La Commission européenne a récemment présenté sa proposition de loi sur le développement du cloud et de l’IA (CADA), qui vise à stimuler l’industrie locale du cloud et de l’IA en remodelant l’infrastructure, le marché européen du cloud et la manière dont les organismes du secteur public pourront fonctionner à l’avenir.
PUBLICITÉ
PUBLICITÉ
La CADA se concentre sur trois piliers principaux : l’investissement dans la recherche, le développement et l’innovation, le renforcement des capacités (qui triplera le marché européen des centres de données au cours des cinq à sept prochaines années) et un cadre d’autonomie global, qui implique quatre niveaux de souveraineté et de sécurité et de nouvelles obligations pour les États membres de l’UE.
La CADA a reçu un accueil mitigé
Jusqu’à présent, la proposition a reçu des critiques mitigées. Des associations industrielles telles que CCIA Europe ont qualifié la proposition de discriminatoire, dans la mesure où la CADA obligerait les États membres de l’UE à évaluer quels cas d’utilisation nécessitent des niveaux spécifiques de souveraineté que les fournisseurs non européens « ne pourraient pas atteindre par défaut ».
L’avocat polonais en technologie Mikolaj Barcenciewicz a déjà déclaré que la CADA devrait être basée sur les risques plutôt que catégorique, et que l’approche individuelle et la subsidiarité des États membres devraient être préservées plutôt que généralisées.
L’eurodéputé suédois Jörgen Warborn a récemment partagé son opinion sur la proposition CADA sur LinkedIn, affirmant que les objectifs européens de souveraineté numérique doivent être complétés par une plus grande simplification et de meilleures conditions commerciales, avec une « perspective de retour sur investissement » renforcée.
Il a également déclaré que même si les objectifs de souveraineté de l’UE devraient être renforcés dans les applications nationales liées à la sécurité nationale, les domaines moins sensibles devraient être ouverts aux investissements directs étrangers, car « une grande majorité de la richesse mondiale est située en dehors de l’UE » et l’UE devrait s’efforcer d’attirer ces investissements, et non l’inverse.
L’eurodéputée finlandaise Aura Salla a toutefois appelé à une approche encore plus centralisée pour tester les dépendances technologiques et évaluer les risques au niveau des États membres.
Enfin, certaines parties prenantes, comme le fournisseur de logiciels allemand Nextcloud, ont déclaré que la proposition actuelle n’est pas assez ambitieuse et qu’elle devrait également être étendue au secteur privé.
Une limite de 12 mois pour les permis, mais plus d’exigences à respecter
Le titre III de la CADA établit deux mécanismes principaux pour accroître rapidement la capacité des centres de données de l’UE : les zones d’accélération des centres de données et les projets stratégiques de centres de données.
Dans les six mois suivant l’entrée en vigueur du règlement, chaque État membre doit désigner au moins une zone d’accélération, intégrée dans les plans locaux d’urbanisme et de quartier, en tenant compte de la disponibilité du réseau, de la capacité du réseau et d’une nette préférence pour les friches industrielles.
Qu’un développement s’inscrive dans ces zones pré-approuvées ou reçoive une désignation de projet stratégique individuel, il bénéficie d’un « corridor vert » avec une limite maximale de 12 mois pour la procédure d’autorisation.
Cependant, la liste de contrôle de conformité de la CADA est exigeante : les opérateurs d’infrastructures doivent adopter des KPI de durabilité standardisés au niveau européen, et les allocations de ressources locales seront strictement surveillées pour éviter une thésaurisation spéculative ou un verrouillage anticoncurrentiel.
En réalité, cela donne aux États membres un délai serré de six mois pour établir des zones de conformité dans des cadres de planification locale complexes, suivi d’un délai tout aussi court de 12 mois pour l’approbation des permis individuels.
La construction même de centres de données est déjà fortement entravée par le monde physique : seule une poignée de constructeurs spécialisés possèdent les certifications requises, chaque phase de développement est soumise à des audits rigoureux et même des installations modestes prennent parfois des années à construire.
En imposant de nouvelles obligations de conformité considérables aux États membres et aux fournisseurs d’infrastructures, les décideurs politiques de l’UE risquent de transformer la limite de permis de « 12 mois maximum » en un objectif mineur et dénué de sens dans un processus structurellement complexe.
De grands changements dans les marchés publics
Le titre IV du CADA et ses annexes décrivent un nouveau cadre rigide qui dicte les types exacts de logiciels et de services de cloud computing que les États membres de l’UE peuvent acheter.
La demande du secteur public sera rigoureusement cartographiée par rapport aux quatre niveaux de garantie établis à l’annexe II du CADA.
Le niveau 1 couvre la souveraineté et la sécurité de base, autorisant la propriété d’entreprises dans des pays tiers.
Le niveau 2 concerne une souveraineté numérique substantielle, où la propriété d’entreprises dans des pays tiers est toujours autorisée, à condition que toutes les opérations, infrastructures, personnel et support restent strictement au sein de l’UE, soient soutenus par une certification de cybersécurité « substantielle » et que les données des clients ne puissent pas être utilisées pour la formation à l’IA dans des pays tiers.
Le niveau 3 signifie une souveraineté et une sécurité nationale élevées, avec un contrôle des entreprises de pays tiers interdit par défaut, sous réserve de rares exceptions accordées par la Commission européenne, tandis que le niveau 4 représente une autonomie maximale et une sécurité critique, avec un contrôle des entreprises de pays tiers totalement interdit.
Comment les États membres de l’UE sont-ils censés mettre en œuvre le nouveau cadre CADA ? Premièrement, en désignant une ou plusieurs autorités nationales compétentes pour faire respecter les normes, auditer les fournisseurs et traiter les demandes de reconnaissance des fournisseurs de cloud.
Dans un délai d’un an, les États membres doivent procéder à des évaluations des risques (à répéter tous les deux ans) pour identifier les activités du secteur public qui dépendent des services cloud et déterminer le niveau approprié d’assurance de sécurité.
La proposition actuelle pour CADA changerait complètement la manière dont les marchés publics de services cloud fonctionnaient jusqu’à présent.
Auparavant, les organismes du secteur public des États membres pouvaient choisir librement les fournisseurs de services cloud en fonction du prix, de la qualité du service, des besoins organisationnels et de la législation souveraine en matière de gestion des données fondée sur les risques.
Alors que les marchés publics étaient autrefois largement dominés par le prix et les spécifications techniques standard, les États membres devraient désormais également évaluer des critères autres que le prix, tels que le degré de contribution d’un fournisseur à l’écosystème numérique européen.
Cet article a été publié pour la première fois dans Boucle technologique de l’UE et a été partagé sur Euronews dans le cadre d’un accord.
