Souveraineté numérique européenne, pourquoi le plan de l’UE patine encore

Un article publié par The Economist dans la rubrique Bytebreak recense des chiffres que les décideurs européens connaissent mais rarement quantifient avec autant de clarté. Le gouvernement fédéral allemand verse près d’un demi-milliard d’euros par an en licences de logiciels à Microsoft. Les grandes entreprises françaises dépensent plus de 50 milliards de dollars par an en logiciels et services cloud achetés auprès des géants technologiques américains. Les importations de services de propriété intellectuelle en provenance des États-Unis vers la zone euro ont atteint 200 milliards de dollars par an.

Ce n’est pas un débat idéologique sur la souveraineté, c’est un super projet de loi.

De plus, la facture s’alourdit parce que l’écart structurel se creuse. Selon les données d’Epoch AI, sur près d’une centaine de modèles d’IA pertinents publiés au cours de l’année écoulée, un seul provient de l’Union européenne. Les politiciens allemands célèbrent le nouveau centre de données d’un milliard d’euros près de Munich ; au cours de la même période, les quatre grandes entreprises technologiques américaines, Amazon, Google, Meta et Microsoft, ont investi plus de 350 fois plus. L’emprise américaine sur l’infrastructure numérique européenne se renforce.

Le paquet européen qui n’arrive pas

Dans ce contexte, la Commission européenne prépare le Tech Sovereignty Package, un ensemble de mesures qui devraient inclure le Cloud and AI Development Act (CAIDA), le Chips Act 2, une stratégie pour l’open source et une feuille de route pour la numérisation et l’IA dans le secteur de l’énergie. Le paquet contiendra également, pour la première fois, une définition formelle au niveau européen de la souveraineté numérique, un concept jusqu’ici invoqué par tous mais jamais codifié.

Selon la page officielle de la Commission sur la stratégie numérique, l’Union dépend des pays tiers pour plus de 80 % des principaux produits, services et infrastructures numériques.

La présentation était initialement prévue pour mars, puis reportée à avril, puis au 27 mai et, pour la quatrième fois, elle est désormais reportée au 3 juin. La vice-présidente exécutive Henna Virkkunen souhaite que le paquet soit prêt avant le Conseil des ministres des télécommunications du 9 juin.

Les reports ne sont pas seulement une question de coordination interne. L’ambassadeur américain auprès de l’UE, Andrew Puzder, a déclaré publiquement que le paquet ne semblait pas très cohérent avec l’accord commercial UE-États-Unis.

Des signes clairs montrent que la souveraineté numérique européenne n’est plus seulement une question industrielle ou technologique, mais qu’elle est devenue une variable de la politique commerciale transatlantique.

Données sensibles et Cloud Act

Le cœur réglementaire du CAIDA concerne les données sensibles du secteur public. Selon des sources de CNBC, la Commission discute de règles qui limiteraient le recours aux fournisseurs de cloud américains pour les données gouvernementales les plus critiques, dans les domaines de la santé, des finances et de la justice.

La raison est structurelle, le Cloud Act de 2018 permet aux autorités américaines d’obtenir les données des entreprises américaines quel que soit l’endroit où elles sont physiquement stockées. Aucune résidence européenne des données ne peut résoudre ce problème juridictionnel.

Le scénario d’un coupe-circuitla possibilité que les États-Unis interrompent les services numériques essentiels peut paraître dystopique et surréaliste, mais la dépendance est réelle.

Lavage souverain

La réponse des hyperscalers américains à ces préoccupations est ce qu’on appelle offres souveraines. Microsoft promet de ne jamais interrompre les services aux clients européens et de contester les demandes de données américaines devant les tribunaux. Google a créé un cloud entrefersans connexion au réseau public, pour les clients de haute sécurité, dont l’armée allemande.

Mais les critiques l’appellent lavage souverain: Les infrastructures restent sous le contrôle ultime des sociétés soumises à la juridiction américaine. Topi Manner, PDG du fournisseur finlandais Élisapropose une approche à plusieurs niveaux : «Les données les plus sensibles doivent rester en Europe, dans des datacenters hautement sécurisés, les grands hyperscalers pour le reste« Une position pragmatique qui reconnaît à la fois la dépendance actuelle et l’impossibilité, au moins à court terme, d’une alternative européenne complète.

Un signal différent vient de la France, qui a annoncé en avril la migration de tous les ordinateurs gouvernementaux de Windows vers Linux. Un fait significatif est qu’en 2022, la majorité des entreprises européennes ne considéraient que les fournisseurs de cloud américains, alors qu’aujourd’hui cette part est tombée en dessous de 20 %.

La souveraineté comme cadre et non comme slogan

Le point qui ressort est que la souveraineté numérique n’est pas un objectif binaire, on l’a ou non, mais un cadre pour une gestion progressive des dépendances critiques. L’Europe ne deviendra pas autosuffisante en matière de cloud et d’IA demain, mais elle peut commencer à créer des alternatives pour les couches les plus sensibles, en définissant des règles d’approvisionnement qui récompensent les fournisseurs européens, en investissant dans sa propre infrastructure et ses écosystèmes open source.

Le risque est cependant double. D’une part, que les retards dans le paquet deviennent la norme, transformant la souveraineté numérique en un exercice rhétorique permanent. D’un autre côté, une approche trop rigide coupe l’Europe de l’innovation mondiale, un point également soulevé par le PDG de Siemens, qui a prévenu qu’étouffer l’innovation en matière d’IA au nom de la souveraineté technologique serait un désastre pour l’Europe.

La frontière entre la protection stratégique et le protectionnisme autodestructeur est mince et le paquet du 3 juin devra suivre exactement cette ligne.