AWS et Azure dans le collimateur de Bruxelles : l'UE lance des enquêtes historiques sur les géants du cloud

L'automne noir du cloud computing : quand les géants vacillent

Le 18 novembre 2025 restera une date charnière dans l'histoire de la régulation du cloud computing en Europe. Ce jour-là, la Commission européenne a officiellement ouvert trois enquêtes de marché sans précédent visant Amazon Web Services (AWS) et Microsoft Azure dans le cadre du Digital Markets Act (DMA). Cette annonce intervient dans un contexte particulièrement tendu, marqué par une série de pannes majeures qui ont ébranlé la confiance des entreprises européennes dans ces infrastructures considérées jusqu'alors comme infaillibles.

Entre octobre et novembre 2025, le secteur du cloud a connu une séquence de défaillances techniques qui a mis en lumière la dépendance critique de milliers d'entreprises à l'égard de quelques fournisseurs américains. Ces incidents, combinés à la position dominante écrasante d'AWS et Azure sur le marché européen, ont précipité l'intervention des autorités de Bruxelles. Pour la première fois, l'Union européenne envisage sérieusement de soumettre les services d'infrastructure cloud aux mêmes obligations strictes que les plateformes numériques dominantes.

Chronique des pannes qui ont secoué le cloud mondial

La panne AWS du 20 octobre : un effet domino planétaire

Le 20 octobre 2025, Amazon Web Services a subi l'une des pannes les plus graves de son histoire. Un problème DNS survenu dans l'une des régions AWS a provoqué une réaction en chaîne paralysant des milliers de services à l'échelle mondiale. Des plateformes de streaming aux applications bancaires, en passant par les services de e-commerce et les outils collaboratifs d'entreprise, c'est tout un écosystème numérique qui s'est retrouvé brutalement à l'arrêt pendant plusieurs heures.

Les entreprises européennes ont été particulièrement touchées. Des banques ont vu leurs services en ligne interrompus, des sites de commerce électronique ont perdu des millions d'euros de revenus, et de nombreuses PME dépendantes d'applications SaaS hébergées sur AWS ont dû suspendre leurs opérations. L'incident a révélé l'ampleur de la dépendance : selon les estimations, plus de 30% des services numériques européens s'appuient directement ou indirectement sur l'infrastructure AWS.

Azure trébuche à son tour : la panne du 29-30 octobre

À peine une semaine après le fiasco d'AWS, c'est au tour de Microsoft Azure de connaître une défaillance majeure. Entre le 29 octobre à 15h45 UTC et le 30 octobre à 00h05, de nombreux services Azure ont subi des latences importantes, des erreurs critiques et des indisponibilités totales. L'incident, causé par une mauvaise configuration interne du service Azure Front Door (AFD), a eu des répercussions en cascade sur une large part de l'écosystème Microsoft.

Parmi les services affectés figuraient Azure App Service, Azure SQL Database, le portail Azure lui-même, Microsoft Sentinel, Copilot for Security, et même Entra ID (anciennement Azure Active Directory). Cette dernière défaillance a été particulièrement problématique, empêchant des millions d'utilisateurs professionnels de s'authentifier et d'accéder à leurs applications critiques. Les équipes IT européennes ont passé une nuit blanche à gérer les impacts business de cette interruption de service.

L'effet Cloudflare du 18 novembre : le coup de grâce

Comme si deux pannes majeures ne suffisaient pas, le 18 novembre 2025 a vu survenir un troisième incident d'ampleur. Cette fois, c'est Cloudflare, le géant des réseaux de distribution de contenu (CDN), qui a connu une panne technique majeure. L'incident a provoqué des erreurs en cascade sur de nombreux services Internet, y compris certains hébergés sur AWS, créant une situation de défaillance croisée particulièrement préoccupante.

Cet événement a souligné une réalité dérangeante : même les architectures cloud les plus sophistiquées ne sont pas à l'abri de défaillances en chaîne lorsque des dépendances critiques externes sont touchées. Pour les régulateurs européens, ce fut la goutte d'eau qui fit déborder le vase.

Les enquêtes DMA : une riposte réglementaire historique

L'annonce de Henna Virkkunen à Berlin

Le jour même de la panne Cloudflare, Henna Virkkunen, vice-présidente de la Commission européenne chargée du Numérique, a annoncé lors d'une conférence à Berlin l'ouverture de deux enquêtes distinctes visant à établir si Amazon Web Services et Microsoft Azure doivent être soumis aux obligations du règlement européen sur les marchés numériques (DMA).

Cette initiative marque un tournant majeur dans l'approche réglementaire européenne du cloud computing. Jusqu'à présent, le DMA se concentrait principalement sur les plateformes numériques grand public comme les moteurs de recherche, les réseaux sociaux ou les marketplaces. L'extension potentielle aux services d'infrastructure cloud représente une expansion significative du champ d'application de cette législation ambitieuse.

Trois enquêtes complémentaires pour cerner le problème

La Commission européenne a structuré son intervention autour de trois axes d'investigation complémentaires :

Première enquête : Déterminer si AWS remplit les critères pour être désigné comme "gatekeeper" (contrôleur d'accès) au sens du DMA, malgré le fait qu'il ne satisfasse pas formellement les seuils quantitatifs en termes de nombre d'utilisateurs finaux.

Deuxième enquête : Évaluer dans les mêmes conditions si Microsoft Azure doit être soumis au statut de gatekeeper, avec les obligations contraignantes que cela implique.

Troisième enquête : Cette investigation sectorielle plus large vise à déterminer si le cadre réglementaire actuel du DMA est adapté pour réguler efficacement le marché du cloud computing, ou si des ajustements législatifs spécifiques sont nécessaires pour tenir compte des particularités de ce secteur.

Les pratiques anticoncurrentielles sous surveillance

Les enquêtes de la Commission se concentreront sur plusieurs pratiques jugées potentiellement anticoncurrentielles :

• Obstacles à l'interopérabilité : Les difficultés techniques et contractuelles pour faire communiquer des services cloud de différents fournisseurs, créant des situations de "vendor lock-in" (verrouillage fournisseur).

• Accès limité aux données : Les restrictions imposées aux entreprises clientes pour accéder, extraire ou transférer leurs propres données, compliquant les migrations vers d'autres fournisseurs.

• Ventes liées et groupées : Les pratiques de bundling qui obligent les clients à acheter des services additionnels pour bénéficier de fonctionnalités essentielles ou de tarifs compétitifs.

• Termes contractuels déséquilibrés : Les clauses contractuelles qui favorisent systématiquement le fournisseur au détriment du client, notamment en termes de responsabilité, de durée d'engagement ou de conditions de sortie.

Parts de marché et concentration : une domination écrasante

Un oligopole américain sur le marché mondial

Les chiffres du cabinet Synergy Research Group pour le deuxième trimestre 2025 sont sans appel : le marché mondial du cloud public est dominé par un trio de géants américains qui contrôlent collectivement 67% des dépenses mondiales. Amazon Web Services détient la première position avec 31% de parts de marché, bien que légèrement en recul face à la concurrence agressive de ses poursuivants. Microsoft Azure occupe la deuxième place avec 20% du marché, tandis que Google Cloud Platform se positionne troisième avec 11 à 13% selon les sources.

Cette concentration sans précédent soulève des questions stratégiques majeures pour l'Europe. Contrairement aux secteurs traditionnels où la concurrence s'exerce entre de nombreux acteurs, le cloud computing présente des caractéristiques de marché naturellement oligopolistiques : investissements initiaux colossaux, économies d'échelle massives, et effets de réseau puissants qui favorisent les acteurs déjà établis.

Le décrochage dramatique des fournisseurs européens

La situation en Europe est encore plus préoccupante. Selon l'étude du Synergy Research Group, AWS, Azure et Google Cloud représentent 72% des dépenses des entreprises européennes en services cloud. Ce chiffre illustre une dépendance stratégique majeure vis-à-vis d'acteurs non-européens, avec toutes les implications que cela comporte en termes de souveraineté numérique, de protection des données et de résilience économique.

Plus alarmant encore, les parts de marché des fournisseurs de cloud européens se sont effondrées, passant de 27% à seulement 13% en l'espace de cinq ans. Cette érosion rapide témoigne de l'incapacité des acteurs européens à rivaliser avec les investissements massifs et l'innovation continue des géants américains. Les tentatives de créer des alternatives européennes crédibles, comme le projet Gaia-X, peinent à se concrétiser en offres commerciales compétitives.

Deutsche Telekom et SAP, deux des plus grands groupes technologiques européens, ne représentent chacun que 2% du marché européen du cloud. Cette situation contraste fortement avec d'autres secteurs technologiques où l'Europe maintient encore une présence significative.

Pourquoi Google Cloud échappe-t-il aux enquêtes ?

Une décision stratégique qui fait débat

L'une des surprises de l'annonce du 18 novembre a été l'exclusion explicite de Google Cloud du périmètre des enquêtes DMA. Alors que certains médias, dont Bloomberg, avaient initialement mentionné que les trois hyperscalers américains seraient visés, le communiqué officiel de la Commission européenne n'a finalement ciblé qu'AWS et Azure.

La Commission a justifié cette décision par la part de marché sensiblement inférieure de Google Cloud en Europe par rapport à ses deux principaux concurrents. Avec environ 11% de parts de marché mondiales et probablement moins en Europe, Google Cloud ne franchirait pas les seuils qui déclencheraient automatiquement une investigation dans le cadre du DMA.

Une logique contestée par certains experts

Cette exclusion ne fait cependant pas l'unanimité parmi les experts de la concurrence numérique. Certains analystes soulignent que Google Cloud, bien que troisième acteur, dispose d'avantages compétitifs uniques liés à son écosystème :

• Synergie avec les services Google : L'intégration étroite avec Google Workspace, Google Analytics, Google Ads et d'autres services crée des effets de lock-in similaires à ceux reprochés à AWS et Azure.

• Capacités d'intelligence artificielle : Google Cloud bénéficie de l'expertise de Google en IA et machine learning, avec des services comme Vertex AI qui représentent un avantage concurrentiel significatif.

• Infrastructure réseau mondiale : Google dispose de l'un des plus vastes réseaux de fibres optiques au monde, offrant des performances réseau difficilement égalables.

Certains observateurs y voient également une décision pragmatique de la Commission : concentrer les ressources réglementaires limitées sur les deux acteurs véritablement dominants, tout en gardant la possibilité d'étendre les investigations à Google Cloud si les circonstances l'exigent.

Les obligations potentielles du DMA : un bouleversement en perspective

Interopérabilité et portabilité des données

Si AWS et Azure sont effectivement désignés comme gatekeepers, ils devront se conformer à des obligations strictes en matière d'interopérabilité. Concrètement, cela signifierait :

• Standardisation des API : Obligation de documenter et de maintenir des interfaces de programmation ouvertes permettant à des services tiers de s'intégrer facilement.

• Portabilité des données facilitée : Mise en place de mécanismes techniques permettant aux clients d'exporter l'intégralité de leurs données dans des formats standardisés, sans pénalités financières ou techniques.

• Migration simplifiée : Élimination des obstacles techniques et contractuels qui compliquent actuellement les migrations vers d'autres fournisseurs cloud.

Neutralité dans les services proposés

Le DMA interdirait aux gatekeepers de traiter leurs propres services de manière préférentielle. Pour AWS et Azure, cela pourrait avoir des implications majeures :

• Marketplaces neutres : AWS Marketplace et Azure Marketplace devraient proposer les solutions tierces avec la même visibilité et les mêmes conditions que les services propriétaires d'Amazon et Microsoft.

• Tarification transparente : Interdiction des pratiques de bundling qui rendent artificiellement plus attractifs les services intégrés du fournisseur par rapport aux alternatives tierces.

• Accès équitable aux ressources : Les services tiers hébergés sur AWS ou Azure devraient bénéficier des mêmes performances et de la même qualité de service que les applications propriétaires.

Un arsenal de sanctions dissuasif

Le DMA prévoit un régime de sanctions particulièrement sévère pour garantir le respect des obligations imposées aux gatekeepers :

• Amendes de première violation : Jusqu'à 10% du chiffre d'affaires mondial annuel, ce qui pourrait représenter des dizaines de milliards de dollars pour AWS (partie d'Amazon) ou Azure (partie de Microsoft).

• Sanctions en cas de récidive : Les amendes peuvent atteindre 20% du chiffre d'affaires mondial pour les infractions répétées, un montant susceptible de faire réellement changer les comportements même des plus grands groupes technologiques.

• Mesures structurelles : Dans les cas les plus graves, la Commission se réserve le droit d'imposer des mesures correctives structurelles, potentiellement jusqu'à des séparations d'activités.

Impact sur les entreprises européennes : entre espoir et inquiétude

Les attentes des entreprises clientes

Pour de nombreuses entreprises européennes, ces enquêtes DMA représentent un espoir de rééquilibrage des relations contractuelles avec leurs fournisseurs cloud. Les principales attentes concernent :

• Réduction des coûts de sortie : Les entreprises espèrent que la portabilité facilitée réduira les coûts prohibitifs actuels de migration vers d'autres fournisseurs, estimés souvent à plusieurs millions d'euros pour les grandes organisations.

• Meilleure négociation contractuelle : La perspective d'une concurrence réellement effective pourrait donner aux clients un pouvoir de négociation accru sur les tarifs, les niveaux de service et les conditions contractuelles.

• Innovation ouverte : L'obligation d'interopérabilité pourrait favoriser l'émergence d'un écosystème plus diversifié de services cloud spécialisés, offrant aux entreprises plus de choix et d'innovation.

Les craintes exprimées par les fournisseurs

Sans surprise, AWS et Microsoft ont réagi prudemment aux annonces de la Commission. Un porte-parole d'AWS a déclaré que "désigner les fournisseurs de cloud comme contrôleurs d'accès ne vaut pas la peine de prendre le risque d'étouffer l'innovation ou d'augmenter les coûts pour les entreprises européennes". Microsoft, par la voix d'un porte-parole, s'est dit "prêt à contribuer à l'enquête", adoptant un ton plus conciliant.

Ces réactions reflètent plusieurs préoccupations :

• Complexité réglementaire : L'extension du DMA au cloud computing pourrait créer une fragmentation réglementaire mondiale, avec des obligations différentes selon les juridictions.

• Impacts sur l'innovation : Les obligations d'interopérabilité pourraient, selon les fournisseurs, ralentir l'innovation en imposant de maintenir la compatibilité avec des standards potentiellement moins performants.

• Augmentation des coûts : La mise en conformité avec les obligations DMA nécessiterait des investissements substantiels, potentiellement répercutés sur les clients.

Le risque systémique identifié par les régulateurs financiers

Au-delà des enjeux de concurrence, les pannes d'octobre-novembre 2025 ont attiré l'attention des régulateurs financiers sur un risque systémique émergent. La Banque des Règlements Internationaux (BRI) a publié des avertissements soulignant que la dépendance de nombreuses banques à quelques fournisseurs cloud crée des risques de concentration que les modèles traditionnels d'évaluation des risques ne parviennent pas à capturer correctement.

Un scénario particulièrement préoccupant serait une défaillance conjointe de plusieurs banques due à une perturbation prolongée d'un fournisseur cloud majeur. Cela pourrait paralyser les systèmes de paiement, déclencher des crises de liquidité et provoquer des effets de contagion financière à l'échelle européenne, voire mondiale.

Calendrier et perspectives : que va-t-il se passer ?

Douze mois d'investigation intensive

La Commission européenne s'est donnée un calendrier ambitieux pour mener à bien ses investigations. Les enquêtes au niveau des entreprises (AWS et Azure) devraient se conclure dans environ douze mois, soit vers novembre 2026. L'évaluation sectorielle plus large disposera d'un délai légèrement plus long de dix-huit mois, avec un rapport final attendu pour mai 2027.

Durant cette période, la Commission va :

• Collecter des données massives auprès d'AWS, Azure, de leurs clients, et de leurs concurrents.
• Auditionner les parties prenantes : entreprises clientes, fournisseurs cloud alternatifs, experts du secteur.
• Analyser les pratiques commerciales : contrats types, structures tarifaires, conditions de migration.
• Évaluer les barrières techniques à l'interopérabilité et à la portabilité.

Si la désignation de gatekeeper est confirmée

Dans le scénario où la Commission confirme qu'AWS et/ou Azure doivent être désignés comme gatekeepers, les services cloud concernés disposeraient généralement de six mois pour se mettre en conformité avec les obligations du DMA. Cela signifie que les premiers changements concrets pourraient intervenir courant 2027.

Les entreprises européennes peuvent donc s'attendre à :

• De nouveaux outils de portabilité : Interfaces standardisées pour l'export et l'import de données et configurations.
• Des options de migration facilitées : Élimination progressive des pénalités et obstacles techniques.
• Une transparence accrue : Publication de documentation technique détaillée sur les API et les standards utilisés.
• Des marketplaces plus équilibrés : Meilleure visibilité pour les solutions tierces.

L'équation complexe de la souveraineté numérique européenne

Au-delà des aspects purement concurrentiels, ces enquêtes DMA s'inscrivent dans une réflexion plus large sur la souveraineté numérique européenne. Comment l'Europe peut-elle réduire sa dépendance stratégique vis-à-vis des infrastructures cloud américaines ?

Plusieurs pistes sont explorées en parallèle :

• Soutien aux champions européens : Programmes d'investissement public pour aider des acteurs comme OVHcloud, Scaleway ou Deutsche Telekom à monter en puissance.

• Projets fédérateurs comme Gaia-X : Initiatives visant à créer un écosystème cloud européen interopérable et souverain, bien que les résultats concrets tardent à se matérialiser.

• Réglementation incitative : Utilisation de la commande publique et d'incitations fiscales pour favoriser les fournisseurs cloud européens dans certains secteurs stratégiques.

• Standards d'interopérabilité : Promotion de standards ouverts qui facilitent la création d'un marché cloud réellement compétitif.

Conclusion : un tournant historique pour le cloud européen

Les enquêtes DMA lancées contre AWS et Azure en novembre 2025 marquent indéniablement un tournant dans la régulation du cloud computing en Europe. Pour la première fois, l'Union européenne s'attaque frontalement à la domination des hyperscalers américains sur ce marché stratégique, avec des outils juridiques potentiellement très contraignants.

Les pannes successives d'octobre et novembre 2025 ont joué le rôle de révélateur, mettant en lumière les risques systémiques liés à la concentration excessive du marché cloud. Elles ont également démontré l'urgence d'une intervention réglementaire pour garantir la résilience de l'économie numérique européenne.

Cependant, le chemin vers un marché cloud plus équilibré sera long et semé d'embûches. Les géants américains ne se laisseront pas facilement imposer des contraintes qui pourraient affaiblir leurs positions dominantes. Les débats techniques sur les modalités concrètes d'interopérabilité seront complexes. Et surtout, il faudra trouver le juste équilibre entre régulation protectrice et maintien de l'innovation.

Pour les entreprises européennes, ces douze prochains mois seront décisifs. Il leur appartient de faire entendre leur voix auprès de la Commission, de documenter les obstacles qu'elles rencontrent, et de contribuer activement à la définition des remèdes qui seront les plus bénéfiques pour l'économie numérique européenne.

Une chose est certaine : le cloud computing européen de 2027 sera très différent de celui de 2025. Reste à savoir si cette transformation bénéficiera réellement aux entreprises et aux citoyens européens, ou si elle créera de nouvelles complexités sans résoudre les problèmes fondamentaux de dépendance et de concentration.

Sources et références

• Commission européenne - Lancement des enquêtes de marché sur les services cloud
• France 24 - Turbulences dans le nuage : l'UE pourrait durcir la régulation
• The Register - EU eyes AWS, Azure for gatekeeper tag in cloud clampdown
• IT Social - DMA : la Commission européenne enquête sur AWS et Azure
• Solutions Numériques - Microsoft Azure en panne mondiale