Le Cloud Souverain d’Amazon

Ou comment nous sommes en train de refaire exactement la même erreur qu’avec les F-35.

Un air de déjà-vu

En 2013, quelques semaines après les révélations d’Edward Snowden sur PRISM, j’ai pris une décision radicale : quitter entièrement l’écosystème Google. FastCompany avait à l’époque documenté mon expérience dans un article intitulé “PRISM Break: How This Developer Created His Own Cloud”.

L’idée était simple : nos outils de communication (web, email, réseaux sociaux) sont trop importants que pour être entre les mains d’une seule entreprise dans un pays lointain, il me semblait essentiel de reprendre le contrôle. J’ai installé mon propre serveur, mes propres outils, ma propre infrastructure. C’était plus de travail, mais c’était mon infrastructure.

L’expérience a tenu trois ans. C’était trop lourd à gérer pour une seule personne. En particulier la difficulté de mise à jour continue des applications. Mais j’avais démontré que c’était possible. La question n’était pas technique — elle était de moyens et de volonté collective.

Douze ans plus tard, je regarde l’annonce du “Cloud Souverain Européen” d’Amazon avec un mélange de lassitude et de consternation. On n’a rien appris.

Ce qu’Amazon nous vend

AWS vient de lancer son “European Sovereign Cloud” avec un investissement annoncé de 7,8 milliards d’euros. Sur le papier, c’est séduisant :

  • Infrastructure physiquement et logiquement séparée des autres régions AWS
  • Opérations quotidiennes contrôlées exclusivement par des résidents de l’UE
  • Chiffrement contrôlé par le client
  • Capacité de fonctionner de manière autonome en cas de rupture de communication

Les premiers clients incluent déjà des acteurs du secteur public et des industries réglementées. Des partenaires prestigieux comme Accenture, Capgemini, Deloitte et SAP se sont empressés de s’associer à l’initiative.

C’est comme si par magie le difficile problème de notre dépendance aux technologies US était réglé. En tout cas, cela semble être le cas pour le management de ces grosses entreprises qui n’ont pas envie de réfléchir un peu plus loin.

Le problème juridique : le Cloud Act n’a pas disparu

Commençons par l’évidence que tout le monde semble vouloir ignorer : Amazon Web Services est une entreprise américaine. Point.

Le Cloud Act de 2018 est limpide : les autorités américaines peuvent exiger la divulgation de données détenues par des fournisseurs de services américains, quelle que soit la localisation physique des données. Peu importe que vos données soient stockées dans le Brandebourg, à Bruxelles ou sur la Lune. Si le fournisseur est américain, le Cloud Act s’applique.

Ce n’est pas un risque théorique. En mai 2025, Microsoft a bloqué le compte email de Karim Khan, procureur en chef de la Cour Pénale Internationale, suite aux sanctions imposées par l’administration Trump. Du jour au lendemain, en un clic, le plus haut responsable des poursuites d’une juridiction internationale s’est retrouvé coupé de ses communications officielles.

La CPI a dû migrer en urgence vers openDesk, une suite open source européenne. Le procureur, lui, est passé sur Proton Mail. Comme l’a résumé Computer Weekly : " La déconnexion du procureur Khan est un clic de souris entendu dans le monde entier." Le “cloud souverain” d’Amazon ne résout rien de tout cela. Une entreprise américaine reste soumise au droit américain, point final.

Le vrai problème : la dépendance technologique

Mais admettons, pour les besoins de l’argument, que par quelque miracle juridique le Cloud Act ne s’applique plus. Admettons qu’Amazon ait trouvé une structure légale imperméable aux injonctions américaines.

Le problème de la souveraineté resterait entier.

Pensez aux F-35. La Belgique et d’autres pays européens ont acheté ces avions de combat américains. Techniquement, ils " possèdent" ces appareils. Mais qui contrôle vraiment ?

  • La R&D ? Lockheed Martin, aux États-Unis.
  • Les mises à jour logicielles ? Décidées et développées aux États-Unis.
  • L’évolution des capacités ? Selon les priorités américaines.
  • La supply chain des pièces critiques ? Dépendante de fournisseurs américains.

On “possède” l’avion, mais on ne contrôle rien. On est locataires d’une technologie dont l’évolution nous échappe totalement. Et si demain les relations transatlantiques se tendent ? Si les priorités américaines divergent des nôtres ?

Le “cloud souverain” d’Amazon, c’est exactement la même dynamique.

  • Qui décide des nouvelles fonctionnalités ? Seattle.
  • Qui contrôle la roadmap produit ? Seattle.
  • Qui développe les innovations en IA, en edge computing, en sécurité ? Seattle.
  • Qui forme les ingénieurs qui font évoluer la plateforme ? Des universités américaines.
  • Qui apprend, invente, innove et développe une vision technologique en ligne avec ses valeurs ? Pas nous…

On nous vend de la souveraineté, mais c’est de la location avec un vernis européen. La substance reste américaine.

Le “sovereignty washing”

Cristina Caffarra, fondatrice de l’Eurostack Foundation, appelle ça du “sovereignty washing”. Je trouve le terme parfait.

Les hyperscalers américains ont compris que la souveraineté numérique était devenue un argument de vente. Alors ils placent des datacenters sur le sol européen, s’associent avec des opérateurs locaux, et ajoutent “souverain” à leur marketing.

Mais comme le note Caffarra : “Une entreprise soumise aux lois extraterritoriales des États-Unis ne peut pas offrir de véritable souveraineté, peu importe où elle place ses serveurs.”

90% de l’infrastructure numérique européenne (cloud, compute, logiciels) est aujourd’hui contrôlée par des entreprises non-européennes, principalement américaines. Ce n’est pas un détail. C’est une vulnérabilité stratégique.

Ce que souveraineté veut vraiment dire pour moi

La souveraineté, ce n’est pas une question de géographie des serveurs. C’est une question de contrôle.

Contrôle du code source. Contrôle de la roadmap. Contrôle des choix architecturaux. Contrôle de l’évolution technologique. Contrôle des données, certes, mais aussi contrôle de la capacité à innover indépendamment. Enfin, le plus important, contrôle de développer une technologie en ligne avec nos valeurs.

Un “cloud souverain” européen digne de ce nom devrait être :

  1. Développé en Europe – pas adapté ou repackagé, mais conçu ici
  2. Open source – pour que n’importe qui puisse auditer, contribuer, forker
  3. Contrôlé par des entités européennes – sans lien capitalistique ou opérationnel avec des juridictions extraterritoriales
  4. Évolutif de manière autonome – capable d’innover sans dépendre d’une roadmap décidée ailleurs

Des alternatives existent : OVHcloud, Scaleway, Hetzner, Infomaniak. Elles sont moins jolies, moins intégrées, moins “magiques” que les offres des géants américains. Mais elles sont nôtres. En ce qui me concerne, j’utilise Scaleway sur de nombreux projets.

Le courage de construire

En 2013, quand j’ai décidé de quitter Google, beaucoup m’ont dit que c’était trop compliqué, trop cher, pas pratique. Ils avaient raison — pour un individu seul. Après trois ans, j’ai dû abandonner. Mais ce qui est impossible pour une personne devient possible pour un continent.

Aujourd’hui, le même choix se pose à l’échelle européenne. Sauf que cette fois, on a les moyens.

On peut continuer à acheter des illusions de souveraineté à des fournisseurs américains. À chaque crise géopolitique, à chaque changement d’administration à Washington, à chaque évolution du droit américain, on se retrouvera à espérer que nos intérêts restent alignés avec les leurs.

Ou on peut prendre notre destin entre nos mains.

Ça demande du courage politique. Ça demande des investissements massifs. Ça demande d’accepter que nos solutions seront peut-être moins sophistiquées pendant quelques années. Ça demande de former nos propres talents au lieu de les voir partir chez les GAFAM.

Mais c’est le seul chemin vers une souveraineté qui ne soit pas un slogan marketing.

L’histoire se répète

Je termine avec une observation qui me frappe.

En 2013, après PRISM, l’Europe s’est indignée. On a parlé de souveraineté numérique. On a promis de construire nos propres alternatives. Et puis… on a continué à utiliser les services américains, parce que c’était plus simple.

En 2018, le Cloud Act est passé. Nouvelle indignation. Nouvelles promesses. Et on a continué.

En 2020, l’arrêt Schrems II a invalidé le Privacy Shield. Stupeur européenne. Grands discours sur la nécessité d’agir. Et on a continué.

En 2025, Microsoft bloque le procureur de la CPI sur ordre de Washington. Choc en Europe. Et on continue.

En 2026, Amazon lance son “cloud souverain” et tout le monde applaudit comme si le problème était résolu.

On n’apprend jamais.

Ou plutôt : on refuse d’apprendre, parce qu’apprendre vraiment impliquerait de faire des choix difficiles. Construire au lieu d’acheter. Investir au lieu d’importer. Accepter l’inconfort à court terme pour l’autonomie à long terme.

Le “cloud souverain” d’Amazon n’est pas une solution. C’est un anesthésiant qui nous permet de continuer à ignorer le vrai problème.

La vraie question n’est pas : “Comment rendre le cloud américain plus acceptable ?”

La vraie question est : “Avons-nous le courage de construire le nôtre ?”