Avec du contenu de marque de NordVPN
L’Union européenne s’apprête à franchir un cap décisif dans sa quête de souveraineté numérique. Selon des sources internes à la Commission européenne, Bruxelles envisage d’interdire aux fournisseurs de cloud américains (AWS, Microsoft Azure et Google Cloud) de traiter certaines données gouvernementales sensibles. Un signal fort, qui devrait pousser les chefs d’entreprise belges à réévaluer leur propre exposition numérique.
Ce que prépare Bruxelles
Le projet stratégique de la Commission européenne n’est pas encore détaillé par celle-ci, mais on connaît déjà ses principaux axes.
Le « Tech Sovereignty Package » du 27 mai
La Commission européenne doit présenter son « Tech Sovereignty Package » le 27 mai prochain. Ce paquet législatif ambitieux couvre plusieurs domaines stratégiques (cloud, intelligence artificielle, semi-conducteurs) avec un objectif central : réduire la dépendance technologique de l’Europe vis-à-vis des États-Unis.
Dans le volet cloud, les discussions en cours au sein de la Commission portent sur une restriction claire : les données sensibles du secteur public (santé, justice, finances publiques) ne pourraient plus être traitées par des plateformes extra-européennes. L’idée centrale est de définir des secteurs qui devront être hébergés sur des infrastructures cloud européennes afin de renforcer la souveraineté numérique européenne.
La loi CLOUD Act, talon d’Achille de la confiance transatlantique
Derrière cette initiative se cache une crainte bien réelle. Le CLOUD Act américain, adopté en 2018, autorise les autorités américaines à exiger l’accès à des données stockées par des entreprises américaines, peu importe où ces données se trouvent physiquement (y compris dans des datacenters situés en Europe). Autrement dit, même un fichier hébergé sur un serveur AWS en Irlande peut théoriquement tomber sous juridiction américaine.
Cette réalité juridique crée une zone d’incertitude pour les institutions gérant des informations confidentielles. Ce n’est pas une question de mauvaise volonté des fournisseurs cloud, mais une contrainte légale à laquelle ils ne peuvent pas se soustraire.
Ce que cela change concrètement pour les entreprises belges
L’impact de ce projet va largement dépasser les États et les institutions pour toucher l’ensemble de la sphère économique et privée.
La Belgique, championne du cloud et donc particulièrement exposée
Il serait tentant de considérer cette évolution réglementaire comme un problème strictement gouvernemental. Mais les entreprises privées ont toutes les raisons de s’y intéresser.
D’abord, parce que la Belgique figure parmi les économies les plus numérisées d’Europe. Selon une étude de Wolters Kluwer publiée en mars 2026, 34 % des PME belges fonctionnent intégralement dans le cloud ; le taux le plus élevé parmi les pays de l’UE sondés. Trois quarts d’entre elles utilisent des outils d’intelligence artificielle chaque semaine. Cette maturité numérique est un atout, mais elle implique aussi une dépendance structurelle à des plateformes dont la majorité sont américaines.
Ensuite, parce que la réglementation européenne a tendance à déborder du cadre public vers le privé. Le RGPD en est l’exemple le plus parlant : conçu initialement pour encadrer le traitement des données personnelles, il s’applique aujourd’hui à toute organisation, quelle que soit sa taille. Rien ne garantit que les contraintes à venir sur le cloud resteront cantonnées aux administrations.
Des secteurs sous surveillance accrue
Les entreprises belges qui travaillent en sous-traitance avec des administrations publiques (collectivités locales, hôpitaux, institutions judiciaires) sont en première ligne. Si leurs clients sont contraints de migrer vers des infrastructures européennes, cela aura des répercussions directes sur les outils et intégrations numériques partagés.
De même, les secteurs de la santé, des services financiers et du droit sont nommément cités dans les discussions bruxelloises. Pour un cabinet d’avocats, une mutualité ou une société de gestion patrimoniale qui traite des données via un outil SaaS américain, le niveau de vigilance devrait augmenter.
Ce que les entreprises peuvent faire dès maintenant
Même s’il est difficile de préconiser un plan d’action détaillé sans connaître les mesures réelles qui seront prises par la Commission européenne, il est possible d’anticiper certains changements et de s’y préparer.
Cartographier ses dépendances cloud
Avant de prendre toute décision, il faut savoir où se trouvent ses données. Quels outils utilisez-vous au quotidien ? Où sont hébergées vos données RH, comptables, contractuelles ?
La réponse est souvent moins claire qu’on ne le pense : notamment parce que de nombreux logiciels métier s’appuient en coulisses sur AWS ou Azure sans que l’utilisateur final en soit conscient.
Faire cet inventaire est une démarche saine, indépendamment du contexte réglementaire. C’est aussi la base de toute stratégie sérieuse en matière de cybersécurité.
Chiffrer les données en transit avec un VPN
Une mesure concrète que les entreprises peuvent mettre en place immédiatement, sans refonte de leur infrastructure, consiste à installer un VPN (réseau privé virtuel) pour chiffrer leurs communications et leurs données en transit. Lorsqu’un collaborateur accède à un outil cloud depuis son ordinateur, les données qui circulent entre son appareil et le serveur distant peuvent être interceptées ou surveillées, en particulier sur des réseaux non sécurisés.
Un VPN d’entreprise chiffre ce flux de données, rendant les communications illisibles pour tout tiers qui tenterait de les intercepter. Il s’agit d’une première ligne de défense accessible, déployable rapidement et compatible avec les infrastructures existantes.
Il est cependant important de comprendre les limites de cet outil : un VPN protège les données pendant leur transfert, pas celles qui sont déjà stockées sur les serveurs d’un fournisseur cloud américain. Les fichiers hébergés sur AWS ou Google Cloud restent soumis à la politique de ce fournisseur et aux obligations légales américaines, VPN ou pas.
Anticiper la migration vers des alternatives européennes
Sur le moyen terme, certaines entreprises ont intérêt à explorer les alternatives cloud souveraines qui existent désormais en Europe. Des acteurs comme OVHcloud en France, Scaleway ou encore des initiatives soutenues par Gaia-X proposent des infrastructures conformes au droit européen. Ces options étaient hier perçues comme des choix de niche : elles pourraient demain devenir des critères de conformité.
Dans le cadre de cette volonté d’émancipation numérique, Bruxelles vient d’ailleurs d’attribuer en avril 2026 un appel d’offres de 180 millions d’euros à quatre initiatives cloud européennes destinées aux institutions de l’UE : un signal clair de la direction prise par Bruxelles.
