La Commission européenne a fait de l’open source un principe nommé dans un texte législatif. Mais entre l’affichage politique et l’obligation opérationnelle, le Cloud and AI Development Act laisse une brèche que les partisans d’une véritable souveraineté numérique entendent bien refermer.
Un cadre inédit, des avancées structurelles réelles
Publié dans le cadre du Tech Sovereignty Package, le Cloud and AI Development Act (CADA) marque une rupture de ton avec les textes précédents. Pour la première fois, selon SUSE, le principe “open source first” figure dans la partie normative d’un règlement européen, et non relégué à un considérant sans portée juridique. Le texte institue un réseau européen d’OSPO pour le secteur public, crée un cadre de certification de souveraineté cloud à quatre niveaux d’assurance, et prévoit une enveloppe de deux milliards d’euros dédiée notamment à un instrument de maintenance des infrastructures partagées critiques.
Chaque État membre devra désormais intégrer dans sa stratégie nationale cloud des mesures de soutien aux architectures fondées sur des logiciels et matériels ouverts, ce qui élève l’infrastructure open stack du rang de préférence d’achat à celui d’obligation de politique nationale. Sur la chaîne d’approvisionnement, la révision de l’acte sur la cybersécurité renforce les critères de confiance que le CADA établit pour la souveraineté cloud. Une architecture où chaque composant est inspectable et chaque dépendance déclarée se trouve, de fait, structurellement mieux positionnée pour satisfaire ces exigences que les stacks propriétaires.
Article 41 : là où le texte s’arrête au bord du précipice
C’est ici que le constat devient plus sévère. L’article 41 du CADA dispose que “l’Union et les États membres prendront les mesures nécessaires pour encourager les entités publiques à utiliser et faciliter la réutilisation de standards ouverts et de composants open source”, en tenant compte des fonctionnalités, du coût total et d’autres critères objectifs dûment justifiés. La formulation encadre une incitation, non une obligation de résultat. Toute administration peut légitimement s’en affranchir sur simple justification formelle, sans que la charge de la preuve ne repose sur le choix qui crée la dépendance plutôt que sur celui qui l’évite.
Ce que le texte ne prévoit pas, c’est une procédure documentée et auditable imposant, avant tout engagement de fonds publics sur une solution propriétaire, de démontrer qu’aucune alternative open source qualifiée n’existe, d’apres SUSE. Ce verrou procédural est précisément ce que réclament, dans une lettre ouverte désormais cosignée par près d’une centaine d’organisations, les acteurs du secteur. La réalité du marché donne la mesure de l’enjeu : trois hyperscalers américains concentrent environ 70 % du cloud européen selon les données de Synergy Research Group, et des décisions d’achat prises il y a dix ans continuent de conditionner la capacité d’un ministère ou d’un établissement de santé à changer de fournisseur face à une crise géopolitique, cyber ou opérationnelle.
La souveraineté numérique ne se décrète pas par un article d’encouragement : elle se construit sur une architecture où l’inspection, le contrôle et l’autonomie complète sur les infrastructures sont des conditions non négociables, et non des options à peser contre le coût total de possession.
