Le 17 avril 2026, la Commission européenne a attribué un marché de 180 millions d’euros à quatre fournisseurs européens de cloud : Post Telecom (Luxembourg), StackIT (Allemagne), Scaleway (France), et un consortium mené par Proximus (Belgique). Il s’agissait de la première procédure d’appel d’offres où la souveraineté numérique a été explicitement mesurée et utilisée comme critère d’attribution. Pour ce faire, la Commission a développé et publié son Cadre de Souveraineté du Cloud (Cloud Sovereignty Framework) en octobre 2025, qui divise la souveraineté en huit domaines et cinq niveaux d’assurance.
Cet article examine trois aspects : la structure du cadre, ce qui s’est passé lors de cet appel d’offres, et ce que cela révèle sur la direction de la politique européenne d’achat public en matière d’autonomie numérique.
Le cadre dans ses grandes lignes
Le Cadre de Souveraineté du Cloud v1.2.1 évalue les fournisseurs de cloud selon huit domaines de souveraineté (SOV-1 à SOV-8) :
- SOV-1 Souveraineté stratégique : propriété, gouvernance, ancrage dans l’UE
- SOV-2 Souveraineté juridique et réglementaire : exposition aux législations extra-européennes comme le Cloud Act américain ou la Cybersecurity Law chinoise
- SOV-3 Souveraineté des données et de l’IA : contrôle cryptographique, résidence des données, pipelines d’IA
- SOV-4 Souveraineté opérationnelle : les acteurs européens peuvent-ils exploiter le service sans dépendre d’un fournisseur extérieur ?
- SOV-5 Souveraineté de la chaîne d’approvisionnement : origine du matériel, du firmware et de la distribution logicielle
- SOV-6 Souveraineté technologique : ouverture, logiciels libres, API non propriétaires
- SOV-7 Souveraineté en matière de sécurité et de conformité : certifications, localisation des SOC, droits d’audit
- SOV-8 Durabilité environnementale : efficacité énergétique, circularité
Pour chaque domaine, un Niveau d’Assurance de Souveraineté (NAS) est attribué, sur une échelle de cinq :
- NAS-0 : aucune souveraineté ; contrôle exclusif par des parties non-européennes
- NAS-1 Souveraineté juridique : le droit européen s’applique formellement, mais son application est limitée
- NAS-2 Souveraineté des données : le droit européen s’applique et est applicable, mais des dépendances matérielles non-européennes et un contrôle indirect par des tiers non-européens subsistent
- NAS-3 Résilience numérique : contrôle non-européen marginal
- NAS-4 Souveraineté numérique totale : aucune dépendance critique non-européenne
Le cadre repose sur deux mécanismes. D’abord, un seuil minimal : l’autorité contractante fixe un NAS minimal par domaine. Un soumissionnaire qui n’atteint pas ce seuil dans un domaine est exclu. Ensuite, un Score de Souveraineté qui compte comme critère qualitatif dans l’attribution. Le poids de chaque domaine est fixé dans le cadre :
| Domaine | Poids |
|---|---|
| SOV-5 Chaîne d’approvisionnement | 20% |
| SOV-1 Stratégique | 15% |
| SOV-4 Opérationnel | 15% |
| SOV-6 Technologique | 15% |
| SOV-2 Juridique et réglementaire | 10% |
| SOV-3 Données et IA | 10% |
| SOV-7 Sécurité et conformité | 10% |
| SOV-8 Durabilité environnementale | 5% |
La Commission justifie le poids réduit de SOV-2 et SOV-7 par le fait que ces domaines sont déjà couverts ailleurs dans la procédure d’appel d’offres. Si cette justification est défendable, elle signifie aussi que les domaines ayant l’impact le plus direct sur l’accès aux données sous une législation étrangère (SOV-2, SOV-3, SOV-7) ont le poids concurrentiel le plus faible après celui de l’environnement. Il sera donc important que ces autres critères soient explicitement mentionnés et rendus visibles dans la procédure d’attribution.
L’appel d’offres dans son contexte
L’appel d’offres a été lancé en octobre 2025 sous forme de mini-concurrence au sein du Système Dynamique d’Achat Cloud III (DPS), un accord-cadre de la Commission pour les services cloud. Le budget s’élève à 180 millions d’euros sur six ans, soit une moyenne de 30 millions par an, répartis entre quatre contrats parallèles. Les clients sont les institutions, agences et entreprises communes de l’UE couvertes par le DPS Cloud III, soit environ une centaine d’entités.
Cela peut sembler important, mais il est utile de mettre ce montant en perspective. Le DPS Cloud III lui-même a un plafond de 550 millions d’euros. L’appel d’offres souverain représente donc environ un tiers de cette capacité. Quatre mois plus tôt, en décembre 2024, la même Commission avait attribué un contrat à Amazon Web Services dans le cadre du même DPS, avec un plafond de 550 millions d’euros sur six ans. Autrement dit : un seul hyperscaler américain a reçu un plafond trois fois supérieur à celui de l’appel d’offres souverain, destiné à quatre fournisseurs européens réunis.
Dans une réponse au Parlement européen en mai 2025, la Commission a confirmé que 85 % de ses charges de travail s’exécutent sur du cloud privé, les 15 % restants étant répartis de manière quasi égale entre AWS, Microsoft Azure et OVHcloud. Aucune donnée financière publique n’est disponible pour Microsoft : la Commission contracte via des Accords de Licence Interinstitutionnels (ILA), publiés dans les registres des appels d’offres avec la mention « aucune valeur financière associée ». Des estimations basées sur le contrat-cadre Bechtle (52 millions par an, dominé par Microsoft) et les coûts typiques de licence placent le volume Microsoft pour les institutions européennes entre 60 et 150 millions d’euros par an. L’appel d’offres souverain est donc, en termes budgétaires, inférieur à une année de licences Microsoft pour les institutions européennes.
Cela ne dit rien en soi sur la signification de l’appel d’offres. En revanche, cela montre l’espace laissé par la Commission pour appliquer sa propre grille de souveraineté à ses contrats existants avec les hyperscalers. Cet espace reste largement inexploité.
Ce qui n’est pas clair pour le public
Après l’annonce, plusieurs questions méthodologiques restent sans réponse :
- La part du Score de Souveraineté dans les critères globaux d’attribution (prix, qualité technique, souveraineté) n’a pas été rendue publique ;
- Il pourrait y avoir un chevauchement entre SOV-8 (Durabilité environnementale) et l’obligation EMAS distincte dans l’Annexe VI du DPS Cloud III (article 15 des Conditions principales). Il n’est pas possible de déterminer, à partir de la documentation publique, si le même signal environnemental est mesuré à deux endroits ;
- Les niveaux minimaux de NAS par domaine pour cette compétition spécifique figurent dans le dossier d’appel d’offres Mercell, qui n’est pas accessible au public.
Dans ce contexte, trois observations s’imposent.
Le bon : la souveraineté devient mesurable
Pour la première fois, la Commission transforme la notion de « cloud souverain » d’un slogan politique en un instrument de passation de marché. C’est en soi un changement méritant d’être souligné.
Le cadre place le débat sur un terrain architectural plutôt qu’idéologique. Les huit domaines concernent la propriété, le système juridique applicable, l’origine du matériel et l’ouverture technologique. Aucune de ces questions ne nécessite une préférence politique pour un fournisseur plutôt qu’un autre. Elles exigent des propriétés vérifiables du service. Cela correspond à une approche où la souveraineté est une question de cohérence juridictionnelle et architecturale, et non un choix entre « européen » et « américain » sur leurs seuls mérites.
Les conséquences directes sur le marché sont également réelles. Quatre fournisseurs européens ont été sélectionnés. Tous développent une partie significative de leur propre technologie. C’est un signal fort : la demande du plus grand client public européen peut nourrir l’offre européenne. En travaillant avec quatre contrats parallèles, la Commission introduit également une diversification — une différence réelle par rapport au modèle de fournisseur unique dans lequel de nombreux gouvernements sont encore enfermés.
Enfin, le cadre est public (version 1.2.1) et la Commission a annoncé qu’elle publierait une nouvelle version après les leçons tirées de cet appel d’offres. D’autres gouvernements européens, aux niveaux régional et local, peuvent adopter cette méthodologie. Il s’agit d’un bloc de construction dont la valeur dépasse le cadre des institutions européennes.
Le mauvais : le NAS-2 comme seuil
Cependant, sur un point, le cadre se sabote lui-même. Le seuil fixé par la Commission pour cet appel d’offres était le NAS-2. Pour être valide, un fournisseur devait atteindre au moins ce niveau dans les huit domaines.
Ce que signifie le NAS-2 est clairement défini dans le cadre : « Droit européen applicable et applicable, mais des dépendances non-européennes matérielles subsistent ; service, technologie ou opérations sous contrôle indirect de tiers non-européens. » Le droit européen s’applique, mais des dépendances non-européennes matérielles sont autorisées, tout comme un contrôle indirect par des parties non-européennes.
La conséquence la plus illustrative de ce choix se trouve dans la composition du consortium mené par Proximus. Celui-ci a obtenu un NAS-2 et a ainsi été l’un des quatre fournisseurs retenus. Une partie de son offre technique repose sur S3NS, une coentreprise entre Thales et Google Cloud, où la technologie sous-jacente est fournie par Google Cloud. En d’autres termes : l’un des quatre fournisseurs labellisés « souverain » dans un appel d’offres européen s’appuie sur une infrastructure américaine.
La question n’est pas de savoir si Google ou Proximus ont agi de manière inappropriée. Les deux parties ont respecté les règles de l’appel d’offres. La question est de savoir comment le cadre permet à une technologie d’hyperscaler américain de servir de couche sous-jacente dans une offre qualifiée de souveraine. Trois choix de conception rendent cela possible simultanément.
Premièrement, le choix du seuil. Le NAS-2 autorise explicitement « des dépendances non-européennes matérielles » et « un contrôle indirect par des tiers non-européens ». Si la Commission avait choisi le NAS-3 ou le NAS-4 comme seuil minimal, une infrastructure basée sur Google Cloud n’aurait plus été éligible. La barre a été placée dans le cadre lui-même de telle sorte qu’un cadre opérationnel européen puisse être qualifié de souverain au-dessus d’une technologie non-européenne.
Deuxièmement, la pondération. Dans le Score de Souveraineté, le domaine SOV-2 (juridique et réglementaire) ne compte que pour 10 %. C’est le domaine le plus directement lié à des législations extraterritoriales comme le Cloud Act. La technologie (SOV-6) compte pour 15 %, la chaîne d’approvisionnement (SOV-5) pour 20 %. Un fournisseur peut donc compenser un niveau faible en SOV-2 par des scores élevés ailleurs. Le cadre permet à la juridiction d’être équilibrée contre d’autres domaines.
Troisièmement, la distinction fondamentale entre opération et technologie. Dans son annonce, la Commission déclare explicitement : des technologies non-européennes peuvent, lorsqu’elles sont exploitées dans un cadre strict et approprié, répondre au niveau minimal de souveraineté. Il s’agit d’un choix politique. Cela signifie qu’une exploitation souveraine suffit, même si la technologie sous-jacente est produite et possédé sous une autre juridiction.
Si ces trois choix sont défendables dépend de la menace que l’on souhaite contrer. Pour les menaces qui opèrent au niveau contractuel, ce modèle offre une protection. Pour les menaces qui agissent au niveau de la pile technologique ou via des législations extraterritoriales, moins. En 2024, Microsoft a dû reconnaître devant un tribunal français qu’il ne peut garantir la souveraineté des données pour ses clients européens lorsqu’une injonction au titre du Cloud Act américain est émise. Un contrat soigneusement négocié ne change rien à cela. L’exposition juridictionnelle réside dans la chaîne technique, pas sur le papier.
La critique de CISPE résume cela succinctement : il n’existe pas de « 75 % biologique », et il n’existe pas de « 75 % souverain ». Une moyenne pondérée sur huit domaines peut masquer des dépendances matérielles lorsque des scores élevés dans d’autres domaines compensent un SOV-2 faible. L’analyse d’EuroStack le démontre de manière plus technique. L’alternative proposée par EuroStack est un seuil non négociable de réussite/échec en matière de contrôle juridictionnel, avant toute autre notation.
La question substantive qui en découle est simple : si le NAS-2 est le seuil pour un appel d’offres portant explicitement l’étiquette « souverain », quel est alors le seuil pour les appels d’offres sans cette étiquette ? Le seuil définit ce que signifie la souveraineté en pratique.
Le laid : ce que la Commission n’a pas publié
Le cadre est conçu pour être mesurable : par domaine, par service, avec une méthodologie publique. Pourtant, l’annonce officielle de l’attribution ne rend rien de tout cela public.
Trois éléments restent invisibles.
Premièrement, les scores de NAS par domaine ne sont pas publiés. La Commission ne communique qu’un niveau de NAS global par gagnant. Un fournisseur peut atteindre un NAS-3 tout en obtenant un NAS-2 dans SOV-5 (chaîne d’approvisionnement) ou un niveau faible dans SOV-4 (opérationnel). Le lecteur l’ignore. Pour un cadre conçu pour rendre visibles les profils de risque par domaine, c’est une perte d’information.
Deuxièmement, le Score de Souveraineté par fournisseur n’est pas public. Le tableau de pondération est public (SOV-5 compte pour 20 %, SOV-8 pour 5 %), mais pas les scores résultants. L’entreprise suédoise Safespring a volontairement publié son propre score (86,25 %) avec une ventilation par domaine. La Commission ne fait pas de même pour ses quatre fournisseurs sélectionnés.
Troisièmement, différentes solutions sont rapportées ensemble. L’offre de Proximus est un consortium incluant S3NS (technologie Google Cloud via Thales), Clarence et Mistral. Chacun de ces composants a un profil de souveraineté différent. Un client utilisant Mistral via Proximus n’a aucune visibilité sur la façon dont ce composant spécifique est noté. Le niveau de NAS du consortium (NAS-2) ne dit rien sur Mistral en tant que fournisseur indépendant.
Le résultat est que le cadre ne fait pas ce qu’il promet. Il a été conçu pour aider les clients à choisir en fonction de profils de risque variables par domaine. Sans publication des scores par domaine et par composant, ce choix est impossible. Le cadre ne fonctionne que si les scores fonctionnent.
Il y a également une dimension institutionnelle. Le Parlement européen a posé des questions fin 2025 sur la pondération, notamment pour savoir si le poids de SOV-2 devrait être augmenté. Si la Commission n’applique pas sa propre méthodologie de manière transparente dans ses propres appels d’offres, elle sape la crédibilité du cadre comme référence pour d’autres gouvernements européens envisageant de l’adopter.
BeLibre pose une question ouverte et concrète à la Commission : publiez pour chaque fournisseur retenu les niveaux de NAS atteints par domaine SOV, ainsi que le Score de Souveraineté sous-jacent. Cette demande est légitime. Elle n’implique pas de révision de la décision d’attribution, ni la divulgation d’informations financières sensibles, ni une redéfinition du cadre. Elle demande simplement que l’instrument conçu par la Commission pour rendre la souveraineté mesurable soit également appliqué sous sa forme mesurable. Sans cette publication, il est impossible pour un client, un journaliste, un député ou une autre administration de vérifier si la méthodologie a été appliquée de manière cohérente.
Conclusion
Le Cadre de Souveraineté du Cloud est une avancée réelle. La mesurabilité, une méthodologie publique et l’ancrage dans un véritable processus d’achat public ne sont pas des moindres réalisations. Dans un marché où le « cloud souverain » est depuis des années un label marketing, la Commission fournit un instrument technique utilisable.
Du point de vue de BeLibre, nous tenons surtout à souligner : l’utilisation des niveaux de NAS et des huit domaines SOV représente une étape majeure. Pour la première fois, l’Europe dispose d’un langage commun pour discuter de souveraineté numérique en des termes applicables dans une procédure d’achat public. C’est un véritable mérite de la Commission, et la v1.2.1 du cadre est un document sur lequel on peut s’appuyer.
C’est précisément pour cette raison que le résultat de cette première application est une occasion manquée. Le cadre introduit de la nuance là où il n’y avait que des slogans marketing. Il sépare huit dimensions de souveraineté et montre qu’elles ne s’alignent pas toujours. Et pourtant, le résultat final se résume à une publication qui ne contient guère plus qu’une liste de gagnants et un niveau de NAS global par fournisseur. La nuance construite par le cadre est replacée dans son emballage à la ligne d’arrivée.
Ce n’est pas seulement regrettable pour la transparence. Cela sape l’utilité même de l’instrument. La pondération de la souveraineté entre les huit domaines n’est pas une grandeur fixe. C’est une décision que le client doit prendre, par service, par département, par cas d’usage. Un hôpital stockant des images médicales n’accorde pas le même poids à SOV-3 (données) qu’une agence utilisant des outils internes de productivité. Une entité sensible aux législations extraterritoriales ne pondère pas SOV-2 (juridique) comme une entité axée sur la continuité de la chaîne d’approvisionnement. Le cadre reconnaît implicitement cela en séparant huit domaines et cinq niveaux. Sans les résultats par domaine pour chaque fournisseur gagnant, le client ne peut pas faire ce choix. Les quatre gagnants sont alors présentés comme interchangeables, alors qu’en réalité ils ont des profils de risque différents.
La publication de la matrice complète des NAS par fournisseur — idéalement avec une ventilation par composant de consortium — permettrait aux futurs clients sous contrat de sélectionner le candidat le plus adapté à leur cas d’usage spécifique. Ou, le cas échéant, de conclure qu’aucun des quatre n’est adéquat pour leurs besoins et qu’une solution plus large est nécessaire. Ce n’est pas demander plus que ce que le cadre promet. C’est demander ce que le cadre promet.
BeLibre formule donc une question concrète et réalisable à la Commission : rendez publics, pour chacun des quatre fournisseurs retenus, les niveaux de NAS atteints par domaine SOV, ainsi que le Score de Souveraineté sous-jacent. Cela ne nécessite ni révision du cadre, ni réouverture de l’attribution, ni divulgation d’informations financières sensibles. Il s’agit simplement de publier ce qui a déjà été mesuré, sous la forme dans laquelle il a été mesuré.
Le premier appel d’offres souverain n’est pas un échec. C’est un prototype. Les prototypes évoluent. Pour la version 2 du cadre, des améliorations structurelles sont également envisageables : un seuil non négociable de réussite/échec sur SOV-2, ou une pondération plus élevée de SOV-2 dans le Score de Souveraineté, en ligne avec la demande du Parlement européen. Mais ce qui manque aujourd’hui, ce n’est pas plus de cadre. Ce qui manque, c’est la publication des résultats de ce cadre. La mesurabilité est la moitié du travail. L’autre moitié est que la mesure soit également rendue publique.
Sources
Primaires
- Cadre de Souveraineté du Cloud v1.2.1 (octobre 2025)
- Annonce du lancement de l’appel d’offres (10 octobre 2025)
- Annonce de l’attribution (17 avril 2026)
- Contrat-cadre DPS Cloud III (DIGIT/2023/DPS/0031), avis TED
Contexte budgétaire
- Attribution à AWS Cloud III, décembre 2024, avis TED 22001-2025
- Réponse de la Commission à la question du PE E-001866/2025 sur l’usage du cloud
- Contrat-cadre Bechtle pour la revente de logiciels à la Commission européenne
Analyses critiques