L'Union européenne a fait de la souveraineté numérique l'un des chantiers majeurs de la décennie. Derrière le mot, une réalité brutale : ~70 à 75 % du marché européen du cloud reposent sur trois fournisseurs américains (AWS, Microsoft Azure, Google Cloud) selon Synergy Research et IDC.
En parallèle, le Chips Act européen mobilise 43 Md€ pour reconquérir 20 % de la production mondiale de semi-conducteurs d'ici 2030 — contre environ 10 % aujourd'hui.
Pour l'industrie française, ces enjeux ne sont plus théoriques : NIS2, DORA, Cyber Resilience Act, AI Act, Data Act, label SecNumCloud de l'ANSSI… autant de réglementations qui redessinent les obligations des entreprises et les compétences recherchées.
Décryptage des cinq piliers, des acteurs français, des risques d'extraterritorialité juridique et des métiers en tension.
1. De quoi parle-t-on : les 5 piliers et le cadre politique
La souveraineté numérique désigne la capacité d'une entité — État, Union, entreprise — à maîtriser ses technologies critiques, ses infrastructures et ses données sans dépendance structurelle à des acteurs extérieurs. Au niveau européen, le concept a été formalisé dans la Boussole stratégique adoptée en mars 2022 et dans le programme Décennie numérique 2030.
Concrètement, la souveraineté numérique s'articule autour de cinq piliers techniques et réglementaires interdépendants : infrastructure cloud, semi-conducteurs, cybersécurité, intelligence artificielle et données.
Cloud & data centers
Hébergement, stockage, calcul distant. Marché européen capté à ~70-75 % par les hyperscalers américains.
Semi-conducteurs
Conception, gravure, packaging. Chips Act : 43 Md€, objectif 20 % du marché mondial en 2030.
Cybersécurité
Protection des SI critiques. NIS2 (oct. 2024), CRA, DORA, qualification ANSSI.
IA & calcul
Modèles, GPU, supercalculateurs. Encadré par l'AI Act, soutenu par EuroHPC.
Données
Personnelles (RGPD) et industrielles (Data Act). Localisation, portabilité, partage.
Cadre transverse
DMA, DSA, Data Governance Act, Chips Act, AI Act, NIS2, CRA, DORA, Data Act.
Ce corpus réglementaire — souvent qualifié de Bruxelles effect par la doctrine — vise à refondre les règles d'usage du numérique sur le territoire européen, sans nécessairement disposer encore des briques technologiques pour s'en émanciper. La tension entre cadre juridique avancé et dépendance industrielle persistante structure tout le débat.
2. Cloud et hébergement : le talon d'Achille européen
Le marché européen du cloud d'infrastructure est dominé par les hyperscalers américains. Selon les analyses publiées par Synergy Research Group et IDC, AWS, Microsoft Azure et Google Cloud captent ensemble entre 70 % et 75 % des dépenses d'infrastructure cloud en Europe.
Les fournisseurs européens — pris dans leur ensemble — ne représentent qu'une part résiduelle du marché, malgré la présence d'acteurs solides comme OVHcloud, Scaleway (Iliad), Outscale (Dassault Systèmes), Cloud Temple ou Clever Cloud.
Estimation indicative des parts de marché Cloud Infrastructure Services en Europe. Source : Synergy Research Group / IDC, données publiques 2024.
2.1. GAIA-X, SecNumCloud : les outils de la riposte
L'initiative GAIA-X, lancée en 2020 sous impulsion franco-allemande, vise à construire un cadre commun pour des services cloud conformes aux exigences européennes (transparence, portabilité, localisation). En parallèle, deux référentiels nationaux structurent l'offre : SecNumCloud, qualification délivrée par l'ANSSI en France, et C5 / IT-Grundschutz côté BSI en Allemagne.
Plusieurs fournisseurs ont obtenu la qualification SecNumCloud : Outscale, OVHcloud, Cloud Temple. D'autres projets sont en cours, comme Numspot (Docaposte, Dassault, Bouygues, Banque des Territoires) et S3NS, partenariat Thales-Google visant une offre locale qualifiable.
2.2. CLOUD Act, Schrems II : les risques juridiques d'extraterritorialité
Le CLOUD Act américain (Clarifying Lawful Overseas Use of Data Act, 2018) autorise les autorités fédérales américaines à exiger d'un fournisseur de services soumis au droit US la communication de données hébergées, y compris hors du territoire américain. Conséquence : une donnée stockée sur un datacenter européen géré par un fournisseur US peut, en théorie, être sollicitée.
En 2020, la CJUE a invalidé le Privacy Shield dans l'arrêt Schrems II, jugeant insuffisantes les garanties de protection des données européennes transférées aux États-Unis. Le Data Privacy Framework, adopté en 2023, encadre désormais ces transferts, mais reste contesté devant les juridictions européennes.
3. Semi-conducteurs : le Chips Act et les fabs européennes
Adopté en 2023, le European Chips Act mobilise 43 milliards d'euros de financements publics et privés. L'objectif affiché par la Commission : porter la part européenne dans la production mondiale de semi-conducteurs de ~10 % aujourd'hui à 20 % en 2030.
En France, plusieurs projets industriels structurants ont été annoncés ou sont en cours.
| Acteur | Site | Spécialité / objet |
|---|---|---|
| STMicroelectronics + GlobalFoundries | Crolles (Isère) | Extension d'environ 7,5 Md€, production prévue en montée jusqu'à 2028+ (technologies ~18 nm FD-SOI) |
| Soitec | Bernin (Isère) | Substrats SOI (Silicon-On-Insulator), brique amont stratégique unique |
| X-FAB | Corbeil-Essonnes | Fonderie spécialisée puces analogiques / mixtes |
| Mersen, Trumpf, ASML, Carl Zeiss | Europe | Outils de production : fours à diffusion, lasers, photolithographie EUV (monopole ASML), optique |
| Bosch | Dresde (Allemagne) | Production de puces de puissance pour l'automobile |
| Intel | Magdebourg (Allemagne) | Projet de méga-fab annoncé puis suspendu en 2024 par le groupe |
À noter : l'Europe dispose d'actifs uniques en amont de la chaîne (lithographie EUV via le néerlandais ASML, lasers Trumpf, optique Zeiss, substrats Soitec) mais reste structurellement importatrice sur les puces logique avancée et la mémoire haute bande passante.
4. Cybersécurité : NIS2, CRA, DORA changent la donne
Le tempo réglementaire s'est nettement accéléré depuis 2024. Trois textes structurent désormais les obligations des entreprises industrielles européennes.
La directive NIS2, dont la date limite de transposition était fixée à octobre 2024, élargit considérablement le périmètre des entités concernées par les obligations de cybersécurité. Selon les estimations de l'ANSSI, plus de 10 000 entités françaises pourraient être soumises à terme aux obligations de cybersécurité (analyse de risques, plans de continuité, déclaration d'incidents).
4.1. Trois textes à connaître
| Texte | Cible | Sanctions maximales |
|---|---|---|
| NIS2 (transposée oct. 2024) | OIV, OSE et entités essentielles / importantes — énergie, transport, santé, eau, industrie manufacturière, etc. | Jusqu'à 10 M€ ou 2 % du CA mondial |
| Cyber Resilience Act (CRA) 2024 | Produits contenant des composants numériques (IoT industriel, objets connectés) | Jusqu'à 15 M€ ou 2,5 % du CA mondial |
| DORA (applicable janv. 2025) | Secteur financier et ses prestataires TIC critiques | Astreintes journalières + sanctions des autorités sectorielles |
4.2. Les acteurs européens de la cybersécurité
L'Europe peut s'appuyer sur des acteurs établis : Thales, Atos / Eviden, Capgemini, Sopra Steria, ainsi que des pure players comme Stormshield (filiale Airbus), Wallix, Tehtris ou Quarkslab. Sur la messagerie sécurisée, Olvid (chiffrement français) a été racheté par Bouygues Telecom en 2023.
Pour autant, la dépendance aux solutions américaines reste forte côté détection & réponse aux incidents : Palo Alto Networks, Fortinet, Cisco, CrowdStrike, Microsoft Defender, AWS GuardDuty… dominent encore largement les déploiements en entreprise.
5. IA générative et calcul haute performance
Le paysage des grands modèles de langage (LLM) reste largement dominé par des acteurs américains : OpenAI, Anthropic, Google. Côté européen, Mistral AI (France) est le seul acteur véritablement aligné sur le niveau état-de-l'art international, avec une valorisation autour de 6 Md$.
L'écosystème français s'étoffe avec Kyutai (laboratoire de recherche fondamentale), H Company (anciennement Holistic), Pleias (modèles ouverts éthiques) ou LightOn. Le plan France 2030 finance plusieurs de ces initiatives.
5.1. Le calcul haute performance européen
Le programme EuroHPC a engagé en 2024 le financement de 7 supercalculateurs hybrides classique-IA — les AI Factories — répartis sur le territoire : Jules Verne (Bretagne), Antares (Espagne), Atlas (Italie), Bull Sequana (Allemagne), extension LUMI (Finlande), entre autres.
Au niveau français, trois centres structurent la recherche publique :
- Jean Zay à l'IDRIS-CNRS (Saclay) : cluster dédié IA, machine de référence pour la recherche académique française
- TGCC du CEA (Bruyères-le-Châtel) : calcul intensif pour la défense, l'énergie, la simulation
- Adastra au CINES (Montpellier) : cluster AMD MI250X, l'un des plus puissants en Europe sur architecture non-NVIDIA
6. Conséquences pour l'industrie française : obligations, opportunités, métiers
6.1. Nouvelles obligations à anticiper
Pour un industriel français, la pile réglementaire s'épaissit. Selon les activités, plusieurs textes peuvent s'appliquer : NIS2 (cybersécurité des entités essentielles), DORA (résilience pour les services financiers et leurs prestataires TIC), CRA (cybersécurité des produits connectés), AI Act (classification des systèmes d'IA selon le niveau de risque).
À cela s'ajoute la qualification SecNumCloud ou HDS exigée pour certains marchés publics ou activités sensibles (santé, défense, opérateurs d'importance vitale).
6.2. Opportunités pour la filière
Ces obligations créent mécaniquement des marchés : croissance soutenue de la cybersécurité, du cloud souverain, de la R&D en semi-conducteurs et IA, ainsi que du conseil en conformité. Selon les estimations de France Travail, la filière numérique souveraine pourrait nécessiter 30 000 à 50 000 emplois supplémentaires d'ici 2030 — un ordre de grandeur cohérent avec les analyses du Cigref, de Syntec Numérique et de l'ACSEL.
6.3. Métiers en tension et fourchettes de rémunération
Les profils suivants concentrent les difficultés de recrutement les plus marquées. Les fourchettes ci-dessous sont indicatives et dépendent fortement du secteur, de l'expérience, de la région et de la taille de l'entreprise.
| Métier | Mission principale | Fourchette annuelle brute (€) |
|---|---|---|
| RSSI / CISO | Stratégie cyber, gouvernance, conformité NIS2/DORA | 110 000 – 220 000 |
| Architecte cloud souverain | Design d'architectures multi-cloud / SecNumCloud | 70 000 – 130 000 |
| Expert sécurité industrielle OT | Cybersécurité des automates / SCADA (norme ISA-IEC 62443) | 75 000 – 130 000 |
| Juriste tech / data | RGPD, AI Act, contrats cloud, transferts internationaux | 50 000 – 110 000 |
| Data engineer souverain | Pipelines de données conformes localisation UE | 50 000 – 100 000 |
| Spécialiste AI Act / DPO | Conformité IA, analyses d'impact, registre des traitements | 60 000 – 120 000 |
| Ingénieur procédés fab semi-conducteurs | Optimisation des étapes de gravure, diffusion, dépôt | 45 000 – 95 000 |
| Maintenance EUV / four à diffusion | Maintenance préventive et corrective des équipements de fab | 40 000 – 80 000 |
6.4. Pour les salariés de l'industrie : quelles formations ?
L'évolution des compétences exigées touche autant les profils techniques (cybersécurité OT/IT, data engineering) que les fonctions support (DPO, juristes data). Plusieurs certifications et cursus structurent désormais le marché : ISA-IEC 62443 pour la cybersécurité des systèmes industriels, CISSP pour la sécurité de l'information, certifications éditeurs cloud (AWS, Azure, GCP) ou souveraines (OVHcloud, Outscale).
Côté cursus académiques, plusieurs établissements français se positionnent fortement sur le numérique souverain : INSA Toulouse, IMT Atlantique, EURECOM, Telecom Paris, ESILV, ESIEA, ENSI Bourges, sans compter les filières spécialisées des universités et grandes écoles d'ingénieurs.
Conclusion : une décennie charnière
La souveraineté numérique européenne n'est ni un slogan ni un acquis. Sur le plan réglementaire, l'UE a constitué en moins de cinq ans un corpus dense — RGPD, DMA, DSA, NIS2, AI Act, Chips Act, CRA, DORA — qui s'impose désormais aux acteurs établis sur son sol, hors UE compris.
Sur le plan industriel, en revanche, les dépendances persistent : hyperscalers cloud, GPU NVIDIA, mémoires HBM asiatiques, photolithographie EUV concentrée chez un seul fournisseur européen (ASML). Pour les entreprises françaises, l'enjeu n'est pas tant de choisir un camp que d'arbitrer les risques au cas par cas : criticité de la donnée, exposition juridique au CLOUD Act, dépendance à un fournisseur unique, niveau d'exigence des marchés publics. Les profils capables de tenir cette discussion — entre droit, technique et industrie — sont précisément ceux qui tireront le mieux leur épingle du jeu sur la décennie qui s'ouvre.