Le 3 juin 2026, la Commission européenne a publié sa proposition de Cloud and AI Development Act (le « CADA »). Cette proposition s’inscrit dans une série d’initiatives législatives récentes visant à renforcer l’autonomie stratégique de l’UE dans des secteurs stratégiques spécifiques, les marchés publics constituant un moyen essentiel pour atteindre cet objectif (voir notamment le Net Zero Industry Act et l’Industrial Accelerator Act). Si le CADA place la souveraineté européenne au premier plan lorsque les pouvoirs adjudicateurs passent des marchés de services d’informatique en nuage et de systèmes d’IA, il contribue également à complexifier davantage la mosaïque que les règles de l’UE en matière de marchés publics sont en train de devenir.
Champ d’application et applicabilité du CADA
La proposition de règlement s’appliquera aux pouvoirs adjudicateurs et aux entités de l’UE lorsqu’ils passent des marchés de services d’informatique en nuage et de systèmes d’IA. Les entreprises publiques actives dans les secteurs spéciaux ne sont pas soumises aux règles du CADA en matière de marchés publics.
Contrairement à la pratique bien établie en droit européen des marchés publics, le CADA ne s’applique pas uniquement au-delà de seuils spécifiques. Le CADA s’applique à tous les pouvoirs adjudicateurs, mais le niveau d’obligation est déterminé par le résultat d’évaluations des risques obligatoires et biennales qui classent les activités du secteur public selon quatre niveaux d’assurance.
Niveaux d’assurance obligatoires pour les services d’informatique en nuage
Le CADA vise à réduire la dépendance critique de l’UE à l’égard d’un nombre limité de fournisseurs de services d’informatique en nuage soumis au contrôle de pays tiers, compte tenu des risques associés à une telle dépendance (par exemple, l’accès à des informations sensibles, la coercition économique, les verrouillages technologiques (« lock-in ») et la tarification monopolistique). Pour atteindre cet objectif, le règlement établit un cadre de souveraineté à quatre niveaux (niveaux d’assurance 1 à 4) que les fournisseurs de services d’informatique en nuage doivent respecter pour fournir des services aux organismes du secteur public. Les États membres doivent également poursuivre l’objectif qu’au moins 25% de la passation de marchés de services d’informatique en nuage et de systèmes d’IA soit attribuée à des petites et moyennes entreprises (« PME ») innovantes.
Lorsqu’ils passent des marchés de services d’informatique en nuage pour leur usage exclusif, tous les pouvoirs adjudicateurs doivent au minimum respecter le niveau d’assurance 1 (les données sont traitées et stockées dans une infrastructure située dans l’UE). La Commission considère que l’obligation de respecter le niveau d’assurance 1 est nécessaire pour établir un socle cohérent de garanties pour le secteur public. Elle espère également des effets d’entraînement sur le secteur privé, le niveau d’assurance 1 devenant la norme de marché pour les fournisseurs de services d’informatique en nuage actifs dans l’UE.
Les niveaux d’assurance prévus par le CADA complètent les exigences du règlement général sur la protection des données (le « RGPD »). Alors que le RGPD impose déjà des conditions strictes aux transferts internationaux de données (articles 44 à 49 RGPD), le cadre de souveraineté du CADA ajoute une couche d’exigences spécifiques aux marchés publics. Notamment, l’exigence du niveau d’assurance 1 selon laquelle les données doivent être traitées et stockées dans une infrastructure située dans l’UE s’inscrit dans les préoccupations relatives à la localisation des données qui ont pris de l’importance à la suite de l’arrêt Schrems II (C-311/18). Les niveaux d’assurance supérieurs, en particulier l’exigence du niveau 4 relative à l’absence d’interférence de pays tiers, offrent des garanties supplémentaires contre l’accès par des gouvernements étrangers.
Lorsqu’il ressort de l’évaluation biennale des risques d’un État membre que les activités d’un pouvoir adjudicateur passant des marchés de services d’informatique en nuage sont pertinentes pour l’ordre public (par exemple, dans le secteur de la sécurité publique, des transports ou de la santé), ce pouvoir adjudicateur doit appliquer un niveau d’assurance supérieur. La Commission adoptera des actes d’exécution précisant les éléments à prendre en compte pour déterminer le niveau d’assurance applicable – le niveau d’assurance 4 (les fournisseurs ont un contrôle total sur leur chaîne d’approvisionnement logicielle et il n’y a aucune interférence d’un pays tiers) étant le plus élevé. Lorsque l’évaluation des risques exige la migration vers un autre service d’informatique en nuage, cette migration doit avoir lieu dans un délai de 12 mois, sous réserve de la faisabilité technique et des exigences de continuité du service.
Auto-évaluation de la conformité ou audit par un tiers selon le niveau d’assurance
Les fournisseurs de services d’informatique en nuage souhaitant être reconnus comme offrant le niveau d’assurance 1 procèdent à une auto-évaluation de la conformité au regard des critères pertinents et délivrent ensuite publiquement une déclaration UE de conformité. Cette déclaration de conformité est soumise à l’autorité nationale compétente pour examen, sauf si le fournisseur est une PME – auquel cas la déclaration est directement et automatiquement reconnue dans l’ensemble de l’UE. Les fournisseurs souhaitant être reconnus comme offrant le niveau d’assurance 2, 3 ou 4 doivent se soumettre à un audit par un tiers. Lorsqu’ils obtiennent une telle reconnaissance, celle-ci est enregistrée dans un répertoire dédié et accessible au public. Cela permet aux pouvoirs adjudicateurs de vérifier aisément s’ils ont reçu des offres de fournisseurs répondant au niveau d’assurance qu’ils doivent respecter. Des actualisations annuelles des opinions d’audit sont requises.
À titre exceptionnel et lorsque cela est dûment justifié, les pouvoirs adjudicateurs peuvent décider de ne pas tenir compte du niveau d’assurance applicable lorsqu’aucun fournisseur reconnu ne peut fournir les services, lorsqu’une procédure de passation antérieure n’a pas abouti à des offres satisfaisantes ou lorsque le niveau d’assurance entraînerait des coûts disproportionnés. Il est intéressant de noter que la proposition n’indique pas quand les coûts sont disproportionnés, contrairement à la proposition récente d’Industrial Accelerator Act. Dans cette proposition, les différences de coûts estimées à plus de 25% sont présumées disproportionnées – limitant considérablement l’applicabilité des critères « acheter européen » énoncés dans ce règlement. Si les pouvoirs adjudicateurs font usage de cette possibilité en vertu du CADA proposé, il est probable que les concurrents du prestataire de services retenu introduisent des recours.
En conséquence, les pouvoirs adjudicateurs devront être conscients du niveau d’assurance que leur achat spécifique requiert, et ils devront examiner attentivement la conformité des soumissionnaires aux exigences correspondantes.
Critères d’attribution liés à la valeur ajoutée européenne
Le CADA proposé exige des pouvoirs adjudicateurs, lorsqu’ils passent des marchés de services innovants d’informatique en nuage et de systèmes d’IA (quelle que soit la valeur du marché), qu’ils utilisent des critères d’attribution évaluant les contributions des soumissionnaires au développement d’un écosystème européen de l’informatique en nuage et de l’IA dans le cadre de l’évaluation qualitative des offres. Concrètement, les pouvoirs adjudicateurs doivent évaluer dans quelle mesure un soumissionnaire contribue au renforcement de la chaîne d’approvisionnement numérique de l’UE, intègre des technologies développées dans l’UE et fournit des services utilisant du matériel conçu ou fabriqué dans l’UE.
Il est à noter que le CADA détermine que ces critères d’attribution obligatoires ne peuvent pas être décisifs dans l’attribution du marché. Les considérants suggèrent une pondération pouvant aller jusqu’à 15 points sur 120. Toutefois, même une pondération aussi limitée peut s’avérer décisive pour la décision d’attribution. Un pouvoir adjudicateur ne peut jamais prédire la fourchette des prix et des niveaux de qualité qui seront proposés.
Activités d’achat centralisé par la Commission européenne
Le CADA proposé prévoit en outre que la Commission peut agir en tant que centrale d’achat pour la passation de marchés de services de centres de données, de services d’informatique en nuage, de logiciels et de systèmes d’IA. La Commission peut le faire non seulement pour le compte d’entités de l’UE, mais également pour les pouvoirs adjudicateurs nationaux et les organisations partenaires. Un accord entre la Commission et au moins deux États membres est requis, mais un pouvoir adjudicateur national peut recourir aux accords-cadres et aux systèmes d’acquisition dynamiques de la Commission même si son État membre n’a pas adhéré à l’accord.
Des conditions objectives et non discriminatoires pour l’adhésion des pouvoirs adjudicateurs nationaux peuvent être établies, notamment en ce qui concerne leur taille, les montants minimaux de la passation de marchés envisagée et l’acceptation des services d’appui fournis par la Commission. Des règles spécifiques peuvent également être imposées aux centrales d’achat nationales souhaitant adhérer à l’accord. Le CADA proposé prévoit en outre que la Commission peut mettre en place une plateforme commune de passation de marchés pour faciliter l’adoption des services qu’elle achètera de manière centralisée et fournira aux parties intéressées.
Le fait que la Commission assume elle-même le rôle de centrale d’achat, y compris au bénéfice des pouvoirs adjudicateurs nationaux, est assez unique en droit européen des marchés publics. Il semble que la Commission considère que les secteurs de l’informatique en nuage, des centres de données et des systèmes d’IA nécessitent une intervention particulière pour tirer parti du pouvoir d’achat de l’UE afin de renforcer sa souveraineté dans ces domaines. Il reste à voir si la Commission européenne peut concevoir des spécifications pour un accord-cadre permettant aux pouvoirs adjudicateurs de commander des services pour un large éventail de projets différents.
Relation avec les directives sur les marchés publics
Le CADA proposé est publié dans le contexte de la réforme tant attendue des directives (générales) sur les marchés publics, dont les propositions sont également attendues cette année. Dans le CADA proposé, la Commission européenne affirme qu’une approche sectorielle ciblée pour les services d’informatique en nuage et de systèmes d’IA est nécessaire, ce à quoi une approche horizontale par le biais des directives générales ne pourrait pas répondre de manière satisfaisante. Quoi qu’il en soit, le choix renouvelé de la Commission en faveur d’une approche sectorielle en matière de marchés publics accroît encore la complexité du droit européen des marchés publics. Il est à espérer que les propositions de la Commission pour les nouvelles directives générales sur les marchés publics (ou règlements) tiennent suffisamment compte de leur interaction avec les différentes initiatives sectorielles prises au cours des dernières années.
En tout état de cause, nos équipes spécialisées en droit des marchés publics et en protection des données suivent ces développements avec attention et sont prêtes à vous accompagner dans leur mise en œuvre.
