Vendredi 17 avril 2026, vers midi. La Commission européenne officialise l’attribution de son appel d’offres « cloud souverain européen » : 180 millions d’euros sur six ans, quatre consortiums européens, plus de 40 agences et institutions européennes à servir. Parmi les gagnants, un belge : Proximus. La presse francophone titre sur la réussite belge, le cocorico français sur la domination tricolore du podium.
Dans le communiqué officiel de la Commission, un détail passe presque inaperçu : Proximus est le seul des quatre lauréats à n’avoir décroché que le niveau de souveraineté minimum exigé, SEAL-2. Les trois autres (Post Telecom, StackIT, Scaleway) sont notés SEAL-3. La différence tient à un point précis : le consortium de Proximus repose sur des technologies Google Cloud, opérées par des entités européennes.
Ce n’est pas un scandale. Ce n’est pas un détail non plus.
Ce que la Commission a réellement acheté
L’appel d’offres a été lancé en octobre 2025 dans le cadre du Cloud III Dynamic Purchasing System. L’enveloppe : 180 millions d’euros plafonnés, répartissables entre quatre fournisseurs maximum sur six ans. Les clients : institutions, agences et organes de l’Union européenne — plus de 40 entités selon Octave Klaba, fondateur et CEO d’OVHcloud, partenaire du consortium Post Telecom.
La Commission a délibérément choisi quatre lauréats plutôt qu’un seul, pour éviter la dépendance à un fournisseur unique. Diversification, résilience. La décision envoie aussi un signal au marché : la souveraineté numérique n’est plus un slogan politique, c’est un critère d’achat public, mesuré et opposable.
Le Cloud Sovereignty Framework, ou comment noter la souveraineté
Avant ce contrat, le mot « souverain » pouvait signifier à peu près tout et son contraire dans un argumentaire commercial cloud. C’est exactement ce que Paperjam qualifie de « buzz marketing » autour du terme.
La Commission a donc publié en octobre 2025 son Cloud Sovereignty Framework. Un document de six pages qui, pour la première fois, tente de transformer un principe politique en critères mesurables. Le framework s’articule autour de huit objectifs (SOV-1 à SOV-8) couvrant la gouvernance, le droit applicable, la transparence de la chaîne d’approvisionnement, l’ouverture technologique, la sécurité, et la conformité aux lois européennes.
Chaque objectif est noté sur une échelle SEAL (Sovereignty Effectiveness Assurance Level) allant de 0 à 4 :
| Niveau | Signification |
|---|---|
| SEAL-0 | Aucune souveraineté démontrée |
| SEAL-1 | Souveraineté basique |
| SEAL-2 | Souveraineté des données (seuil minimum exigé par l’appel d’offres) |
| SEAL-3 | Contrôle européen sur les technologies utilisées |
| SEAL-4 | Chaîne d’approvisionnement 100 % européenne, des puces au logiciel |
Pour être éligibles, les candidats devaient atteindre SEAL-2 sur tous les objectifs. Toute offre en-deçà était automatiquement rejetée. Les Allemands de Sovereign Cloud Stack et heise online notent que le framework s’inspire explicitement du SecNumCloud français et du concept allemand de « Souveräner Cloud ».
À noter : personne n’est SEAL-4 en pratique aujourd’hui. Cela supposerait des puces conçues et fabriquées en Europe, ce qui n’existe pas encore à l’échelle commerciale.
Les quatre gagnants, leurs partenaires, leurs scores
Voici ce qui ressort du communiqué officiel de la Commission et du reporting de MLex, The Next Web et Silicon.fr :
| Consortium | Partenaires | Pays | Niveau SEAL |
|---|---|---|---|
| Post Telecom | CleverCloud, OVHcloud | Luxembourg / France | SEAL-3 |
| StackIT (Schwarz Digits) | — (tech propre) | Allemagne | SEAL-3 |
| Scaleway (Iliad) | — (tech propre) | France | SEAL-3 |
| Proximus | S3NS (Thales + Google Cloud), Clarence by LuxConnect, Mistral AI | Belgique / France / Lux | SEAL-2 |
Trois observations rapides avant d’entrer dans le vif :
Les Allemands de StackIT ne sont pas n’importe qui. C’est la filiale cloud du groupe Schwarz (propriétaire de Lidl et Kaufland), ouverte au public en avril 2022. Schwarz Digits présente à la Hanovre Messe 2026 son European Sovereign Stack Standard (ES³), preuve que l’Allemagne considère la souveraineté cloud comme un champ industriel à occuper.
Scaleway, propriété du groupe Iliad (Free, Iliad Italia), héberge déjà Mistral AI sur ses infrastructures GPU. Bizarrement, Mistral se retrouve pourtant dans le consortium de Proximus — une entreprise peut évidemment travailler avec plusieurs prestataires.
Proximus est le seul opérateur télécom historique national parmi les quatre lauréats, et le seul à s’appuyer sur une technologie fondamentalement non-européenne dans son offre.
La contradiction Proximus : souverain avec un cœur Google
Revenons sur le cas Proximus, parce que c’est là que ça devient intéressant.
Le consortium Proximus inclut :
- S3NS : coentreprise Thales–Google Cloud, de droit français, qui opère du Google Cloud en isolant les opérations de toute ingérence américaine, comme Clubic l’explique ;
- Clarence by LuxConnect : partenariat déjà annoncé en mars 2023 entre Proximus, Google Cloud et LuxConnect pour déployer Google Distributed Cloud Hosted au Luxembourg et en Belgique ;
- Mistral AI : le champion français des modèles de langage.
Le communiqué officiel de la Commission le dit sans détour : les trois autres lauréats utilisent des technologies majoritairement européennes, tandis que Proximus s’appuie sur « un environnement technique fondé sur la technologie Google Cloud, exclusivement exploité par des entreprises de l’UE ». Traduction : le moteur est américain, la carrosserie européenne, le volant entre des mains européennes. C’est suffisant pour atteindre SEAL-2, pas assez pour SEAL-3.
La Commission assume explicitement cette contradiction apparente : des technologies non-européennes peuvent atteindre le niveau requis si elles sont opérées dans un cadre suffisamment strict. C’est une position pragmatique. C’est aussi une brèche.
L’agence Belga News rapporte la défense de Proximus : sa solution garantit « le contrôle juridique européen, la résidence des données, et une dépendance minimale envers des acteurs non-européens ». Le mot « minimale » est important. Il n’est pas « nulle ».
L’affaire Karim Khan : pourquoi ce débat n’est pas théorique
Pour comprendre pourquoi une dépendance même « minimale » à Google Cloud pose question, il faut un exemple concret. Il date de 2025.
En février 2025, Donald Trump signe un décret sanctionnant la Cour pénale internationale (CPI) après l’émission de mandats d’arrêt contre Benjamin Netanyahou. La CPI est basée à La Haye, en Europe. Son procureur en chef, Karim Khan, est britannique.
Dans les jours qui suivent, selon AP reprise par Reuters et De Volkskrant, le compte email professionnel de Karim Khan — hébergé chez Microsoft — devient inaccessible. Les versions divergent sur la mécanique exacte : Microsoft affirme que c’est la CPI elle-même qui a désactivé le compte après pression américaine. La CPI finit par basculer sur Proton Mail, un fournisseur suisse. En octobre 2025, la CPI abandonne carrément Microsoft Office.
Le Parlement européen pose une question officielle à la Commission en mai 2025 sur ce « sabotage numérique » d’une institution internationale basée en UE. Le gouvernement néerlandais réévalue son infrastructure numérique officielle dans la foulée.
C’est ça, le scénario que le Cloud Sovereignty Framework cherche à rendre impossible. Un fournisseur américain qui, sous pression de son gouvernement, coupe les services d’une institution européenne. Peu importe où les données sont physiquement stockées : si le propriétaire de la technologie est soumis au CLOUD Act américain de 2018, un juge américain peut théoriquement exiger l’accès, et un décret présidentiel peut théoriquement exiger la coupure.
Comme The Register le résume dans un papier du 13 avril 2026, les Européens ne croient plus aux promesses de « cloud souverain » des hyperscalers américains, parce qu’aucun d’entre eux ne peut promettre l’immunité face à un décret présidentiel ou au CLOUD Act.
La Société allemande d’informatique (GI) a été encore plus directe sur un sujet voisin (le partenariat BSI–Google en Allemagne) : selon elle, cette coopération est un accélérateur de la dépendance numérique de l’Allemagne envers les États-Unis, et un président comme Trump pourrait « toujours éteindre la lumière ». Formule brutale, mais le raisonnement tient.
Dans ce contexte, un consortium « souverain » qui s’appuie sur Google Cloud — même bien isolé, même bien encadré — soulève une question simple : en cas de crise géopolitique majeure, qui contrôle réellement le bouton d’arrêt ?
La Commission a tranché : pour SEAL-2, c’est acceptable. Pour les contrats les plus sensibles, elle n’utilisera probablement pas ce niveau.
Ce que ça change (ou pas) pour les PME wallonnes
Concrètement, ce contrat ne concerne que les institutions européennes. Pas une PME wallonne. Pas un commerçant de Charleroi. Pas un cabinet médical namurois. Alors pourquoi en parler ?
Parce que le Cloud Sovereignty Framework est pensé comme un standard. La Commission le dit elle-même : elle prépare une version mise à jour que les États membres et autres entités publiques pourront réutiliser dans leurs propres appels d’offres. Les régions, les communes, les hôpitaux, les universités belges risquent de s’en inspirer dans leurs marchés publics cloud des prochaines années.
Pour une PME wallonne, trois implications pratiques à court terme :
Vérifier où vos données atterrissent réellement. Le fait qu’un fournisseur européen utilise AWS, Azure ou Google Cloud en backend n’est pas anodin. Si votre entreprise traite des données sensibles (santé, juridique, propriété intellectuelle), le contrat d’hébergement devrait indiquer clairement la chaîne complète, pas juste le nom commercial du revendeur.
Comprendre que « souverain » n’est plus un mot vague. Désormais, un prestataire peut — et devrait — pouvoir vous indiquer son niveau SEAL estimé. Un prestataire qui esquive la question ou qui parle uniquement de « données hébergées en Europe » donne un élément de réponse sur SOV-4 (résidence des données), pas sur SOV-1 à SOV-3 ni sur SOV-5 à SOV-8. Ce n’est pas suffisant pour un enjeu stratégique.
Anticiper l’arrivée du Cloud and AI Development Act. La Commission a prévu une proposition pour le premier trimestre 2026, visant à tripler la capacité des datacenters européens sur 5 à 7 ans et à construire un cadre commun pour le cloud public. Cela va progressivement restructurer l’offre disponible sur le marché belge.
Pour les PME qui se demandent si ça les concerne : la réponse honnête, c’est « pas encore, mais bientôt ». Le standard se fixe aujourd’hui en haut, il ruissellera vers le bas.
Si l’angle IA européenne vous intéresse, on a déjà creusé le paysage IA et les modèles disponibles en 2026. Sur la tension souveraineté/administration américaine, voir aussi notre analyse du refus d’Anthropic de travailler avec le Pentagone.
Ce qui vient ensuite
Quelques éléments à surveiller dans les mois qui viennent :
La montée en puissance de StackIT, Scaleway et OVHcloud. Ces trois fournisseurs ont démontré qu’ils pouvaient atteindre SEAL-3 sans dépendance à un hyperscaler américain. S’ils continuent leur trajectoire industrielle, ils deviendront les références naturelles pour les marchés publics européens exigeant un niveau de souveraineté élevé. StackIT prévoit déjà l’ouverture d’un cinquième datacenter à Lübbenau.
L’évolution de Proximus. Le groupe peut rester à SEAL-2 et se positionner sur des clients qui acceptent un équilibre entre souveraineté et richesse fonctionnelle (Google Cloud offre des services managés très matures). Ou il peut investir pour monter à SEAL-3, ce qui supposerait de réduire sa dépendance à Google Cloud — un changement stratégique majeur.
Le feuilleton juridique autour du CLOUD Act. Tant qu’il existe, toute offre cloud appuyée sur une technologie américaine porte un risque résiduel. Il n’existe aujourd’hui aucun mécanisme juridique bilatéral qui neutraliserait complètement ce risque pour un hébergement d’institution européenne.
Les prochains appels d’offres publics belges. La Région wallonne, la Fédération Wallonie-Bruxelles, les communes et les intercommunales vont devoir, à terme, s’aligner sur un référentiel. Le framework européen est l’option la plus probable. Les prestataires qui anticipent auront un avantage.
Au final, ce contrat de 180 millions a un mérite clair : il transforme une discussion jusqu’ici dominée par le marketing en une discussion chiffrée et comparable. Pour Proximus, c’est une victoire commerciale à court terme, une ambiguïté à moyen terme. Pour l’Europe, c’est la première fois que « souverain » signifie quelque chose de précis dans un appel d’offres public. Le vrai test arrivera avec les contrats sensibles — défense, santé, justice — où SEAL-2 ne suffira probablement pas.
Sources et références
Sources primaires
- Commission européenne — Communiqué officiel d’attribution (17/04/2026)
- Commission européenne — Lancement du tender (10/10/2025)
- Cloud Sovereignty Framework v1.2.1 (PDF officiel)
- MLex — Résumé de l’attribution
- Parlement européen — Question sur les sanctions US et la CPI
Médias francophones
- La Libre — Proximus décroche un marché public européen de cloud souverain
- Clubic — L’analyse critique du podium français
- Silicon.fr — Les quatre champions européens
- Paperjam — Le « buzz marketing » autour du cloud souverain
- Generation-NT — L’Europe choisit ses champions du cloud
Médias internationaux (EN)
- The Next Web — EU awards its €180 million sovereign cloud contract
- The Register — Digital sovereignty isn’t just a buzzword
- The Register — International Criminal Court dumps Microsoft Office
- The Register — Microsoft throws spox under the bus in ICC email flap
- IEEE Spectrum — EU’s Sovereign Cloud Ambitions Face Major Hurdles
- Belga News Agency (EN)
- CMS Law Now — Demystifying the CLOUD Act debate
Sources allemandes
- heise online — Cloud Sovereignty Framework
- heise online — Critique BSI-Google par la GI
- Schwarz Digits / STACKIT — Communiqué ES³ Hanovre 2026
- Schwarz Gruppe — Ouverture STACKIT (historique)
Sources japonaises
- Kiteworks Japan — EU Cloud Sovereignty Framework analyse
- Classmethod / DevelopersIO — AWS et souveraineté cloud EU
Sources coréennes
- IT World Korea — Alliance européenne « Trump-Proof »
- 전국인력신문 — Leçons pour la Corée du framework européen
Sources chinoises
Sources russes
- iXBT — Airbus migre son IT vers un cloud souverain européen
- se7en.ws — Airbus et l’infrastructure cloud souveraine
Contexte historique Proximus