C’est un bras de fer discret mais décisif que la France vient (encore) de perdre à Bruxelles.
Dans la nouvelle version du Cybersecurity Act 2, présentée le 20 janvier, la Commission européenne a renoncé à intégrer des critères juridiques de souveraineté dans la certification des services cloud.
Concrètement : plus aucune obligation de protection contre les lois extraterritoriales américaines, comme le Cloud Act, qui permet aux autorités US d’exiger l’accès aux données hébergées par des entreprises américaines… même en Europe !
Comme évoqué dans un article du Figaro du 28 janvier 2026, Paris défendait jusqu’à présent une ligne claire : pour héberger des données sensibles (santé, finances, services publics), un fournisseur devait être soumis uniquement au droit européen.
Sauf que, Bruxelles a encore voulu mettre son grain de sel…
Une capitulation assumée et risquée
Dans le texte final retenue à l’échelle européenne, seuls des critères techniques de cybersécurité sont retenus. Les garanties juridiques disparaissent.
Résultat : des fournisseurs non européens pourront être certifiés au plus haut niveau, même s’ils restent exposés aux injonctions de Washington.
Des voix alertent pourtant sur une renonciation stratégique. Guillaume Poupard, ex-directeur de l’ANSSI, évoquait déjà le risque de “céder la protection de nos données les plus sensibles”. D’autres rappellent que la souveraineté numérique ne se résume pas à la technique : elle concerne aussi la dépendance juridique et politique.
Officiellement, Bruxelles promet un débat relocalisé au niveau national. En clair : chacun pour soi.
Une chose est sûre : face aux géants américains, l’Europe vient de montrer qu’elle préfère le marché à la protection.
