I. Une régulation juridique ambitieuse

1. Le RGPD et ses apports structurels

Adopté en 2016 et pleinement applicable depuis mai 2018, le Règlement général sur la protection des données (RGPD) constitue l’un des textes fondateurs de la gouvernance numérique européenne. Il marque une rupture en plaçant les données personnelles au cœur d’un cadre juridique robuste et universel, qui s’impose à l’ensemble des acteurs — qu’ils soient privés ou publics, européens ou étrangers opérant dans l’Union.

Le RGPD innove à plusieurs niveaux. Sur le plan des droits individuels, il confère aux citoyens une maîtrise inédite de leurs informations : droit à la portabilité, droit à l’effacement (“droit à l’oubli”), droit de rectification et droit d’accès. Sur le plan des obligations, il impose aux responsables de traitement une logique de conformité permanente, intégrant par défaut le principe de minimisation des données et le recours systématique au consentement explicite. Enfin, il introduit une philosophie nouvelle : celle de la responsabilisation ex ante, obligeant les organisations à démontrer leur conformité avant même toute violation ou litige.

Mais au-delà de ce cadre protecteur, le RGPD transforme profondément le rapport entre données, citoyenneté et souveraineté. Les données ne sont plus de simples biens immatériels circulant dans le marché, elles deviennent un objet de droit et un attribut de la personne. Leur traitement, dès lors, est assimilé à une activité d’intérêt général, comparable à la gestion d’un service public ou à la protection d’une infrastructure critique. Ce basculement symbolise l’entrée des données dans le champ de l’action publique : l’Europe ne se contente plus d’organiser le marché unique, elle prétend instaurer un ordre normatif propre dans le cyberespace.

Enfin, le RGPD ne se limite pas à une déclaration de principes : il érige une véritable architecture institutionnelle. Chaque État membre dispose d’une autorité de contrôle indépendante, regroupée au sein du Comité européen de la protection des données (EDPB), garant de l’harmonisation des pratiques. Les mécanismes de coopération transfrontière assurent, quant à eux, une réponse coordonnée face aux flux de données transnationaux. À travers ce dispositif multiscalaire, l’Union affirme son ambition de devenir non seulement un régulateur de son marché intérieur, mais également un législateur de référence à l’échelle mondiale.

2. L’AI Act : encadrer sans bloquer

Dans la continuité du RGPD, l’Union européenne a franchi un nouveau cap en adoptant en 2024 l’Artificial Intelligence Act (AI Act). Premier cadre horizontal au monde spécifiquement conçu pour réguler l’intelligence artificielle, ce texte illustre une ambition claire : anticiper les usages d’une technologie émergente avant qu’elle ne devienne incontrôlable.

Son approche repose sur une classification des systèmes d’IA selon leur niveau de risque. Quatre catégories sont ainsi définies :

• les usages inacceptables, strictement interdits (ex. : surveillance biométrique de masse, manipulation cognitive des enfants),

• les usages à haut risque, soumis à une régulation stricte (ex. : systèmes de recrutement, gestion de l’accès aux services publics, infrastructures critiques),

• les usages à risque limité, assortis d’obligations de transparence (ex. : chatbots, deepfakes identifiés comme tels),

• et enfin, les usages à risque minimal, largement laissés libres.

L’AI Act incarne une double ambition. D’une part, garantir que l’IA soit utilisée en conformité avec les valeurs européennes : respect des droits fondamentaux, égalité de traitement, sécurité des usagers. D’autre part, préserver la capacité d’innovation et la compétitivité des entreprises, afin que la régulation ne se traduise pas par un décrochage technologique. Cette dialectique — encadrer sans étouffer — illustre la spécificité du modèle européen : trouver un équilibre entre éthique et croissance économique.

Toutefois, cette ambition révèle aussi une limite structurelle. L’Union européenne encadre juridiquement les effets et les usages de l’IA, mais elle reste en retrait sur les conditions techniques de production de ces systèmes : puissance de calcul, accès aux données massives, financement des laboratoires de recherche. La régulation est forte, mais la capacité industrielle demeure faible.

3. Le “Brussels Effect” comme stratégie externe

La portée de la régulation européenne dépasse largement ses frontières. Par l’ampleur de son marché et par la force de ses normes, l’Union exporte de facto ses standards. Ce phénomène a été théorisé par Anu Bradford sous le nom de Brussels Effect : les entreprises non-européennes, désireuses de conserver un accès au marché intérieur, adaptent volontairement leurs pratiques aux règles européennes. Résultat : les normes de l’Union se diffusent dans le monde entier, sans même nécessiter de négociations internationales.

Le RGPD en est la meilleure illustration. Il a inspiré des cadres juridiques similaires au Brésil (LGPD), en Inde (DPDP), en Afrique du Sud (POPIA), ou encore en Californie avec le California Consumer Privacy Act. Ainsi, l’Europe est devenue une puissance normative mondiale : elle influence les pratiques sans disposer d’une force industrielle équivalente à celle des États-Unis ou de la Chine.

Ce soft power réglementaire constitue une victoire symbolique majeure. Mais il soulève aussi une interrogation fondamentale : peut-on être exportateur de règles sans être producteur des infrastructures et des technologies que l’on régule ? Quelle est la valeur d’une norme si elle n’est pas adossée à un socle industriel solide ?

II. Une absence d’autonomie infrastructurelle

1. Dépendance au cloud américain (AWS, Azure, GCP)

Derrière l’ambition normative de l’Union se cache une réalité plus prosaïque : l’Europe ne maîtrise pas les infrastructures matérielles sur lesquelles repose l’économie numérique. En 2023, près de 72 % du marché européen du cloud était concentré entre trois entreprises américaines — Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) (Synergy Research Group, 2023). Ces trois acteurs dominent largement le stockage, le calcul et l’hébergement des données, qu’il s’agisse d’administrations publiques, de PME innovantes ou de grands groupes industriels.

Cette dépendance engendre un paradoxe frappant : les données que l’Union s’efforce de protéger juridiquement via le RGPD sont, dans leur immense majorité, hébergées sur des serveurs relevant de souverainetés étrangères. Or ces infrastructures sont soumises à des régimes juridiques différents, en particulier au Cloud Act américain, qui permet aux autorités des États-Unis d’accéder à des données, même si elles sont physiquement stockées en Europe.

L’effet politique est clair : l’Europe régule les usages mais ne contrôle ni les serveurs, ni les câbles, ni la puissance de calcul. La souveraineté juridique s’exerce en surface, tandis que la souveraineté matérielle demeure largement absente. En d’autres termes, la norme européenne flotte au-dessus d’infrastructures étrangères, sans capacité d’ancrage dans un territoire autonome.

2. Faiblesse des champions européens

À cette dépendance technologique s’ajoute une absence d’acteurs capables de rivaliser avec les géants américains ou chinois. Aucun équivalent européen n’existe face à AWS, Google, OpenAI, Meta ou TikTok. Les rares acteurs en présence — OVHcloud, Scaleway ou encore T-Systems — occupent une place régionale honorable, mais restent très en retrait en termes de capitalisation, de réseaux de centres de données ou de puissance de calcul pour l’entraînement de modèles d’intelligence artificielle.

Cette faiblesse n’est pas seulement économique : elle traduit un déficit stratégique. Contrairement aux États-Unis et à la Chine, l’Europe n’a pas adopté une politique industrielle coordonnée dans le domaine du numérique. Les initiatives demeurent éclatées, dépendantes des États membres ou de financements ponctuels, sans vision commune de long terme. Ni les programmes d’investissement européens, ni les fonds nationaux ne parviennent pour l’instant à créer les conditions d’émergence d’une Big Tech européenne.

3. Échecs ou limites de Gaia-X, Andromède et du cloud souverain

Face à ce constat, plusieurs projets ont tenté d’esquisser une voie européenne vers l’autonomie numérique. Mais leurs résultats restent, pour l’instant, très décevants.

• Gaia-X, lancé en 2020 par la France et l’Allemagne, visait à bâtir un écosystème cloud interopérable et transparent. Mais le projet a rapidement été critiqué pour sa lenteur, ses conflits internes et surtout pour avoir intégré dans son consortium… les acteurs qu’il était censé concurrencer, tels qu’AWS, Microsoft ou Palantir. L’initiative illustre le dilemme européen : vouloir construire une alternative sans se couper des infrastructures existantes.

• Le projet Andromède, porté par Orange, Thales et Dassault Systèmes, avait pour ambition de développer un cloud souverain dès 2009. Il a été abandonné en 2013, faute de modèle économique viable et d’alignement stratégique entre les partenaires.

• Le “cloud de confiance” français, enfin, repose souvent sur des infrastructures américaines opérées localement (ex. Microsoft Azure via Orange). Si cette formule réduit certains risques, elle fragilise néanmoins le principe même de souveraineté, puisqu’elle conserve une dépendance structurelle aux technologies étrangères.

Ces échecs ne sont pas anecdotiques. Ils signalent l’incapacité de l’Union à transformer sa puissance normative en puissance technique. Ils révèlent aussi une dépendance systémique : l’Europe sait encadrer juridiquement, mais elle peine à bâtir industriellement.

III. La norme comme réponse politique au vide

1. La régulation comme outil d’affirmation géopolitique

Dans un espace numérique globalisé où dominent les géants américains et chinois, la capacité de l’Union à imposer ses normes constitue une forme de puissance. Faute de leviers industriels, l’Europe mobilise le droit comme instrument de projection. Le RGPD a redéfini les standards mondiaux en matière de données personnelles ; l’AI Act s’annonce comme une référence pour l’encadrement algorithmique.

Cette stratégie s’inscrit dans la tradition européenne de puissance normative ou de puissance civile (Ian Manners, 2002) : imposer un ordre juridique et éthique en l’absence d’une force militaire ou technologique équivalente. L’Union affirme ainsi son rôle dans le concert international, non par la contrainte économique directe, mais par l’exportation d’un modèle régulatoire cohérent.

Mais cette réussite est paradoxale : plus l’Europe affirme sa puissance juridique, plus elle met en évidence son absence de souveraineté matérielle. Les textes sont ambitieux, mais leur mise en œuvre dépend d’infrastructures et de technologies produites ailleurs.

2. Le risque d’un droit sans matérialité

Cette disjonction entre la norme et son substrat technique crée un risque inédit : celui d’un droit désincarné. Réguler des systèmes conçus et hébergés en dehors du territoire européen revient à poser un cadre théorique sans contrôle sur sa concrétisation.

En matière d’intelligence artificielle, l’essentiel des modèles de fondation (GPT-4, Claude, Gemini, etc.) est développé aux États-Unis. Les données d’entraînement, les supercalculateurs et les financements échappent pour l’essentiel à l’Europe. Dans ce contexte, l’AI Act encadre juridiquement des technologies que l’Union ne maîtrise pas. Sa portée dépend alors du bon vouloir des acteurs étrangers, qui peuvent s’y conformer pour accéder au marché européen, mais dont l’Europe ne contrôle pas la chaîne de production.

L’Union fabrique du droit, mais pas les objets techniques que ce droit régit. Elle dispose d’une souveraineté fonctionnelle — mais non structurelle.

3. Le pouvoir juridique comme compensation symbolique

Face à ces limites, la régulation prend une dimension supplémentaire : elle devient un outil de compensation politique. Elle permet à l’Union de rester présente sur la scène internationale, d’incarner une vision éthique du numérique et de compenser son déficit industriel par une surpuissance normative.

Cette stratégie n’est pas dépourvue de force. Elle offre à l’Europe une légitimité symbolique et une influence indirecte. Mais elle demeure fragile : sans relais industriels, les normes risquent de n’être que des instruments d’affichage, dépourvus d’effet transformateur réel. Pierre Musso (2017) parle, à propos de l’industrie, de “religion industrielle” : un imaginaire collectif qui masque parfois l’absence de puissance matérielle effective. La régulation européenne pourrait bien constituer une déclinaison contemporaine de ce phénomène.

L’Union européenne a incontestablement bâti une puissance juridique impressionnante. Elle a réussi là où d’autres hésitent : encadrer le numérique par des principes clairs, applicables et exportables. Mais cette force normative s’exerce sur un socle matériel fragile, largement étranger. Ce décalage entre régulation et infrastructure révèle une contradiction fondamentale : réguler ce que l’on ne produit pas, gouverner sans maîtriser.

La souveraineté numérique, si elle veut être effective, ne peut se limiter à la loi. Elle suppose des serveurs, des câbles, des processeurs, des modèles d’IA, des réseaux de recherche et une vision industrielle. Faute de quoi, l’Europe risque de demeurer une puissance juridique sans matérialité — un législateur sans atelier.

— AM