[TEMPS DE LECTURE ESTIMÉ : 11 minutes]
Avril 2026 superpose trois événements que la presse traite séparément : la commission Latombe à l’Assemblée, l’attribution du marché cloud des institutions européennes, le vote du Parlement européen sur l’AI Omnibus. Lus ensemble, ils dessinent une contradiction que personne ne formule.
L’Europe veut simultanément réguler une technologie qu’elle ne produit pas et reconquérir une souveraineté qu’elle a renoncé à laisser émerger par le marché. Les deux mouvements parlementaires d’avril exposent à nu cette désarticulation. À Paris, une commission d’enquête découvre tardivement l’ampleur d’une dépendance numérique connue depuis dix ans. À Bruxelles, l’AI Act conçu en 2021 est rattrapé par sa propre obsolescence avant d’avoir produit ses effets. Ces deux faits ne sont pas séparés. Ils sont les deux symptômes d’une même incapacité doctrinale.
Le réveil français : un audit institutionnel
La commission d’enquête « sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France » a été votée par la commission des lois de l’Assemblée nationale le 27 janvier 2026, sur droit de tirage du groupe Écologiste et Social. Sa réunion constitutive s’est tenue le 18 février 2026. Elle est présidée par Philippe Latombe (Dem), avec pour rapporteure Cyrielle Chatelain (EcoS).
Les premières auditions ont débuté le 10 mars 2026 et se poursuivront jusqu’à l’été, le rapport étant attendu pour août. Au cours du mois d’avril, la commission a entendu Thierry Breton, Marie-Laure Denis (CNIL), Christel Heydemann (Orange), Stéphanie Schaer (DINUM), ainsi que des responsables de la Cour des comptes sur le budget numérique de l’État. Les comptes rendus sont publiés au fil de l’eau sur le site de l’Assemblée nationale.
Le matériau accumulé est éloquent — pour qui n’avait pas lu les rapports précédents. Une commission d’enquête équivalente avait été conduite au Sénat en 2019, sous la présidence de Franck Montaugé et avec Gérard Longuet pour rapporteur. Un rapport d’information parlementaire de 2021, présidé par Jean-Luc Warsmann avec Philippe Latombe pour rapporteur, formulait déjà soixante-six propositions. Le diagnostic ne change pas. Sa formalisation institutionnelle, en revanche, s’est accélérée à la faveur de la présidence Trump et du climat géopolitique.
Les chiffres mobilisés sont connus depuis longtemps. Selon une étude du Cigref publiée en 2025, environ 80 % des dépenses européennes en logiciels et services cloud professionnels — soit autour de 265 milliards d’euros — bénéficient à des acteurs américains. Le premier baromètre de la souveraineté numérique de l’École de guerre économique et de l’institut Verian, publié le 8 avril 2026 sur un échantillon de 1 003 Français, indique que 86 % des sondés jugent la France trop dépendante des plateformes et acteurs étrangers, que 78 % estiment que la France ne dispose pas de moyens suffisants pour faire respecter sa réglementation par les grandes plateformes, et que 64 % considèrent que la France pèse davantage en régulation qu’en innovation technologique. Le second et le troisième chiffres sont, dans le contexte de cet article, les plus intéressants : ils signalent qu’une fraction non négligeable de l’opinion a intuitivement compris ce que l’élite politique peine à formuler — le décalage entre la prétention à réguler et la capacité à faire respecter.
Une réponse européenne : l’attribution du 17 avril
Le 17 avril 2026, la Commission européenne a attribué un marché de cloud souverain d’un montant maximal de 180 millions d’euros sur six ans, dans le cadre du Dynamic Purchasing System Cloud III lancé en octobre 2025. Quatre consortiums ont été retenus : Post Telecom (associé à OVHcloud et Clever Cloud), l’allemand StackIT, Scaleway, et Proximus (associé à S3NS, Clarence et Mistral). Cinq des neuf entreprises impliquées sont françaises.
Le geste est symboliquement fort. Sur le marché européen du cloud, environ 70 % de l’infrastructure est captée par AWS, Microsoft Azure et Google Cloud (estimation Synergy Research, reprise par la Cour des comptes en 2025) — un ordre de grandeur qui se retrouve dans les contrats des institutions, jusqu’ici largement adossés au marché-cadre Cloud II signé en 2020 avec AWS et Microsoft. La rupture est nette. Mais l’ordre de grandeur — 180 millions d’euros sur six ans pour les institutions — reste dérisoire face à la taille du marché européen du cloud, et l’arbitrage juridique sur la certification EUCS reste bloqué sur la question de l’immunité face aux lois extraterritoriales américaines.
Le point réellement novateur n’est pas dans le montant du marché, mais dans le référentiel utilisé pour l’attribuer : le Cloud Sovereignty Framework. Ce dispositif décompose la souveraineté numérique en huit objectifs (stratégique, juridique, opérationnel, environnemental, transparence des chaînes d’approvisionnement, ouverture technologique, sécurité, conformité au droit européen) et la gradue en cinq niveaux SEAL, de 0 à 4. Le niveau SEAL-2 garantit que le client n’a pas besoin de mesures techniques supplémentaires pour protéger ses données. Le niveau SEAL-4 exige une chaîne d’approvisionnement entièrement européenne, des puces aux logiciels.
Cette gradation est un objet juridique intéressant. Elle ne décrète pas une obligation uniforme, mais elle expose publiquement un critère de mesure que les directions informatiques d’entreprises soumises à NIS2 ou DORA peuvent reprendre à leur compte. Elle ouvre la possibilité d’un débat technique informé plutôt qu’une obligation indifférenciée. La majorité des attributaires (Post Telecom, OVHcloud, Clever Cloud, StackIT, Scaleway) ont atteint le niveau SEAL-3, dit de résilience numérique. Le consortium Proximus-S3NS, qui repose en partie sur des technologies Google Cloud sous gouvernance européenne, s’est qualifié à SEAL-2 — c’est-à-dire au seuil minimal d’éligibilité. Cette gradation publique, en acceptant explicitement de la technologie américaine sous gouvernance européenne, fait ce qu’aucune réglementation jusqu’ici n’avait fait : elle distingue la nationalité du fournisseur de la nationalité du droit applicable. Sur ce point précis, la Commission fait pour une fois quelque chose qu’un libéral classique peut reconnaître comme légitime : elle outille la transparence du droit applicable plutôt que d’imposer un protectionnisme déguisé.
Le report bruxellois : l’épuisement de la prétention régulatoire
Le 26 mars 2026, le Parlement européen a adopté en plénière sa position de négociation sur l’AI Omnibus (COM(2025) 836), par 569 voix pour, 45 contre et 23 abstentions. Le Conseil avait arrêté la sienne le 13 mars. Les trilogues sont en cours, le trilogue politique final étant programmé pour le 28 avril 2026, avec un texte consolidé attendu avant l’été.
L’enjeu central est procédural et calendaire. L’échéance initiale du 2 août 2026 pour l’application des obligations relatives aux systèmes d’IA à haut risque est repoussée. Le Parlement et le Conseil convergent vers des dates fixes : 2 décembre 2027 pour les systèmes à haut risque listés à l’Annexe III (biométrie, infrastructures critiques, éducation, emploi, services essentiels, application de la loi, justice, gestion des frontières), et 2 août 2028 pour ceux relevant de la législation sectorielle de sécurité (Annexe I). Soit, respectivement, jusqu’à 16 et 24 mois de report.
L’argument officiel est que les standards harmonisés, dont la production a été confiée au Comité européen de normalisation, ne seront pas prêts à temps. CEN-CENELEC indique que les normes complètes ne seront pas disponibles avant fin 2026. Le report est donc présenté comme une mesure technique de réalisme, et non comme une concession politique.
La fracture est nette. L’industrie célèbre. Une coalition d’organisations (Amnesty International, Access Now, AlgorithmWatch, Article 19) a publié une lettre ouverte demandant le rejet de l’AI Omnibus, dénonçant un affaiblissement des protections fondamentales — notamment via les modifications de l’Annexe I qui touchent les systèmes médicaux à haut risque, et via le retrait de l’obligation pour les fournisseurs de publier leur auto-évaluation du caractère « non haut risque » de leurs systèmes.
Les deux camps ont partiellement raison. Et chacun manque la vraie question.
Le problème épistémologique : réguler ce qu’on ne sait pas définir
L’AI Act a été conçu en 2021 sur des hypothèses techniques que dix-huit mois de développement des grands modèles de langage ont rendues caduques. La logique régulatoire d’origine reposait sur une catégorisation par usage : un système destiné au recrutement, à la notation de crédit, à la justice prédictive entrait dans une grille de risques. Mais un modèle généraliste peut, par construction, faire toutes ces choses simultanément, ou aucune. La distinction entre fournisseur, déployeur et utilisateur final, qui structure tout l’édifice juridique, devient floue à mesure que les API se généralisent.
Le législateur européen a tenté de rattraper cette dérive en ajoutant en 2024 un régime spécifique pour les modèles d’usage général, puis pour les modèles à risque systémique. Le résultat est un texte de cinq cents pages, augmenté d’actes délégués qui en multiplieront le volume, et que les standards harmonisés tentent encore de traduire en exigences concrètes. La position du Parlement de mars 2026 introduit, selon les observateurs, treize nouveaux actes délégués supplémentaires.
Le problème n’est pas de réguler l’IA. Il est de prétendre réguler par prescription technique détaillée une technologie dont le périmètre change tous les six mois. Toute prescription qui ne consiste pas en un principe général est obsolète au moment où elle est publiée. Mais l’Union européenne ne sait pas réguler par principes ; sa culture juridique est celle de l’exhaustivité administrative. C’est précisément cette culture qui est en train d’être contournée par le report.
Vu sous cet angle, le report n’est pas un recul des droits fondamentaux. Il est un aveu : on ne sait plus très bien ce qu’on régule. La question posée par la coalition d’ONG — y aura-t-il jamais des standards opposables ? — est légitime, mais elle vaut moins comme critique du report que comme symptôme du dysfonctionnement structurel de la prétention régulatoire elle-même.
Lecture libérale classique : ce que personne ne formule
Benjamin Constant distinguait avec rigueur deux questions politiques que l’usage moderne mélange constamment : quelle organisation des pouvoirs ? et quelle limite à leur action ? Dans le débat européen sur le numérique, les deux registres sont confondus. On invoque la « souveraineté » — c’est-à-dire la question de savoir qui exerce le pouvoir — pour justifier des prescriptions techniques détaillées qui relèvent de la question, distincte, des limites de l’action publique. Le résultat est doublement pervers : on produit des règles tatillonnes qui ne protègent personne et qui consolident la position des acteurs déjà installés, c’est-à-dire des grandes plateformes américaines.
Le RGPD avait promis de protéger les citoyens européens contre les GAFAM. Sept ans après, le constat est documenté : il a surtout créé des barrières à l’entrée pour les startups européennes, qui supportent un coût de conformité fixe disproportionné, tandis que les hyperscalers ont absorbé le coût et organisé le marché à leur avantage. MiCA pour les cryptomonnaies, l’AI Act pour l’intelligence artificielle, l’écosystème de certifications SecNumCloud et EUCS pour le cloud reproduisent le même schéma. Mancur Olson l’avait théorisé dès 1965 : la prolifération des règles administratives sert structurellement les groupes d’intérêt organisés et installés, contre les nouveaux entrants diffus et inorganisés.
L’argument adverse mérite d’être pris au sérieux. Le CLOUD Act de 2018 et la Section 702 du FISA, prolongée en avril 2024, créent un risque juridique réel et asymétrique : un fournisseur soumis au droit américain peut être contraint, hors de tout cadre européen, de transmettre des données. Ce risque est documenté, il est asymétrique, et il justifie des réponses publiques proportionnées — y compris une commande publique discriminante au nom de la sécurité des données régaliennes. Il existe un domaine où l’argument souverainiste est techniquement fondé.
Mais cet argument n’autorise pas la prolifération réglementaire à l’égard du secteur privé tout entier. Un cloud français contrôlé par l’État pose autant de questions de liberté politique qu’un cloud américain soumis au FBI. Le sujet n’est pas le drapeau du serveur, mais la pluralité des options offertes au client final et la transparence du droit applicable à chacune. Le Cloud Sovereignty Framework du 17 avril, en ce sens précis, va dans la bonne direction : il informe le marché plutôt qu’il ne le ferme.
Le vide doctrinal
Aucune des deux institutions parlementaires — ni l’Assemblée nationale française, ni le Parlement européen — ne dispose à ce jour d’une doctrine cohérente articulant innovation, libertés individuelles et indépendance institutionnelle. Le débat oscille entre patriotisme économique réflexe, prudence régulatoire défensive et capitulation pragmatique au moment du vote. Les commissaires, les députés et les hauts fonctionnaires gèrent un dossier dont aucun n’a la main théorique.
C’est cette absence qui fait que les trois événements d’avril 2026 — commission Latombe, attribution cloud, AI Omnibus — sont lus séparément. Chacun obéit à une logique propre. Aucun n’est rattaché à un cadre de pensée. La commission d’enquête française rendra son rapport en août ; il y a tout lieu de craindre qu’elle reproduise le rapport Longuet de 2019, le rapport Latombe de 2021, et l’avis du CESE de 2018, en formulant des recommandations qu’aucun gouvernement ne mettra en œuvre. Le trilogue Omnibus aboutira avant l’été ; le report obtenu sera vraisemblablement suivi, dans dix-huit mois, d’un nouveau report sous un autre prétexte. Mistral, OVHcloud et Scaleway tenteront de survivre dans un cadre simultanément protecteur (commande publique) et prescriptif (conformité multi-couches) : l’expérience d’Atos, dont les activités stratégiques de calcul (Bull) viennent d’être nationalisées le 31 mars 2026 pour 404 millions d’euros, suggère que la combinaison est instable.
La voie libérale classique consisterait à dire ce que personne ne dit : le sujet n’est pas de produire plus de règles, mais d’en produire moins et de meilleure qualité ; il n’est pas de subventionner des champions nationaux, mais de garantir un cadre concurrentiel européen ouvert ; il n’est pas de choisir entre dépendance américaine et autarcie réglementaire, mais d’organiser la pluralité des options et la transparence du droit applicable. Cette voie suppose un travail doctrinal que ni Bercy ni la DG CONNECT n’ont entrepris.
Tant que ce travail manque, l’Europe continuera de produire ce que le baromètre EGE/Verian a saisi avec ironie : une puissance qui pèse plus en régulation qu’en innovation. Ce n’est pas un destin. C’est un choix par défaut.
Sources
Sources primaires
— Assemblée nationale, Commission d’enquête sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France, page institutionnelle et comptes rendus, février-avril 2026 : assemblee-nationale.fr/dyn/17/organes/autres-commissions/commissions-enquete/ce-vulnerabilites-numeriques
— Compte rendu n° 10, déposé le 14 avril 2026 : assemblee-nationale.fr/17/cr-cenum/25-26/c2526010.asp
— Parlement européen, communiqué de presse du 26 mars 2026, Artificial Intelligence Act: delayed application, ban on nudifier apps (vote 569-45-23 en plénière sur l’AI Omnibus, COM(2025) 836 final) : europarl.europa.eu/news/en/press-room/20260323IPR38829/artificial-intelligence-act-delayed-application-ban-on-nudifier-apps
— Parlement européen, Legislative Train Schedule – Digital Omnibus on AI (chronologie procédurale, position du Conseil du 13 mars 2026, rapport conjoint IMCO/LIBE du 18 mars 2026) : europarl.europa.eu/legislative-train/package-digital-package/file-digital-omnibus-on-ai
— Sénat, Commission d’enquête sur la souveraineté numérique (Franck Montaugé, président ; Gérard Longuet, rapporteur), rapports tomes I et II, 2019 : senat.fr/travaux-parlementaires/structures-temporaires/commissions-denquete/commissions-denquete/commission-denquete-sur-la-souverainete-numerique.html
Sources secondaires
— École de guerre économique et institut Verian, Premier Baromètre de la souveraineté numérique : les Français face aux enjeux géopolitiques du numérique, 8 avril 2026 (1 003 répondants, enquête du 29 au 31 mars 2026). Présentation : veriangroup.com/fr/news-and-insights/les-français-et-la-souveraineté-numérique. Synthèse de presse : infodujour.fr/technologie/84434-les-francais-face-aux-enjeux-geopolitiques-du-numerique
— Acteurs Publics, sur le lancement de la commission Latombe et son périmètre de travail (27 février 2026) : acteurspublics.fr/articles/les-parlementaires-lancent-une-commission-denquete-sur-la-dependance-au-numerique-etranger
— Le MagIT, sur l’attribution du marché cloud du 17 avril 2026 (publié le 20 avril 2026) : lemagit.fr/actualites/366641900/Cloud-souverain-Bruxelles-selectionne-OVHcloud-Scaleway-et-S3NS
— IT Social, analyse du Cloud Sovereignty Framework et des niveaux SEAL 0-4 : itsocial.fr/cloud-infrastructure-it/cloud-infrastructure-it-actualites/la-commission-europeenne-attribue-son-marche-cloud-a-ovhcloud-scaleway-et-stackit
— L’Usine Digitale, sur le vote en commission des lois du 27 janvier 2026 : usine-digitale.fr/souverainete/souverainete-numerique-lassemblee-nationale-vote-la-creation-dune-commission-denquete-sur-les-dependances-structurelles-et-vulnerabilites-systemiques.T6ZHYHBUOBGSZJFRLOK3NPZBMA.html
Sources d’opinion et d’analyse
— Amnesty International, How EU proposals to “simplify” tech laws will roll back our rights online to feed AI, avril 2026 : amnesty.org/en/latest/news/2026/04/eu-simplification-laws
— Coalition d’ONG (Access Now, AlgorithmWatch, Amnesty International, Article 19 et al.), Open Letter: Safeguard the AI Act, lettre ouverte aux institutions européennes : amnesty.eu/news/open-letter-safeguard-the-ai-act
— Jacques Delors Centre, The EU’s Digital and AI Omnibus is Heading in the Wrong Direction, mars 2026 : delorscentre.eu/en/publications/detail/publication/the-eus-digital-and-ai-omnibus
— DIGITALEUROPE, AI Act delay is not enough: the omnibus must fix Europe’s industrial competitiveness, 24 février 2026 : digitaleurope.org/news/ai-act-delay-is-not-enough-the-omnibus-must-fix-europes-industrial-competitiveness
— Tech Policy Press, EU’s AI Act Delays Let High-Risk Systems Dodge Oversight, mars 2026 : techpolicy.press/eus-ai-act-delays-let-highrisk-systems-dodge-oversight
— A&O Shearman, Digital Omnibus on AI: What is really on the table as trilogues begin, avril 2026 : aoshearman.com/en/insights/digital-omnibus-on-ai-what-is-really-on-the-table-as-trilogues-begin
— IAPP, EU Digital Omnibus: Analysis of key changes, décembre 2025 : iapp.org/news/a/eu-digital-omnibus-analysis-of-key-changes
— Mancur Olson, The Logic of Collective Action: Public Goods and the Theory of Groups, Harvard University Press, 1965.
— Benjamin Constant, De la liberté des Anciens comparée à celle des Modernes, 1819.
Note sur les limites des données
Le chiffre Cigref (≈80 % / 265 Mds€) est une estimation agrégée dont la méthodologie précise n’est pas pleinement publique ; d’autres baromètres (Hexatrust, EGE/Verian) convergent vers le même ordre de grandeur, sans le confirmer au point près. Les dates limites de l’AI Omnibus (2 décembre 2027 et 2 août 2028) sont des positions de négociation des co-législateurs ; elles peuvent encore évoluer en trilogue avant la publication officielle, attendue avant l’été 2026. L’attribution du 17 avril 2026 plafonne à 180 M€ sur six ans, mais le montant réellement dépensé dépendra des commandes effectives des institutions. La déclaration imputée aux Français sur leur perception de la souveraineté est issue d’un sondage déclaratif en ligne sur 1 003 personnes : elle vaut comme indicateur de représentation sociale, non comme mesure de fait.