Cloud and AI Development Act (CADA) : l’UE réintroduit un critère de souveraineté pour les fournisseurs cloud
![Image Le [Kill Switch] américain dans la cybersécurité : une réalité ?](https://incyber.org//wp-content/uploads/import/post/2022/06/cyber-souverainete-europeenne-reve-ou-realite-885x690.jpg)
La Commission européenne a présenté, le 3 juin 2026, un projet de règlement, le Cloud and AI Development Act (CADA), qui réintroduit le critère de souveraineté retiré de la certification EUCS. L’objectif du CADA est de « renforcer l’écosystème, les investissements et les infrastructures de l’UE dans les domaines du cloud et de l’IA », grâce à des mesures de soutien et de financement. Il entend également réduire la dépendance stratégique à l’égard des acteurs étrangers.
Le CADA introduit une grille d’évaluation de la souveraineté des fournisseurs de services cloud et d’IA. Son niveau le plus élevé s’inspire du référentiel SecNumCloud de l’Anssi. Ce cadre doit notamment guider la commande publique vers des acteurs adaptés à la criticité des services concernés. Il s’articule autour de quatre paliers d’exigences croissantes :
- Niveau 1 : les infrastructures et les données doivent être localisées dans l’Union européenne ;
- Niveau 2 : ajout d’exigences sur l’indépendance à l’égard de pays tiers et la transparence de la chaîne logicielle ;
- Niveau 3 : le fournisseur doit être détenu et contrôlé par une structure de droit européen et soumis à des exigences de gouvernance et de personnel ;
- Niveau 4 : le fournisseur doit garantir une maîtrise complète de la chaîne logicielle et l’absence d’interférence possible d’un pays tiers, avec notamment une imperméabilité aux lois extraterritoriales.
Ce système reprend, presque à l’identique, les contours du critère de souveraineté retiré en 2024 du European Union Cybersecurity Certification Scheme for Cloud Services (EUCS), une certification des infrastructures cloud prévue par le Cybersecurity Act. Défendu par la France, ce critère a provoqué une longue bataille politique. Elle a conduit à la suppression de toute mention de la souveraineté dans l’EUCS, recentré sur les seuls enjeux de cybersécurité.
L’UE réintroduit donc cette dimension. Elle ne prend plus la forme d’une certification que les fournisseurs doivent obtenir, comme l’EUCS ou le SecNumCloud, mais d’un ensemble de critères conditionnant l’accès à certaines commandes publiques. La souveraineté d’une offre sera donc étudiée directement par les États.
Le CADA entame son parcours législatif. Son entrée en vigueur ne devrait pas intervenir avant deux ou trois ans.