L'Union européenne a fait de la souveraineté numérique l'un des chantiers majeurs de la décennie. Derrière le mot, une réalité brutale : ~70 à 75 % du marché européen du cloud reposent sur trois fournisseurs américains (AWS, Microsoft Azure, Google Cloud) selon Synergy Research et IDC.

En parallèle, le Chips Act européen mobilise 43 Md€ pour reconquérir 20 % de la production mondiale de semi-conducteurs d'ici 2030 — contre environ 10 % aujourd'hui.

Pour l'industrie française, ces enjeux ne sont plus théoriques : NIS2, DORA, Cyber Resilience Act, AI Act, Data Act, label SecNumCloud de l'ANSSI… autant de réglementations qui redessinent les obligations des entreprises et les compétences recherchées.

Décryptage des cinq piliers, des acteurs français, des risques d'extraterritorialité juridique et des métiers en tension.

1. De quoi parle-t-on : les 5 piliers et le cadre politique

La souveraineté numérique désigne la capacité d'une entité — État, Union, entreprise — à maîtriser ses technologies critiques, ses infrastructures et ses données sans dépendance structurelle à des acteurs extérieurs. Au niveau européen, le concept a été formalisé dans la Boussole stratégique adoptée en mars 2022 et dans le programme Décennie numérique 2030.

Concrètement, la souveraineté numérique s'articule autour de cinq piliers techniques et réglementaires interdépendants : infrastructure cloud, semi-conducteurs, cybersécurité, intelligence artificielle et données.

Cloud & data centers

Hébergement, stockage, calcul distant. Marché européen capté à ~70-75 % par les hyperscalers américains.

Semi-conducteurs

Conception, gravure, packaging. Chips Act : 43 Md€, objectif 20 % du marché mondial en 2030.

Cybersécurité

Protection des SI critiques. NIS2 (oct. 2024), CRA, DORA, qualification ANSSI.

IA & calcul

Modèles, GPU, supercalculateurs. Encadré par l'AI Act, soutenu par EuroHPC.

Données

Personnelles (RGPD) et industrielles (Data Act). Localisation, portabilité, partage.

Cadre transverse

DMA, DSA, Data Governance Act, Chips Act, AI Act, NIS2, CRA, DORA, Data Act.

Ce corpus réglementaire — souvent qualifié de Bruxelles effect par la doctrine — vise à refondre les règles d'usage du numérique sur le territoire européen, sans nécessairement disposer encore des briques technologiques pour s'en émanciper. La tension entre cadre juridique avancé et dépendance industrielle persistante structure tout le débat.

Sources : Commission européenne — DG CONNECT (Boussole stratégique 2022, Décennie numérique 2030), ENISA, ANSSI.

2. Cloud et hébergement : le talon d'Achille européen

Le marché européen du cloud d'infrastructure est dominé par les hyperscalers américains. Selon les analyses publiées par Synergy Research Group et IDC, AWS, Microsoft Azure et Google Cloud captent ensemble entre 70 % et 75 % des dépenses d'infrastructure cloud en Europe.

Les fournisseurs européens — pris dans leur ensemble — ne représentent qu'une part résiduelle du marché, malgré la présence d'acteurs solides comme OVHcloud, Scaleway (Iliad), Outscale (Dassault Systèmes), Cloud Temple ou Clever Cloud.

Estimation indicative des parts de marché Cloud Infrastructure Services en Europe. Source : Synergy Research Group / IDC, données publiques 2024.

2.1. GAIA-X, SecNumCloud : les outils de la riposte

L'initiative GAIA-X, lancée en 2020 sous impulsion franco-allemande, vise à construire un cadre commun pour des services cloud conformes aux exigences européennes (transparence, portabilité, localisation). En parallèle, deux référentiels nationaux structurent l'offre : SecNumCloud, qualification délivrée par l'ANSSI en France, et C5 / IT-Grundschutz côté BSI en Allemagne.

Plusieurs fournisseurs ont obtenu la qualification SecNumCloud : Outscale, OVHcloud, Cloud Temple. D'autres projets sont en cours, comme Numspot (Docaposte, Dassault, Bouygues, Banque des Territoires) et S3NS, partenariat Thales-Google visant une offre locale qualifiable.

2.2. CLOUD Act, Schrems II : les risques juridiques d'extraterritorialité

Le CLOUD Act américain (Clarifying Lawful Overseas Use of Data Act, 2018) autorise les autorités fédérales américaines à exiger d'un fournisseur de services soumis au droit US la communication de données hébergées, y compris hors du territoire américain. Conséquence : une donnée stockée sur un datacenter européen géré par un fournisseur US peut, en théorie, être sollicitée.

En 2020, la CJUE a invalidé le Privacy Shield dans l'arrêt Schrems II, jugeant insuffisantes les garanties de protection des données européennes transférées aux États-Unis. Le Data Privacy Framework, adopté en 2023, encadre désormais ces transferts, mais reste contesté devant les juridictions européennes.

Sources : Synergy Research Group, IDC, ANSSI (référentiel SecNumCloud), CNIL, CJUE — arrêt Schrems II (C-311/18, 16 juillet 2020), Commission européenne.

3. Semi-conducteurs : le Chips Act et les fabs européennes

Adopté en 2023, le European Chips Act mobilise 43 milliards d'euros de financements publics et privés. L'objectif affiché par la Commission : porter la part européenne dans la production mondiale de semi-conducteurs de ~10 % aujourd'hui à 20 % en 2030.

En France, plusieurs projets industriels structurants ont été annoncés ou sont en cours.

Acteur Site Spécialité / objet
STMicroelectronics + GlobalFoundries Crolles (Isère) Extension d'environ 7,5 Md€, production prévue en montée jusqu'à 2028+ (technologies ~18 nm FD-SOI)
Soitec Bernin (Isère) Substrats SOI (Silicon-On-Insulator), brique amont stratégique unique
X-FAB Corbeil-Essonnes Fonderie spécialisée puces analogiques / mixtes
Mersen, Trumpf, ASML, Carl Zeiss Europe Outils de production : fours à diffusion, lasers, photolithographie EUV (monopole ASML), optique
Bosch Dresde (Allemagne) Production de puces de puissance pour l'automobile
Intel Magdebourg (Allemagne) Projet de méga-fab annoncé puis suspendu en 2024 par le groupe

À noter : l'Europe dispose d'actifs uniques en amont de la chaîne (lithographie EUV via le néerlandais ASML, lasers Trumpf, optique Zeiss, substrats Soitec) mais reste structurellement importatrice sur les puces logique avancée et la mémoire haute bande passante.

Sources : Commission européenne (communiqué Chips Act 2023), France Industrie, communiqués officiels STMicroelectronics, GlobalFoundries, Soitec, Bosch, Intel, OPECST (rapports parlementaires sur la stratégie semi-conducteurs).

4. Cybersécurité : NIS2, CRA, DORA changent la donne

Le tempo réglementaire s'est nettement accéléré depuis 2024. Trois textes structurent désormais les obligations des entreprises industrielles européennes.

La directive NIS2, dont la date limite de transposition était fixée à octobre 2024, élargit considérablement le périmètre des entités concernées par les obligations de cybersécurité. Selon les estimations de l'ANSSI, plus de 10 000 entités françaises pourraient être soumises à terme aux obligations de cybersécurité (analyse de risques, plans de continuité, déclaration d'incidents).

4.1. Trois textes à connaître

Texte Cible Sanctions maximales
NIS2 (transposée oct. 2024) OIV, OSE et entités essentielles / importantes — énergie, transport, santé, eau, industrie manufacturière, etc. Jusqu'à 10 M€ ou 2 % du CA mondial
Cyber Resilience Act (CRA) 2024 Produits contenant des composants numériques (IoT industriel, objets connectés) Jusqu'à 15 M€ ou 2,5 % du CA mondial
DORA (applicable janv. 2025) Secteur financier et ses prestataires TIC critiques Astreintes journalières + sanctions des autorités sectorielles

4.2. Les acteurs européens de la cybersécurité

L'Europe peut s'appuyer sur des acteurs établis : Thales, Atos / Eviden, Capgemini, Sopra Steria, ainsi que des pure players comme Stormshield (filiale Airbus), Wallix, Tehtris ou Quarkslab. Sur la messagerie sécurisée, Olvid (chiffrement français) a été racheté par Bouygues Telecom en 2023.

Pour autant, la dépendance aux solutions américaines reste forte côté détection & réponse aux incidents : Palo Alto Networks, Fortinet, Cisco, CrowdStrike, Microsoft Defender, AWS GuardDuty… dominent encore largement les déploiements en entreprise.

Sources : ANSSI, ENISA, Commission européenne (NIS2 dir. (UE) 2022/2555, CRA, DORA règl. (UE) 2022/2554).

5. IA générative et calcul haute performance

Le paysage des grands modèles de langage (LLM) reste largement dominé par des acteurs américains : OpenAI, Anthropic, Google. Côté européen, Mistral AI (France) est le seul acteur véritablement aligné sur le niveau état-de-l'art international, avec une valorisation autour de 6 Md$.

L'écosystème français s'étoffe avec Kyutai (laboratoire de recherche fondamentale), H Company (anciennement Holistic), Pleias (modèles ouverts éthiques) ou LightOn. Le plan France 2030 finance plusieurs de ces initiatives.

5.1. Le calcul haute performance européen

Le programme EuroHPC a engagé en 2024 le financement de 7 supercalculateurs hybrides classique-IA — les AI Factories — répartis sur le territoire : Jules Verne (Bretagne), Antares (Espagne), Atlas (Italie), Bull Sequana (Allemagne), extension LUMI (Finlande), entre autres.

Au niveau français, trois centres structurent la recherche publique :

  • Jean Zay à l'IDRIS-CNRS (Saclay) : cluster dédié IA, machine de référence pour la recherche académique française
  • TGCC du CEA (Bruyères-le-Châtel) : calcul intensif pour la défense, l'énergie, la simulation
  • Adastra au CINES (Montpellier) : cluster AMD MI250X, l'un des plus puissants en Europe sur architecture non-NVIDIA

Sources : EuroHPC JU, CNRS-IDRIS, CEA, CINES, INRIA — Stratégie IA, communiqués Mistral AI, France 2030, Commission européenne (AI Act règl. (UE) 2024/1689).

6. Conséquences pour l'industrie française : obligations, opportunités, métiers

6.1. Nouvelles obligations à anticiper

Pour un industriel français, la pile réglementaire s'épaissit. Selon les activités, plusieurs textes peuvent s'appliquer : NIS2 (cybersécurité des entités essentielles), DORA (résilience pour les services financiers et leurs prestataires TIC), CRA (cybersécurité des produits connectés), AI Act (classification des systèmes d'IA selon le niveau de risque).

À cela s'ajoute la qualification SecNumCloud ou HDS exigée pour certains marchés publics ou activités sensibles (santé, défense, opérateurs d'importance vitale).

6.2. Opportunités pour la filière

Ces obligations créent mécaniquement des marchés : croissance soutenue de la cybersécurité, du cloud souverain, de la R&D en semi-conducteurs et IA, ainsi que du conseil en conformité. Selon les estimations de France Travail, la filière numérique souveraine pourrait nécessiter 30 000 à 50 000 emplois supplémentaires d'ici 2030 — un ordre de grandeur cohérent avec les analyses du Cigref, de Syntec Numérique et de l'ACSEL.

6.3. Métiers en tension et fourchettes de rémunération

Les profils suivants concentrent les difficultés de recrutement les plus marquées. Les fourchettes ci-dessous sont indicatives et dépendent fortement du secteur, de l'expérience, de la région et de la taille de l'entreprise.

Métier Mission principale Fourchette annuelle brute (€)
RSSI / CISO Stratégie cyber, gouvernance, conformité NIS2/DORA 110 000 – 220 000
Architecte cloud souverain Design d'architectures multi-cloud / SecNumCloud 70 000 – 130 000
Expert sécurité industrielle OT Cybersécurité des automates / SCADA (norme ISA-IEC 62443) 75 000 – 130 000
Juriste tech / data RGPD, AI Act, contrats cloud, transferts internationaux 50 000 – 110 000
Data engineer souverain Pipelines de données conformes localisation UE 50 000 – 100 000
Spécialiste AI Act / DPO Conformité IA, analyses d'impact, registre des traitements 60 000 – 120 000
Ingénieur procédés fab semi-conducteurs Optimisation des étapes de gravure, diffusion, dépôt 45 000 – 95 000
Maintenance EUV / four à diffusion Maintenance préventive et corrective des équipements de fab 40 000 – 80 000

6.4. Pour les salariés de l'industrie : quelles formations ?

L'évolution des compétences exigées touche autant les profils techniques (cybersécurité OT/IT, data engineering) que les fonctions support (DPO, juristes data). Plusieurs certifications et cursus structurent désormais le marché : ISA-IEC 62443 pour la cybersécurité des systèmes industriels, CISSP pour la sécurité de l'information, certifications éditeurs cloud (AWS, Azure, GCP) ou souveraines (OVHcloud, Outscale).

Côté cursus académiques, plusieurs établissements français se positionnent fortement sur le numérique souverain : INSA Toulouse, IMT Atlantique, EURECOM, Telecom Paris, ESILV, ESIEA, ENSI Bourges, sans compter les filières spécialisées des universités et grandes écoles d'ingénieurs.

Sources : France Travail, Cigref (baromètre annuel des DSI), Syntec Numérique, ACSEL, INRIA, observatoire des métiers du numérique, ANSSI, ENISA.

Conclusion : une décennie charnière

La souveraineté numérique européenne n'est ni un slogan ni un acquis. Sur le plan réglementaire, l'UE a constitué en moins de cinq ans un corpus dense — RGPD, DMA, DSA, NIS2, AI Act, Chips Act, CRA, DORA — qui s'impose désormais aux acteurs établis sur son sol, hors UE compris.

Sur le plan industriel, en revanche, les dépendances persistent : hyperscalers cloud, GPU NVIDIA, mémoires HBM asiatiques, photolithographie EUV concentrée chez un seul fournisseur européen (ASML). Pour les entreprises françaises, l'enjeu n'est pas tant de choisir un camp que d'arbitrer les risques au cas par cas : criticité de la donnée, exposition juridique au CLOUD Act, dépendance à un fournisseur unique, niveau d'exigence des marchés publics. Les profils capables de tenir cette discussion — entre droit, technique et industrie — sont précisément ceux qui tireront le mieux leur épingle du jeu sur la décennie qui s'ouvre.

Sources & références structurantes

  • • Commission européenne — DG CONNECT
  • • ANSSI (référentiel SecNumCloud)
  • • ENISA
  • • CNIL
  • • CJUE — arrêt Schrems II (C-311/18)
  • • Synergy Research Group
  • • IDC
  • • EuroHPC JU
  • • INRIA — Stratégie nationale IA
  • • Cigref
  • • Syntec Numérique
  • • ACSEL
  • • France Industrie
  • • France Travail
  • • OPECST — rapports parlementaires