Le Cloud and AI Development Act (CADA) est un règlement présenté par la Commission européenne. Il part du constat que l’Europe dépend aujourd’hui d’une poignée de fournisseurs cloud non européens pour héberger une part croissante de ses données sensibles.
Le texte fixe un objectif clair pour augmenter les centres de données européens dans les prochaines années, et instaure surtout un cadre de souveraineté à quatre niveaux d’assurance. Ce barème conditionnera l’accès aux marchés publics et pourrait, par actes délégués, s’étendre aux secteurs régulés par NIS2 : banque, énergie, télécommunications, santé. Son adoption est visée pour le quatrième trimestre 2027, à l’issue du trilogue entre Parlement européen et Conseil.
Focus sur le cadre d’assurance à quatre niveaux, ses conséquences sur les outils collaboratifs et de visioconférence, et la question qu’il laisse en suspens : une souveraineté affichée suffit-elle ?
Qu’est-ce que le Cloud and AI Development Act ?
Le Cloud and AI Development Act part d’un déséquilibre mesuré depuis plusieurs années. En 2017, les fournisseurs basés dans l’Union représentaient encore près de 29 % du marché européen du cloud. Selon les données de la Commission européenne, ce chiffre est retombé à environ 15 % en 2022, au profit d’une poignée d’hyperscalers non européens. Ce basculement s’accompagne d’un second problème structurel : la capacité des centres de données européens ne suit pas la croissance de la demande liée à l’intelligence artificielle.
Présenté le 3 juin 2026 dans le cadre du paquet européen sur la souveraineté technologique, le CADA fixe un objectif clair : tripler la capacité des centres de données de l’Union dans les cinq à sept prochaines années, selon l’analyse détaillée du texte. Le texte prévoit, pour cela, la création d’au moins une « zone d’accélération » par État membre. Procédures de permis simplifiées, délai d’instruction plafonné à douze mois : une réponse directe aux obstacles fonciers et énergétiques qui freinent aujourd’hui les projets d’infrastructure.
Le règlement ne se limite pas à l’investissement. Ses articles 29 et 30 imposent aux administrations publiques d’évaluer la dépendance de leurs systèmes aux services cloud externes, de les classer selon un niveau d’assurance requis, puis d’acheter en conséquence. Une exception existe : un acheteur public peut recourir à un fournisseur ne répondant pas au niveau exigé si aucune alternative comparable n’existe. Un mécanisme qui transforme la commande publique en levier de politique industrielle, plutôt qu’en simple contrainte de conformité.
Le cœur du CADA : le cadre d’assurance souveraineté à 4 niveaux
Le dispositif central du texte est un barème à quatre niveaux d’assurance, censé objectiver ce que recouvre la notion de souveraineté cloud :
- Niveau 1 : les données doivent rester hébergées dans l’Union. Un critère que remplissent déjà la plupart des hyperscalers américains présents en Europe.
- Niveau 2 : des garanties supplémentaires contre l’accès ou l’interruption de service par un pays tiers. Un fournisseur sous contrôle extra-européen reste toutefois éligible s’il démontre des garanties suffisantes.
- Niveau 3 : premier vrai seuil de souveraineté. Le fournisseur et ses sous-traitants ne doivent plus être sous le contrôle d’un pays tiers.
- Niveau 4 : absence totale de contrôle étranger, y compris sur les composants logiciels critiques. Réservé aux usages les plus sensibles.
Un barème qui objective enfin le débat sur la souveraineté cloud, sans nécessairement le clore. Pour les marchés publics, il devient un filtre d’entrée puisque tout fournisseur souhaitant contracter avec le secteur public devra a minima justifier du niveau 1. Les administrations peuvent exiger un niveau supérieur selon la sensibilité des données traitées. Un critère non tarifaire de « valeur ajoutée européenne » s’y ajoute, qui évalue la contribution du fournisseur à la chaîne d’approvisionnement technologique de l’Union. Ce tri par niveau concerne tout l’écosystème logiciel.
Ce que le CADA change pour les organisations, au-delà du cloud IaaS
Le texte est souvent lu comme un règlement d’infrastructure : centres de données, capacité, hyperscalers.
Mais en posant un référentiel commun de souveraineté, le CADA redéfinit aussi les critères attendus des services qui s’appuient sur cette infrastructure comme les messageries, partages de documents, visioconférences et outils collaboratifs.
Une organisation qui devra demain justifier du niveau d’assurance de son fournisseur cloud IaaS devra logiquement se poser la même question pour les outils SaaS qui en dépendent.
Cette extension prend une dimension particulière pour les secteurs déjà régulés par NIS2 (la directive européenne sur la sécurité des réseaux et de l’information). Le règlement prévoit la possibilité, par actes délégués, d’étendre des obligations d’évaluation comparables à des entreprises privées de la banque, de l’énergie, des télécommunications ou de la santé, au-delà du seul périmètre des administrations, selon l’analyse de Jones Day. Une entreprise de ces secteurs qui audite aujourd’hui ses fournisseurs cloud sous l’angle NIS2 devra probablement, demain, y ajouter une grille de lecture CADA.
Reste une zone grise que la Commission n’a pas complètement traitée. Au niveau 1, un hyperscaler américain disposant d’un centre de données en Europe reste éligible, dès lors que les données n’en sortent pas. De quoi nourrir le débat sur le « sovereignty washing » : l’idée qu’un hébergement européen ne suffit pas, à lui seul, à garantir une souveraineté réelle tant que le fournisseur reste soumis à un droit extraterritorial comme le Cloud Act américain.
CADA et les autres réglementations : où se situe-t-il ?
Le CADA ne remplace aucune des réglementations existantes mais s’articule avec elles.
NIS2 impose des obligations de cybersécurité aux entités essentielles et importantes. DORA (la directive sur la résilience opérationnelle numérique) structure la résilience du secteur financier. Le RGPD encadre la protection des données personnelles. Le CADA ajoute une couche supplémentaire et spécifique qui concerne la souveraineté du fournisseur, plutôt que la seule sécurité du traitement.
Cette couche prend tout son sens face au Cloud Act américain. Ce texte autorise les autorités fédérales à exiger l’accès aux données détenues par un fournisseur soumis au droit américain, quel que soit le lieu d’hébergement des serveurs. Un mécanisme renforcé, pour les données de ressortissants non américains, par la section 702 du Foreign Intelligence Surveillance Act (FISA).
Un certificat européen de sécurité de haut niveau, comme l’EUCS (le schéma européen de certification de cybersécurité pour les services cloud), ne garantit pas à lui seul une protection contre cette extraterritorialité, selon l’analyse de CIO Online. C’est précisément l’angle mort que les niveaux 3 et 4 du CADA cherchent à combler.
Reste à savoir ce que ces niveaux supérieurs signifient une fois transposés à un outil réellement utilisé au quotidien.
Souveraineté « sur le papier » vs souveraineté prouvée
Un hébergement localisé dans l’Union ne garantit pas, à lui seul, la souveraineté. La nuance est actée par la Commission elle-même : le niveau 1 du CADA n’exclut pas un fournisseur sous contrôle étranger. Pour une organisation des secteurs critiques, la question n’est donc pas seulement « où sont mes données ? », mais qui, en droit, peut être contraint d’y accéder.
En France, la doctrine de l’ANSSI distingue depuis plusieurs années deux notions que le débat européen a parfois tendance à confondre. Le visa de sécurité CSPN (Certification de Sécurité de Premier Niveau) certifie un produit. La qualification SecNumCloud qualifie, elle, un hébergement, selon des critères incluant l’immunité aux lois extraterritoriales.
Un outil de visioconférence chiffré de bout en bout, certifié CSPN et hébergé sur une infrastructure qualifiée SecNumCloud, réunit les trois garanties que le niveau 4 du CADA vise à généraliser :
- maîtrise du logiciel,
- maîtrise de l’hébergement,
- absence de contrôle par un pays tiers.
C’est le modèle retenu par Tixeo, dont la solution associe ces trois éléments depuis plusieurs années, bien avant le cadre proposé aujourd’hui par le CADA, qui devrait se généraliser à l’horizon 2027.
Ce que le CADA implique concrètement pour vos choix d’outils
Pour une organisation qui ne peut pas attendre l’issue du trilogue avant d’agir, le règlement esquisse déjà une grille de lecture pour ses achats en cours.
Trois questions permettent d’anticiper une future obligation d’évaluation, sans attendre un texte définitif :
- Le fournisseur, et ses sous-traitants éventuels, sont-ils soumis à un droit extraterritorial ?
- L’hébergement dispose-t-il d’une qualification reconnue par une autorité nationale, plutôt que d’une simple autodéclaration de conformité ?
- Le chiffrement des échanges est-il de bout en bout, ou seulement au repos et en transit…
Une certification CSPN ou une qualification SecNumCloud ne sont pas des arguments commerciaux parmi d’autres. Ce sont, dans le cadre que le CADA installe, des réponses documentées et vérifiables par un tiers, l’ANSSI, à des critères que l’auto-évaluation ne permet pas d’objectiver.
Le calendrier du CADA reste incertain. Entre la proposition, le trilogue et les actes délégués, l’application du texte peut prendre plusieurs années. Mais les critères qu’il pose sont déjà connus et s’imposent aux organisations critiques. Entre un hébergement européen qui se contente de sa localisation et une architecture qui rend l’accès étranger structurellement impossible, l’écart est là : sur le papier, ou déjà en production.
Tixeo, plateforme collaborative certifiée CSPN par l’ANSSI et conçu pour répondre aux exigences de souveraineté des organisations critiques.

Foire aux questions sur le CADA (Cloud AI Development Act)
Quand le CADA entre-t-il en vigueur ?
Le texte est encore en négociation entre le Parlement européen et le Conseil. Son adoption est visée pour le quatrième trimestre 2027 : les trilogues sur des textes numériques complexes durent en général entre douze et trente-six mois.
Le CADA s’applique-t-il aux entreprises privées ?
Dans sa version actuelle, le règlement cible d’abord les marchés publics. Il prévoit toutefois la possibilité, par actes délégués, d’étendre des obligations d’évaluation comparables aux entreprises privées des secteurs régulés par NIS2 : banque, énergie, télécommunications, santé.
Le CADA remplace-t-il NIS2 ou DORA ?
Non. Le CADA s’ajoute à ces textes plutôt qu’il ne les remplace : NIS2 encadre la cybersécurité, DORA la résilience opérationnelle du secteur financier, le CADA introduit un critère spécifique de souveraineté du fournisseur cloud.
CADA vs Cloud Act américain : lequel prime ?
Les deux textes répondent à des logiques opposées. Le Cloud Act autorise les autorités américaines à accéder aux données d’un fournisseur soumis au droit des États-Unis, où que soient hébergées les données. Le CADA, à ses niveaux 3 et 4, cherche justement à exclure les fournisseurs soumis à ce type de droit extraterritorial.
Qu’est-ce que le niveau d’assurance 4 du CADA ?
Le niveau 4 est le plus exigeant du cadre CADA. Il impose l’absence totale de contrôle par un pays tiers, y compris sur les composants logiciels critiques, et cible les usages les plus sensibles.