digital-strategy.ec.europa.eu détecté sur le web

L'UE publie le Cloud and AI Development Act, en vigueur 4 août

TL;DR

  • Le CADA entre en vigueur le 4 août 2026, vingt jours après sa publication au Journal officiel de l'UE, conformément à l'article 48.
  • Le texte instaure quatre paliers de souveraineté cloud, du niveau 1 (hébergement UE) au niveau 4 (chaîne logicielle sans interférence de pays tiers).
  • Le premier palier s'impose aux administrations et infrastructures critiques à partir de février 2028, le plus élevé à compter d'août 2029.

La Commission européenne a bouclé cet été le Cloud and AI Development Act (CADA), un texte qui redessine à petit feu qui a le droit d'héberger les données sensibles des administrations européennes. D'après la page officielle de la stratégie numérique de l'UE, le règlement s'articule autour de trois axes — recherche et innovation, expansion des capacités et autonomie — et vise à tripler la capacité de data centres de l'Union en cinq à sept ans.

Le mécanisme central est un classement en quatre paliers de souveraineté. Comme le détaille Lawfare, le niveau 1 exige qu'une entité de l'UE, y compris une filiale européenne d'entreprise américaine, héberge les données sur des serveurs situés sur le territoire de l'Union. Le niveau 2 ajoute la démonstration qu'aucun pays tiers ne peut accéder aux données ni actionner un « kill switch ». Le niveau 3 exclut tout contrôle capitalistique par un pays tiers. Le niveau 4 impose en outre que les composants et produits échappent à toute interférence extra-européenne, avec le niveau le plus élevé de certification cybersécurité européenne.

Le calendrier avance par paliers. Le CADA entre en vigueur le 4 août 2026, vingt jours après sa parution au Journal officiel, comme le prévoit l'article 48 rappelé par la FAQ CADA. Le premier palier devient opposable aux administrations et infrastructures critiques à partir de février 2028, et le plus élevé à compter d'août 2029. La Commission estime qu'environ 20 % des contrats publics relèveraient du niveau 2, moins de 10 % du niveau 3 et environ 1 %, principalement liés à la défense, du niveau 4.

La mise en garde honnête, c'est que le texte publié pose un cadre mais renvoie beaucoup au droit dérivé. La liste précise des « infrastructures critiques », le sort des filiales européennes des hyperscalers américains dans les paliers 3 et 4, et le financement du triplement de capacité restent à préciser. Ces pourcentages sont des estimations de la Commission, pas un partage garanti du marché.

Pour les acteurs concernés, la fenêtre est étroite mais lisible. Les acheteurs publics ont environ dix-huit mois pour cartographier leurs charges de travail selon la grille. Les fournisseurs cloud européens, les projets de type Gaia-X et les certificateurs de cybersécurité européenne y gagnent un marché adressable prévisible. Les hyperscalers non-UE, eux, doivent décider dès à présent quels contrats souverains ils entendent défendre, et sous quelle forme juridique.