La Direction générale des services numériques de la Commission européenne a publié en octobre 2025 son "Cloud Sovereignty Score", un référentiel administratif désormais intégré aux marchés publics européens de cloud.
Faire de la souveraineté une variable d'achat
Concrètement, le texte fixe des critères selon lesquels l'administration européenne doit évaluer l'aspect souverain des prestataires cloud dans ses appels d'offres. Les fournisseurs doivent atteindre un niveau minimal d'assurance (SEAL, pour Sovereignty Effective Assurance Level) et se verront attribuer un score. Celui-ci est pondéré sur huit axes : la gouvernance, le droit, les données, les opérations, la chaîne d'approvisionnement, la technologie, la sécurité et la durabilité. En d'autres termes, la souveraineté devient une variable d'achat.
Dans le détail, le score est calculé à partir des réponses des prestataires candidats à un questionnaire. Chaque question correspond à un objectif de souveraineté. Chaque réponse est notée, pondérée et agrégée pour produire une note globale, exprimée en pourcentage. Ce score est ensuite intégré dans la grille d'évaluation de l'appel d'offres, au même titre que la note technique, la note financière et la note qualité. La souveraineté représente ainsi jusqu'à 15% à 20% du score total attribué au fournisseur.
Un effet d'entraînement pour les Etats membres et le privé
Même s'il n'est pas juridiquement contraignant pour eux, le Cloud Sovereignty Score est recommandé aux administrations nationales qui bénéficient de financements européens. La Commission européenne incite ainsi les Etats membres à reprendre la même grille d'évaluation pour leurs propres achats publics, afin d'harmoniser la demande.
Le cadre est aussi susceptible d'avoir un effet d'entraînement sur le secteur privé. Les entreprises ont intérêt à suivre de près ces critères, qui pourraient devenir un standard dans les appels d'offre.
Surmonter l'impasse de l'EUCS
Ce cadre découle du blocage sur le schéma européen de certification du cloud (EUCS pour European Union Cybersecurity Certification Scheme for Cloud Services). Issu du Cybersecurity Act, ce schéma vise à harmoniser les labels de cloud computing au niveau européen afin d'éviter une fragmentation du marché.
Alors que le premier projet a été publié en 2020, le schéma européen de certification cloud n'a toujours pas de version définitive. Les Etats membres s'écharpent sur les critères de protection contre les lois extra-territoriales, américaines en premier lieu. La France souhaite, à l'image de son visa SecNumCloud, intégrer des critères exigeants dans le niveau le plus élevé du label tandis que certains pays plaident pour des obligations beaucoup plus souples.
En attendant, la Commission a décidé d'agir seule en appliquant ses propres critères dans la commande publique, sans attendre l'issue du débat publique.
Un score bancal
Sur le papier, le cadre introduit une logique séduisante : mesurer la souveraineté à travers des indicateurs vérifiables. Or, plusieurs points peuvent être critiqués. En premier lieu : les pondérations choisies, 20% pour la chaîne d'approvisionnement contre 10% seulement pour la juridiction et la sécurité. En d'autres termes, le score privilégie les aspects opérationnels ou environnementaux, plus faciles à documenter que la réalité juridique du contrôle européen.
Dans les faits, cela pourrait signifier qu'un fournisseur américain capable d'héberger ses services au sein de l'UE, d'y employer du personnel local et de respecter les standards de durabilité pourrait obtenir un score plus élevé sans que son infrastructure ou son code n'échappent pas au droit américain. Cette absurdité a été dénoncée par la Cloud Infrastructure Service Providers in Europe (CISPE) - l'association européenne de fournisseurs d'infrastructures cloud - dans un communiqué intitulé "No Such Thing as 75% Sovereign".
L'illusion d'une préférence européenne
Pour l'association professionnelle, le cadre "combine des objectifs impossibles à atteindre (comme la traçabilité complète du hardware) à des notions vagues" au point où "les hyperscalers américains pourraient marquer plus de points que les fournisseurs européens eux-mêmes". Elle juge, qu'en l'état, l'outil introduit par Bruxelles risque de pérenniser la domination des géants américains - qui captent l'essentiel du marché européen - tout en donnant l'illusion d'une préférence européenne.
Autre point intéressant : le référentiel ne mentionne aucune obligation de publication des scores obtenus par les fournisseurs. Là où l'EUCS devait créer une certification commune et des barrières à l'entrée, le score bruxellois met en place une grille de notation souple, probablement utile à court terme mais incapable de garantir une indépendance technologique durable – si tant est qu’elle soit encore atteignable.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
