Le « souveraineté washing » : le cloud souverain de Microsoft et la quête de la souveraineté numérique en Europe

En proposant des solutions de cloud souverain ciblées, Microsoft entend respecter ses « engagements numériques pour l’Europe ». En plus de consolider son cloud public souverain, la firme entend mettre en place un nouveau cloud privé souverain. Le géant collabore de plus avec des prestataires locaux sur des « clouds partenaires nationaux ». L’effet de ces mesures : mettre à nouveau en avant le thème de la souveraineté numérique, dans un contexte où le concept de « cloud souverain » est présenté comme une réponse aux doutes croissants vis-à-vis des grands acteurs de l’hyperscale.

Une question centrale subsiste : ces promesses consistent-elles à apposer une simple nouvelle étiquette aux mêmes réalités ou vont-elles au-delà ? Les détracteurs, eux, voient une certaine ironie dans le cloud souverain de Microsoft. Comme par hasard, on voit là un géant américain qui a su piéger les utilisateurs européens à coups de chaînes de licences, d’effet d’enfermement du cloud et de services propriétaires à présent jouer les garants de l’indépendance européenne… C’est là tout le cœur des accusations de « souveraineté washing » formulées à son encontre.

Le cloud souverain Microsoft – engagements, programmes et limites
C’est avec tambour et trompette que Microsoft a annoncé son cloud souverain pour l’Europe en juin 2025. Sa promesse : toutes les données de clients resteront au sein de l’EU, les clés de chiffrement resteront aux mains des donneurs d’ordres et un programme du nom de « Data Guardian » veillera à ce que seul le personnel en Europe ait des droits d’administrateurs étendus. En complément, Microsoft 365 Local, le cloud souverain privé et des scénarios d’air gap garantiront que les collectivités les plus sensibles pourront effectuer des tâches intégralement sans connexion à l’univers mondial d’Azure.

Par son initiative, Microsoft réagit à l’humeur palpable dans bon nombre d’administrations et d’entreprises. En raison du CLOUD Act américain, des tensions géopolitiques et des incertitudes juridiques entraînées par l’arrêt « Schrems II », la méfiance vis-à-vis des hyperscalers américains a explosé. Rétablir la confiance : c’est là l’objectif de programmes tels que « Data Guardian » ou du projet « EU Data Boundary » conclu en février 2025. Leur message est que le cloud souverain et la souveraineté numérique sont tout à fait possibles, à condition de mettre en place des mesures techniques et d’organisation, le tout, sans compromettre le confort qu’offrent les modèles d’exploitation modernes du cloud.

Souveraineté washing et souveraineté numérique : qui contrôle quoi ?
À première vue, le cloud souverain semble répondre aux appels à davantage de souveraineté numérique qui se font entendre depuis de longues années. Mais parallèlement, on constate que l’éditeur garde la main sur des leviers clés, ce qui rend les accusations de « souveraineté washing » si pertinentes. Les critiques doutent du fait qu’une filiale locale, que la scission d’une division du reste de l’entreprise ou que de prévoir du personnel européen au rôle d’administrateur modifiera le rapport de force sous-jacent tant que ce sera la maison-mère qui définira les règles, les mises à jour et les services clés. Les questions en suspens sont donc loin d’être secondaires, elles sont même au cœur de la souveraineté : qui est chargé de la maintenance du code source ? Qui détermine le moment des mises à jour, les modèles tarifaires et les fonctionnalités incluses ? Qui décide, en cas de problème, comment se poursuivra le développement des services ? Le simple fait d’apposer une étiquette européenne sur l’emballage ne changera pas forcément le statu quo décisionnel. Les produits tels que Microsoft 365 Local soulèvent eux aussi des questions à cet égard. Même si des produits (perpétuels) installés dans l’infrastructure des clients restent disponibles, certains observateurs préfèreraient privilégier cette voie royale plutôt que de présenter des variantes dites « locales » d’abonnement et de cloud sous forme de produits soi-disant nouveaux. Les débats autour du cloud souverain de Microsoft et du cloud souverain dans son ensemble restent ainsi étroitement liés à la question de savoir comment concrétiser la souveraineté numérique réelle plutôt que de simplement la promettre.

Si la critique est aussi virulente, c’est parce que l’Europe est restée parcellaire dans ses approches. Les projets tels que Gaia-X et les initiatives de la Deutsche Telekom (T-Systems), SAP, IONOS ou OVH n’ont pas permis de faire naître une plateforme commune convaincante, tandis que les collaborations avec des hyperscalers ont régulièrement servi de solution pragmatique. En juin 2005, Reuters a expliqué que les sociétés allemandes Telekom, IONOS et Schwarz ne bâtiraient pas de consortium pour de nouveaux programmes européens, faute d’avoir pu définir une démarche commune, et qu’elles présenteraient donc leurs projets à titre individuel. Cet échec met en lumière le déficit structurel qui fait de la souveraineté numérique un thème toujours plus central.

Parallèlement, on voit également AWS et Google se battre pour le label de la souveraineté. En effet, Amazon Web Services a annoncé un « cloud souverain européen » en juin 2025, tandis que Google a remporté un marché de cloud ultrasécurisé auprès de l’armée allemande dès 2024. Ainsi, l’heure est plutôt à la certification et aux belles promesses. Le malaise, lui, ne se dissipe pas. Là encore, l’Europe est rarement pleinement souveraine, dès lors que les mises à jour et les services de base proviennent des États-Unis, même si les prestataires s’engagent à s’opposer à toute demande d’accès.

L’alternative européenne pour les entreprises et les collectivités
Dans ce contexte, l’arrêt de la CJUE du 3 juin 2012 représente une libération souvent sous-estimée. Ce que la Cour a confirmé, c’est ni plus ni moins que les licences de logiciels perpétuelles peuvent être revendues et achetées librement après leur première acquisition. Cette décision a permis l’émergence d’un marché secondaire où sont proposés les mêmes produits à moindre prix et contraint les clients publics à inclure les licences d’occasion dans les marchés publics. Lorsqu’elles ont besoin de versions plus anciennes pour des questions de compatibilité, les administrations peuvent alors justement se procurer la variante nécessaire au lieu d’acheter les dernières licences à prix d’or pour ensuite passer à une version antérieure. Il ne s’agit pas de s’interdire le cloud : il faut simplement prévoir un filet de sécurité. Les stratégies hybrides et multicloud, l’utilisation des solutions installées sur site comme argument dans le cadre de négociations, les licences perpétuelles et les logiciels open source sont autant de facteurs de choix face à la « monoculture informatique ». C’est que la souveraineté numérique se mesure à l’aulne du nombre d’alternatives. Ce que cela implique pour les administrations : organiser la souveraineté comme une véritable capacité, changer de prestataire, déménager avec toutes ses données et ses logiciels et cesser de dépendre d’un seul acteur plutôt que de se fier aux simples étiquettes estampillées « cloud souverain ».

Bref, c’est l’heure de vérité pour l’Europe et l’offensive de séduction de Microsoft est une arme à double tranchant. Si le cloud souverain de Microsoft peut offrir une solution à court terme, elle pourrait entériner certains rapports de dépendance à long terme si l’UE hésite trop à renforcer les compétences, les prestataires locaux et le cadre juridique sur notre continent. La souveraineté numérique est intimement liée à des questions clés d’infrastructure, de code et de droits d’accès. Tant que celles-ci resteront sans réponse, toute promesse de cloud souverain risque bien de ressembler à du « souveraineté washing ».