Le plan de l'UE visant à tripler ses centres de données est un projet d'ingénierie qui ignore les constructeurs

Les décideurs européens ont une vision grandiose pour l'avenir numérique du continent. Ils souhaitent tripler la taille du marché des centres de données en cinq à sept ans. Pour ce faire, la Commission européenne a introduit la loi sur le développement du cloud et de l'IA, ou CADA (Cloud and AI Development Act). Bien que l'objectif soit de rendre l'Europe plus indépendante dans le monde technologique, la réalité de la construction de ces centrales numériques est bien plus ancrée dans la physique et la paperasse que ne le suggère la législation.

La plupart des gens voient le cloud comme une brume invisible où vivent les photos et les e-mails. En réalité, le cloud est une collection d'entrepôts massifs et énergivores remplis de serveurs. Ces bâtiments sont la colonne vertébrale invisible de la vie moderne. Ils traitent tout, du paiement de votre café du matin aux simulations complexes utilisées pour prédire la météo. L'UE souhaite désormais davantage de ces bâtiments sur son propre sol, contrôlés par ses propres règles.

Les quatre niveaux de souveraineté numérique

Le CADA introduit un nouveau système qui classe les services cloud en fonction de leur degré d'« européanité ». Ce système comporte quatre niveaux. Le niveau 1 est le plus ouvert. Il permet à des entreprises hors UE, comme celles des États-Unis ou de Chine, de posséder et d'exploiter l'infrastructure. C'est essentiellement ainsi que le marché fonctionne aujourd'hui.

Plus on monte dans la hiérarchie, plus les règles deviennent strictes. Le niveau 2 exige que toutes les opérations, le personnel et les données restent au sein de l'UE. Il interdit également l'utilisation des données clients pour l'entraînement de l'IA dans des pays tiers. Le niveau 3 va plus loin en interdisant par défaut le contrôle par des entreprises étrangères. Le niveau 4 est le plus strict de tous. Il interdit totalement le contrôle par des entreprises étrangères pour les services que l'UE juge critiques pour la sécurité nationale.

Pour l'utilisateur moyen, cela signifie que les applications et services fournis par le gouvernement changeront. Un bureau des impôts local ou un hôpital public ne choisira plus simplement le fournisseur le moins cher ou le plus fiable. Ils doivent désormais vérifier d'où vient ce fournisseur et qui possède sa société mère. Ce changement donne la priorité à l'indépendance politique sur la simple efficacité du marché.

Le mythe du permis de douze mois

L'un des aspects les plus attrayants du CADA est la promesse de rapidité. La loi crée des « Zones d'accélération des centres de données ». Si une entreprise construit à l'intérieur de ces zones, le gouvernement doit approuver ses permis dans un délai de 12 mois. Dans le monde de la construction industrielle, un délai d'un an est rapide. Généralement, obtenir les droits de construction d'une installation à grande échelle nécessite plusieurs années d'audits environnementaux et de réunions de planification locale.

Cependant, ce plafond de 12 mois comporte un piège. Chaque promoteur doit répondre à une longue liste d'exigences en matière de durabilité et de sécurité. Ils doivent utiliser des mesures standardisées de l'UE pour la consommation d'énergie et d'eau. Ils sont également confrontés à des règles strictes pour empêcher la « thésaurisation spéculative » de terrains ou de capacité du réseau électrique.

Construire un centre de données est déjà difficile car seules quelques entreprises spécialisées possèdent l'expertise nécessaire. Le monde physique ne bouge pas toujours aussi vite qu'une plume législative. Même avec un permis de 12 mois, la construction réelle prend encore des années en raison des retards de la chaîne d'approvisionnement pour les transformateurs et les systèmes de refroidissement. En ajoutant des couches de conformité supplémentaires, l'UE risque de créer un système où la limite de vitesse est élevée, mais où la route est pleine de péages.

Un changement massif dans la manière dont les gouvernements achètent la technologie

Historiquement, lorsqu'une agence gouvernementale avait besoin d'un service cloud, elle examinait le prix et les spécifications techniques. Le CADA change entièrement cette logique. Les organismes du secteur public doivent désormais mener des évaluations de risques tous les deux ans pour voir si leurs services cloud répondent aux niveaux de souveraineté requis.

Cela signifie que le prix n'est plus le facteur principal. Les États membres doivent désormais utiliser des critères non tarifaires, tels que la contribution d'un fournisseur à l'écosystème technologique européen local. Si cela aide des entreprises locales comme Nextcloud, cela rend également les services publics plus coûteux. Lorsque vous limitez le nombre d'entreprises pouvant soumissionner pour un contrat, le prix augmente généralement.

L'avocat polonais spécialisé en technologie Mikolaj Barcenciewicz a noté que ces règles devraient être basées sur des risques réels plutôt que sur des catégories larges. Il suggère qu'une approche unique pourrait ignorer les besoins spécifiques de chaque pays. À l'inverse, l'eurodéputée finlandaise Aura Salla souhaite une approche encore plus centralisée pour tester les dépendances technologiques. Ce désaccord montre que l'Europe est encore divisée sur la manière de gérer ses frontières numériques.

Pourquoi les leaders de l'industrie sont inquiets

Tout le monde n'est pas satisfait de ces nouvelles règles. CCIA Europe, un groupe industriel représentant de nombreuses grandes entreprises technologiques, qualifie la proposition de discriminatoire. Ils soutiennent que le CADA exclut automatiquement les fournisseurs non européens de certains marchés, même si ces fournisseurs possèdent la meilleure technologie.

D'un autre côté, certains eurodéputés comme Jörgen Warborn (Suède) soutiennent que l'Europe a besoin de plus d'investissements étrangers, pas de moins. La majeure partie de la richesse mondiale se trouve hors de l'UE. Si l'UE rend l'exploitation trop difficile pour les entreprises étrangères, celles-ci pourraient simplement emporter leur argent et leur technologie ailleurs. Il estime que si les domaines de sécurité nationale doivent être protégés, les domaines moins sensibles devraient rester ouverts à la concurrence mondiale.

Même certains fournisseurs européens locaux pensent que la loi est trop faible. Nextcloud a déclaré que ces règles devraient également s'appliquer au secteur privé, et pas seulement au secteur public. Ils souhaitent voir un passage obligatoire vers des fournisseurs européens dans l'ensemble de l'économie. Cela crée un bras de fer entre ceux qui veulent un internet mondial et ouvert et ceux qui veulent un cloud local et protégé.

Ce que cela signifie pour votre vie numérique

Concrètement, l'utilisateur quotidien ressentira les effets du CADA à travers les services publics qu'il utilise. Si votre administration locale déplace ses données vers un cloud souverain de niveau 4, le service pourrait devenir plus cher ou plus lent au début. Les fournisseurs locaux manquent souvent de l'échelle massive des géants mondiaux, ce qui peut entraîner des coûts plus élevés pour les contribuables.

Du côté positif, vos données bénéficieront d'une protection juridique accrue. Si un service est de niveau 4, vous savez qu'aucun gouvernement étranger ne peut accéder à vos dossiers via ses propres lois nationales. Cela offre une couche tangible de confidentialité qui n'existe pas aujourd'hui. C'est un compromis entre la commodité de la technologie mondiale et la sécurité du contrôle local.

En fin de compte, le succès du CADA dépend de la capacité de l'Europe à construire réellement ce qu'elle a légiféré. Fixer un plafond de permis de 12 mois est une chose, mais former suffisamment d'ingénieurs spécialisés et sécuriser suffisamment d'électricité en est une autre. Vous devriez surveiller vos factures d'électricité locales et les mises à jour des services publics au cours des prochaines années. La plomberie invisible de votre vie numérique est sur le point de subir une mise à niveau européenne très coûteuse.

Sources :
European Commission Official Proposal for the Cloud and AI Development Act (CADA)
CCIA Europe Industry Statement on CADA
LinkedIn Commentary by MEP Jörgen Warborn
Nextcloud Public Statement on EU Cloud Sovereignty
Analysis by Mikolaj Barcenciewicz on Risk-Based vs Categorical Regulation