La **Commission européenne** a présenté cette semaine un ensemble transformateur de lois et de stratégies conçues pour réduire la dépendance de l'**Union européenne** (UE) vis-à-vis des technologies étrangères, abordant des dépendances technologiques de longue date désormais perçues comme des vulnérabilités critiques en matière de sécurité. **Henna Virkkunen**, responsable de la technologie à la Commission, a décrit les propositions comme « un changement majeur dans la manière dont l'Europe aborde la souveraineté technologique ». Le paquet comprend le **Chips Act 2.0** et un **Cloud and AI Development Act (CADA)**, ainsi qu'une **Stratégie Open Source** et une feuille de route pour la numérisation du système énergétique. Ces initiatives visent à « aider à élargir le choix des technologies clés pour les entreprises, les citoyens et les administrations publiques de l'UE ». **Virkkunen** a souligné le lien indissociable entre la géopolitique et la technologie, déclarant : « Il est temps que l'Europe prenne le contrôle de ses données, de ses chaînes d'approvisionnement et de son avenir d'une manière propre et durable ». Selon la Commission, l'UE dépend actuellement de pays étrangers pour plus de 80 % de ses produits, services, infrastructures et propriété intellectuelle numériques clés. Ce pivot stratégique vise à desserrer l'emprise des principaux fournisseurs américains et chinois, motivé par la crainte que cette dépendance ne soit utilisée comme une arme. ## La sécurité de l'open source au premier plan La **Stratégie Open Source** est une pierre angulaire des nouvelles propositions, promettant de développer des alternatives européennes open source dans des domaines prioritaires, y compris explicitement la cybersécurité. Un élément clé est le financement de la maintenance et de la sécurité à long terme de l'infrastructure open source critique de l'Europe. Ce financement aborde la vulnérabilité des composants sous-financés, mise en évidence par des incidents tels que la **backdoor XZ Utils**. La stratégie vise à tirer parti des plus de 3 millions de contributeurs européens à l'open source et à encourager les administrations publiques à adopter des outils open source grâce à de nouvelles orientations en matière de passation de marchés. Le fournisseur open source **SUSE** a salué cette approche, validant son argument selon lequel les logiciels inspectables et maintenus ouvertement sont mieux adaptés aux objectifs de souveraineté que les piles propriétaires, bien qu'il ait averti que la mise en œuvre serait le véritable test. **Alexandra Paulus** de l'**Institut allemand des affaires internationales et de sécurité** a précédemment soutenu que la promotion d'alternatives européennes en matière de cybersécurité est intrinsèquement liée à la promotion de l'open source. Cela fait du financement de la sécurité de l'open source de la stratégie un tremplin potentiel, bien qu'encore non prouvé, pour les fournisseurs européens. ## Renforcer la souveraineté des puces Concernant les semi-conducteurs, la Commission reconnaît la forte dépendance de l'Europe vis-à-vis des pays tiers pour la production avancée et la conception de puces. Bien que la dépendance à l'égard de **Taiwan Semiconductor Manufacturing Company (TSMC)** pour la fabrication avancée soit quasi universelle, affectant les États-Unis autant que l'UE, la stratégie omet de mentionner **ASML**, le fabricant néerlandais de lithographie qui détient un quasi-monopole sur les machines essentielles à la production de puces avancées à l'échelle mondiale. La conception de puces présente une faiblesse plus évidente pour l'Europe. Des entreprises américaines comme **Nvidia**, **AMD**, **Qualcomm**, **Apple** et **Broadcom** dominent la conception logique avancée, et **Arm** du Royaume-Uni contrôle la licence de propriété intellectuelle des processeurs dans le monde entier. Le **Chips Act 2.0** introduit des outils concrets pour combler le fossé de la fabrication. Il impose aux gouvernements nationaux de finaliser les approbations de planification, environnementales et réglementaires pour les nouvelles usines de fabrication dans les 12 mois. Il étend également les aides d'État pour les installations « premières en leur genre » qui ne sont pas encore présentes dans l'UE. Le **Chips Act** original de 2023 a mobilisé plus de 52 milliards d'euros (60,3 milliards de dollars) d'investissements publics et privés, mais n'a pas atteint son objectif de 20 % de production mondiale de semi-conducteurs d'ici 2030, en grande partie parce que la capacité mondiale a augmenté plus rapidement que la part de l'Europe. Les investissements récents n'ont pas encore porté leurs fruits. L'usine de fabrication avancée prévue par **Intel** à Magdebourg, en Allemagne, a été annulée en février. Une autre entreprise impliquant **TSMC** à Dresde vise une production d'ici la fin de 2027, bien qu'elle se concentre sur les puces matures de 28 nm et 16 nm, et non sur les puces d'IA avancées au cœur des ambitions du paquet. Pour la conception, la Commission prévoit une stratégie de stimulation de la demande, en utilisant les commandes des centres de données financés par l'UE et des gigafactories d'IA pour attirer les concepteurs de puces en Europe. Elle anticipe que les composants liés à l'IA représenteront plus de 70 % du marché des semi-conducteurs d'ici 2030. **Erik Rein**, président de l'**European Semiconductor Industry Association**, a déclaré : « L'Europe ne peut pas se réglementer pour devenir un leader dans le domaine des semi-conducteurs. » La Commission prévoit de lancer un appel à projets pour les gigafactories d'IA en juillet et consultera les États membres et le **Groupe de la Banque européenne d'investissement** pour construire une « capacité d'équité européenne à grande échelle » afin de financer ses objectifs. ## Souveraineté du cloud et de l'IA : une frontière contestée L'élément le plus débattu du paquet est le test de souveraineté du cloud de **CADA**. Ce cadre définit quatre niveaux d'assurance pour les organismes publics, allant du niveau 1, exigeant le traitement et le stockage des données au sein de l'UE, au niveau 4, exigeant un contrôle total de la chaîne d'approvisionnement sans interférence de pays tiers. Les réactions de l'industrie ont été vivement divisées. **CCIA Europe**, représentant les grandes entreprises technologiques américaines, a critiqué **CADA** comme étant discriminatoire et une « recette dangereuse pour une fermeture progressive du marché », arguant que les exigences de niveau 3 et 4 sont des conditions de marché fermé qu'aucun fournisseur international ne pourrait satisfaire. Inversement, les fournisseurs de cloud européens ont largement salué cette orientation, mais ont mis en garde contre les échappatoires. L'organisme professionnel **CISPE** l'a qualifié de « pas en avant pour l'autonomie stratégique de l'Europe », mais a noté son échec à obliger les acheteurs publics à vérifier les alternatives européennes avant de contracter des fournisseurs étrangers. **CISPE** avait précédemment mis en garde contre le « sovereignty-washing », où la simple présence dans l'UE ou la conformité en matière de cybersécurité est présentée à tort comme un véritable contrôle européen. Parallèlement, le **Centre for European Policy Network** a averti que la souveraineté poursuivie par le biais de préférences d'achat « produit souvent des industries protégées, pas compétitives », exhortant les législateurs à réserver des exigences strictes aux systèmes véritablement sensibles. Les propositions émergent dans le cadre d'un débat plus large sur la question de savoir si la souveraineté garantit intrinsèquement la sécurité. L'analyste **Josh Gold**, dans un essai primé, a soutenu que la résilience cybernétique européenne dépend davantage de la conception que du contrôle. Il a préconisé une souveraineté « mince et ciblée » combinée à une « autonomie épaisse », privilégiant la transparence, la portabilité et la récupérabilité plutôt que les exigences de propriété et de localisation de l'UE. **Gold** a cité la difficile initiative de cloud **Gaia-X**, qu'un participant a décrite comme « un échec cuisant, une perte de temps colossale, et autant d'années gagnées pour les hyperscalers ; en d'autres termes, une catastrophe industrielle », comme un conte d'avertissement contre la duplication d'infrastructures à grande échelle. Selon les critères de **Gold**, le paquet est plus fort là où il finance la résilience — comme la préparation aux crises des semi-conducteurs, la maintenance de l'open source et l'interopérabilité — et plus exposé là où il repose sur la propriété et la localisation de l'UE. Son bénéfice ultime en matière de sécurité dépendra de la manière dont les États membres appliqueront les différents niveaux. Toutes les propositions nécessitent l'approbation du **Parlement européen** et du **Conseil européen**, où les critères de souveraineté, les obligations de passation de marchés et le financement feront l'objet de négociations politiques.