Mi-2026, souveraineté tech européenne : rapport d'étape

par BetterInEurope | | 8 min de lecture
digital-sovereigntyEU-toolsGDPRgovernancepolicy

Ce qui a changé au premier semestre 2026

Au début de 2026, la souveraineté tech européenne relevait encore largement du débat de politique publique. Fin mai, elle est devenue une réalité opérationnelle, avec des événements concrets, des fournisseurs concrets et des mécanismes réglementaires concrets. Voici le rapport d’étape consolidé.

Six évolutions se détachent.

1. Le passage d’Infomaniak en fondation

En mai 2026, Boris Siegenthaler a transféré le contrôle majoritaire des droits de vote d’Infomaniak à la toute nouvelle Fondation Infomaniak — une fondation suisse d’intérêt public dont les parts de vote incessibles verrouillent structurellement la mission de souveraineté de l’entreprise face à toute acquisition future.

C’est la première grande entreprise européenne du cloud à appliquer la propriété en fiducie à l’étage de la gouvernance. La Carl-Zeiss-Stiftung, la Robert Bosch Stiftung et des fondations similaires utilisent ce modèle pour des entreprises industrielles depuis plus d’un siècle. Le transposer à une entreprise d’infrastructure cloud qui concurrence directement AWS, Microsoft et Google sur le marché européen est véritablement nouveau — et susceptible de faire école.

On peut s’attendre à ce que d’autres fondateurs européens de la tech adoptent une gouvernance en fondation entre 2026 et 2030, en particulier pour les entreprises dont la proposition de valeur dépend de la confiance à long terme. Outils axés sur la vie privée, fournisseurs de cloud souverain et entreprises d’IA aux engagements de non-extraction sont les prochains candidats les plus probables.

2. La leçon de souveraineté CPI/Microsoft désormais ancrée

L’incident de 2025 au cours duquel le procureur de la Cour pénale internationale a perdu l’accès à sa messagerie Microsoft sous la pression des sanctions américaines continue de façonner la commande publique européenne.

Conséquences concrètes observables au premier semestre 2026 :

  • Plusieurs États membres ont publié ou renforcé des lignes directrices d’achat cloud-first-UE pour le secteur public et les industries régulées
  • De nouvelles clauses-types d’achat traitant des scénarios de coupure liée aux sanctions circulent dans les équipes juridiques européennes
  • Les critères de souveraineté contestés du schéma EUCS ont retrouvé du soutien auprès d’États membres jusque-là ambivalents
  • Les appels d’offres publics européens pour du cloud souverain ont augmenté matériellement en volume

Le basculement n’est pas du « tout-cloud américain » au « plus rien d’américain ». Il passe du « risque abstrait » à une « entrée explicite au registre des risques » — et cette entrée alimente désormais de véritables décisions d’achat.

3. Le Bureau européen de l’IA à plein régime opérationnel

Le Bureau européen de l’IA — créé au titre du règlement sur l’IA au sein de la DG CNECT — a bouclé sa première année opérationnelle complète mi-2026. Ses effectifs ont grossi pour atteindre plusieurs centaines de personnels techniques et politiques. Le premier Code de bonnes pratiques GPAI a été publié fin 2025 avec la participation des grands fournisseurs de modèles de fondation.

Les premières actions formelles d’application du Bureau font désormais jurisprudence. Les fournisseurs de modèles de fondation servant l’UE disposent d’un interlocuteur réglementaire clair — et cet interlocuteur a démontré qu’il peut exercer une véritable autorité, pas seulement publier des orientations.

Pour les startups européennes de l’IA, la coordination des bacs à sable réglementaires par le Bureau a rendu l’expérimentation de cas d’usage inédits nettement plus navigable. Plusieurs bacs à sable d’États membres sont passés de l’annonce aux tests opérationnels.

4. Démarrage de la mise en œuvre de l’EHDS

L’Espace européen des données de santé, adopté en règlement en mars 2025, passe de la loi à l’infrastructure en 2026. Des organismes d’accès aux données de santé (HDAB) ont été désignés dans 23 des 27 États membres. La France (Health Data Hub élargi au titre de l’EHDS), l’Allemagne (Forschungsdatenzentrum Gesundheit), la Finlande (Findata) et l’Estonie (Tehik) sont les plus avancés sur le plan opérationnel.

Les premiers permis transfrontaliers de données de recherche sont en cours de délivrance. L’infrastructure MyHealth@EU de soins primaires se déploie en vue de l’échéance d’application obligatoire de 2030. Des environnements de traitement sécurisés exclusivement UE pour la recherche sur données de santé sensibles font l’objet d’appels d’offres.

Pour les éditeurs de health-tech, l’infrastructure conforme à l’EHDS devient une catégorie d’achat. Pour les fournisseurs de cloud santé basés aux États-Unis, les exigences de souveraineté limitent la participation directe — les coentreprises s’imposent comme solution de contournement.

5. Premiers Projets stratégiques au titre du règlement Matières premières critiques

Le règlement Matières premières critiques — la couche fondatrice de chaîne d’approvisionnement sous la souveraineté numérique — a connu sa première vague de désignations de Projets stratégiques en 2026. Des projets lithium au Portugal, en Tchéquie et en Allemagne ont bénéficié de permis accélérés. Des extensions de capacités de recyclage de batteries ont été désignées Projets stratégiques dans plusieurs États membres.

Cela compte pour la souveraineté numérique parce que semi-conducteurs, batteries et infrastructure de calcul pour l’IA dépendent tous de matières couvertes par le RMPC. L’accès de l’UE à ces matières n’est plus une simple question de dynamique de marché — c’est aussi une question de politique structurelle.

Des partenariats stratégiques ont été signés avec l’Australie, le Canada, le Chili, le Groenland, le Kazakhstan, la Norvège, la Serbie, l’Ukraine et la Zambie. Les seuils de diversification vers les pays tiers (pas plus de 65 % de dépendance vis-à-vis d’un seul pays hors UE) façonnent explicitement ces partenariats.

6. La loi Cybersolidarité devient une véritable infrastructure

La loi sur la cybersolidarité, adoptée fin 2024, est passée à la mise en œuvre opérationnelle en 2025-2026. Le Bouclier européen de cybersécurité est partiellement opérationnel. Des consortiums de SOC transfrontaliers (France-Allemagne-Belgique, Nordique-Baltique) font tourner des échanges de renseignement sur les menaces. Les premiers contrats-cadres de la Réserve européenne de cybersécurité ont été signés avec des fournisseurs européens de cybersécurité dûment qualifiés.

Pour les fournisseurs de cybersécurité, l’appartenance à la Réserve est devenue un signal d’achat significatif. Pour les acteurs américains du secteur, les exigences de souveraineté ont créé des barrières structurelles à la participation, cohérentes avec SecNumCloud et l’écosystème de certification européen au sens large.

Ce que cela signifie pour les acheteurs européens

Pour la plupart des entreprises européennes, la souveraineté était un concept en 2024 et 2025. À mi-2026, c’est de plus en plus une catégorie d’achat avec des fournisseurs précis, des certifications précises et des structures de gouvernance précises à évaluer.

Les implications pratiques sont concrètes :

Pour les équipes achats : l’évaluation des fournisseurs inclut désormais raisonnablement la juridiction de l’entreprise, le statut fondation / propriété en fiducie, la certification UE (EUCC, EUCS, SecNumCloud, BSI C5) et la transparence de la chaîne d’approvisionnement (alignée RMPC). C’étaient des considérations académiques il y a deux ans. Elles sont de plus en plus pertinentes pour l’achat aujourd’hui.

Pour les CTO et responsables de l’ingénierie : les choix de cloud, base de données et SaaS ne sont plus de simples décisions techniques. L’incident CPI/Microsoft et l’annonce de la Fondation Infomaniak bornent une année au cours de laquelle le risque-fournisseur structurel est devenu un sujet de conseil d’administration dans de nombreuses organisations.

Pour les équipes conformité des secteurs régulés : NIS2, DORA, le règlement sur l’IA, l’EHDS et le Cyber Resilience Act créent collectivement un environnement réglementaire qui façonne les achats — ce qui n’existait tout simplement pas en 2023. Les considérations de souveraineté ne sont plus des choix éditoriaux optionnels — elles s’inscrivent de plus en plus dans les attentes réglementaires.

Pour les éditeurs européens : le signal d’achat se déplace. Juridiction UE, gouvernance en fondation, souveraineté certifiée et transparence de la chaîne d’approvisionnement sont de plus en plus des piliers de différenciation que les acheteurs évaluent activement. L’écosystème des éditeurs européens (Infomaniak, OVHcloud, Scaleway, Mistral, Mullvad, Threema, Element, Mojeek, DeepL, Cubbit, Tixeo, Scalingo, Clever Cloud, Aiven, et bien d’autres) est de plus en plus capable de concurrencer sur autre chose que le seul prix et la parité fonctionnelle.

Ce qui n’a pas encore changé

Il faut être honnête sur ce qui n’a pas bougé.

La plupart des entreprises européennes continuent de retomber par défaut sur Microsoft 365, AWS et Salesforce pour l’essentiel de leur pile. Les coûts de migration restent réels. Les compétences et la familiarité avec l’écosystème continuent de favoriser les sortants. L’écosystème tech européen ne peut toujours pas concurrencer les hyperscalers américains dans toutes les catégories et à toutes les échelles.

Ce qui a changé, c’est que la direction du mouvement penche désormais structurellement en faveur de l’Europe d’une manière qui n’existait pas il y a deux ans. La combinaison de la pression réglementaire (NIS2, DORA, règlement sur l’IA, EHDS, CRA), de la perception du risque alimentée par les incidents (CPI/Microsoft) et d’alternatives européennes crédibles produit des déplacements d’achat visibles à la marge.

Cette marge se cumule dans le temps.

Le pronostic honnête

La souveraineté tech européenne à mi-2026 n’est plus un récit défensif sur le « ne pas perdre davantage de terrain ». C’est de plus en plus un récit offensif portant sur des avantages structurels précis — juridiction de l’entreprise, gouvernance en fondation, souveraineté certifiée, transparence de la chaîne d’approvisionnement — que les éditeurs européens peuvent offrir de manière crédible et que les sortants américains ne peuvent structurellement pas proposer.

Les 18 à 24 prochains mois détermineront si cet avantage se traduit par un déplacement significatif des parts de marché ou reste une petite prime structurelle durable. Les conditions du premier scénario se mettent visiblement en place. C’est l’exécution qui fait la question.

Pour quiconque a la responsabilité des achats tech en Europe, le rapport d’étape de mi-2026 est assez clair : l’abstrait est désormais opérationnel. Les fournisseurs existent. Les certifications existent. Les structures de gouvernance existent. La pression réglementaire s’aligne. La question n’est plus de savoir si la souveraineté est réelle. La question est de savoir si votre organisation est structurée pour agir en conséquence.

Envie d’une recommandation de pile européenne personnalisée ? Essayez notre assistant de décision en 2 minutes — il pose quatre questions sur vos priorités et renvoie une liste hiérarchisée d’outils conçus en UE. Ou réalisez l’Évaluation d’exposition aux États-Unis pour cartographier le risque-juridiction de vos fournisseurs actuels.

Cela vous a-t-il été utile ?

Restez Informé

Recevez les dernières nouvelles sur les alternatives européennes et la souveraineté numérique.

Nous respectons votre vie privée. Désabonnement à tout moment. Pas de tracking, pas de spam.