L'objectif de la Commission européenne de tripler le marché des centres de données de l’UE en cinq à sept ans serait impossible sans une intervention lourde sur le marché, et CADA fait précisément cela.
La Commission européenne a récemment dévoilé sa proposition de règlement sur le développement du cloud et de l’IA (Cloud and AI Development Act, CADA), qui vise à dynamiser l’industrie européenne du cloud et de l’intelligence artificielle en repensant les infrastructures, le marché européen du cloud et les modalités de fonctionnement futures des acteurs publics.
PUBLICITÉ
PUBLICITÉ
Le CADA repose sur trois grands piliers : l’investissement dans la recherche, le développement et l’innovation ; le renforcement des capacités – avec l’objectif de tripler le marché européen des centres de données d’ici cinq à sept ans – ; et un cadre d’autonomie global, qui prévoit quatre niveaux de souveraineté et de sécurité ainsi que de nouvelles obligations pour les États membres de l’UE.
Le CADA suscite des réactions contrastées
Jusqu’à présent, la proposition a reçu un accueil mitigé. Des organisations professionnelles comme CCIA Europe la jugent discriminatoire, car le CADA obligerait les États membres à déterminer quels cas d’usage nécessitent des niveaux de souveraineté spécifiques que les fournisseurs non européens « ne pourraient pas respecter par défaut ».
L’avocat polonais spécialisé dans les technologies Mikolaj Barcenciewicz a déjà estimé que le CADA devrait reposer sur une approche fondée sur le risque plutôt que sur des catégories rigides, afin de préserver l’approche propre à chaque État membre et le principe de subsidiarité, plutôt que de les uniformiser.
L’eurodéputé suédois Jörgen Warborn a récemment partagé sur LinkedIn ses réflexions sur la proposition CADA, en faisant valoir que les objectifs européens de souveraineté numérique doivent s’accompagner d’une simplification accrue et de conditions d’activité améliorées, avec une meilleure « perspective de retour sur investissement ».
Il estime également que si les objectifs de souveraineté de l’Union doivent effectivement être renforcés pour les applications liées à la sécurité nationale, les domaines moins sensibles devraient rester ouverts aux investissements directs étrangers, car « la grande majorité de la richesse mondiale se trouve en dehors de l’UE » et que celle-ci devrait chercher à attirer ces investissements, et non l’inverse.
La députée européenne finlandaise Aura Salla a, elle, plaidé pour une approche encore plus centralisée afin de tester la résilience des dépendances technologiques et d’évaluer les risques au niveau des États membres.
Enfin, certains acteurs intéressés – comme l’éditeur de logiciels allemand Nextcloud – jugent que la proposition actuelle manque d’ambition et devrait être étendue au secteur privé.
Un plafond de 12 mois pour les permis, mais des contraintes accrues
Le titre III du CADA prévoit deux principaux mécanismes pour augmenter rapidement les capacités européennes en centres de données : les zones d’accélération pour centres de données et les projets stratégiques de centres de données.
Dans les six mois suivant l’entrée en vigueur du règlement, chaque État membre devra désigner au moins une zone d’accélération, intégrée aux plans d’urbanisme locaux, en tenant compte de la disponibilité du réseau électrique, de la capacité des réseaux de télécommunications et en privilégiant clairement les friches industrielles.
Qu’un projet soit situé dans l’une de ces zones préapprouvées ou qu’il obtienne un statut individuel de projet stratégique, il bénéficiera d’un « corridor vert » limitant à douze mois au maximum la procédure d’octroi des permis.
Mais la liste des exigences de conformité du CADA est particulièrement lourde : les exploitants d’infrastructures devront adopter des indicateurs de durabilité harmonisés au niveau européen, et l’allocation des ressources locales sera étroitement contrôlée pour éviter les réservations spéculatives ou les blocages anticoncurrentiels.
Concrètement, les États membres ne disposeront que d’un délai très court de six mois pour définir des zones conformes au sein de cadres de planification locaux souvent complexes, puis d’une période tout aussi resserrée de douze mois pour délivrer les permis individuels.
Or, la construction même de centres de données est déjà fortement contrainte par des réalités physiques : seules quelques entreprises spécialisées disposent des certifications nécessaires, chaque phase de développement fait l’objet d’audits rigoureux et, même pour des installations modestes, les travaux peuvent s’étaler sur plusieurs années.
En ajoutant de lourdes obligations de conformité supplémentaires pour les États membres comme pour les fournisseurs d’infrastructures, les responsables européens prennent donc le risque de transformer ce plafond de « douze mois maximum » pour les permis en un objectif secondaire, sans réelle portée, dans une chaîne de projets déjà structurellement complexe.
De profonds changements dans la commande publique
Le titre IV du CADA et ses annexes définissent un nouveau cadre très strict qui précise exactement quels types de logiciels et de services de cloud computing les États membres peuvent acquérir.
Les besoins du secteur public seront strictement alignés sur les quatre niveaux d’assurance définis à l’annexe II du CADA.
Le niveau 1 couvre un socle de souveraineté et de sécurité, tout en autorisant un actionnariat d’entreprises de pays tiers.
Le niveau 2 correspond à une souveraineté numérique substantielle : la détention par des entreprises de pays tiers reste possible, à condition que l’ensemble des opérations, des infrastructures, du personnel et du support se situe strictement dans l’UE, bénéficie d’une certification de cybersécurité « substantielle » et que les données des clients ne puissent pas être utilisées pour entraîner des IA dans des pays tiers.
Le niveau 3 correspond à un haut degré de souveraineté et de sécurité nationale : le contrôle par des entreprises de pays tiers y est en principe interdit, sauf rares dérogations accordées par la Commission européenne. Le niveau 4, lui, représente une autonomie maximale et une sécurité critique, avec une interdiction totale de tout contrôle par des sociétés de pays tiers.
Comment les États membres sont-ils censés mettre en œuvre ce nouveau cadre CADA ? D’abord en désignant une ou plusieurs autorités nationales compétentes chargées de faire respecter les règles, d’auditer les fournisseurs et de traiter les demandes de reconnaissance des prestataires cloud.
Dans un délai d’un an, les États membres devront réaliser des analyses de risque – à renouveler tous les deux ans – pour identifier les activités du secteur public qui dépendent de services cloud et déterminer le niveau d’assurance de sécurité approprié.
La proposition actuelle de CADA bouleverserait complètement le fonctionnement de la commande publique en matière de services cloud.
Jusqu’ici, les organismes publics des États membres pouvaient choisir librement leurs fournisseurs de services cloud en fonction du prix, de la qualité de service, de leurs besoins organisationnels et des législations nationales sur la gestion des données fondées sur une approche par les risques.
Là où les marchés publics étaient auparavant largement dominés par le prix et des spécifications techniques standard, les États membres devraient désormais aussi prendre en compte des critères non tarifaires, comme la contribution du fournisseur à l’écosystème numérique européen.
Cet article a été publié pour la première fois sur EU Tech Loop (source en anglais) et est partagé sur Euronews dans le cadre d’un accord de partenariat.