Le 18 février 2026, le ministère néerlandais de la Justice et de la Sécurité a publié une analyse juridique du "European Sovereign Cloud" d'Amazon - un service qu'Amazon présente comme une alternative sûre et basée en Europe à son offre cloud US standard. Trois jours plus tard, le rapport avait disparu. Le ministère l'avait supprimé du site web officiel du gouvernement.
La raison ? Des experts ont dit qu'il sous-estimait les risques. Les critiques ont accusé le département de Gestion Stratégique des Fournisseurs (SLM) du ministère - qui négocie les contrats cloud au nom de l'ensemble du gouvernement néerlandais - d'avoir une vision tunnel concernant les Big Tech américaines.
Le rapport a finalement été republié le 26 février avec un mémo précisant qu'il s'agissait d'une analyse purement juridique, pas d'une recommandation politique, ni d'une évaluation des risques. Le mal était cependant fait : l'épisode a mis en lumière la confusion des institutions néerlandaises sur le cloud dont elles dépendent - et à quel point les enjeux sont devenus élevés.
Ce que le rapport disait vraiment
Le ministère a commandé l'analyse au cabinet d'avocats américain Greenberg Traurig. Leur conclusion : il est techniquement possible pour le gouvernement américain d'accéder aux données néerlandaises ou de suspendre des services cloud par la loi et la pression informelle - mais ils considéraient cela improbable.
Un employé du SLM a ensuite résumé le rapport sur LinkedIn, qualifiant de "hautement improbable" que les États-Unis accèdent aux données gouvernementales néerlandaises et suggérant que le produit s'aligne "potentiellement" sur les objectifs néerlandais de souveraineté numérique.
Les critiques n'étaient pas impressionnés. Le problème n'est pas seulement la probabilité - c'est la dépendance. Comme l'a formulé la députée Barbara Kathmann de GroenLinks-PvdA, le département SLM a gagné le surnom de "ministère néerlandais de Microsoft". Les entreprises européennes, a-t-elle dit, ont déjà renoncé à concourir pour les marchés publics néerlandais.
L'ampleur de la dépendance néerlandaise au cloud américain
L'embarras du ministère s'inscrit dans un contexte qui devrait alarmer toute personne responsable de la gestion de données sensibles aux Pays-Bas. Les recherches du diffuseur néerlandais NOS ont révélé que 67% des agences gouvernementales, établissements de santé, écoles et entreprises essentielles néerlandais sont connectés à au moins un service cloud américain.
Sur 1 722 sites web appartenant à des organismes gouvernementaux ou semi-gouvernementaux néerlandais, chacun dépendait d'au moins un fournisseur cloud américain. Neuf des quinze ministères néerlandais utilisent Microsoft Teams ou Webex pour la communication interne - des outils qui fonctionnent sur une infrastructure américaine, potentiellement accessible aux autorités américaines en vertu du CLOUD Act.
La dépendance s'étend aux systèmes critiques. DigiD - le système de vérification d'identité du gouvernement utilisé par des millions de citoyens néerlandais - a failli être acquis par une entreprise américaine lorsque son opérateur Solvinity a fait face à une prise de contrôle américaine.
Pourquoi c'est important pour les écoles et centres de soutien
Les écoles ne sont pas immunisées. Les universités, hôpitaux et agences gouvernementales néerlandais ont tous fait le même compromis : adopter les services cloud américains pour leur commodité et leur coût, accepter la dépendance comme un risque gérable.
Pour les centres de soutien, la question est plus directe. Quand vous utilisez Microsoft Teams ou Zoom pour donner des cours, les données vidéo, audio, chat et de session de vos élèves passent par une infrastructure américaine. En vertu du US CLOUD Act, les autorités américaines peuvent contraindre les fournisseurs à remettre ces données - peu importe où les serveurs sont physiquement situés. Peu importe que le centre de données soit à Amsterdam ou Dublin si l'entreprise est constituée aux États-Unis.
Le cas autrichien a démontré que ce n'est pas hypothétique. Quand Microsoft a bloqué le compte email du procureur de la Cour pénale internationale suite à des sanctions américaines, cela a montré exactement comment une entreprise américaine peut être forcée d'agir contre des utilisateurs européens. Pour les écoles, le parallèle est clair : les données d'élèves stockées chez des fournisseurs américains sont ultimement soumises au droit américain, quel que soit le contrat.
Le RGPD exige des écoles qu'elles sachent où vont leurs données, qui les contrôle et quelle loi les régit. Utiliser des plateformes basées aux États-Unis ne viole pas automatiquement le RGPD, mais crée une couche de complexité que les plateformes hébergées en UE évitent entièrement.
Les alternatives néerlandaises existent - et fonctionnent
La bonne nouvelle, comme des entrepreneurs tech l'ont dit au parlement néerlandais en janvier 2026, c'est que des alternatives sont disponibles. Selon Wido Potters du fournisseur cloud néerlandais BIT, les fournisseurs néerlandais et européens peuvent couvrir environ 80% de ce que les entreprises américaines fournissent actuellement - y compris le stockage de données, les logiciels et les systèmes de messagerie.
L'élan prend de l'ampleur. Plusieurs partis à la Tweede Kamer - dont D66, VVD, CDA, GroenLinks-PvdA et d'autres - ont reconnu l'urgence et appelé à une action concrète. Des motions ont été adoptées demandant au gouvernement de cartographier ses dépendances, de développer des stratégies de sortie des services cloud américains et d'accorder un traitement préférentiel aux entreprises européennes dans les appels d'offres publics.
La transition ne sera pas instantanée. Les municipalités, écoles et établissements de santé néerlandais ont passé des années à construire des flux de travail autour de Microsoft et Google. Le changement prend du temps, du budget et de la formation. Mais la pression politique et sécuritaire ne faiblit pas - et les organisations qui commencent à planifier maintenant auront plus d'options que celles qui attendent.
Ce que les centres de soutien peuvent faire aujourd'hui
Pour un centre de soutien, le problème de dépendance est plus tractable que pour un ministère ou un hôpital. Vous ne gérez pas DigiD. Vous donnez des cours, gérez des plannings et communiquez avec élèves et parents. C'est réalisable avec des outils européens.
Chez Simpleclass, nous avons construit une plateforme de visioconférence spécifiquement pour les centres de soutien néerlandais, hébergée entièrement dans l'UE - avec des serveurs aux Pays-Bas et en France. Nous ne sommes pas soumis au US CLOUD Act. Les données de session de vos élèves ne touchent jamais l'infrastructure américaine. La conformité RGPD n'est pas une case que nous avons cochée après coup - elle est intégrée dans l'endroit et la manière dont les données sont stockées.
L'embarras du gouvernement néerlandais sur le cloud est un symptôme de la profondeur avec laquelle la tech américaine s'est enracinée dans les institutions européennes - et de la difficulté à voir des alternatives quand on est dans le même écosystème depuis des années. Pour les écoles et centres de soutien, la sortie est plus courte qu'il n'y paraît. Il suffit de choisir une plateforme qui n'a jamais été dans le cloud américain.