Dans un contexte de tensions géopolitiques croissantes entre l’Europe et les États-Unis, cette étude analyse les défis que pose l’extraterritorialité des données numériques à la souveraineté européenne, et interroge la capacité de l’UE à y répondre efficacement.
Les autrices montrent que les données numériques sont au cœur de nouveaux rapports de force entre États. Les États-Unis ont développé un arsenal législatif extraterritorial — Patriot Act, FISA (section 702), CLOUD Act — qui leur permet d’accéder aux données détenues par des entreprises américaines, quel que soit leur lieu de stockage. L’affaire Microsoft Ireland (2018) illustre parfaitement ces tensions : les autorités américaines ont contraint Microsoft à fournir des données hébergées en Irlande, contournant ainsi les mécanismes classiques de coopération judiciaire internationale.
En réponse, l’UE a développé sa propre portée extraterritoriale à travers le RGPD, qui s’applique à toute entreprise traitant des données de résidents européens, y compris hors de l’Union. Mais cet « effet Bruxelles » montre ses limites face à la domination structurelle des hyperscalers américains — AWS, Microsoft Azure et Google Cloud — qui contrôlent plus de 70 % du marché européen du cloud.
La localisation des données : un remède insuffisant
L’étude compare les différentes approches nationales de la localisation des données. La Russie et la Chine l’utilisent à des fins idéologiques et de contrôle politique ; les États-Unis y recourent désormais pour des raisons de sécurité nationale, notamment vis-à-vis de la Chine. L’Europe, quant à elle, s’appuie sur la localisation comme levier de protection des droits fondamentaux et de stimulation de l’innovation, notamment à travers sa nouvelle Stratégie pour l’union des données (novembre 2025).
Cependant, les autrices soulignent le paradoxe fondamental de cette approche : dans un monde où les données circulent en permanence à travers de multiples juridictions, la localisation stricte est difficile à imposer. Tant que l’Europe dépend d’infrastructures contrôlées par des acteurs soumis au CLOUD Act, aucune obligation de résidence des données ne peut garantir leur protection contre des ingérences étrangères.
Des leviers d’action, mais des obstacles structurels
L’étude identifie plusieurs pistes pour renforcer la souveraineté numérique européenne : institutionnaliser des mécanismes de continuité des services numériques en cas d’interruption imposée par un gouvernement étranger, accélérer les investissements dans des infrastructures cloud souveraines, et diversifier les partenariats technologiques avec des alliés partageant les mêmes valeurs (Japon, Corée du Sud, Canada).
Toutefois, les obstacles demeurent considérables : fragmentation du marché unique, sous-investissement chronique (l’UE ne représentait que 7 % des investissements mondiaux en IA en 2021), difficultés à faire émerger des acteurs européens compétitifs face aux hyperscalers, et divergences entre États membres sur la certification EUCS.
Sans volonté politique résolue, investissements massifs et coordination effective entre États membres, l’Europe risque de demeurer un marché captif des puissances technologiques rivales. La souveraineté numérique ne peut reposer sur le seul droit : elle exige également la maîtrise matérielle des infrastructures.
Aller au contenu PDF
