Réglementations cloud européennes : comment s’articulent CADA, NIS2, DORA et RGPD ?

Sommaire
- Pourquoi la conformité cloud est devenue illisible
- RGPD : la base, données personnelles
- NIS2 : la sécurité des réseaux et des systèmes
- DORA : la résilience du secteur financier
- CADA : la couche souveraineté
- Cloud Act et FISA : le droit américain dans l’équation
- Quel texte impose quoi sur votre cloud ?
- Par où commencer selon votre secteur d’activité
Quatre textes s’appliquent à la fois à un même cloud d’entreprise, et aucun ne remplace les autres. Le RGPD protège les données personnelles, NIS2 impose la sécurité des systèmes d’information, DORA la résilience du secteur financier, et le Cloud and AI Development Act (CADA) ajoute désormais un critère de souveraineté. Ces quatre textes se cumulent sur les choix cloud d’une organisation, chacun avec son propre périmètre et son propre calendrier.
Une cinquième pièce manque souvent à ces cartographies : le droit américain, avec son célèbre Cloud Act. La majorité des outils collaboratifs utilisés aujourd’hui par les organisations européennes sont conçus et opérés par des entreprises américaines, donc soumis au Cloud Act. La prise de conscience de cette dépendance numérique progresse et explique pourquoi la question de la souveraineté s’impose dans les textes européens les plus récents.
Pourquoi la conformité cloud est devenue illisible
Huit ans d’empilement réglementaire
Le RGPD entre en vigueur en 2018. DORA s’applique aux acteurs financiers depuis le 17 janvier 2025. Le Cloud and AI Development Act est proposé le 3 juin 2026, avec une adoption visée fin 2027. Le Cyber Resilience Act, qui encadre la sécurité des produits connectés, complète le paysage avec des obligations de notification dès septembre 2026 et une application complète en décembre 2027. Huit ans séparent le premier texte du dernier, sans qu’aucun n’ait pris la place du précédent.
Quatre objets distincts, un seul cloud
Sécurité des systèmes, résilience opérationnelle, protection des données personnelles, souveraineté : ce sont quatre objets juridiques différents, mais un seul outil cloud ou collaboratif doit y répondre simultanément. Le règlement européen Cloud and AI Development Act ne dispense d’aucune des trois obligations précédentes : il en ajoute une quatrième.
Analyse des textes dans l’ordre chronologique de leur entrée en vigueur.
RGPD : la base, données personnelles
Ce qu’il impose à votre cloud
Le RGPD encadre la localisation des données personnelles, impose un contrat de sous-traitance (DPA) avec chaque prestataire cloud, et conditionne les transferts hors de l’Union européenne à des garanties spécifiques. Pour un outil collaboratif, cela couvre les données des utilisateurs, mais pas nécessairement les métadonnées techniques ou les données de configuration.
Ses limites face aux lois extraterritoriales
Le RGPD encadre les transferts sortants, mais il ne neutralise pas une obligation légale qui s’impose directement à un fournisseur dans son pays d’origine. Un prestataire américain reste soumis au Cloud Act, quelles que soient les clauses contractuelles types signées avec son client européen. Cela concerne la protection de la donnée personnelle jusqu’à la sécurité des systèmes qui la traitent.
NIS2 : la sécurité des réseaux et des systèmes
Qui est concerné : 18 secteurs
NIS2 couvre 18 secteurs d’activité, de l’énergie à la santé en passant par les infrastructures numériques, et distingue les entités essentielles des entités importantes selon leur taille et leur secteur. Environ 15 000 entités sont concernées en France.
À l’été 2026, la France reste l’un des derniers États membres à finaliser sa transposition : le texte a passé l’examen en commission spéciale en septembre 2025, mais son passage en séance publique à l’Assemblée nationale n’est prévu que durant l’été 2026.
Gouvernance, incidents, chaîne d’approvisionnement
NIS2 impose une gouvernance du risque portée par les dirigeants et une notification des incidents importants en trois étapes :
- alerte précoce sous 24 heures ;
- notification complète sous 72 heures ;
- rapport final sous un mois.
Surtout, une obligation touche directement le choix d’outils cloud : la sécurité de la chaîne d’approvisionnement s’étend aux fournisseurs IT. Le détail de ces obligations est développé dans le guide des 8 étapes clés pour la conformité NIS2.
Un secteur va plus loin que les autres dans cette logique de résilience : la finance.
DORA : la résilience du secteur financier
Périmètre : entités financières et prestataires IT
DORA s’applique aux établissements de crédit, entreprises d’assurance, gestionnaires d’actifs et à leurs prestataires de services TIC, soit plus de 22 000 entités dans l’Union européenne. C’est le seul texte du corpus déjà pleinement en application : il est entré en vigueur le 17 janvier 2025.
Contrats, audits, réversibilité : l’impact sur les outils
Pour un outil cloud ou collaboratif utilisé par un acteur financier, DORA impose :
- un contrat détaillant les conditions de réversibilité ;
- un droit d’audit du prestataire ;
- des tests de résilience réguliers.
Un établissement qui ne peut pas documenter la sortie de son fournisseur cloud actuel est, de fait, non conforme à DORA.
Ces trois textes imposent tous une forme de sécurité mais aucun ne posait la question de qui contrôle le fournisseur.
CADA : la couche souveraineté
Ce que les textes existants n’adressaient pas
RGPD, NIS2 et DORA disent tous, chacun à sa manière, comment sécuriser un service cloud. Aucun ne posait la question de la propriété, du contrôle ou de la juridiction de l’opérateur qui l’exploite. C’est précisément ce vide que le règlement européen Cloud and AI Development Act vient combler.
Obligations de sécurité contre critères de souveraineté
La distinction est nette : RGPD, NIS2 et DORA répondent à la question « comment sécuriser », le CADA répond à la question « à qui confier ». Le texte introduit quatre niveaux d’assurance souveraineté comme critère d’achat dans la commande publique, avec une extension possible aux secteurs déjà couverts par NIS2 par actes délégués.
Le détail des quatre niveaux et leurs implications pour le choix d’outils collaboratifs sont développés dans les 4 niveaux d’assurance souveraineté du Cloud and AI Development Act.
Cette souveraineté répond à une menace précise : le droit d’un pays tiers qui s’applique à un fournisseur au-delà de ses frontières.
Cloud Act et FISA : le droit américain dans l’équation
Ce que le Cloud Act permet réellement
Le Cloud Act, loi américaine de 2018, oblige tout fournisseur relevant du droit américain à transmettre les données qu’il détient sur mandat judiciaire, où que soient localisés ses serveurs. La section 702 du Foreign Intelligence Surveillance Act complète ce dispositif pour la surveillance de renseignement visant des personnes non américaines.
À noter que cette dernière a techniquement expiré le 12 juin 2026, faute de vote de reconduction au Congrès, mais les autorisations déjà validées par la Cour FISA en mars 2026 restent en vigueur jusqu’en mars 2027.
Comment le CADA y répond
À partir du niveau 2, le CADA fait de l’indépendance vis-à-vis des juridictions tierces un critère d’achat : un fournisseur soumis au Cloud Act ne peut pas prétendre aux niveaux les plus élevés, quelles que soient ses garanties contractuelles. Le sujet est traité en détail dans Cloud Act vs Cloud and AI Development Act : ce que l’Europe oppose au droit américain.
Quel texte impose quoi sur votre cloud ?
Le tableau ci-dessous met les quatre obligations européennes et le Cloud Act en regard : ce que chacun impose, depuis quand, et pour qui.
| Texte | Périmètre | Ce qu’il impose sur le cloud | Application | Qui est concerné |
| RGPD | Protection des données personnelles | Localisation et transferts encadrés, contrat de sous-traitance (DPA) | En vigueur depuis 2018 | Tout organisme traitant des données de résidents européens |
| NIS2 | Sécurité des réseaux et systèmes d’information | Gouvernance du risque, sécurité de la chaîne d’approvisionnement IT, notification d’incidents | Directive de 2023, transposition française attendue à l’été 2026 | 18 secteurs, environ 15 000 entités en France |
| DORA | Résilience opérationnelle numérique du secteur financier | Contrats, audits et réversibilité des prestataires TIC, tests de résilience | En application depuis le 17 janvier 2025 | Entités financières et leurs prestataires TIC |
| CADA | Souveraineté du cloud et de l’IA | Quatre niveaux d’assurance souveraineté, critère d’achat gradué | Proposé le 3 juin 2026, adoption visée fin 2027 | Fournisseurs candidats aux marchés publics européens |
| Cloud Act (US) | Accès judiciaire américain aux données | Remise des données sur mandat, sans égard à la localisation des serveurs | En vigueur depuis 2018 | Tout fournisseur relevant du droit américain |
Par où commencer selon votre secteur d’activité
Secteur financier : DORA d’abord
Pour un établissement financier ou l’un de ses prestataires TIC, DORA est le texte immédiatement opposable : c’est le seul du corpus déjà en application depuis janvier 2025. Auditer les contrats cloud existants, en particulier les clauses de réversibilité, est le point de départ le plus concret.
OIV (organisations d’importance vitale) et défense : NIS2 et le niveau 4
Les opérateurs d’importance vitale et les acteurs de la défense cumulent la gouvernance du risque imposée par NIS2 avec une cible CADA ambitieuse : le niveau 4, seul compatible avec des données jugées critiques.
Administrations : viser le niveau 3
Le CADA prévoit un niveau 1 minimum pour la commande publique, mais un niveau 3 (propriété et gouvernance européennes de bout en bout) constitue une cible plus réaliste à moyen terme pour une administration qui ne veut pas changer de fournisseur à chaque nouveau texte.
Ces trois profils partagent une exigence commune : documenter dès maintenant la juridiction et la gouvernance de leurs outils collaboratifs, plutôt que de la découvrir au fil des prochains textes. Dans les secteurs où la souveraineté des communications n’est pas optionnelle, un choix d’outil collaboratif se prépare avant l’audit.
Tixeo, conçu et opéré en Europe et certifié CSPN par l’ANSSI, répond aux exigences cumulées de NIS2, DORA et du Cloud and AI Development Act.

Le paysage réglementaire du cloud ne va pas se simplifier. Le Cyber Resilience Act montera en puissance jusqu’en 2027, le CADA vise une adoption la même année, et d’autres textes suivront. L’organisation qui cartographie aujourd’hui ses dépendances cloud, ses contrats et les juridictions de ses fournisseurs absorbera chaque nouveau texte comme une variation sur un travail déjà fait, pas comme une nouvelle crise à gérer dans l’urgence.
Découvrez la visioconférence certifiée par l'ANSSI
Rejoignez les organisations qui protègent leurs échanges les plus sensibles.



