La Commission européenne a sélectionné quatre fournisseurs pour fournir des services de cloud souverain aux institutions de l’UE. Cet appel d’offres représente un montant maximal de 180 millions d’euros sur six ans.
La Commission européenne désigne quatre entreprises pour développer un service de cloud européen. Il s’agit de Post Telecom, Stackit, Scaleway et Proximus. Les entreprises recevront 180 millions d’euros répartis sur six ans. Le montant exact alloué à chaque entreprise n’est pas connu. Ce nouvel appel d’offres doit renforcer la souveraineté numérique de l’Union européenne et limiter la dépendance aux technologies non européennes.
Quatre entreprises européennes
La Commission a attribué quatre contrats à différents consortiums et entreprises : un partenariat luxembourgo-français dirigé par Post Telecom (avec OVHcloud et CleverCloud), l’allemand STACKIT (Schwarz Group), le français Scaleway (Iliad Group), et un partenariat belgo-franco-luxembourgeois dirigé par Proximus. Proximus collabore pour cela avec S3NS (une coentreprise de Thales et Google Cloud), Clarence et Mistral.
Selon la Commission européenne, cette diversification limite le risque de dépendance à un fournisseur (vendor lock-in) et accroît la résilience numérique des institutions de l’Union. Chacun de ces fournisseurs apporte sa propre technologie et expertise, permettant à la Commission de choisir parmi une large gamme de services cloud répondant à des exigences strictes.
Cloud Sovereignty Framework
Afin d’évaluer le niveau de souveraineté, la Commission a élaboré le Cloud Sovereignty Framework (cadre de souveraineté cloud). Ce cadre traduit des principes abstraits en huit critères mesurables, incluant des objectifs stratégiques, juridiques, opérationnels et environnementaux. Il introduit également des niveaux dits « SEAL », allant d’une dépendance totale à une chaîne d’approvisionnement entièrement contrôlée par l’UE.
Tous les fournisseurs devaient obtenir au minimum le niveau SEAL-2, ce qui signifie qu’ils respectent la réglementation de l’UE sans mesures de protection supplémentaires de la part des clients. La plupart des fournisseurs ont même atteint le niveau SEAL-3, garantissant que leurs services sont immunisés contre les perturbations causées par des tiers non européens. Ils démontrent ainsi que les technologies européennes sont suffisamment matures pour des applications critiques.