CADA : la souveraineté cloud devient mesurable, ce que les DPO doivent anticiper

8/6/26
👈 les autres actualités

La Commission européenne précise les contours du Cloud and AI Development Act (CADA), le futur règlement censé doper l'industrie européenne du cloud et de l'IA. Au programme : des « zones d'accélération » pour faire sortir de terre les datacenters plus vite, des seuils d'efficacité énergétique contraignants et, surtout, la codification du Cloud Sovereignty Framework en quatre niveaux d'assurance. Derrière ces objectifs industriels se cache un sujet très concret pour les DPO et les RSSI : la manière dont on choisira, demain, ses prestataires cloud.

Ce qui s'est passé

Le CADA est l'un des piliers du paquet souveraineté technologique présenté par Bruxelles. La Commission y intègre trois séries de dispositions structurantes. D'abord, des objectifs d'efficacité énergétique pour les datacenters : un PUE (Power Usage Effectiveness) cible de 1,15 et un taux d'utilisation des serveurs d'au moins 50 %, pour limiter l'empreinte environnementale d'infrastructures appelées à se multiplier. Ensuite, la création de « zones d'accélération » assorties de procédures d'autorisation accélérées — un objectif de 12 mois — pour réduire les délais d'implantation des nouvelles capacités de calcul. Enfin, et c'est sans doute le point le plus important pour la conformité, la codification du Cloud Sovereignty Framework autour de quatre niveaux d'assurance de souveraineté cloud.

Ces mesures restent au stade de la proposition et devront cheminer dans le processus législatif européen. Mais elles donnent une grille de lecture claire de la direction prise : passer d'une souveraineté revendiquée à une souveraineté mesurable, adossée à des critères vérifiables.

Pourquoi c'est important

Le CADA s'inscrit dans la continuité du paquet souveraineté technologique dévoilé par la Commission, qui vise à réduire la dépendance aux hyperscalers américains contrôlant plus de 70 % du marché cloud européen. La codification du Cloud Sovereignty Framework n'arrive pas en terrain vierge : elle prolonge des initiatives nationales comme le référentiel C3A publié par le BSI allemand, qui structure déjà la souveraineté autour de la localisation des données, de la résistance à l'extraterritorialité et du contrôle des clés.

Pour un DPO, ces niveaux d'assurance ne sont pas un débat abstrait de politique industrielle. Ils touchent directement aux obligations des articles 28 et 32 du RGPD : choisir un sous-traitant présentant des « garanties suffisantes » et sécuriser les traitements. Un référentiel européen à quatre niveaux offre enfin une échelle commune pour évaluer la résistance d'un prestataire au Cloud Act et aux lois extraterritoriales américaines, là où chaque organisation devait jusqu'ici bricoler sa propre analyse de transfert (TIA).

Ce que ça change pour les organisations

Concrètement, les DPO et RSSI ont intérêt à anticiper plutôt qu'à attendre l'entrée en vigueur. Plusieurs chantiers se dessinent. Le premier consiste à intégrer dès maintenant la logique des niveaux d'assurance dans le questionnaire fournisseur cloud : localisation, gouvernance des clés, exposition à l'extraterritorialité deviennent des critères de sélection, pas de simples cases à cocher. Le deuxième chantier concerne la cartographie des rôles. Les récentes orientations de la CNIL sur les qualifications des acteurs du cloud rappellent que le client reste en principe responsable de traitement et le fournisseur sous-traitant : il faut savoir qui fait quoi avant de signer.

Le volet énergétique, lui, ne doit pas être négligé sous prétexte qu'il relève d'abord de l'environnement. Les seuils de PUE renvoient à la question, déjà sensible, de la transparence sur l'empreinte des datacenters, où le secret commercial a souvent pris le pas sur le droit à l'information. Un prestataire incapable de documenter ses indicateurs énergétiques sera aussi, souvent, un prestataire opaque sur sa chaîne de sous-traitance — un signal à intégrer dans l'évaluation globale du risque.

Ce que Leto pense de cette décision

Le CADA marque une bascule bienvenue : la souveraineté cloud cesse d'être un argument marketing pour devenir un standard mesurable. Pour les DPO, c'est une bonne nouvelle, à condition de ne pas attendre le texte définitif. Les quatre niveaux d'assurance préfigurent ce que sera, demain, la diligence raisonnable attendue d'une organisation : ceux qui auront déjà classé leurs prestataires sur une échelle de souveraineté partiront avec une longueur d'avance. Notre conseil : traiter ce cadre non comme une contrainte future, mais comme la grille d'audit fournisseur que beaucoup auraient déjà dû adopter.

Sources : Silicon.fr — « De la fédération EuroCloud aux zones d'accélération, ce qui se dessine avec le CADA »

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026