Objectif de la Commission européenne: tripler en cinq à sept ans le marché européen des centres de données, au prix d'une ingérence massive que CADA assume pleinement.
La Commission européenne a récemment présenté sa proposition de règlement sur le développement du cloud et de l’IA (Cloud and AI Development Act, CADA), qui vise à dynamiser l’industrie européenne du cloud et de l’intelligence artificielle en repensant les infrastructures, le marché européen du cloud et les modalités de fonctionnement futures des acteurs du secteur public.
PUBLICITÉ
PUBLICITÉ
Le CADA repose sur trois grands piliers : l’investissement dans la recherche, le développement et l’innovation ; le renforcement des capacités – avec l’objectif de tripler le marché européen des centres de données d’ici cinq à sept ans – ; et un cadre d’autonomie complet, qui prévoit quatre niveaux de souveraineté et de sécurité ainsi que de nouvelles obligations pour les États membres de l’UE.
Un accueil mitigé pour le CADA
Jusqu’à présent, la proposition suscite des réactions contrastées. Des associations professionnelles comme CCIA Europe la jugent discriminatoire, car le CADA obligerait les États membres à déterminer quels cas d’usage exigent des niveaux spécifiques de souveraineté que les fournisseurs non européens « ne seraient pas en mesure de respecter par défaut ».
L’avocat polonais spécialisé dans les nouvelles technologies Mikolaj Barcenciewicz a déjà fait valoir que le CADA devrait reposer sur une approche fondée sur les risques plutôt que sur des catégories rigides, de manière à préserver l’approche propre à chaque État membre et le principe de subsidiarité, plutôt que de les uniformiser.
L’eurodéputé suédois Jörgen Warborn a récemment partagé sur LinkedIn ses réflexions sur la proposition CADA, estimant que les objectifs européens en matière de souveraineté numérique doivent s’accompagner d’une simplification accrue et de meilleures conditions pour les entreprises, avec une « perspective de retour sur investissement » renforcée.
Il a également souligné que si les objectifs de souveraineté de l’UE doivent effectivement être renforcés dans les domaines liés à la sécurité nationale, les secteurs moins sensibles devraient rester ouverts aux investissements directs étrangers, car « une vaste majorité de la richesse mondiale se trouve en dehors de l’UE » et que l’Union devrait chercher à attirer ces capitaux, et non l’inverse.
L’eurodéputée finlandaise Aura Salla a en revanche plaidé pour une approche encore plus centralisée des tests de résistance des dépendances technologiques et de l’évaluation des risques au niveau des États membres.
Enfin, certains acteurs concernés – comme l’éditeur de logiciels allemand Nextcloud – jugent que la proposition actuelle manque d’ambition et devrait également s’appliquer au secteur privé.
Un plafond de 12 mois pour les autorisations, mais plus de contraintes
Le titre III du CADA introduit deux principaux mécanismes pour accroître rapidement la capacité européenne en centres de données : les « zones d’accélération des centres de données » et les « projets stratégiques de centres de données ».
Dans les six mois suivant l’entrée en vigueur du règlement, chaque État membre devra désigner au moins une zone d’accélération, intégrée aux plans locaux d’urbanisme et d’aménagement, en tenant compte de la disponibilité du réseau électrique, de la capacité des réseaux et en privilégiant clairement les friches industrielles.
Qu’un projet soit implanté dans l’une de ces zones pré-approuvées ou qu’il bénéficie d’une désignation individuelle en tant que projet stratégique, il profite d’un « corridor vert » limitant à 12 mois maximum la procédure d’octroi des autorisations.
Mais la liste des exigences de conformité du CADA est particulièrement lourde : les exploitants d’infrastructures devront adopter des indicateurs de durabilité harmonisés au niveau européen, et l’allocation des ressources locales sera strictement encadrée afin d’éviter les phénomènes de thésaurisation spéculative ou de blocage anticoncurrentiel.
Concrètement, les États membres disposent d’une fenêtre très étroite de six mois pour créer des zones conformes au sein de cadres de planification locale complexes, suivie d’un délai tout aussi resserré de 12 mois pour l’instruction et l’octroi des autorisations individuelles.
Or la construction de centres de données se heurte déjà à de nombreux goulets d’étranglement très concrets : seuls quelques constructeurs spécialisés disposent des certifications nécessaires, chaque phase de développement est soumise à des audits rigoureux et, même pour des installations de taille modeste, les chantiers durent parfois plusieurs années.
En ajoutant de lourdes obligations de conformité tant pour les États membres que pour les fournisseurs d’infrastructures, les décideurs européens prennent le risque de transformer ce plafond théorique de « 12 mois maximum » pour les autorisations en un jalon secondaire, dépourvu de véritable portée dans une chaîne de projets structurellement complexe.
De profonds changements dans les marchés publics
Le titre IV du CADA et ses annexes définissent un nouveau cadre strict précisant quels types de logiciels et de services de cloud computing les États membres de l’UE pourront acheter.
La demande du secteur public sera strictement alignée sur les quatre niveaux d’assurance définis à l’annexe II du CADA.
Le niveau 1 couvre les exigences de base en matière de souveraineté et de sécurité, tout en autorisant la détention par des entreprises de pays tiers.
Le niveau 2 correspond à une souveraineté numérique substantielle : la détention par des entreprises de pays tiers reste autorisée, à condition que l’ensemble des opérations, des infrastructures, du personnel et du support demeurent strictement au sein de l’UE, qu’ils bénéficient d’une certification de cybersécurité « substantielle » et que les données des clients ne puissent pas être utilisées pour l’entraînement d’IA dans des pays tiers.
Le niveau 3 correspond à un haut degré de souveraineté et de sécurité nationale : le contrôle par des entreprises de pays tiers y est interdit par défaut, sous réserve de rares dérogations accordées par la Commission européenne, tandis que le niveau 4 représente l’autonomie maximale et la sécurité critique, avec une interdiction totale de tout contrôle par des entreprises de pays tiers.
Comment les États membres de l’UE sont-ils censés mettre en œuvre ce nouveau cadre CADA ? D’abord en désignant une ou plusieurs autorités nationales compétentes chargées de faire respecter les règles, de contrôler les fournisseurs et de traiter les demandes de reconnaissance des prestataires de cloud.
Dans un délai d’un an, les États membres devront réaliser des évaluations des risques – à renouveler tous les deux ans – pour recenser les activités du secteur public qui reposent sur des services cloud et déterminer le niveau d’assurance de sécurité approprié.
La proposition actuelle de CADA bouleverserait de fond en comble le fonctionnement des marchés publics de services cloud.
Jusqu’ici, les entités publiques des États membres pouvaient choisir librement leurs fournisseurs de services cloud en fonction du prix, de la qualité de service, de leurs besoins organisationnels et des législations nationales de gestion des données fondées sur une approche par les risques en matière de souveraineté.
Là où l’attribution des marchés publics reposait jusqu’à présent largement sur le prix et sur des spécifications techniques standard, les États membres devraient désormais également évaluer des critères non tarifaires, comme la contribution d’un fournisseur à l’écosystème numérique européen.
Cet article a d’abord été publié sur EU Tech Loop (source en anglais) et a été partagé sur Euronews dans le cadre d’un accord.