Réponse publiée le 20 janvier 2026

Le Gouvernement partage les préoccupations légitimes quant au maintien d'un haut niveau de protection et de souveraineté numérique dans les politiques d'achats publics. Le Cloud Sovereignty Framework, ou cadre de souveraineté du cloud, récemment publié, a bien été identifié par les autorités françaises. Ce cadre permet d'attribuer une cotation de souveraineté aux services cloud. Il importe toutefois de rappeler qu'il s'agit d'une initiative circonscrite aux travaux de la direction générale des services numériques (DIGIT) de la Commission européenne. Il n'a, à ce stade, pas vocation à structurer un cadre plus large que celui pour lequel il a été conçu initialement. Ce référentiel ne saurait en conséquence être considéré comme définissant une doctrine en matière d'achats publics de services cloud souverains par les États membres de l'Union européenne (UE). Par ailleurs, des travaux structurants sont actuellement engagés au niveau européen, en particulier dans le cadre du futur Cloud and AI Development Act (CAIDA), afin de soutenir l'émergence d'un écosystème européen et souverain en matière de services cloud et d'intelligence artificielle (IA). L'objectif est ainsi de disposer d'offres capables de garantir un niveau d'exigence élevé en matière de protection des données et des cas d'usage les plus sensibles, notamment des administrations publiques. Dans cette perspective, les autorités européennes travaillent à la définition d'un ensemble de critères qui pourrait permettre d'apprécier le caractère souverain d'un service cloud et d'un service d'IA, ainsi qu'à l'élaboration d'un dispositif harmonisé encadrant l'accès de certains marchés publics relatifs à ces services. Il s'agit d'offrir aux acheteurs publics un cadre clair et cohérent à l'échelle de l'Union européenne. Ce futur cadre dépasse ainsi le périmètre de l'appel d'offres fondé sur le Cloud Sovereignty Framework. En tout état de cause, les travaux européens en cours témoignent d'une prise en compte accrue des enjeux de souveraineté numérique et de protection contre les risques cyber, notamment liés à l'application de législations extraterritoriales non-européennes. Ils participent à une réflexion d'ensemble, comme en témoigne le sommet franco-allemand pour la souveraineté numérique, visant à renforcer la capacité de l'Union à protéger ses données, ses infrastructures et ses usages les plus sensibles. Une dynamique qui s'inscrit dans la pleine continuité de la politique cloud de confiance portée par la France depuis plusieurs années. Les autorités françaises resteront pleinement mobilisées dans l'ensemble des discussions européennes, notamment sur le schéma de certification de cybersécurité des services cloud (EUCS), afin de garantir une articulation cohérente entre les différentes initiatives en cours et de contribuer à l'émergence d'un cadre harmonisé, fiable et véritablement protecteur face aux risques – en particulier liés à l'application de lois extraterritoriales non-européennes – susceptibles de compromettre la souveraineté numérique de la France, et plus globalement de l'Union européenne. Il en va de notre capacité collective à structurer un marché européen du cloud compétitif, sûr et innovant, capable de répondre durablement aux besoins des administrations, des entreprises et des citoyens, et de renforcer, ce faisant, la souveraineté numérique et l'autonomie stratégique de la France comme de l'UE.