De retour de Lille : un Forum InCyber sous le signe de la souveraineté

Back from Lille: An "InCyber" Conference Under the Banner of Sovereignty

Je rentre du Forum InCyber 2026, à Lille, qui se tenait du 31 mars au 2 avril. Je fréquente les salons et conférences en cybersécurité depuis des années, et ce sont toujours des rendez-vous que j'apprécie autant pour les conférences que pour les échanges informels avec des confrères, des fournisseurs et des responsables sécurité venus de toute l'Europe. C'est souvent dans les couloirs, entre deux stands, que l'on prend le mieux le pouls de notre industrie.

I have just returned from Forum InCyber 2026 in Lille, which ran from March 31 to April 2. I have been attending cybersecurity conferences and trade shows for years, and these are always events I value as much for the talks as for the informal conversations with peers, vendors, and security leaders from across Europe. It is often in the hallways, between two exhibition stands, that you get the truest sense of where our industry stands.

Le thème de cette édition — "Maîtriser nos dépendances numériques" — annonçait la couleur, et ce thème d'actualité était omniprésent, comme je vais l'expliquer.

The theme of this edition — "Mastering our digital dependencies" — set the tone, and this highly topical subject was omnipresent, as I will explain.

Une industrie qui a atteint sa maturité

An Industry That Has Come of Age

Ma première impression, qui se confirme d'année en année : l'industrie de la cybersécurité a atteint un véritable stade de maturité. J'ai commencé dans ce métier il y a trente ans. À l'époque, les conférences spécialisées se comptaient sur les doigts d'une main — il y avait RSA, et pas grand-chose d'autre. L'offre en formations était embryonnaire. Les outils de détection se résumaient, pour l'essentiel, à un antivirus installé sur le poste de travail.

My first impression, confirmed year after year: the cybersecurity industry has reached a genuine stage of maturity. I started in this field thirty years ago. Back then, specialised conferences could be counted on one hand — there was RSA, and not much else. The training landscape was embryonic. Detection tools essentially boiled down to an antivirus installed on the workstation.

Aujourd'hui, le paysage est méconnaissable. Les fournisseurs sont nombreux et proposent des solutions de qualité, aussi bien en logiciels qu'en services managés. Les formations sont solides, structurées, et les universités proposent désormais de véritables cursus diplômants en cybersécurité. Le niveau des SOC (Security Operations Centers) et des CSIRT (Computer Security Incident Response Teams) est incomparable par rapport aux débuts. L'antivirus a cédé la place à des systèmes complets de détection et de réponse, couvrant les postes de travail, la messagerie, le réseau et les serveurs.

Today, the landscape is unrecognisable. There are many vendors offering high-quality solutions, both in software and managed services. Training programmes are solid, well-structured, and universities now offer full degree courses in cybersecurity. The standard of SOCs (Security Operations Centers) and CSIRTs (Computer Security Incident Response Teams) is incomparable with what existed in the early days. The antivirus has given way to comprehensive detection and response platforms covering endpoints, email, the network, and servers.

C'est un progrès considérable. Mais cette maturité technique ne résout pas tout, loin de là.

This is considerable progress. But this technical maturity does not solve everything — far from it.

La tendance lourde de 2026 : la souveraineté numérique

The Major Trend of 2026: Digital Sovereignty

Si je devais retenir une seule tendance forte de ce Forum InCyber 2026, ce serait la question de la souveraineté numérique — et plus concrètement, du cloud souverain.

If I had to single out one dominant trend from Forum InCyber 2026, it would be the question of digital sovereignty — and more specifically, sovereign cloud.

Le sujet n'est pas nouveau. Mais cette année, il a changé de registre. On ne parle plus de vœux pieux : on parle d'impératif stratégique. Disposer d'une informatique et d'un hébergement cloud indépendants des fournisseurs américains, chinois ou israéliens n'est plus une option parmi d'autres. Le thème du forum — "Maîtriser nos dépendances numériques" — traduisait exactement cette urgence.

The topic is not new. But this year, it shifted register. We are no longer talking about wishful thinking: we are talking about a strategic imperative. Having IT infrastructure and cloud hosting independent of American, Chinese, or Israeli providers is no longer one option among many. The forum's theme — "Mastering our digital dependencies" — captured precisely this urgency.

"Maîtriser nos dépendances numériques" : derrière ce thème choisi par le Forum InCyber, c'est une question de souveraineté économique et politique qui se pose à toute l'Europe.

"Mastering our digital dependencies": behind the theme chosen by Forum InCyber lies a question of economic and political sovereignty facing all of Europe.

Pour comprendre pourquoi cette question est devenue si urgente, il faut regarder en face ce que nos "alliés" font de l'accès qu'ils ont à nos données.

To understand why this question has become so urgent, we need to look squarely at what our "allies" do with the access they have to our data.

L'espionnage entre alliés : une réalité que l'on préfère ignorer

Espionage Among Allies: A Reality We Prefer to Ignore

Il y a quelques années, un haut responsable du contre-espionnage m'a confié une phrase qui résume à elle seule la problématique :

A few years ago, a senior counter-intelligence official shared with me a remark that sums up the entire problem:

"On n'est jamais autant espionné que par nos alliés, par ceux avec qui nous faisons des affaires."

"You are never spied on as much as by your allies — by those with whom you do business."

Cette phrase peut surprendre. Elle ne devrait pas. L'espionnage économique et industriel entre pays alliés est une réalité documentée, ancienne et systématique. Bien avant les révélations Snowden, le Parlement européen avait commandé un rapport sur le réseau d'interception ECHELON. Rédigé par Gerhard Schmid et adopté le 5 septembre 2001, ce rapport documentait déjà des cas concrets d'espionnage économique américain contre des entreprises européennes — notamment Airbus et Thomson-CSF, qui avaient perdu des contrats majeurs au profit de concurrents américains informés de leurs positions de négociation. L'ancien directeur de la CIA, James Woolsey, avait d'ailleurs assumé publiquement cette pratique dans une tribune au Wall Street Journal le 17 mars 2000, intitulée "Why We Spy on Our Allies", justifiant l'espionnage économique par la lutte contre la corruption présumée des entreprises européennes.

That statement may come as a surprise. It shouldn't. Economic and industrial espionage between allied nations is a documented, long-standing, and systematic reality. Well before the Snowden revelations, the European Parliament had commissioned a report on the ECHELON interception network. Written by Gerhard Schmid and adopted on 5 September 2001, the report already documented concrete cases of American economic espionage against European companies — notably Airbus and Thomson-CSF, which had lost major contracts to American competitors who had been informed of their negotiating positions. Former CIA Director James Woolsey had publicly acknowledged this practice in an op-ed in the Wall Street Journal on 17 March 2000, entitled "Why We Spy on Our Allies", justifying economic espionage on the grounds of alleged corruption by European companies.

Les États aident activement leurs groupes industriels à obtenir des avantages compétitifs — y compris en recourant au renseignement. Cet espionnage économique reste probablement dans des limites « acceptables » entre alliés occidentaux. Mais des pays comme la Chine ou la Russie ne font pas preuve de la même retenue : leurs opérations de renseignement économique sont plus agressives, plus systématiques, et s'accompagnent souvent de vol de propriété intellectuelle à grande échelle.

States actively help their industrial groups gain competitive advantages — including through intelligence gathering. This economic espionage probably remains within "acceptable" bounds among Western allies. But countries like China and Russia show no such restraint: their economic intelligence operations are more aggressive, more systematic, and often accompanied by large-scale intellectual property theft.

En Belgique, nous en savons quelque chose. Plusieurs fleurons industriels belges sont passés sous contrôle étranger dans des conditions qui, rétrospectivement, posent question. Lors de rachats d'entreprises, l'espionnage économique peut jouer un rôle déterminant : connaître à l'avance la position du vendeur, ses seuils de négociation, ses vulnérabilités financières, c'est un avantage décisif.

In Belgium, we know something about this. Several flagship Belgian companies have come under foreign control in circumstances that, in retrospect, raise questions. In corporate acquisitions, economic espionage can play a decisive role: knowing in advance the seller's position, their negotiation thresholds, their financial vulnerabilities — that is a decisive advantage.

PRISM, la NSA et l'espionnage économique à grande échelle

PRISM, the NSA, and Large-Scale Economic Espionage

Quand on parle d'espionnage entre alliés, les États-Unis occupent une place à part. Les révélations d'Edward Snowden en 2013 ont mis au jour le programme PRISM, qui permettait à la NSA de collecter directement les données transitant par les serveurs des grandes entreprises technologiques américaines : Google, Microsoft, Apple, Facebook, Yahoo, entre autres.

When it comes to espionage among allies, the United States holds a special place. Edward Snowden's revelations in 2013 brought to light the PRISM programme, which enabled the NSA to collect data directly from the servers of major American technology companies: Google, Microsoft, Apple, Facebook, Yahoo, among others.

Ce qui a moins retenu l'attention du grand public, c'est l'ampleur du volet économique de cette surveillance. La NSA consacre des ressources considérables au renseignement économique. Il ne s'agit pas seulement de lutter contre le terrorisme ou de protéger la sécurité nationale au sens strict : il s'agit aussi de donner un avantage compétitif aux entreprises américaines. Le rapport ECHELON du Parlement européen l'avait déjà établi deux ans avant le 11 septembre. Les révélations Snowden n'ont fait que confirmer, avec une précision accablante, ce que l'on soupçonnait depuis des années.

What attracted less public attention was the scale of the economic dimension of this surveillance. The NSA devotes considerable resources to economic intelligence. This is not solely about fighting terrorism or protecting national security in the strict sense: it is also about giving American companies a competitive edge. The European Parliament's ECHELON report had already established this two years before 9/11. The Snowden revelations merely confirmed, with damning precision, what had been suspected for years.

Et depuis 2018, cet accès aux données n'a même plus besoin d'être clandestin. Il est devenu légal.

And since 2018, this access to data no longer even needs to be covert. It has become legal.

Le CLOUD Act — quand l'espionnage devient la loi
The CLOUD Act — When Espionage Becomes the Law

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) est une loi fédérale américaine adoptée en mars 2018. Son principe est simple et ses implications sont considérables :

The CLOUD Act (Clarifying Lawful Overseas Use of Data Act) is a US federal law enacted in March 2018. Its principle is simple and its implications are far-reaching:

Tout fournisseur de services cloud soumis à la juridiction américaine est tenu de communiquer aux autorités des États-Unis l'ensemble des données qu'il contrôle, quelle que soit la localisation physique des serveurs, sur simple demande judiciaire — et ces demandes sont, dans les faits, systématiquement acceptées.

Any cloud service provider subject to US jurisdiction is required to hand over to US authorities all the data it controls, regardless of the physical location of the servers, upon a simple judicial request — and in practice, these requests are systematically granted.

Autrement dit : que vos données soient hébergées sur un serveur AWS à Francfort, un datacenter Azure à Amsterdam ou une instance Google Cloud à Paris, elles restent accessibles aux autorités américaines si le fournisseur est une entreprise de droit américain.

In other words: whether your data is hosted on an AWS server in Frankfurt, an Azure data centre in Amsterdam, or a Google Cloud instance in Paris, it remains accessible to US authorities if the provider is a company incorporated under American law.

Le CLOUD Act n'est pas sorti de nulle part. Il a été adopté pour trancher un litige que les tribunaux n'arrivaient pas à résoudre : l'affaire Microsoft Ireland (United States v. Microsoft Corp., 2018). En 2013, le DOJ avait exigé de Microsoft la remise d'e-mails stockés sur un serveur en Irlande. Microsoft avait refusé, et la cour d'appel du Second Circuit lui avait donné raison en 2016. Plutôt que d'attendre la décision de la Cour Suprême, le Congrès a voté le CLOUD Act, rendant l'affaire caduque et réglant la question une fois pour toutes : la localisation des serveurs ne protège rien.

The CLOUD Act did not come out of nowhere. It was enacted to settle a dispute that the courts had been unable to resolve: the Microsoft Ireland case (United States v. Microsoft Corp., 2018). In 2013, the DOJ had demanded that Microsoft hand over emails stored on a server in Ireland. Microsoft refused, and the Second Circuit Court of Appeals ruled in its favour in 2016. Rather than waiting for the Supreme Court's decision, Congress passed the CLOUD Act, rendering the case moot and settling the question once and for all: server location protects nothing.

Ce dispositif entre en conflit direct avec le RGPD, et notamment avec son article 48, qui dispose qu'une « décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international ». En clair, le RGPD interdit explicitement le type de transfert unilatéral que le CLOUD Act impose.

This framework directly conflicts with the GDPR, and in particular with its Article 48, which states that "any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement." In plain terms, the GDPR explicitly prohibits the kind of unilateral transfer that the CLOUD Act mandates.

Microsoft a publiquement déclaré résister aux injonctions visant des données de clients européens. Mais posons-nous une question de bon sens : comment une entreprise américaine peut-elle durablement résister à une décision de justice rendue dans son propre pays, par ses propres tribunaux ?

Microsoft has publicly stated that it resists orders targeting the data of European customers. But let us ask a common-sense question: how can an American company sustainably resist a court order issued in its own country, by its own courts?

En pratique, le choix du fournisseur est prévisible. Le risque pénal américain est immédiat et concret. Le risque lié au RGPD est plus diffus, plus lent, et les sanctions restent moins dissuasives pour un géant américain.

In practice, the provider's choice is predictable. The criminal risk under US law is immediate and concrete. The risk under the GDPR is more diffuse, slower to materialise, and the penalties remain less of a deterrent for an American giant.

Le 16 juillet 2020, la Cour de Justice de l'Union européenne a d'ailleurs enfoncé le clou avec l'arrêt Schrems II (affaire C-311/18). En invalidant le Privacy Shield — le mécanisme censé encadrer les transferts de données vers les États-Unis —, la CJUE a explicitement jugé que le droit américain n'offrait pas un niveau de protection « essentiellement équivalent » au droit européen, citant précisément l'absence de recours effectif pour les citoyens européens face à la surveillance américaine.

On 16 July 2020, the Court of Justice of the European Union drove the point home with the Schrems II ruling (Case C-311/18). By invalidating the Privacy Shield — the mechanism supposedly governing data transfers to the United States — the CJEU explicitly held that US law did not provide a level of protection "essentially equivalent" to European law, specifically citing the lack of effective remedies for European citizens against US surveillance.

Dernier point trop souvent négligé : la directive NIS2, dans son article 21(2)(d), impose aux entités essentielles et importantes de sécuriser leur chaîne d'approvisionnement. Or, confier ses données à un fournisseur cloud soumis au CLOUD Act, c'est introduire dans sa supply chain un risque juridique d'accès extraterritorial. Autrement dit, NIS2 renforce l'argument en faveur de fournisseurs hors de portée de la juridiction américaine.

One final point that is too often overlooked: the NIS2 Directive, in its Article 21(2)(d), requires essential and important entities to secure their supply chain. Yet entrusting your data to a cloud provider subject to the CLOUD Act means introducing into your supply chain a legal risk of extraterritorial access. In other words, NIS2 strengthens the case for providers beyond the reach of US jurisdiction.

La conclusion s'impose : héberger ses données chez un hyperscaler américain, même sur une "région européenne", n'offre pas de garantie absolue en ce qui concerne la confidentialité des données vis-à-vis des autorités américaines. Ceci n'est pas nécessairement critique pour toutes les entreprises. Mais si vous êtes un État, une administration publique, une entreprise stratégique ou un opérateur d'importance vitale, il est indispensable d'intégrer ceci dans votre analyse de risques.

The conclusion is inescapable: hosting your data with an American hyperscaler, even in a "European region," offers no absolute guarantee regarding data confidentiality vis-à-vis US authorities. This is not necessarily critical for every organisation. But if you are a government body, a public administration, a strategic enterprise, or a vital infrastructure operator, it is essential to include this risk in your risk assessment.

L'affaire SWIFT : quand les transactions financières européennes finissent à Washington

The SWIFT Affair: When European Financial Transactions End Up in Washington

Le CLOUD Act n'est pas un cas isolé. Bien avant son adoption, les États-Unis avaient déjà démontré leur capacité à capter des données européennes. L'affaire SWIFT en est l'un des exemples les plus frappants — et elle nous touche directement en Belgique.

The CLOUD Act is not an isolated case. Long before it was enacted, the United States had already demonstrated its ability to capture European data. The SWIFT affair is one of the most striking examples — and it touches us directly in Belgium.

L'affaire SWIFT et le programme TFTP
The SWIFT Affair and the TFTP Programme

SWIFT (Society for Worldwide Interbank Financial Telecommunication) est la colonne vertébrale des transactions financières internationales : plus de 11 000 institutions connectées dans plus de 200 pays. Son siège se trouve à La Hulpe, en Belgique.

SWIFT (Society for Worldwide Interbank Financial Telecommunication) is the backbone of international financial transactions: more than 11,000 connected institutions across more than 200 countries. Its headquarters are in La Hulpe, Belgium.

Après les attentats du 11 septembre 2001, le Département du Trésor américain a secrètement accédé aux données de ce réseau dans le cadre du Terrorist Finance Tracking Program (TFTP). C'est le New York Times qui a révélé l'affaire le 23 juin 2006.

After the attacks of 11 September 2001, the US Department of the Treasury secretly accessed this network's data as part of the Terrorist Finance Tracking Program (TFTP). It was the New York Times that broke the story on 23 June 2006.

La réaction européenne a été vive et étalée sur plusieurs années :

The European response was strong and unfolded over several years:

L'affaire SWIFT illustre un schéma récurrent : une infrastructure européenne critique dont les données sont captées par une puissance étrangère, d'abord secrètement, puis sous un cadre légal négocié en position de faiblesse.

The SWIFT affair illustrates a recurring pattern: a critical European infrastructure whose data is captured by a foreign power, first covertly, then under a legal framework negotiated from a position of weakness.

L'opération Socialist : quand un allié pirate Belgacom, le plus grand opérateur belge

Operation Socialist: When an Ally Hacks Belgacom, Belgium's Largest Telecom Operator

Si l'affaire SWIFT relève de la pression juridique, l'affaire Belgacom — aujourd'hui Proximus — relève, elle, du piratage pur et simple, commis par un allié.

If the SWIFT affair was about legal pressure, the Belgacom affair — the company now known as Proximus — was about outright hacking, committed by an ally.

L'affaire Belgacom — Opération Socialist
The Belgacom Affair — Operation Socialist

En 2013, les documents publiés par Edward Snowden ont révélé que le GCHQ (Government Communications Headquarters), le service de renseignement électronique britannique, avec le soutien de la NSA, avait piraté Belgacom — aujourd'hui Proximus —, le principal opérateur de télécommunications belge.

In 2013, the Snowden documents revealed that Britain's GCHQ (Government Communications Headquarters), with the support of the NSA, had hacked Belgacom (now Proximus), Belgium's largest telecom operator.

L'opération, baptisée "Operation Socialist", a été documentée par Der Spiegel le 20 septembre 2013, puis de manière approfondie par The Intercept le 13 décembre 2014 (Ryan Gallagher).

The operation, codenamed "Operation Socialist," was documented by Der Spiegel on 20 September 2013, and later in depth by The Intercept on 13 December 2014 (Ryan Gallagher).

La réaction belge a été à la mesure de l'affront. Le Premier ministre Elio Di Rupo a condamné publiquement l'opération. L'ambassadeur britannique à Bruxelles a été convoqué. Le procureur fédéral belge a ouvert une enquête en septembre 2013. Le Parlement européen a adopté le 12 mars 2014 une résolution sur la surveillance électronique de masse (2013/2188(INI)), qui cite explicitement le piratage de Belgacom.

The Belgian response matched the affront. Prime Minister Elio Di Rupo publicly condemned the operation. The British ambassador to Brussels was summoned. The federal prosecutor opened an investigation in September 2013. On 12 March 2014, the European Parliament adopted a resolution on mass electronic surveillance (2013/2188(INI)), which explicitly cites the hacking of Belgacom.

Cette affaire a marqué profondément la communauté de la cybersécurité en Belgique. Voir un pays allié, membre de l'OTAN, pirater l'infrastructure critique de télécommunications d'un autre pays allié : c'est une réalité qu'il faut garder en mémoire quand on parle de "confiance" dans les écosystèmes numériques.

This affair left a deep mark on the Belgian cybersecurity community. Seeing an allied country, a NATO member, hack the critical telecommunications infrastructure of another allied country: that is a reality we must keep in mind when we talk about "trust" in digital ecosystems.

Pris entre deux feux : le dilemme des entreprises européennes

Between a Rock and a Hard Place: The Dilemma Facing European Companies

Tout cela peut sembler lointain — des affaires d'État, des acronymes, de la géopolitique. Mais les conséquences sont très concrètes pour les entreprises européennes.

All of this may seem remote — state affairs, acronyms, geopolitics. But the consequences are very real for European companies.

"Quelle que soit la décision prise, l'entreprise viole le droit de l'une des deux juridictions. C'est le piège structurel de l'extraterritorialité américaine."

"Whatever decision is made, the company violates the law of one of the two jurisdictions. That is the structural trap of American extraterritoriality."

Ce n'est pas un cas d'école. C'est le quotidien d'un nombre croissant d'entreprises européennes, prises entre le CLOUD Act d'un côté, le RGPD et NIS2 de l'autre. Et c'est précisément ce type de situation qui rend la question du cloud souverain si concrète.

This is not a textbook exercise. It is the daily reality for a growing number of European companies, caught between the CLOUD Act on one side, the GDPR and NIS2 on the other. And it is precisely this kind of situation that makes the question of sovereign cloud so tangible.

Cloud souverain européen : où en sommes-nous vraiment ?

European Sovereign Cloud: Where Do We Actually Stand?

J'ai profité du Forum pour faire le point sur l'état réel des initiatives de cloud souverain en Europe. Le moins que l'on puisse dire, c'est que le paysage est inégal.

I took advantage of the Forum to take stock of where European sovereign cloud initiatives actually stand. To put it mildly, the landscape is uneven.

La France est en pointe, avec le référentiel SecNumCloud 3.2 de l'ANSSI. Ce référentiel va au-delà des exigences techniques : il inclut une clause anti-extraterritorialité explicite et impose que l'entité soit détenue majoritairement par des capitaux européens. C'est à ma connaissance le cadre le plus exigeant en Europe. OVHcloud, l'écosystème Hexatrust et les solutions d'hébergement on-premise s'inscrivent dans cette logique.

France is leading the way, with ANSSI's SecNumCloud 3.2 framework. This framework goes beyond technical requirements: it includes an explicit anti-extraterritoriality clause and mandates that the entity be majority-owned by European capital. To my knowledge, it is the most demanding framework in Europe. OVHcloud, the Hexatrust ecosystem, and on-premise hosting solutions all fall within this approach.

Paradoxalement, malgré cette avance, la France est très en retard dans la transposition de la directive NIS2 en droit national. La date limite européenne était octobre 2024, et l'adoption n'est pas attendue avant juillet 2026. La raison ? Un blocage politique autour de l'article 16 bis du projet de loi, qui interdit d'imposer aux fournisseurs de services de chiffrement la création de « portes dérobées » (backdoors). Cette disposition déplaît à la DGSI, qui souhaite pouvoir exploiter ce type d'accès à des fins de surveillance. Les parlementaires, eux, s'y opposent fermement, arguant que de telles backdoors sont « inefficaces et dangereuses ».

Paradoxically, despite this lead, France is significantly behind on transposing the NIS2 directive into national law. The European deadline was October 2024, and adoption is not expected before July 2026. The reason? A political standoff over Article 16 bis of the draft law, which prohibits requiring encryption service providers to create backdoors. This provision displeases the DGSI (France's domestic intelligence agency), which wants to be able to exploit such access for surveillance purposes. Lawmakers, however, are firmly opposed, arguing that such backdoors are "ineffective and dangerous."

Mais la France illustre aussi les tensions du sujet. Deux initiatives hybrides coexistent : Bleu (portée par Capgemini et Orange, utilisant la technologie Microsoft Azure) et S3NS (portée par Thales, utilisant la technologie Google Cloud). L'objectif affiché est d'offrir les fonctionnalités des hyperscalers dans un cadre juridiquement souverain. Mais ces montages soulèvent un paradoxe fondamental : si le code, les mises à jour et l'architecture logicielle proviennent de Microsoft ou de Google, la souveraineté reste partielle. On maîtrise l'hébergement, mais pas la technologie sous-jacente. Une dépendance en remplace une autre.

But France also illustrates the tensions inherent in the topic. Two hybrid initiatives coexist: Bleu (led by Capgemini and Orange, using Microsoft Azure technology) and S3NS (led by Thales, using Google Cloud technology). The stated objective is to offer hyperscaler functionality within a legally sovereign framework. But these arrangements raise a fundamental paradox: if the code, updates, and software architecture come from Microsoft or Google, sovereignty remains partial. You control the hosting, but not the underlying technology. One dependency replaces another.

L'Allemagne offre un cas d'étude instructif. En 2015, Microsoft avait lancé le "German Cloud", un dispositif où T-Systems (filiale de Deutsche Telekom) agissait comme data trustee, empêchant théoriquement Microsoft d'accéder aux données. Le projet a été abandonné en 2018, faute de viabilité économique et en raison des limitations fonctionnelles qu'il imposait. C'est un avertissement : la souveraineté a un coût, et les compromis techniques ne sont pas toujours tenables face aux exigences du marché.

Germany offers an instructive case study. In 2015, Microsoft had launched the "German Cloud," an arrangement where T-Systems (a Deutsche Telekom subsidiary) acted as data trustee, theoretically preventing Microsoft from accessing the data. The project was abandoned in 2018, due to lack of economic viability and the functional limitations it imposed. It serves as a warning: sovereignty comes at a cost, and technical compromises are not always sustainable in the face of market demands.

Au niveau européen, l'initiative Gaia-X, lancée en grande pompe par la France et l'Allemagne, a rapidement été critiquée pour avoir admis les hyperscalers américains parmi ses membres. Scaleway, l'un des membres fondateurs français, a quitté le projet en 2021 en dénonçant une récupération par les géants américains. Gaia-X reste un cadre de référence utile pour la portabilité et l'interopérabilité, mais il n'a pas tenu sa promesse initiale de souveraineté.

At the European level, the Gaia-X initiative, launched with great fanfare by France and Germany, was quickly criticised for admitting American hyperscalers among its members. Scaleway, one of the French founding members, left the project in 2021, denouncing a takeover by American giants. Gaia-X remains a useful reference framework for portability and interoperability, but it has not delivered on its initial promise of sovereignty.

Plus discrètement, le projet Sovereign Cloud Stack (SCS), initiative germano-autrichienne basée sur OpenStack et Kubernetes, tente de construire une pile technologique entièrement open source pour le cloud souverain. L'approche est la bonne, mais le projet peine à atteindre une masse critique face à la puissance d'investissement des hyperscalers.

More quietly, the Sovereign Cloud Stack (SCS) project, a German-Austrian initiative based on OpenStack and Kubernetes, is attempting to build an entirely open-source technology stack for sovereign cloud. The approach is the right one, but the project is struggling to reach critical mass against the investment power of the hyperscalers.

Conclusion : une dépendance réelle, un chemin long mais nécessaire

Conclusion: A Real Dependency, a Long but Necessary Path

Soyons lucides. Aujourd'hui, en 2026, il reste extrêmement difficile de travailler en équipe, au quotidien, sans les outils américains. Microsoft 365, AWS, Google Workspace, Salesforce : ces plateformes sont ancrées dans les habitudes de travail de presque toutes les entreprises européennes. Les alternatives souveraines existent, mais elles n'offrent pas encore le même confort d'utilisation, la même richesse fonctionnelle, ni le même niveau d'intégration.

Let us be clear-eyed. Today, in 2026, it remains extremely difficult to work as a team, day to day, without American tools. Microsoft 365, AWS, Google Workspace, Salesforce: these platforms are woven into the working habits of nearly every European company. Sovereign alternatives exist, but they do not yet offer the same ease of use, the same richness of features, or the same level of integration.

Les initiatives de cloud souverain finiront probablement par atteindre leur maturité. L'élan politique est réel et la prise de conscience progresse. Mais le paradoxe des solutions hybrides — souveraineté de l'hébergement d'un côté, dépendance au logiciel de l'autre — montre que la réponse ne peut pas être uniquement technique.

Sovereign cloud initiatives will probably reach maturity eventually. The political momentum is real and awareness is growing. But the paradox of hybrid solutions — sovereign hosting on one side, software dependency on the other — shows that the answer cannot be purely technical.

"La souveraineté numérique n'est pas un projet technique. C'est un projet de société, qui demande du temps, de la volonté politique et des investissements à la hauteur de l'enjeu."

"Digital sovereignty is not a technical project. It is a societal project, one that demands time, political will, and investment commensurate with the stakes."

Ce que ECHELON, PRISM, le CLOUD Act, l'affaire SWIFT et l'opération Socialist contre Belgacom/Proximus ont en commun, c'est une leçon simple : dans le monde numérique comme dans le monde physique, la dépendance crée la vulnérabilité. Et cette vulnérabilité, tôt ou tard, est exploitée — y compris par ceux que l'on considère comme des amis. Le chemin vers une véritable autonomie numérique européenne sera long. Mais c'est un chemin qu'il faut emprunter.

What ECHELON, PRISM, the CLOUD Act, the SWIFT affair, and Operation Socialist against Belgacom/Proximus have in common is a simple lesson: in the digital world, just as in the physical one, dependency creates vulnerability. And that vulnerability, sooner or later, is exploited — including by those we consider friends. The road to genuine European digital autonomy will be long. But it is a road we must take.

Sources & références

Sources & references

Denis Neuforge
CISSP · CCSP · CIPP/E · PECB NIS2 Senior Lead Implementer

Senior Cybersecurity Consultant et Managing Director de Serendipity SRL. 30 ans d'expérience en sécurité de l'information dans les institutions financières internationales et le secteur public belge. Spécialiste NIS2, gouvernance de la sécurité, gestion des risques et conformité réglementaire (RGPD, NIS2, DORA).

Senior Cybersecurity Consultant and Managing Director of Serendipity SRL. 30 years of experience in information security in international financial institutions and the Belgian public sector. Specialist in NIS2, security governance, risk management and regulatory compliance (GDPR, NIS2, DORA).