Le cloud souverain devient une exigence réglementaire : ce que le CADA annonce pour le reste du monde

Présenté le 3 juin 2026 au sein du paquet souveraineté européen, aux côtés du Chips Act 2.0, le Cloud and AI Development Act (CADA) prend effet le 4 août 2026. Il introduit un cadre à quatre niveaux d'assurance souveraineté pour les prestataires cloud des administrations, avec des premiers paliers obligatoires à partir de 2028-2029. La souveraineté cesse d'être un argument marketing : elle devient une clause contractuelle.
Ce que contient le CADA — et son calendrier
Le paquet souveraineté présenté le 3 juin 2026 combine deux textes : un Chips Act 2.0 pour les semi-conducteurs et le CADA pour le cloud et l'IA, comme l'analyse le British Institute for Sovereignty and Innovation. Le cœur du dispositif : un cadre à quatre niveaux d'assurance qui gradue les exigences de souveraineté imposées aux prestataires cloud servant les administrations européennes.
Le calendrier est progressif : entrée en vigueur le 4 août 2026, puis premiers paliers obligatoires à partir de 2028-2029, comme le détaillent regulations.ai et Alliancy. Ce délai n'est pas un sursis : c'est le temps donné aux acheteurs publics et à leurs fournisseurs pour gravir les niveaux un par un.
De la conviction au contrat : le vrai basculement
Jusqu'ici, la souveraineté cloud relevait du débat stratégique : on pouvait y croire ou non, l'inscrire dans sa doctrine ou l'ignorer. Le CADA change la nature de la question. À partir du moment où un acheteur public doit exiger un niveau d'assurance donné, la souveraineté devient un critère d'attribution vérifiable, au même titre qu'une certification de sécurité. On ne débat plus, on prouve.
Et comme toujours avec les textes européens — le RGPD hier, l'AI Act et son calendrier 2026-2027 aujourd'hui — l'effet dépasse le périmètre initial. Les exigences imposées aux administrations redescendront par contrat vers leurs prestataires, puis vers les sous-traitants de ces prestataires, y compris hors d'Europe. Les appels d'offres privés s'en inspireront, parce qu'un référentiel gradué et public est commode à réutiliser.
La logique des paliers : une grille utile à toute organisation
Le détail technique des quatre niveaux relève du processus réglementaire européen. Mais la logique d'une gradation de souveraineté, elle, est déjà claire, et elle pose des questions que toute organisation — publique ou privée, européenne ou non — gagne à se poser :
- Localisation : où les données sont-elles physiquement stockées et traitées ?
- Droit applicable : à quelles juridictions le prestataire est-il soumis, via son siège et sa maison mère ?
- Opérations : qui administre réellement les systèmes, depuis où, avec quels accès ?
- Chiffrement : qui détient les clés — vous, le prestataire, ou un tiers ?
- Réversibilité : pouvez-vous partir, dans quels formats, en combien de temps ?
Plus une organisation monte en exigence sur ces cinq axes, plus elle monte en « palier » — c'est exactement l'esprit d'une gradation d'assurance, et c'est une grille de lecture que vous pouvez appliquer dès aujourd'hui à vos contrats existants.
Vu de Maurice : anticiper plutôt que subir
Pour une entreprise mauricienne qui sert des clients européens — directement ou comme sous-traitant — le CADA est un signal d'anticipation : les questionnaires fournisseurs de 2027-2028 contiendront des questions de souveraineté graduées, comme ils contiennent déjà des questions RGPD. Pouvoir répondre précisément « voici où résident les données, sous quel droit, qui détient les clés » deviendra un avantage compétitif mesurable.
C'est aussi une validation du modèle hybride que nous décrivons dans notre article sur la souveraineté des données à Maurice : les données sensibles ou critiques sur une infrastructure locale maîtrisée, le reste là où c'est le plus efficace. Le mouvement de rapatriement des workloads stables vers de l'infrastructure dédiée suit la même pente, pour des raisons de coût autant que de contrôle. C'est sur cette articulation — cloud privé souverain, PRA et engagements contractuels vérifiables — que travaille une équipe comme SOVALYX depuis Maurice.
Auto-évaluation : situez votre niveau de souveraineté réel
| Question à poser (à vous ou à votre hébergeur) | Pourquoi elle compte |
|---|---|
| Où sont physiquement stockées et traitées nos données ? | La localisation est le premier critère de tout référentiel de souveraineté. |
| Quel droit s'applique au prestataire (siège, maison mère, filiales) ? | Un droit extraterritorial tiers peut primer sur vos clauses contractuelles. |
| Qui administre les systèmes, depuis où, avec quels accès ? | L'accès opérationnel est un accès aux données, quelle que soit la localisation. |
| Qui détient les clés de chiffrement ? | Celui qui détient les clés détient les données — le chiffrement ne protège que de ceux qui ne les ont pas. |
| Sortie possible en combien de temps, dans quels formats ? | Sans réversibilité, l'exigence de souveraineté reste théorique. |
| Le PRA fonctionne-t-il si ce prestataire disparaît ou coupe le service ? | La continuité fait partie de la souveraineté : dépendre d'un acteur unique est un risque en soi. |
Si plusieurs réponses sont « on ne sait pas », vous connaissez votre prochain chantier — et si vous voulez le cadrer avec un tiers, un diagnostic se planifie en quelques jours.
Comment SOVALYX peut vous aider
Pour répondre précisément aux questions de souveraineté de cette grille — localisation, droit applicable, opérations, réversibilité — SOVALYX opère un cloud privé résilient hébergé à Maurice, où vous savez exactement où résident vos données et qui les administre. Le PRA automatisé et testé et la supervision 24/7 sous SLA couvrent le volet continuité, qui fait partie intégrante de la souveraineté ; les LLM privés internes garantissent qu'aucun contenu ne part vers une IA publique. Un diagnostic infrastructure & IA permet d'évaluer votre niveau réel sur ces axes avant que les questionnaires de vos clients européens ne s'en chargent.
Parler hébergement souverain avec un ingénieur🧰 L'outil qui va avec : Êtes-vous prêt pour l'AI Act ? — gratuit · 2 minutes.
Relu et optimisé par IA.