AdmisConcours
← Décryptages thématiques
Droit de l'Union européenne 28/03/2026

Le piratage de l'instance AWS de la Commission européenne : souveraineté numérique des institutions de l'Union et dépendance aux fournisseurs cloud extra-européens

Le 24 mars 2026, la Commission européenne a été victime d'une cyberattaque ciblant son infrastructure cloud hébergée sur Amazon Web Services (AWS). La brèche, détectée par les équipes de sécurité internes, a affecté au moins un compte administratif utilisé pour gérer l'environnement cloud de la plateforme Europa.eu. Un porte-parole de la Commission a confirmé le 27 mars que les systèmes internes n'avaient pas été touchés, mais que les premières conclusions de l'enquête suggèrent une exfiltration de données depuis les sites web concernés. L'auteur présumé de l'attaque revendique le vol de plus de 350 Go de données, incluant des bases de données et des fichiers internes, et affirme conserver un accès à un serveur de messagerie utilisé par les agents de la Commission. L'attaquant ne formule pas de demande de rançon mais annonce la publication ultérieure des données dérobées. Cet incident survient quelques mois après une autre brèche ayant touché le système de gestion des terminaux mobiles de l'institution, liée à des vulnérabilités du logiciel Ivanti Endpoint Manager Mobile.

Le cadre juridique européen de la cybersécurité institutionnelle.

La cybersécurité des institutions de l'Union européenne repose sur un corpus normatif en cours de structuration. Le règlement (UE) 2023/2841 du 13 décembre 2023, relatif à des mesures destinées à assurer un niveau élevé commun de cybersécurité dans les institutions, organes et organismes de l'Union, est entré en application en janvier 2024. Ce texte impose aux institutions européennes des obligations de gouvernance en matière de cybersécurité, de gestion des risques et de notification des incidents. Il renforce le rôle du CERT-EU, le centre de réponse aux incidents informatiques des institutions européennes, et crée un comité interinstitutionnel de cybersécurité (IICB). La Commission européenne est soumise à ce cadre et doit, à ce titre, mettre en place un cadre de gestion des risques couvrant l'ensemble de ses systèmes d'information, y compris ceux hébergés chez des fournisseurs tiers. La directive (UE) 2022/2555 dite NIS 2, adoptée le 14 décembre 2022, complète cet édifice en imposant aux entités essentielles et importantes des obligations de cybersécurité renforcées. Sa transposition en droit français, via le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, accuse un retard significatif. Adoptée en première lecture par le Sénat en mars 2025, la loi est encore en examen à l'Assemblée nationale début 2026, une adoption finale étant attendue courant 2026. La Commission européenne a d'ailleurs adressé à la France un avis motivé en mai 2025 pour défaut de notification de transposition complète.

La problématique de la souveraineté numérique et de la dépendance aux hyperscalers

Le choix par la Commission européenne d'héberger une partie de son infrastructure sur AWS pose la question de la cohérence entre le discours politique de l'Union en matière de souveraineté numérique et ses pratiques opérationnelles. Dès 2022, l'Europäische Gesellschaft für Datenschutz a saisi la CJUE et le Contrôleur européen de la protection des données (CEPD) d'une plainte contre la Commission pour violation du RGPD (règlement (UE) 2016/679), au motif que l'hébergement de la plateforme participative sur la Conférence sur l'avenir de l'Europe sur AWS entraînait des transferts de données personnelles vers les États-Unis sans information adéquate des utilisateurs. Le CEPD enquêtait déjà depuis mai 2021 sur l'utilisation d'AWS et de Microsoft 365 par plusieurs institutions européennes.

Le risque juridique lié au CLOUD Act américain de 2018 est au coeur de ces préoccupations. Cette loi fédérale autorise les autorités américaines à exiger l'accès aux données détenues par toute entreprise de droit américain, y compris celles stockées sur des serveurs situés en territoire européen. Cette extraterritorialité entre en tension directe avec les exigences du RGPD et avec la jurisprudence de la CJUE, notamment l'arrêt Schrems II (CJUE, grande chambre, 16 juillet 2020, C-311/18) qui a invalidé le Privacy Shield au motif que le droit américain ne garantissait pas un niveau de protection essentiellement équivalent à celui du droit de l'Union. Le Data Privacy Framework, adopté par la décision d'adéquation de la Commission du 10 juillet 2023, a partiellement répondu à ces objections, mais sa pérennité demeure incertaine.

L'échec du schéma EUCS et ses conséquences pour la certification cloud

Le schéma européen de certification de cybersécurité pour les services cloud (EUCS), en préparation depuis 2020 par l'ENISA en application du règlement (UE) 2019/881 dit Cybersecurity Act, cristallise les tensions entre souveraineté et ouverture de marché. La version initiale du schéma prévoyait un niveau « high+ » intégrant des exigences d'immunité juridique vis-à-vis des législations extraterritoriales, dans la lignée de la certification française SecNumCloud de l'ANSSI. Ce niveau a été retiré en 2023 sous la pression de plusieurs États membres et de l'industrie américaine du cloud. La proposition de révision du Cybersecurity Act, présentée le 20 janvier 2026 par la Commission européenne, confirme cette orientation en limitant la certification EUCS aux seules exigences techniques de cybersécurité, sans garantie de souveraineté juridique. La CNIL avait exprimé dès juillet 2024 ses préoccupations sur cette évolution, soulignant que l'EUCS ne permettait plus de protéger les données contre les accès par des autorités étrangères. En parallèle, la Commission prépare un Cloud and AI Development Act, annoncé pour 2026, visant à tripler les capacités des centres de données européens d'ici cinq à sept ans et à structurer une politique cloud unique pour les administrations publiques de l'Union.

La responsabilité en cas de violation de données dans le cloud public

Le piratage de l'instance AWS de la Commission soulève des questions complexes en matière de répartition des responsabilités entre le fournisseur de services cloud et le client institutionnel. Le RGPD distingue le responsable du traitement (ici la Commission) du sous-traitant (AWS), chacun assumant des obligations spécifiques en vertu des articles 28 et 32 du règlement. L'enquête en cours devra déterminer si la brèche résulte d'une défaillance dans la gestion des accès et des identités par la Commission (couche IAM), ou d'une vulnérabilité imputable à l'infrastructure d'AWS. Les premières analyses suggèrent que la compromission d'identifiants d'accès, et non une faille de l'infrastructure elle-même, serait à l'origine de l'intrusion. Le règlement (UE) 2018/1725, relatif à la protection des données par les institutions européennes (équivalent du RGPD pour les institutions de l'Union), impose à la Commission de notifier toute violation de données au CEPD dans un délai de 72 heures (article 34) et d'informer les personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits.

Enjeux pour les concours

Le piratage de l'infrastructure AWS de la Commission européenne constitue un cas d'étude transversal mobilisant plusieurs branches du droit public. En droit de l'Union européenne, le candidat retiendra le règlement (UE) 2023/2841 sur la cybersécurité des institutions, le règlement (UE) 2018/1725 sur la protection des données institutionnelles, et la directive NIS 2 (UE) 2022/2555. La jurisprudence Schrems II (CJUE, C-311/18, 16 juillet 2020) demeure la référence centrale sur la question des transferts de données transatlantiques. En matière de souveraineté numérique, il convient de maîtriser les enjeux du schéma EUCS, du Cybersecurity Act (règlement 2019/881) et de sa révision de janvier 2026, ainsi que la certification nationale SecNumCloud. Sur le plan de la responsabilité, la distinction entre responsable du traitement et sous-traitant (articles 28 et 32 du RGPD) et le modèle de responsabilité partagée dans le cloud (shared responsibility model) sont des notions essentielles. Enfin, la tension entre le CLOUD Act américain et le cadre européen de protection des données illustre un conflit de normes extraterritoriales que le candidat doit être capable d'analyser dans une copie de droit public européen ou de questions européennes.

Partager

Autres brèves — Droit de l'Union européenne

L'extension potentielle du Digital Markets Act aux smart TV et assistants vocaux : vers un élargissement du contrôle concurrentiel des écosystèmes numériques en droit de l'Union européenne
Les accords de libre-échange de l'Union européenne : compétence exclusive, mixité résiduelle et contrôle juridictionnel de la politique commerciale commune
La guerre au Moyen-Orient et l'autonomie stratégique européenne : la position allemande révélatrice des limites de la politique de sécurité et de défense commune de l'Union européenne
Le blocage hongrois du processus décisionnel européen : les limites de l'unanimité et les perspectives de réforme du droit de l'Union européenne
L'ouverture à la concurrence du transport ferroviaire régional : entre obligations européennes de libéralisation, résistances nationales et recomposition du service public ferroviaire