Pas d’ambition collective. Un pays qui avance entre annonces marketing et négligence
Absence d’un référentiel national clair, dépendance massive du secteur public à Microsoft, éclatement des compétences entre fédéral, régions et communautés… Un cloud souverain ? Pour Thomas Dallemagne, Partner, Klee Group, la Belgique avance sans boussole numérique
Février 2025. L’administration Trump sanctionne la Cour pénale internationale. Quelques semaines plus tard, le procureur en chef Karim Khan perd l’accès à son compte email Microsoft. Août 2025. La juge Kimberly Prost voit ses cartes de crédit désactivées le jour même de sa désignation. Son assistant vocal Amazon cesse de lui répondre. Ce n’est pas une fiction, c’est ce qui arrive quand une organisation européenne dépend d’une infrastructure américaine au moment où Washington décide de l’en priver.
La France a tiré ses conclusions. En avril 2026, la DINUM annonce sa propre sortie de Windows et impose à chaque ministère un plan de réduction des dépendances aux technologies américaines. De même, les données de santé des Français devront sortir de Microsoft Azure d’ici fin 2026. La souveraineté numérique n’est plus présentée comme une option.
« La Belgique — qui héberge le Parlement européen, la Commission, le Conseil et l’OTAN, et dont le tissu industriel est très dépendant des acteurs américains — devrait y voir un signal d’alarme, lance Thomas Dallemagne. La souveraineté numérique présente plusieurs dimensions : modèles d’IA, hardware, logiciels, cloud et infrastructure… Quid de notre capacité à garder le contrôle de nos données et applications lorsqu’elles sont hébergées dans des environnements tiers ? »
Et pourtant, derrière ce mot, il n’y a pas une seule réalité, mais un curseur à positionner pour éviter de s’exposer à des risques réels, ou à l’inverse, à des surcoûts injustifiés.
Souveraineté zéro : quand vos données obéissent à Washington
D’un côté du spectre, les hyperscalers américains. Puissance de calcul inégalée, catalogues gigantesques, capacités d’IA sans équivalent en Europe. Mais ces acteurs traînent avec eux un arsenal juridique extraterritorial. Citons entre autres le Cloud Act (2018), le FISA section 702 et l’Executive Order 12333, qui donnent beaucoup de liberté au gouvernement et aux services de renseignements US.
« La conséquence pratique est simple : la juridiction suit la propriété, pas la localisation, continue Thomas Dallemagne. Le datacenter Azure Belgium Central que Microsoft a inauguré en novembre 2025 à Bruxelles reste ainsi juridiquement un datacenter américain ! » Marijke Schroos, General Manager Microsoft Belux, déclarait à cette occasion que « pour toute demande d’accès légale émanant d’un pays hors de l’UE, nous saisissons systématiquement la justice pour la contester ». Contester n’est pas refuser, et face à un executive order, contester peut prendre des mois…
Souveraineté partielle : mieux, mais suffisant ?
Un cran au-dessus, on trouve les offres dites « de confiance ». La plus emblématique en France est S3NS: Thales contrôle les opérations et les clés, Google fournit la technologie sans accéder aux données. Bleu (Orange × Capgemini × Microsoft) suit la même logique sur Azure et Microsoft 365. Dans le même esprit, AWS a lancé début 2026 son European Sovereign Cloud, opéré depuis l’Allemagne.
Côté belge, Proximus s’est positionné sur ce segment, avec ses propres datacenters et des partenariats avec Microsoft et Google. Consécration en avril 2026 : Proximus a été retenu, aux côtés d’autres acteurs européens, pour le cloud souverain des institutions européennes — 180 millions EUR sur six ans, pour servir notamment la Commission, le Parlement et le Conseil.
« Un détail mérite cependant notre attention : sur l’échelle du Cloud Sovereignty Framework de la Commission, Proximus a obtenu le niveau SEAL-2, le minimum exigé sur une échelle de 0 à 4, pointe Thomas Dallemagne. Les trois autres lauréats sont à SEAL-3. La raison : l’approche de Proximus repose en partie sur Google Cloud, opéré par des entités européennes, mais d’origine américaine. Ce n’est pas un secret, mais cela dit quelque chose de l’état du marché belge : aucun acteur 100 % national n’était positionné pour le niveau le plus élevé ! »
Souveraineté complète : quand la donnée n’obéit qu’à vous
À l’autre bout du spectre, OVHcloud, Cloud Temple ou encore Outscale offrent une chaîne de contrôle entièrement européenne, sans composante technologique soumise à une juridiction étrangère. C’est le niveau de garantie le plus élevé. Il a un prix — 20 à 30 % de surcoût — et un catalogue inférieur aux plateformes américaines, notamment en services data et IA.
Cependant c’est ici que le contexte belge se complique, observe encore Thomas Dallemagne. « La Belgique ne dispose pas d’équivalent national au SecNumCloud français. Pas de cahier des charges formel, imposé par l’État, qui pose le cadre de la souveraineté. Le label EUCS européen, qui pourrait combler ce vide, est en cours d’élaboration depuis des années sans aboutir, faute de consensus entre les pays de l’Union… »
Trois réalités belges qui devraient nous alerter
Première réalité : une dépendance massive à Microsoft. D’après le think tank BeLibre, plus de sept institutions publiques belges sur dix — du secteur hospitalier aux administrations communales, en passant par la police, l’enseignement et la défense — consomment quotidiennement du cloud Microsoft. En janvier 2025, le gouvernement flamand a signé avec Microsoft le plus grand contrat Copilot du secteur public européen : 10 000 licences sur quatre ans. Au niveau européen, à peine plus de 15 % du marché du cloud est servi par des acteurs européens ; les hyperscalers américains pèsent plus de 70 %.
Deuxième réalité : un terrain de jeu institutionnel unique au monde. Bruxelles héberge la Commission, le Parlement, le Conseil, le SEAE, l’OTAN… C’est précisément ce que vise désormais le contrat « cloud souverain européen » de 180 millions EUR. « La Belgique a ici un rôle à jouer qui dépasse largement son économie nationale », insiste Thomas Dallemagne.
Troisième réalité : la question reste, partout, la même. Quels actifs numériques sont critiques pour notre organisation, et quel niveau de risque sommes-nous prêts à assumer sur chacun d’eux ? « La réponse n’est pas la même selon les secteurs, mais elle ne peut pas être déléguée au CIO seul ! »
L’équation économique : un calcul plus large qu’il n’y paraît
L’argument du surcoût face aux solutions souveraines est fondé, mais incomplet. Il omet trois éléments majeurs.
° Le coût de conformité : audits simplifiés, clauses contractuelles plus solides, absence de risque de sanction réglementaire, réduction du temps passé à démontrer la conformité… Autant d’éléments qui ne figurent pas dans la facture d’infrastructure.
° Le risque juridique du fournisseur. Le 10 juin 2025, devant la commission d’enquête du Sénat français, le directeur juridique de Microsoft France est interrogé sous serment : pouvez-vous garantir que les données françaises ne seront jamais transmises au gouvernement américain ? Réponse : « Non, je ne peux pas le garantir. » Le Cloud Act prévaut sur les engagements contractuels, et le fournisseur lui-même l’admet.
° Le risque géopolitique, longtemps jugé abstrait. Combien de temps une organisation peut-elle tenir si un fournisseur devient indisponible, juridiquement contestable, ou économiquement prohibitif ? L’épisode CPI n’est pas une anecdote : c’est un précédent qui change la nature même du risque cloud. La France l’a bien compris, quid de la Belgique ?
Décider, pas subir
« En réalité, nuance Thomas Dallemagne, seule une partie des charges de travail belges nécessite une approche strictement souveraine. La majorité peut légitimement rester sur des architectures peu ou pas souveraines, à condition que ce soit un choix éclairé et documenté, et non un angle mort. »
Cela suppose une démarche concrète : cartographier ses actifs numériques, évaluer pour chacun les risques juridiques (Cloud Act, FISA, EO 12333), réglementaires (NIS2, DORA, RGPD, AI Act) et de continuité, puis construire une architecture différenciée. « La bonne réponse n’est presque jamais le tout souverain ou, a contrario, le tout hyperscaler. Elle distingue ce qui est critique de ce qui ne l’est pas, et calibre en conséquence. »
En pratique,les architectures hybrides permettent de distribuer les workloads selon leur sensibilité : un hyperscaler pour les traitements IA lourds, un cloud souverain pour les données critiques. C’est souvent l’approche la plus cohérente — à condition qu’elle soit pilotée consciemment, sur base d’une analyse risques/coûts/bénéfices.
Marketing ou négligence
« Pour la Belgique, un questionnement supplémentaire mérite attention : où en est-on collectivement ? L’absence d’un référentiel national clair, la dépendance massive du secteur public à Microsoft, et l’éclatement des compétences entre fédéral, régions et communautés freinent une stratégie articulée. »
Les entreprises et les administrations qui naviguent le mieux dans ce paysage ne sont pas celles qui ont adopté la posture la plus radicale. Ce sont celles qui ont fait l’effort de comprendre ce qu’elles risquaient vraiment, et qui ont choisi en connaissance de cause. « Le reste, c’est du marketing. Ou de la négligence. »
—
Sources : Sénat français, audition Microsoft du 10 juin 2025 ; Commission européenne / Cloud Sovereignty Framework, avr. 2026 ; Usine Digitale / France 24 / Time France, fév.-avr. 2026 (DINUM, CNAM, Health Data Hub) ; Microsoft Source EMEA, mar.-nov. 2025 ; CCB / Safeonweb at work, mar. 2025 ; ITdaily, mar. 2026 ; La Libre / Datanews / Silicon, avr. 2026 ; VRT NWS / Belga, jan. 2025 ; BeLibre, fév. 2026 ; Beltug Priorities Compass / La Libre, avr. 2026 ; Digital Wallonia / EuroHPC JU, oct. 2025 ; Proton, avr. 2026.
Les réponses européennes à la souveraineté numérique sont entre autres : SecNumCloud (ANSSI – France), seule certification opérationnelle crédible mais franco-française ; l’EUCS (EU Cybersecurity Certification Scheme for Cloud), en cours d’élaboration depuis plusieurs années ; et le projet Gaia-X, écosystème cloud européen interopérable, ambitieux mais le moins abouti. La Belgique ne dispose pas, à date, d’équivalent national.
