L’Union européenne accélère son arsenal normatif (NIS2, DORA, AI Act, Cyber Resilience Act) pour construire une véritable souveraineté cyber et réduire sa dépendance technologique face aux États-Unis et à la Chine. Cependant, le décalage entre ambitions politiques et moyens financiers reste le nœud central de cette stratégie.
Souveraineté : le sursaut européen
By
Published on 22 mai 2026 5h00
75%75 % des RSSI considèrent que le cloud public est l’environnement le plus risqué de tous
L’année 2026 marque la poursuite d’une inflexion nette dans la construction de la souveraineté cyber européenne, portée par une continuité de l’enrichissement de l’arsenal normatif qui vise à harmoniser les règles entre États membres, à renforcer la résilience des infrastructures critiques face à l’accroissement du volume d’attaques ainsi qu’à affirmer une autonomie stratégique face aux recompositions géopolitiques et à la dépendance aux technologies étrangères. Pour ce faire, l’Union européenne articule un ensemble de textes structurants (DSA, DMA, GDPR, NIS2, DORA, Cyber Resilience Act et AI Act) visant à encadrer les contenus, la concurrence, la protection des données et la résilience des infrastructures critiques.
Europe : législation et dépendance numérique
Ce mouvement d’ensemble vise autant à structurer la législation européenne en produisant un cadre normatif qu’à réduire la dépendance technologique et réglementaire de l’Union vis-à-vis des puissances étrangères. Si ces chantiers avaient été engagés depuis plus d’une dizaine d’années, la réélection de Donald Trump et le durcissement de la doctrine américaine ont agi comme un électrochoc, donnant un coup d’accélérateur politique à l’agenda de souveraineté numérique européen et renforçant la légitimation des mesures adoptées en 2025.
Cette montée en puissance normative se déploie en effet dans un environnement géopolitique profondément reconfiguré par la remise en cause de l’alliance transatlantique depuis le début du second mandat du président des États-Unis, qui constituait jusqu’alors l’ossature de l’ordre occidental. Sur le plan numérique, les chiffres de 2025 rappellent l’ampleur de la dépendance : plus de 80% des dépenses européennes en logiciels et services cloud professionnels continuent de bénéficier à des acteurs américains, représentant une facture numérique de plusieurs centaines de milliards d’euros par an.
Cette situation alimente le diagnostic d’une « colonie numérique », où la croissance et l’emploi induits par les investissements numériques européens se matérialisent principalement hors du continent.
Les initiatives franco-allemandes annoncées à Berlin en novembre 2025 illustrent la volonté des principaux États membres de traduire ce leadership normatif en capacités concrètes, via la mise en place d’un groupe de travail conjoint, la promotion d’une identité numérique européenne et l’appel à un moratoire sur certaines règles applicables aux IA à haut risque.
Les montants d’investissement affichés, de l’ordre de 12 milliards d’euros, demeurent toutefois très inférieurs aux besoins estimés, évalués à plusieurs centaines de milliards pour espérer bâtir un écosystème technologique et industriel capable de rivaliser avec les géants américains et chinois. Le décalage entre ambition politique et moyens financiers disponibles devient ainsi l’un des nœuds centraux de la souveraineté numérique européenne à l’horizon 2025–2026.
Au-delà des initiatives capacitaires (EUVD, coopérations bilatérales), c’est surtout par le droit que l’Union cherche à transformer cette prise de conscience en obligations concrètes et homogènes. Cette logique de standardisation fait de la réglementation le principal vecteur d’alignement des États membres. La directive NIS2 s’impose alors comme l’ossature de l’harmonisation européenne en matière de cybersécurité.
Le cœur de cette directive réside dans la responsabilisation explicite des organes de direction ainsi que dans la mise en place de mécanismes structurés de coordination, qui reflètent la volonté d’élever la cybersécurité au rang d’enjeu stratégique partagé plutôt que de simple question technique. Cette ambition se heurte toutefois à des inerties nationales, comme en témoigne la lenteur de la transposition en droit français de la directive NIS2.
C’est en 2027 que les effets du triptyque DORA, AI Act et Cyber Resilience Act se feront pleinement sentir, marquant une étape décisive dans la consolidation d’une résilience numérique européenne fondée sur une approche à la fois sectorielle et systémique.
DORA harmonise la gestion des risques cyber dans le secteur financier pour renforcer la résistance du système face aux chocs numériques, tandis que l’AI Act consacre l’Union comme puissance normative en matière d’intelligence artificielle, conciliant innovation, droits fondamentaux et souveraineté technologique face aux standards extra-européens.
Le Cyber Resilience Act parachève cette dynamique en inscrivant, pour l’ensemble des produits numériques, une exigence de cybersécurité dès la conception, consolidant ainsi la souveraineté industrielle et la sécurité du marché intérieur.
L’Europe face aux défis de sa souveraineté cyber
La conclusion qui se dessine en 2026 est celle d’une Europe à la croisée des chemins : soit elle parvient à convertir son avance réglementaire en une véritable puissance technologique, soit elle restera exposée aux décisions unilatérales de puissances tierces dans un contexte géopolitique instable. Les défis sont multiples : simplifier un millefeuille réglementaire qui risque d’encourager une conformité de façade, mobiliser des investissements massifs et coordonner les politiques industrielles pour éviter la dispersion des efforts.
Pourtant, les signaux récents indiquent que l’Union prend la mesure du défi, comme le montrent le renforcement continu de son cadre législatif et les décisions fortes annoncées pour préparer l’Europe à faire face aux cybermenaces. Ce basculement est d’autant plus net que les prises de position erratiques de Donald Trump, la suspension évoquée des actions contre la Russie en mars dernier, la mise en place d’un plan d’action contre la Chine faisant la part-belle à l’offensif au détriment de la mise en place d’infrastructures défensives solides et les réductions de capacité imposées à la CISA - alimentent l’idée que les États-Unis ne souhaitent plus du rôle de garant de la sécurité cyber occidentale, qu’ils s’étaient pourtant octroyés.
À ce titre, plusieurs tendances se dessinent au sein de l’Union. D’une part, cet objectif assumé de souveraineté numérique se traduit désormais en trajectoires d’investissement concrètes, bénéficiant d’une forte montée en puissance annoncée des dépenses dans les infrastructures de cloud souverain, appelées à plus que tripler entre 2025 et 2027 sous l’effet conjugué des tensions géopolitiques et des exigences réglementaires européenne.
Les gouvernements, les secteurs régulés et les opérateurs d’infrastructures critiques devraient en demeurer les moteurs principaux, faisant de la géopatriation des données et du recours à des fournisseurs européens ou de confiance un impératif stratégique plutôt qu’un simple argument de conformité.
La souveraineté cyber européenne tend ainsi à s’inscrire dans une approche plus extérieure : la nouvelle stratégie numérique internationale de l’UE insiste sur une autonomie qui ne doit pas être confondue avec l’autarcie, mais reposer sur la diversification des partenariats, la participation active aux forums de gouvernance numérique et la capacité à promouvoir ses standards au-delà de ses frontière.
Pour l’Europe, les prochaines années devraient donc être marquées moins par l’adoption de nouveaux textes que par l’industrialisation des ambitions de ceux existants déjà via la montée en charge progressive de NIS2, DORA, AI Act et Cyber Resilience Act, du déploiement d’infrastructures souveraines et du renforcement des capacités opérationnelles. Autant de conditions nécessaires pour transformer une avancée réglementaire en véritable puissance technologique devenant un levier d’influence.
Dans ce climat où l’allié historique revendique de manière croissante une logique de rapport de force, l’autonomie numérique et la capacité de l’Europe à se protéger seule ne relèvent plus du confort stratégique, mais bien d’une condition de survie politique. La souveraineté cyber n’apparaît plus comme une option stratégique parmi d’autres, mais comme une nécessité existentielle conditionnant la capacité du continent à maîtriser son destin.