Le « Sovereignty Act » européen : ce que l'UE propose vraiment
Le « Sovereignty Act européen » n'est pas le nom d'une loi unique. L'expression désigne le paquet européen de souveraineté technologique, présenté par la Commission le 3 juin 2026. Sa pièce maîtresse pour le cloud et l'IA est le projet de Cloud and AI Development Act, le CADA. Voici ce qu'il change, et ce que les entreprises devraient déjà vérifier.
Le 3 juin 2026, la Commission européenne a présenté un European Technological Sovereignty Package. Il regroupe plusieurs textes : le projet de Cloud and AI Development Act (CADA), un Chips Act 2.0, une stratégie pour l'open source et une feuille de route pour l'IA dans l'énergie. C'est donc un ensemble de mesures, pas un règlement unique appelé « Sovereignty Act ».
3 juin
Présentation du paquet souveraineté (2026)
×3
Capacité de data centers visée en 5 à 7 ans
4
Niveaux de souveraineté définis par le CADA
Ce que vise le CADA
Au 18 juin 2026, le CADA reste une proposition de règlement : il n'est ni adopté ni applicable. Il poursuit trois objectifs. D'abord la recherche et l'innovation dans le cloud et l'IA de nouvelle génération. Ensuite la capacité : tripler au minimum la capacité européenne de centres de données en cinq à sept ans, en levant les obstacles de permis, d'énergie, de foncier, d'eau et de financement. Enfin l'autonomie : un cadre commun pour évaluer la souveraineté des services cloud et IA, et un critère de « valeur ajoutée européenne » dans les marchés publics.
L'enjeu, en une phrase
« Nous voulons être sûrs que personne ne dispose d'un kill switch », a résumé la Commission lors de la présentation. Elle identifie deux vulnérabilités : un déficit structurel de capacité de centres de données, et une dépendance à un petit nombre de fournisseurs cloud non européens.
Les quatre niveaux de souveraineté
Le CADA prévoit quatre niveaux d'assurance que le secteur public pourrait exiger selon son analyse de risque. Les fournisseurs seraient évalués et reconnus après audit.
1
Données dans l'Union
Traitement et stockage sur une infrastructure située dans l'UE. Cela répond à la localisation, mais pas, à lui seul, au contrôle.
2
Indépendance et transparence
Le fournisseur démontre son indépendance vis-à-vis des pays tiers et la transparence de sa chaîne logicielle.
3
Propriété et contrôle depuis l'UE
Le fournisseur est détenu et contrôlé depuis l'Union, avec des critères supplémentaires. Une reconnaissance d'un acteur tiers reste possible sous conditions.
4
Contrôle maximal de la chaîne
Transparence et contrôle complets sur la chaîne logicielle, sans ingérence d'un pays tiers. Pour les usages les plus sensibles.
Héberger en Europe n'est pas être souverain
Trois notions différentes
Une entreprise américaine peut exploiter un data center en Belgique ou en France. Les données sont alors dans l'Union, mais le fournisseur peut rester soumis à une maison mère, à des technologies propriétaires ou à des obligations d'un pays tiers. Dans la logique du CADA, l'hébergement dans l'Union n'est que le premier niveau. Conformité RGPD, résidence des données et souveraineté sont trois choses distinctes.
Et les IA américaines ?
Le projet n'interdit pas les IA américaines en Europe. Il crée une méthode commune d'évaluation et oriente surtout les choix du secteur public et des secteurs critiques selon le niveau de risque. Une entreprise privée pourra continuer à utiliser des fournisseurs non européens, mais devra évaluer plus finement les transferts internationaux, le droit applicable, les sous-traitants, le chiffrement, la réversibilité et la continuité du service.
Ce que vérifier dès aujourd'hui
Sans attendre l'adoption du CADA, vous pouvez déjà appliquer sa logique à vos fournisseurs.
Où vos données sont-elles traitées et stockées, et qui peut y accéder ?
Où se trouve la société mère, et de quelle juridiction dépend-elle ?
Qui détient les clés de chiffrement ?
Le service dépend-il de logiciels propriétaires non remplaçables ?
Pouvez-vous exporter vos données dans un format exploitable ?
Le fournisseur peut-il continuer si la relation avec un pays tiers se rompt ?
Le contrat permet-il une sortie rapide et documentée ?
Pour de la bureautique courante, un niveau maximal est rarement nécessaire. Pour des données de santé, des secrets industriels ou des systèmes critiques, les exigences doivent être nettement plus fortes. Commencez par la criticité de la donnée, pas par le fournisseur.
Ce qu'il faut retenir
Le « Sovereignty Act » est une expression commode mais imprécise. Le vrai fait de juin 2026, c'est le paquet de souveraineté technologique, dont le CADA est la pièce centrale. Le message pour les entreprises : évaluer non seulement la sécurité et le RGPD, mais aussi le contrôle, la juridiction, la chaîne logicielle, la réversibilité et la dépendance stratégique.
Molderez Consult cartographie vos services cloud et IA, classe vos données et construit une grille de souveraineté adaptée au niveau de risque de votre organisation.
De Europese « Sovereignty Act »: wat de EU echt voorstelt
De « Europese Sovereignty Act » is niet de naam van één enkele wet. De uitdrukking verwijst naar het Europese pakket voor technologische soevereiniteit, voorgesteld door de Commissie op 3 juni 2026. Het kernstuk voor cloud en AI is het ontwerp van Cloud and AI Development Act, de CADA. Dit verandert het, en dit zouden ondernemingen nu al moeten nagaan.
Op 3 juni 2026 stelde de Europese Commissie een European Technological Sovereignty Package voor. Het bundelt meerdere teksten: het ontwerp van Cloud and AI Development Act (CADA), een Chips Act 2.0, een opensourcestrategie en een routekaart voor AI in energie. Het is dus een geheel van maatregelen, geen enkele verordening met de naam « Sovereignty Act ».
3 juni
Voorstelling van het soevereiniteitspakket (2026)
×3
Beoogde datacentercapaciteit in 5 tot 7 jaar
4
Soevereiniteitsniveaus in de CADA
Wat de CADA beoogt
Op 18 juni 2026 blijft de CADA een ontwerpverordening: nog niet aangenomen, nog niet van toepassing. Ze heeft drie doelen. Eerst onderzoek en innovatie in cloud en AI van de nieuwe generatie. Daarna capaciteit: de Europese datacentercapaciteit in vijf tot zeven jaar minstens verdrievoudigen, door obstakels rond vergunningen, energie, grond, water en financiering weg te nemen. Ten slotte autonomie: een gemeenschappelijk kader om de soevereiniteit van cloud- en AI-diensten te beoordelen, en een criterium van « Europese toegevoegde waarde » bij overheidsopdrachten.
De inzet, in één zin
« We willen zeker zijn dat niemand een kill switch heeft », vatte de Commissie samen bij de voorstelling. Ze ziet twee kwetsbaarheden: een structureel tekort aan datacentercapaciteit, en een afhankelijkheid van een klein aantal niet-Europese cloudaanbieders.
De vier soevereiniteitsniveaus
De CADA voorziet vier zekerheidsniveaus die de overheid kan eisen op basis van haar risicoanalyse. Aanbieders zouden na een audit worden beoordeeld en erkend.
1
Data in de Unie
Verwerking en opslag op een infrastructuur in de EU. Dat beantwoordt de locatievraag, maar op zich niet de controlevraag.
2
Onafhankelijkheid en transparantie
De aanbieder toont onafhankelijkheid van derde landen en transparantie over zijn softwareketen aan.
3
Eigendom en controle vanuit de EU
De aanbieder is in handen van en wordt gecontroleerd vanuit de Unie, met bijkomende criteria. Erkenning van een derde partij blijft mogelijk onder voorwaarden.
4
Maximale controle over de keten
Volledige transparantie en controle over de softwareketen, zonder inmenging van een derde land. Voor de meest gevoelige toepassingen.
In Europa hosten is niet soeverein zijn
Drie verschillende begrippen
Een Amerikaans bedrijf kan een datacenter uitbaten in België of Frankrijk. De data staan dan in de Unie, maar de aanbieder kan onderworpen blijven aan een moederbedrijf, aan propriëtaire technologie of aan verplichtingen van een derde land. In de logica van de CADA is hosting in de Unie slechts het eerste niveau. GDPR-conformiteit, dataresidentie en soevereiniteit zijn drie verschillende zaken.
En de Amerikaanse AI's?
Het ontwerp verbiedt Amerikaanse AI's niet in Europa. Het creëert een gemeenschappelijke beoordelingsmethode en stuurt vooral de keuzes van de overheid en de kritieke sectoren volgens het risiconiveau. Een privébedrijf zal niet-Europese aanbieders kunnen blijven gebruiken, maar zal de internationale overdrachten, het toepasselijke recht, de onderaannemers, de versleuteling, de omkeerbaarheid en de continuïteit fijner moeten beoordelen.
Wat u vandaag al kunt nagaan
Zonder de aanname van de CADA af te wachten, kunt u haar logica al op uw aanbieders toepassen.
Waar worden uw data verwerkt en opgeslagen, en wie heeft er toegang toe?
Waar bevindt het moederbedrijf zich, en onder welke jurisdictie valt het?
Wie houdt de encryptiesleutels in handen?
Hangt de dienst af van onvervangbare propriëtaire software?
Kunt u uw data exporteren in een bruikbaar formaat?
Kan de aanbieder doorgaan als de relatie met een derde land breekt?
Laat het contract een snelle en gedocumenteerde uitstap toe?
Voor gewone kantoortoepassingen is een maximaal niveau zelden nodig. Voor gezondheidsdata, industriële geheimen of kritieke systemen moeten de eisen veel strenger zijn. Begin bij de kriticiteit van de data, niet bij de aanbieder.
Wat te onthouden
« Sovereignty Act » is een handige maar onnauwkeurige uitdrukking. Het echte feit van juni 2026 is het pakket voor technologische soevereiniteit, met de CADA als kernstuk. De boodschap voor ondernemingen: beoordeel niet alleen beveiliging en GDPR, maar ook controle, jurisdictie, softwareketen, omkeerbaarheid en strategische afhankelijkheid.
Bronnen
Europese Commissie, « Strengthening Europe's tech sovereignty » (3 juni 2026): commission.europa.eu
Molderez Consult brengt uw cloud- en AI-diensten in kaart, classificeert uw data en bouwt een soevereiniteitsraster op maat van het risiconiveau van uw organisatie.
The European "Sovereignty Act": What the EU Actually Proposes
The "European Sovereignty Act" is not the name of a single law. The phrase refers to the European technological sovereignty package, presented by the Commission on 3 June 2026. Its centrepiece for cloud and AI is the draft Cloud and AI Development Act, the CADA. Here is what it changes, and what businesses should already be checking.
On 3 June 2026, the European Commission presented a European Technological Sovereignty Package. It bundles several texts: the draft Cloud and AI Development Act (CADA), a Chips Act 2.0, an open-source strategy and a roadmap for AI in energy. So it is a set of measures, not a single regulation called the "Sovereignty Act".
3 June
Sovereignty package presented (2026)
x3
Target data centre capacity in 5 to 7 years
4
Sovereignty levels defined by the CADA
What the CADA aims for
As of 18 June 2026, the CADA is still a draft regulation: not adopted, not yet applicable. It pursues three goals. First, research and innovation in next-generation cloud and AI. Second, capacity: at least tripling Europe's data centre capacity within five to seven years, by removing barriers around permits, energy, land, water and financing. Third, autonomy: a common framework to assess the sovereignty of cloud and AI services, and a "Union added value" criterion in public procurement.
The stake, in one sentence
"We want to be sure nobody has a kill switch," the Commission summed up at the launch. It identifies two vulnerabilities: a structural deficit in data centre capacity, and a dependence on a small number of non-EU cloud providers.
The four sovereignty levels
The CADA sets out four assurance levels that the public sector could require based on its risk assessment. Providers would be assessed and recognised after audit.
1
Data in the Union
Processing and storage on infrastructure located in the EU. This answers the location question, but not, on its own, the control question.
2
Independence and transparency
The provider demonstrates independence from third countries and transparency over its software supply chain.
3
Ownership and control from the EU
The provider is owned and controlled from the Union, with additional criteria. Recognition of a third-country actor remains possible under conditions.
4
Maximum control of the chain
Full transparency and control over the software supply chain, with no interference from a third country. For the most sensitive uses.
Hosting in Europe is not being sovereign
Three different notions
A US company can run a data centre in Belgium or France. The data then sits in the Union, but the provider may remain subject to a parent company, to proprietary technology or to a third country's obligations. In the CADA's logic, hosting in the Union is only the first level. GDPR compliance, data residency and sovereignty are three distinct things.
What about US AI?
The draft does not ban US AI in Europe. It creates a common assessment method and mainly steers the choices of the public sector and critical sectors according to risk. A private company will still be able to use non-EU providers, but will have to assess more closely the international transfers, applicable law, sub-processors, encryption, reversibility and service continuity.
What to check today
Without waiting for the CADA to be adopted, you can already apply its logic to your providers.
Where is your data processed and stored, and who can access it?
Where is the parent company, and which jurisdiction governs it?
Who holds the encryption keys?
Does the service rely on proprietary software that cannot be replaced?
Can you export your data in a usable format?
Can the provider keep running if the relationship with a third country breaks?
Does the contract allow a fast, documented exit?
For everyday office work, a maximum level is rarely needed. For health data, industrial secrets or critical systems, the requirements must be far stronger. Start from the criticality of the data, not from the provider.
The takeaway
The "Sovereignty Act" is a convenient but imprecise phrase. The real event of June 2026 is the technological sovereignty package, with the CADA at its core. The message for business: assess not only security and GDPR, but also control, jurisdiction, the software chain, reversibility and strategic dependence.
Sources
European Commission, "Strengthening Europe's tech sovereignty" (3 June 2026): commission.europa.eu
Transparence : cet article a été rédigé avec l'aide de l'intelligence artificielle, puis relu par Molderez Consult. Information générale, vérifiée le 18 juin 2026 ; le CADA est encore une proposition et son contenu peut évoluer.