- La publication le 12 janvier 2026 par l’ANSSI de son guide de référence sur la qualification de sécurité SecNumCloud version 3.2 (publiée en 2022) qui introduisait les critères d’immunité aux législations extra-européennes, dans la certification pour les services de cloud, marque un tournant décisif vers la souveraineté numérique. Ce guide avait défini trois niveaux de qualification correspondant à des niveaux de sécurité croissants. La France défend l’intégration de ces critères au niveau High, dans la future norme européenne EUCS (European Certification for Cloud Services) qui doit, à terme, remplacer les certifications nationales, dont le SecNumCloud français, tandis que d’autres États membres souhaitent un schéma plus ouvert aux acteurs internationaux.
- Le 20 janvier 2026, le Cybersecurity Act proposé par la Commission européenne fermait la porte à la souveraineté juridique dans la certification européenne pour les services de cloud (EUCS). La deuxième mouture du règlement européen limite en effet le champs d’application aux seuls risques techniques excluant toute immunité contre les lois extraterritoriales, en particulier américaines. C’est un revers majeur pour la France, le SecNumCloud français (v3.2) offrant aujourd’hui une garantie juridique contre l’extraterritorialité. Sans ces critères au niveau européen, la protection des données sensibles des OIV devient floue. Les acteurs américains ont salué la décision de la Commission européenne « de se concentrer sur les benchmarks de sécurité technique et la certification fondée sur des preuves, plutôt que d’introduire des restrictions discriminatoires de « souveraineté ». Il faut donc attendre les amendements du Parlement européen.
- Le 21 janvier 2026, le Digital Network Act enterrait le « fair share », qui visait à faire payer les principaux utilisateurs de l’Internet européen en prélevant 1% du chiffre d’affaires des grands consommateurs de trafic internet afin de contribuer au financement et à la modernisation des infrastructures numériques. Rappelons que, en Europe, les trois principaux fournisseurs américains de Cloud (Amazon AWS, Microsoft Azure, Google GCP) captent environ 75 % des parts de marché européennes et accaparent de fait plus de la moitié du trafic internet.
- Le 22 janvier 2026, le Parlement européen a adopté une résolution sur la souveraineté technologique européenne et les infrastructures numériques, qui souligne que « la souveraineté européenne réside dans la capacité à renforcer ses moyens, sa résilience et sa sécurité en réduisant les dépendances stratégiques, en évitant de dépendre d’acteurs étrangers et de fournisseurs de services uniques, et en protégeant les technologies et les infrastructures critiques » et qui réaffirme que « l’Union doit rester souveraine dans l’application de ses lois, en particulier dans le domaine numérique ». Cette résolution du Parlement européen appelle à « mettre en place une politique industrielle européenne globale pour l’écosystème numérique », et « à prendre l’initiative de créer une base solide pour l’infrastructure publique numérique ».
- Le 26 janvier 2026, la France organisait ses premières Rencontres de la souveraineté numérique, qui ont été l’occasion de débattre des orientations françaises en ce domaine et de présenter deux initiatives : l’Observatoire de la souveraineté numérique et l’Indice de résilience numérique.
Ainsi, la France dispose d’une approche de la Souveraineté dans le numérique qui diffère de celle de la Commission européenne et semble rejoindre celle du Parlement européen. Mais cela montre que l’environnement réglementaire en matière de Souveraineté n’est pas stabilisé en Europe, et cela complique pour les entreprises la planification des infrastructures numériques à long terme.
