Empreinte environnementale des datacenters : le secret commercial gagne face à la transparence européenne

20/4/26
👈 les autres actualités

Le 20 avril 2026, le collectif Investigate Europe publie une enquête accablante : l'acte délégué européen de mars 2024 sur l'efficacité énergétique des datacenters a été modifié à la demande des Big Tech pour verrouiller, au nom du secret commercial, la quasi-totalité des données environnementales des infrastructures d'hébergement. Une dizaine de juristes consultés par le collectif estiment que la clause pourrait contrevenir à la Convention d'Aarhus et au droit d'accès du public à l'information environnementale.

Ce qui s'est passé

La directive européenne sur l'efficacité énergétique, entrée en vigueur en septembre 2023, prévoyait une grande avancée : imposer aux datacenters de plus de 500 kW la publication de leurs indicateurs clés (consommation électrique, empreinte hydrique, flexibilité de la demande, trafic de données). Ces informations devaient alimenter une base européenne centralisée, accessible au public au niveau agrégé.

L'acte délégué adopté en mars 2024 devait préciser les KPI à communiquer : PUE, WUE, taux de réutilisation d'énergie, part d'énergies renouvelables, capacité des batteries, types de réfrigérants, bande passante... Mais son article 5 introduit une clause imposant à la Commission et aux États membres de préserver la confidentialité de toutes les informations transmises, au motif que leur divulgation porterait atteinte aux intérêts commerciaux des exploitants.

Selon Investigate Europe, le lobby DigitalEurope et Microsoft avaient invoqué ces mêmes arguments lors de la consultation publique. Bruxelles les a repris « presque mot pour mot ». Microsoft plaidait notamment que des données brutes comme la consommation ou le trafic pouvaient guider les concurrents dans leurs investissements, voire faciliter la tâche d'attaquants cherchant à évaluer l'impact d'une cyberattaque sur un datacenter.

Pourquoi cette décision résonne avec le RGPD

L'enjeu dépasse largement le climat. Pour les DPO et les RSSI, la question de la transparence sur l'infrastructure d'hébergement est un marqueur central du principe d'accountability : un responsable de traitement qui confie des données à un hébergeur doit pouvoir documenter où, comment et dans quelles conditions elles sont traitées. C'est le socle du registre des traitements et, plus largement, de la chaîne de sous-traitance encadrée par l'article 28 du RGPD.

La décision européenne introduit une tension : les exploitants de datacenters peuvent brandir le secret commercial pour limiter la granularité des informations fournies à leurs clients, alors même que ces derniers ont besoin de ces mêmes informations pour répondre à leurs obligations RGPD, NIS 2 ou encore CSRD. C'est d'autant plus problématique que le débat sur la souveraineté des datacenters de proximité reprend de la vigueur : 63 % des collectivités hébergent leurs données dans des infrastructures vétustes, sans visibilité sur l'empreinte environnementale ni sur les flux de données.

Ce que ça change pour les organisations

Pour les entreprises et administrations qui confient des données à des hébergeurs hyperscalers, trois réflexes s'imposent. D'abord, renforcer les audits contractuels : les audits de sous-traitants doivent désormais intégrer des clauses sur la transparence énergétique et environnementale, en complément des clauses classiques de sécurité. Ensuite, intégrer dans les DPA une obligation de communication des indicateurs PUE, WUE et part d'ENR par site, y compris lorsque le règlement européen ne les impose pas publiquement. Enfin, anticiper les arbitrages avec la CSRD : le reporting de durabilité exige des chiffres sourcés, et l'argument « secret commercial » ne sera pas opposable à un commissaire aux comptes.

Les collectivités et opérateurs de services essentiels devraient également inscrire ces critères dans leurs marchés publics : la visibilité sur l'empreinte environnementale et la localisation des données est déjà un critère d'attribution dans plusieurs appels d'offres récents.

Ce que Leto pense de cette décision

La consécration du secret commercial dans l'acte délégué envoie un signal politique délétère : celui d'une Union qui accepte de sacrifier sa propre ambition environnementale sur l'autel des arbitrages industriels. À l'heure où la directive CSRD et la taxonomie verte obligent les entreprises à rendre des comptes de plus en plus granulaires, refuser cette transparence aux opérateurs d'infrastructures critiques crée une asymétrie difficilement tenable. Les DPO et responsables conformité auraient tort de considérer le sujet comme étranger à leur périmètre : la transparence sur l'hébergement est un prolongement logique du principe d'accountability du RGPD, et les tribunaux européens ne manqueront pas de rappeler, le moment venu, que la Convention d'Aarhus prime sur les arbitrages commerciaux.

Sources : Silicon.fr — Datacenters : la mesure d'impact environnemental se heurte au secret commercial · Investigate Europe · Directive 2023/1791 sur l'efficacité énergétique · Convention d'Aarhus

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026