qui entre pleinement en application en 2025-2026.
Pour les DPO et juristes en charge de la relation avec ces prestataires, le dossier RGPD reste entier : les qualifications cloud et les rôles de sous-traitant sont régis par l'article 28 du RGPD, et la CNIL a récemment clarifié les qualifications applicables aux acteurs cloud. Le DMA y ajoute une couche de contraintes spécifiquement concurrentielles.
Ce que ça change pour les organisations
Si AWS et Azure sont formellement désignés comme gatekeepers cloud, les obligations qui s'appliqueraient seraient concrètes et structurantes :
- Interopérabilité obligatoire : les fournisseurs cloud devront permettre la portabilité des données et l'interopérabilité technique avec des solutions tierces, facilitant la migration des entreprises.
- Transparence tarifaire : les pratiques de bundling et les remises conditionnées à l'exclusivité sur un seul fournisseur cloud seraient encadrées.
- Accès non discriminatoire aux APIs et services d'infrastructure pour les concurrents.
Pour les directions juridiques et les DPO, c'est aussi l'occasion de renforcer les clauses contractuelles avec ces prestataires. La question de la réversibilité et du droit de sortie sans frais excessifs devrait être systématiquement abordée dans les négociations de DPA et de contrats cadres. À ce sujet, notre guide AWS, RGPD et Cloud Act reste une référence utile pour structurer l'analyse des risques liés à ces fournisseurs.
À plus court terme, les organisations qui dépendent massivement d'AWS ou Azure ont intérêt à documenter leur niveau de verrouillage et à anticiper des clauses de sortie dans leurs prochains renouvellements de contrat. Le référentiel C3A publié par le BSI allemand offre une grille d'évaluation concrète de la souveraineté cloud applicable à tout prestataire.
Ce que Leto pense de cette décision
L'extension du DMA au cloud B2B est une décision courageuse et logiquement cohérente. Il était difficile de justifier que des plateformes de quelques millions d'utilisateurs soient soumises aux obligations de gatekeeper, tandis que des infrastructures dont dépend l'ensemble de l'économie numérique européenne restaient en dehors du champ. L'introduction de l'IA comme critère de désignation est particulièrement pertinente : AWS Bedrock et Azure OpenAI ne sont plus de simples outils — ils structurent la compétitivité des entreprises clientes.
La question qui reste ouverte est celle de l'effectivité. Le DMA a montré des limites dans son application aux grandes plateformes grand public, avec des délais de mise en conformité qui s'étirent. Un encadrement du cloud nécessitera des expertises techniques pointues et une capacité de contrôle que la Commission devra démontrer.
Sources : Silicon.fr — AWS et Azure face au DMA
