Cloud souverain : 23 États européens sur 28 dépendent des géants américains pour leur défense

28/4/26
👈 les autres actualités

Vingt-trois États européens sur les vingt-huit étudiés ont confié des fonctions critiques de leur défense nationale à des entreprises technologiques américaines. C'est le constat d'un rapport du Future of Technology Institute (FOTI) publié en avril 2026, qui chiffre pour la première fois l'ampleur d'une dépendance jusqu'ici dissimulée par le sceau de la classification militaire. Pour les DPO et RSSI confrontés aux questions de souveraineté numérique, le document remet sur la table un risque que la jurisprudence Schrems II avait déjà ouvert : la perte de contrôle sur la chaîne technologique.

Ce qui s'est passé

Le FOTI a croisé les bases de données ouvertes de marchés publics des vingt-huit pays européens étudiés. Le résultat est sans appel : Microsoft est présent dans 19 déploiements de défense, Oracle dans 5, Google dans 4. Microsoft fournit la messagerie institutionnelle, la logistique opérationnelle et même la gestion du personnel militaire à une grande majorité des agences de défense des États membres.

Seize agences ou ministères de défense sont classés haut risque par le rapport — soit qu'elles contractent directement avec un hyperscaler américain, soit que les systèmes utilisés ne soient pas véritablement air-gappés, c'est-à-dire physiquement déconnectés de l'infrastructure cloud mondiale. Parmi eux : Allemagne, Pologne, Estonie, Royaume-Uni, Danemark, Roumanie. La France, la Belgique, le Luxembourg et l'Espagne sont classés en risque moyen. L'Autriche est le seul État européen jugé à faible risque, grâce à une mise en œuvre significative de solutions souveraines.

Le document remet aussi en cause l'argument commercial du « cloud souverain » version hyperscaler — AWS Sovereign Cloud, Delos Cloud — en rappelant que ces infrastructures, opérées par des équipes locales, restent technologiquement tributaires des États-Unis pour les mises à jour et la maintenance.

Pourquoi c'est important

Ce qui était hier un débat d'experts en souveraineté est devenu un risque opérationnel documenté. L'épisode du juge français Nicolas Guillou à la Cour pénale internationale, sanctionné par l'administration Trump après avoir autorisé un mandat d'arrêt contre Benyamin Netanyahou, a montré la mécanique : Expedia a annulé ses réservations, son accès aux transports en commun a été perturbé. Microsoft aurait également coupé l'accès à la messagerie du procureur en chef de la CPI, Karim Khan — un point que l'éditeur conteste sans expliquer les circonstances.

Pour un DPO européen, l'enseignement dépasse le secteur de la défense. Toute organisation qui s'appuie sur un hyperscaler américain pour des données personnelles sensibles est exposée au même risque de coupure unilatérale, déclenchée par une décision politique extraterritoriale. Le sujet rejoint frontalement le Cloud Act et la protection des données face aux hyperscalers, ainsi que les clauses contractuelles types qui restent l'outil principal pour encadrer juridiquement les transferts de données vers les États-Unis.

Le rapport du FOTI prolonge un débat déjà nourri par la tribune InfraNum sur les datacenters de proximité, qui pointait que 63 % des collectivités françaises hébergent leurs données dans des infrastructures vétustes — une fragilité jumelle de la dépendance américaine.

Ce que ça change pour les organisations

Trois actions concrètes émergent pour les DPO et les RSSI confrontés à ces conclusions.

Auditer la chaîne technologique réelle, pas seulement les façades contractuelles. Le rapport montre que dans les contrats belges, allemands, italiens, luxembourgeois, espagnols et britanniques, des services cloud sont vendus comme « souverains » tout en restant tributaires d'entreprises américaines. L'exemple espagnol est édifiant : Telefónica a remporté en 2024 un contrat de 80,3 millions € pour bâtir le système d'information de défense espagnol I3D, mais l'opérateur a migré ses offres cloud sur Oracle en 2022. Conclusion pour le DPO : exiger du sous-traitant la cartographie complète de la chaîne d'hébergement, et la documenter dans le registre des traitements.

Anticiper le scénario de rupture. Le cas danois est instructif : Copenhague a annoncé en 2025 abandonner Microsoft Office dans certaines agences publiques, mais l'outil militaire SitaWare BattleCloud — censé fournir l'accès aux images satellites et aux communications — tourne sur Microsoft Azure. Quitter la suite bureautique ne suffit pas si l'infrastructure critique reste américaine. Pour une entreprise privée, l'exercice consiste à identifier les traitements pour lesquels une coupure de service serait incompatible avec la continuité d'activité, et à cadrer le transfert vers les États-Unis avec des garanties techniques (chiffrement, séparation des clés, hébergement en région UE) en plus des garanties juridiques.

Revisiter l'analyse d'impact sur les transferts (TIA). La logique post-Schrems II reposait sur l'évaluation du risque d'accès gouvernemental aux données. Le rapport FOTI ajoute une dimension : le risque de coupure à la demande. La TIA doit donc intégrer non seulement les hypothèses de surveillance mais aussi les hypothèses de sanction extraterritoriale. Le webinaire Leto sur les transferts hors UE revient sur la méthodologie applicable.

Ce que Leto pense de cette décision

Le rapport du FOTI est une douche froide pour quiconque avait pris au sérieux la promesse marketing du « cloud souverain » américain. La souveraineté numérique ne se réduit ni à un label, ni à un partenariat avec une filiale locale. Elle se mesure à la capacité, en cas de rupture, de maintenir le service sans dépendre d'une décision prise à Washington. Pour les DPO européens, le message est limpide : la conformité RGPD ne peut plus s'arrêter aux clauses contractuelles types — elle doit redescendre dans la stack technique et y vérifier que la chaîne d'hébergement n'a pas de point de coupure unique. À court terme, cela passera par des audits plus poussés des sous-traitants. À moyen terme, par une réallocation budgétaire vers des solutions véritablement européennes — ce que peu d'organisations ont aujourd'hui les moyens d'assumer pleinement.

Sources : Silicon.fr — Cloud et défense : le talon d'Achille de l'Europe (avril 2026) · Future of Technology Institute (FOTI)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026