The European Commission’s proposed Cloud and AI Development Act (CADA) sets concrete efficiency targets for data centres: an average power usage effectiveness (PUE) of 1.15 and a server utilisation rate of 50%, though no deadline is attached. The legislation introduces Cloud and AI Leadership Initiatives to spur research and innovation as a scaling lever, structured around eight operational objectives.

Beyond data centre optimisation, these objectives cover: software and hardware stacks reinforcing EU technological autonomy; frontier models (particularly in cybersecurity); physical AI for robotics, autonomous vehicles and drones; industrial AI, including collaborative training; AI agents, with a European orchestrator as the primary target; AI in the public sector, led by healthcare; and regional and local adoption of European AI. The text also ties into European data spaces, mentioning middleware for interoperability and foundations to support open-source component development. A network of “AI centres” would help scale use cases, foster local adoption, transfer expertise between regions, and spin out startups from academia and accelerators.

To speed up digital infrastructure, the Commission proposes “acceleration zones” for data centres. Each Member State must designate at least one within six months of CADA’s entry into force. Inside these zones, permitting procedures cannot exceed 12 months, and operators gain access to a single point of information. Projects there are automatically considered strategic under the upcoming environmental impact acceleration legislation (part of the environmental omnibus) and benefit from its toolbox.

Brussels can also label data centre projects as strategic if they respond to calls for expressions of interest and meet at least two of five criteria: improving essential public-service functions; including highly sustainable or innovative features; contributing to electricity network security, safety and stability; managing integration of EU-designed or manufactured chips, processors, accelerators, servers or quantum computers; or helping to fill a major computing-capacity shortage while tangibly boosting the local economy.

A key element of CADA is the codification of the Cloud Sovereignty Framework, originally adopted in October 2025 for public procurement. It defines four assurance levels the Commission can modify. Level 1 (jurisdictional sovereignty) requires the provider, its infrastructure and assets to be EU-based, though the public buyer may waive some aspects; technical support may be outsourced with safeguards. Level 2 (data sovereignty) mandates full EU-localised assets, a substantial security clearance, and prohibits using service-generated data to train AI operated by third countries. Exposure to third-country control must not disrupt service, force data disclosure or impose sanctions unless legal under EU or member-state law. Level 3 (digital resilience) demands EU-citizen operations staff and on-site EU-resident assistance, with third-country control allowed only under strict conditions. Level 4 (full digital sovereignty) requires high-level security clearance and forbids any derogation on customer data residency; notably, it does not reference a High+ level, as some industry bodies had advocated.

CADA gives Member States and EU entities one year to assign assurance levels to certain public-sector activities, especially those maintaining public order. A derogation exists if no service from the future EU cloud catalogue meets a demand and no reasonable alternative exists. While the Act encourages non-price criteria in procurement, it solidifies an EU interinstitutional purchasing mechanism for cloud, data centre, software and AI systems, allowing the Commission to act as a central buyer or wholesaler.

Beyond procurement, the legislation promotes a voluntary “EuroCloud federation” platform to mutualise public-sector services. It specifically supports open source through a network of public-sector Open Source Programme Offices and a catalogue on the Interoperable Europe portal, while encouraging use of open standards and components.

Le PUE moyen des datacenters dans l’UE doit descendre à 1,15. Et le taux d’utilisation des serveurs, atteindre 50 %.

La Commission europeénne vise ces objectifs. Elle les a intégrés, sans y associer d’échéances, dans sa proposition de législation dite CADA (Cloud and AI Development Act).

Le souhait d’un orchestrateur agentique européen

Entre autres mesures, le texte instaure des dispositifs dits Cloud Leadership Initiative et AI Leadership Initiative. Leur idée générale est de promouvoir la recherche-innovation comme levier de passage à l’échelle. Ils s’incarnent en 8 objectifs opérationnels. Les avancées dans le datacenter – dont l’optimisation du PUE et de l’utilisation des serveurs – sont l’un d’entre eux. Les autres portent, dans les grandes lignes, sur :

Piles logicielles et matérielles soutenant l’autonomie technologique de l’UE

Modèles frontières (notamment dans la cybersécurité)

IA physique (pour robotique, véhicules autonomes et drones, en particulier)

IA industrielle (entraînement collaboratif, entre autres)

Agents IA (principale cible : un orchestrateur européen)

IA dans le secteur public (la santé au premier rang)

Adoption régionale et locale de l’IA européenne

Une connexion avec les data spaces

Sur le volet autonomie technologique, Bruxelles évoque des middlewares d’interfaçage avec les data spaces européens. Il est aussi question de créer des fondations pour soutenir le développement de composants open source.

Également en perspective, un réseau de « centres pour l’IA ». Parmi ses missions, soutenir le passage à l’échelle des cas d’usage, l’adoption locale, le transfert d’expertise entre régions, ainsi que l’émanation de start-up depuis la sphère académique et les accélérateurs.

Des « zones d’accélération » pour les datacenters

En écho à la procédure « fast track » que la France a mise en place, la Commission européenne propose des « zones d’accélération » pour les datacenters. Chaque État membre devra en désigner au moins une dans les 6 mois après l’entrée en vigueur du CADA.

Dans ces « zones d’accélération », les procédures d’autorisation ne devront pas durer plus de 12 mois. Les opérateurs des datacenters devont pouvoir accéder à un point d’information unique.

Les projets concernés seront considérés comme stratégiques dans le cadre de la future législation visant à accélérer les études d’impact environnemental (composante de l’omnibus environnement). Ils bénéficieront à ce titre de la boîte à outils associée.

5 critères pour désigner les projets de datacenters « stratégiques »

Bruxelles peut aussi désigner comme stratégiques des projets de datacenters sélectionnés dans le cadre d’appels à manifestation d’intérêt et qui répondent à au moins deux des critères suivants :

Améliore des fonctions essentielles du service public

Inclut des fonctionnalités « très durables (sustainable) ou très innovantes »

Contribue à la sécurité, la sûreté et la stabilité du réseau électrique

Gère l’intégration de puces, processeurs, accélérateurs, serveurs ou ordinateurs quantiques conçus et/ou fabriqués dans l’UE

Aide à combler une pénurie majeure de capacités de calcul et contribue nettement à la croissance, au développement et à la promotion de l’économie locale

Le Cloud Sovereignty Framework, codifié dans le CADA…

En octobre 2025, l’UE se dotait d’un cadre de référence pour évaluer la souveraineté des offres cloud dans le cadre de la commande publique.

Le voilà transcrit pour l’essentiel dans le CADA. Avec ses 4 niveaux d’assurance que la Commission européenne pourra modifier.

Au niveau 1, dit « souveraineté juridictionnelle », le fournisseur est établi dans l’UE. Même chose pour l’infrastructure et les actifs, y compris ceux des sous-traitants… sauf si l’organe public acheteur ne l’exige pas. Les données clients restent dans l’UE… à moins, là aussi, d’une contre-indication de l’acquéreur. Le support technique est opérationnel est éventuellement externalisé, mais avec les mesures adéquates de traçabilité, de sécurité et de gouvernance. En cas d’exposition au contrôle d’un pays tiers ou d’une entité juridique d’un pays tiers, le fournisseur doit garantir qu’il ne communique pas les failles de sécurité aux autorités « avant d’avoir eu connaissance de leur exploitation »…

Au niveau 2 (« souveraineté des données »), il ne peut y avoir d’exception à la localisation des actifs dans l’UE. Le fournisseur doit par ailleurs disposer d’un visa de sécurité de niveau substantiel (préférentiellement sur la base d’un schéma de certification européen… lorsqu’il y en aura un de disponible pour les services cloud). Il doit aussi assurer que les données que génèrent les services ne servent pas à entraîner des IA « opérées par des pays tiers ou par des entités basées dans des pays tiers ». Une éventuelle exposition à un contrôle de pays tiers ne doit pas l’empêcher de fournir son service. Ni le pousser à divulguer les données de ses clients. Ni à appliquer des sanctions, embargos ou mesures comparables sauf si c’est légal en vertu du droit de l’UE ou d’un État membre.

… sans référence au niveau de sécurité High+

Au niveau 3 (« résilience numérique »), le personnel d’exploitation doit être citoyen de l’UE. Et l’assistance technique et opérationnelle, être réalisée exclusivement sur place par des résidents de l’UE. Fournisseur et sous-traitants ne sont pas soumis au contrôle d’un pays tiers… sauf si la Commission européenne l’autorise. Elle le peut moyennant trois conditions :

Existence d’une décision d’adéquation avec ce pays tiers

Absence de conflit avec le règlement européen encadrant les accès internationaux des autorités publiques aux données à caractère non personnel

Pas d’obligation pour le fournisseur de dégrader son service ou d’application sanctions, embargos ou mesures comparables sauf si légal

Au niveau 4 (« souveraineté numérique complète »), pas de dérogation possible sur la résidence des données clients. Quant au visa de sécurité, il doit être de niveau élevé. Pas de mention d’un quelconque High+, auquel avait par exemple appelé le MEDEF.

Achats publics : l’UE en centrale ou en grossiste

Tel que proposé, le CADA donne un an aux États membres et aux entités de l’UE pour associer à certaines activités du secteur public – notamment celles qui « contribuent au maintien de l’ordre public » – les niveaux d’assurance requis. Bruxelles prévoit une dérogation si aucune offre référencée dans le futur catalogue de services cloud de l’UE ne répond à une demande et qu’il n’existe pas d’alternative raisonnable.

Le CADA invite les acheteurs à inclure des critères non tarifaires, mais ne va pas plus loin. Il sanctuarise en revanche le système européen de passation interinstitutionnelle de marchés, dans une déclinaison adaptée aux services cloud/datacenter, aux logiciels et aux systèmes d’IA. À travers lui, la Commission européenne peut agir en tant que centrale ou grossiste pour les entités de l’UE, les autorités contractantes d’États membres et des organisations partenaires.

Vers une « fédération EuroCloud » pour mutualiser des services

Au-delà de la commande publique, le CADA aborde la mutualisation des services du secteur public. Il crée une plate-forme d’échange et d’orchestration accessible sur la base du volontariat. Nom envisagé : la fédération EuroCloud.

Quelques dispositions sont spécifiques à l’open source. L’une d’entre elles établit un réseau d’OSPO du secteur public. Une autre crée un catalogue de solutions sur le portail Interoperable Europe. UE et États membres sont plus globalement encouragés à utiliser des standards et des composants ouverts.

Illustration générée par IA

The post De la « fédération EuroCloud » aux « zones d’accélération », ce qui se dessine avec le CADA appeared first on Silicon.fr.