Cloud souverain : l’UE se dote d’un barème controversé

La Direction générale des services numériques de la Commission européenne a publié, fin octobre 2025, le « Cloud Sovereignty Score », un référentiel destiné à orienter les marchés publics de services cloud dans l’UE. Il entend favoriser des prestataires répondant à des critères de souveraineté, via un barème établi selon huit dimensions : gouvernance, droit, données, opérations, chaîne d’approvisionnement, technologie, sécurité et durabilité.

Ce dispositif résulte de l’absence d’accord sur le schéma européen de certification du cloud (« EUCS », European Union Cybersecurity Certification Scheme for Cloud Services). Entamées en 2020, les négociations sur cette labellisation achoppent sur la question de l’imperméabilité aux lois extraterritoriales. Certains pays, dont la France, militent pour des critères très exigeants au niveau le plus élevé du schéma. D’autres prônent des obligations plus souples.

Ce Cloud Sovereignty Score suscite par ailleurs de nombreuses critiques. Le barème n’accorde en effet qu’une importance réduite aux questions de juridiction et de sécurité – 10 % du score. Selon la CISPE (Cloud Infrastructure Services Providers in Europe), l’association européenne des fournisseurs d’infrastructures cloud, « les hyperscalers américains pourraient marquer plus de points que les fournisseurs européens eux-mêmes ».