Accueil / Souveraineté numérique / Cloud souverain : les 4 niveaux du Cloud and AI Development Act pour choisir vos outils collaboratifs
Souveraineté numérique

Cloud souverain : les 4 niveaux du Cloud and AI Development Act pour choisir vos outils collaboratifs

TI
Tixeo
10 juillet 2026 · 9 min de lecture
Cloud souverain : les 4 niveaux du Cloud and AI Development Act pour choisir vos outils collaboratifs

Le Cloud and AI Development Act (CADA), le règlement européen sur la souveraineté du cloud proposé le 3 juin 2026, classe les services cloud en quatre niveaux d’assurance souveraineté, du simple hébergement en Union européenne jusqu’à la maîtrise complète de la chaîne d’approvisionnement. Le niveau à atteindre ne dépend pas du secteur d’activité en tant que tel, mais de l’évaluation de risque propre à chaque organisation.

Pour un RSSI ou un DSI, la question se pose de façon concrète : à quel niveau se situent, aujourd’hui, la visioconférence, la messagerie et les outils de collaboration déjà déployés ? Voici la grille de lecture, niveau par niveau.

Les 4 niveaux d’assurance en synthèse

Le tableau des exigences par niveau

Le cadre d’évaluation de la souveraineté cloud du CADA distingue quatre niveaux, chacun ajoutant une exigence à la précédente.

NiveauFocusExigences clésQui peut y prétendre
1LocalisationÉtablissement et données hébergées dans l’UE, auto-évaluation par le fournisseurTout fournisseur présent dans l’UE, y compris une filiale d’un groupe non européen
2Indépendance démontréeGaranties contre l’accès aux données ou l’interruption du service par un pays tiersFournisseurs sous contrôle extra-européen apportant des garanties juridiques, techniques et organisationnelles suffisantes
3Contrôle européenLe fournisseur et ses sous-traitants ne sont plus sous le contrôle d’un pays tiersFournisseurs à capital, gouvernance et personnel européens
4Souveraineté complèteTransparence et maîtrise totale de la chaîne d’approvisionnement, sans interférence d’un pays tiersFournisseurs opérant une chaîne intégralement européenne

À quel niveau votre organisation est-elle tenue ?

Le niveau requis découle de l’évaluation de risque menée par chaque organisme, un mécanisme prévu par les articles 29 et 30 du texte consacrés à la commande publique. Il n’existe pas de correspondance automatique entre secteur d’activité et niveau CADA.

Des repères se dessinent tout de même :

  • La défense, les opérateurs d’importance vitale et les établissements financiers soumis à DORA se dirigent naturellement vers les niveaux 3 et 4.
  • Les administrations générales visent un niveau 1 minimum, avec un niveau 3 comme cible réaliste à moyen terme.

Voir le cadre réglementaire complet du Cloud and AI Development Act

Reste à détailler ce que chacun de ces niveaux implique concrètement, à commencer par le plus accessible.

Niveau 1 : la localisation ne suffit pas

Ce que le niveau 1 exige réellement

Le niveau 1 impose un établissement dans l’Union européenne, des données hébergées en UE, et repose sur une auto-évaluation du fournisseur. Rien n’empêche, en théorie, la filiale européenne d’un groupe américain d’y prétendre, dès lors que ses serveurs sont physiquement situés dans l’UE.

C’est précisément la limite du niveau 1 pour les secteurs sensibles. La localisation ne dit rien du contrôle réel exercé sur l’infrastructure, ni des obligations juridiques auxquelles la maison mère reste soumise à l’étranger.

Sovereignty washing : l’exemple SEAL

Ce risque porte un nom, le sovereignty washing : la pratique consistant à afficher des attributs européens (siège social, data centers, partenariat local) sans que l’indépendance réelle suive (Synthmedia).

L’appel d’offres cloud de la Commission européenne d’avril 2026 en donne une illustration concrète. Pour permettre aux institutions européennes d’acheter des services cloud souverains jusqu’à 180 millions d’euros sur six ans, la Commission a appliqué ses propres niveaux d’assurance, ceux-là mêmes que le CADA généralise. Sur les quatre consortiums retenus, celui associant Proximus à S3NS (coentreprise entre Thales et Google Cloud) n’a obtenu que le niveau 2, quand OVHcloud, Scaleway, STACKIT et le tandem Post Telecom/CleverCloud ont atteint le niveau 3 sans dépendance non européenne. Le test porte sur la chaîne opérationnelle, pas sur l’adresse du siège social.

Au-delà de la simple localisation, le CADA exige une indépendance réelle dont font l’objet les niveaux 2 et 3.

Niveaux 2 et 3 : l’indépendance opérationnelle

Niveau 2 : indépendance juridique et supply chain

Le niveau 2 ne demande pas l’absence de tout lien avec un pays tiers, mais la démonstration de garanties suffisantes, contractuelles, techniques et organisationnelles, pour empêcher l’accès aux données ou l’interruption du service par une autorité étrangère. Un fournisseur adossé à une technologie non européenne peut l’atteindre, à condition de documenter précisément sa chaîne logicielle et ses mécanismes de protection. C’est le niveau qu’a obtenu le consortium cité plus haut, malgré une technologie sous-jacente non européenne.

Niveau 3 : propriété et contrôle européens

Le niveau 3 marque, selon la Commission européenne elle-même, le premier vrai seuil de souveraineté : le fournisseur et ses sous-traitants ne doivent plus être sous le contrôle d’un pays tiers. Capital, gouvernance et personnel d’exploitation doivent être européens.

Le texte prévoit toutefois une dérogation (article 18) permettant à la Commission de reconnaître certains pays tiers comme offrant des garanties équivalentes, sur le modèle des décisions d’adéquation existant en protection des données (Incyber). Plusieurs observateurs y voient un point de vigilance : la porte reste ouverte à une négociation diplomatique plutôt qu’à un critère purement technique.

Ce que ça implique pour un outil SaaS

Pour un outil de visioconférence ou de messagerie, deux chaînes sont à auditer, pas une seule. La première est l’infrastructure cloud sous-jacente, celle que les niveaux CADA évaluent directement. La seconde est l’éditeur qui opère l’outil lui-même : ses propres accès, ses propres sous-traitants, sa propre juridiction. Un hébergement en niveau 3 ne dit rien des garanties apportées par l’éditeur qui l’exploite. Le niveau 4 est celui des organisations qui n’ont pas droit à l’erreur.

Niveau 4 : la souveraineté complète

Supply chain, personnel, inférence IA : les exigences

Le niveau 4 impose une transparence et une maîtrise totales de la chaîne d’approvisionnement logicielle et matérielle, sans interférence possible d’un pays tiers. Les composants critiques ne doivent être sous le contrôle effectif d’aucun acteur étranger. Pour un outil intégrant de l’intelligence artificielle, cela s’étend aux données d’inférence : les transcriptions et résumés de réunion ne doivent pas quitter l’Union européenne.

Qui est concerné ?

Ce niveau est réservé aux usages que l’évaluation de risque classe comme critiques : défense, opérateurs d’importance vitale, établissements financiers sous DORA. Ce sont des organisations pour lesquelles une exposition juridique structurelle à un droit étranger n’est pas une option.

Quelles preuves existent aujourd’hui ?

Aucun schéma d’audit CADA n’est encore finalisé : il dépendra du référentiel européen EUCS, toujours en discussion. En attendant, deux référentiels français donnent déjà une idée concrète de ce que ces exigences recouvrent. La qualification SecNumCloud, délivrée par l’ANSSI aux hébergeurs, préfigure une large part des niveaux 3 et 4. La certification CSPN, elle, valide la sécurité intrinsèque d’un produit logiciel.

Une visioconférence certifiée CSPN, chiffrée de bout en bout, opérée et hébergée en Europe ou sur les serveurs propres des organisations, matérialise déjà une partie de ces exigences, sans attendre l’issue du trilogue européen.

Tixeo est certifié CSPN par l’ANSSI depuis 2017 et propose sa solution collaborative sécurisée dans le cloud souverain ou en version on-premise.

La grille d’évaluation de vos outils collaboratifs

Le mouvement dépasse déjà le seul calendrier européen. Côté français, la DINUM vise la migration de 2,5 millions d’agents publics vers des outils souverains d’ici 2027. Le calendrier interne de nombreuses organisations est donc déjà enclenché, indépendamment de la date d’adoption du CADA.

Sept questions à poser à vos fournisseurs

QuestionsCe qu’une bonne réponse contientCe qui doit alerter
Quelle est la juridiction de l’opérateur et de sa maison mère ?Un nom précis, une structure capitalistique documentéeUne réponse évasive sur l’actionnariat final
Où les données sont-elles hébergées ?Un ou plusieurs data centers nommés, localisés en UE« Nos données sont hébergées dans le cloud », sans plus de précision
Où l’inférence IA a-t-elle lieu (transcriptions, résumés) ?Un traitement localisé en UE, documentéUn silence, ou un renvoi à la politique de confidentialité générale
Qui sont les sous-traitants IA, et où sont-ils situés ?Une liste nominative et localiséeAucun sous-traitant nommé
Quelle est la nationalité du personnel d’exploitation ?Une équipe identifiée, basée en UEUn support technique délocalisé hors UE, sans mention
Quelles certifications sont vérifiables ?Des certifications ANSSI ou équivalentes, avec référence publiqueDes labels marketing non adossés à un référentiel reconnu
Quelles garanties de réversibilité existent en fin de contrat ?Un format d’export documenté, des délais contractuelsUne clause de réversibilité absente ou floue

Interpréter les réponses selon le niveau visé

Une réponse évasive sur la juridiction de la maison mère ou sur la localisation de l’inférence IA disqualifie d’emblée un outil pour un niveau 3 ou 4, quelle que soit la qualité du reste du dossier. À l’inverse, un flou sur la seule réversibilité peut se documenter a posteriori sans remettre en cause le niveau visé.

Ce travail d’audit recoupe les obligations complémentaires de NIS2 et DORA, que toute organisation régulée doit également documenter. Quelques questions reviennent plus souvent que les autres.

Foire aux questions

Faut-il attendre l’adoption du CADA pour auditer ses outils collaboratifs ?

Non. Le texte n’est pas encore adopté, le trilogue vise une adoption fin 2027, mais les contrats avec les fournisseurs d’outils collaboratifs s’engagent souvent pour plusieurs années. Auditer maintenant permet de négocier les clauses de réversibilité et de localisation avant la signature, plutôt que de découvrir un problème une fois le contrat en cours.

Les grandes plateformes américaines peuvent-elles atteindre le niveau 2 ?

Oui, sous conditions. Le niveau 2 reste accessible à un fournisseur sous contrôle extra-européen s’il apporte des garanties juridiques et techniques suffisantes contre l’accès ou l’interruption par un pays tiers, comme l’a montré un consortium européen adossé à une technologie américaine lors de l’appel d’offres cloud de la Commission en avril 2026. Le niveau 3 leur reste hors de portée.

Une entreprise privée doit-elle appliquer les niveaux CADA à ses outils collaboratifs ?

Pas d’obligation directe aujourd’hui : le texte cible d’abord la commande publique. Mais des actes délégués pourraient étendre les exigences aux secteurs déjà couverts par NIS2 (banque, énergie, télécoms, santé), qui devront alors documenter le niveau de leurs propres outils collaboratifs. Anticiper évite un rattrapage dans l’urgence.

Le Cloud and AI Development Act n’est pas encore adopté, mais la grille de niveaux qu’il propose est déjà utilisable pour auditer ses outils collaboratifs. Les réponses qu’un fournisseur ne peut pas donner aujourd’hui sur sa juridiction, ses sous-traitants ou ses données d’inférence ne s’amélioreront pas sous la seule contrainte réglementaire. Le calendrier du trilogue européen n’a, de ce point de vue, rien d’urgent : celui des prochains renouvellements de contrats, lui, ne laisse pas autant de marge.

Aller plus loin

Découvrez la visioconférence certifiée par l'ANSSI

Rejoignez les organisations qui protègent leurs échanges les plus sensibles.