AWS European Sovereign Cloud : l'illusion de l'indépendance numérique ?

Amazon Web Services prépare pour fin 2025 son "European Sovereign Cloud", une infrastructure dédiée au marché européen. Cette initiative, annoncée comme réponse aux exigences de souveraineté numérique de l'UE, promet une séparation complète des autres services AWS. Mais cette promesse résiste-t-elle à l'analyse juridique ?

Une architecture européenne sous contrôle allemand

L'infrastructure sera entièrement déployée dans l'Union européenne, avec un fonctionnement isolé du reste du réseau AWS mondial. À sa tête, Kathrin Renz, actuelle vice-présidente d'AWS Industries basée à Munich, dirigera l'entité allemande créée pour l'occasion.

La gouvernance repose sur une holding et trois filiales incorporées en Allemagne. AWS garantit que toutes les opérations quotidiennes (accès aux centres de données, support technique, service client) seront exclusivement assurées par des résidents européens. Un centre d'opérations de sécurité dédié complétera le dispositif.

L'autonomie technique s'étend jusqu'aux fondamentaux : services réseau propres (AWS Direct Connect, Route 53), autorité de certification racine européenne, et facturation en euros par défaut.

Le nœud gordien de la législation américaine

Malgré ces garanties opérationnelles impressionnantes, un fait demeure incontournable : l'AWS European Sovereign Cloud reste une filiale à 100% d'Amazon. Cette réalité capitalistique l'expose mécaniquement aux lois extraterritoriales américaines, notamment le CLOUD Act et le FISA Act.

AWS affirme que son entité européenne "devra se conformer à toutes les lois et réglementations applicables en Allemagne et dans l'UE", mais évite soigneusement d'aborder l'impact des législations américaines sur ses opérations.

Cette situation se heurte frontalement à la définition française du cloud souverain, qui exige une infrastructure "possédée et gérée par une société immune au droit extraeuropéen". La qualification SecNumCloud de l'ANSSI, référence en la matière, a d'ailleurs été actualisée en mars 2022 pour renforcer spécifiquement les critères de protection contre le droit extra-européen.

AWS tente de rassurer en déclarant n'avoir "reçu aucune demande d'application de la loi ayant entraîné la divulgation au gouvernement américain de données de contenu d'entreprise ou de gouvernement situés en dehors des États-Unis" depuis juillet 2020. Une déclaration qui, si elle est factuelle, n'offre aucune garantie juridique face aux prérogatives légales américaines.

Une stratégie qui s'inscrit dans un mouvement global

AWS n'est pas seul dans cette approche. Microsoft a finalisé en février 2025 son projet "EU Data Boundary", garantissant le stockage et traitement des données clients des services Microsoft 365, Dynamics 365 et Azure au sein de l'UE. Oracle propose également son "EU Sovereign Cloud" avec des régions séparées, gérées par des entités juridiques européennes distinctes.

En France, la coentreprise S3NS entre Thales et Google Cloud suit une voie similaire, proposant une offre "de confiance" compatible avec les exigences françaises, permettant aux organisations de "commencer leur transition vers le cloud de confiance" en attendant une infrastructure pleinement souveraine.

La doctrine française "Cloud au centre" encourage l'administration à privilégier les solutions cloud tout en orientant les institutions vers les systèmes certifiés SecNumCloud pour les données sensibles. L'ANSSI recommande spécifiquement aux opérateurs d'importance vitale de se tourner vers ces offres "de confiance".

Un compromis acceptable ?

L'AWS European Sovereign Cloud constitue une avancée significative dans la prise en compte des exigences européennes, avec des garanties opérationnelles inédites. Cependant, les contraintes juridiques inhérentes à son statut de filiale américaine en limitent fondamentalement la portée pour les organisations aux exigences de souveraineté les plus strictes.

Pour les infrastructures critiques nécessitant une immunité complète au droit extraeuropéen, les standards français SecNumCloud demeurent la référence incontournable.