Chips Act 2.0 : pour une politique étrangère économique européenne

Auteur

Directeur des Études internationales, Expert Résident

Dépendance excessive à l'égard de pays tiers et préparation insuffisante aux crises : l'Union européenne doit renforcer sa sécurité économique en matière de semi-conducteurs et de cloud. Le Chips Act 2.0 et le Cloud and AI Development Act présentés par la Commission vont en ce sens et témoignent d'une nouvelle approche européenne, visant à respecter la liberté d'accès et à assurer une concurrence loyale tout en veillant à la sécurité économique. Quelles sont les nouvelles obligations et les nouveaux droits pour les entreprises ? En quoi le Chips Act 2.0 est-il inédit ?

La publication simultanée, le 3 juin 2026, du Chips Act 2.0 et du Cloud and AI Development Act (CADA) dans le cadre du paquet législatif sur la souveraineté technologique de l'UE a pu être interprétée sous le prisme du retour de l'Union européenne à une politique industrielle. Pourtant, ces deux cadres réglementaires témoignent plutôt de l’émergence d’une politique étrangère économique de la part de l’UE, qui crée de nouveaux instruments conçus pour lui donner les moyens de mieux différencier son approche internationale, et de construire des partenariats approfondis dans les technologies stratégiquement critiques.

Pris ensemble, le Chips Act 2.0 et le CADA établissent un cadre systématique permettant de déterminer qui remplit les conditions pour être qualifié de "partenaire de confiance" et comment cette confiance se traduit concrètement sur le plan opérationnel. L'UE répond ainsi aux vulnérabilités identifiées dans les deux textes : "la dépendance excessive à l'égard de pays tiers pour la conception et la fabrication de semi-conducteurs" et les "capacités insuffisantes de préparation aux crises" dans le Chips Act 2.0, ainsi qu'une "dépendance prononcée à l'égard d'un panier limité de fournisseurs de pays tiers" pour les services de cloud et les centres de données dans la CADA.

La tentative de l'UE d’aligner les approches via l'action réglementaire va redéfinir les conditions d'engagement pour les entreprises étrangères cherchant à accéder au marché européen. Le succès de ce modèle de diplomatie économique dépendra de deux facteurs : la valeur stratégique que les entreprises et les gouvernements étrangers continueront d'accorder à l'accès au marché européen, et l'ampleur des incitations financières mises à disposition par l'UE et les États membres (le Cadre financier pluriannuel 2028-2034 - le principal budget à long terme de l'UE - et le Fonds européen pour la compétitivité sont encore en cours de négociation).

Le concept de "domestic undertaking" comme instrument de politique étrangère

L'UE, historiquement, a défendu l’accès libre au marché pour les entreprises étrangères dans les secteurs technologiques. Les restrictions étaient exceptionnelles et justifiées au cas par cas. Le premier Chips Act de 2023 s'est partiellement écarté d'une pleine acception de libre marché en créant un cadre pour les usines de semi-conducteurs considérées comme "uniques en leur genre" (first-of-a-kind) et en autorisant les aides d'État pour les projets de grande envergure. Il restait neutre concernant l'actionnariat : le site de TSMC à Dresde était éligible aux subventions de la même manière qu'une entreprise ayant son siège dans l'UE.

L'UE, historiquement, a défendu l’accès libre au marché pour les entreprises étrangères dans les secteurs technologiques.

Le Chips Act 2.0 change cette logique à travers le concept de domestic undertaking [Pour éviter toute confusion dans l'attente de la traduction officielle en français de la Commission, nous conservons le terme originel de domesting undertaking pour désigner les entreprises répondant aux critères d'éligibilité du Chips Act 2]. L'éligibilité ne dépend plus uniquement du site où se trouve une usine, mais de la nationalité de l'entité qui la détient et la contrôle en dernier ressort, ainsi que du niveau de confiance qui sous-tend la relation de l'UE avec le pays d'origine de l'entreprise.

La notion de domestic undertaking est ainsi centrale dans l'émergence d'une politique étrangère économique européenne. Il implique, en pratique, un ensemble de droits et d'obligations qui déterminent si une entreprise se trouve à l'intérieur ou à l'extérieur du périmètre de sécurité technologique de l'UE.

Du côté des droits : seules les entreprises "domestic undertaking" peuvent désormais piloter un "projet stratégique", un statut qui donne accès à des procédures d'autorisation prioritaires et à un accès préférentiel au Fonds européen pour la compétitivité (dont le montant, toujours en négociation, sera surveillé de près par l'industrie). Seules les entreprises "domestic undertaking" peuvent rejoindre la plateforme B2B de la chaîne d'approvisionnement des semi-conducteurs, qui fournira des analyses de marché agrégées, des alertes précoces et des résultats de crash-tests. Les entreprises hors de ce cadre ne bénéficient d'aucune de ces visibilités collectives et s'exposent à des exigences de divulgation obligatoire plus strictes en cas de crise. Dans les marchés publics d'infrastructures critiques, les pouvoirs adjudicateurs doivent déclarer la part des entreprises "domestic undertaking" dans leurs chaînes d'approvisionnement en semi-conducteurs et démontrer qu’ils ont mis en place des stratégies de double approvisionnement (dual-sourcing) leur accordant la priorité. Ce mécanisme fonctionne initialement comme une préférence incitative (soft preference), mais la Commission peut la transformer en obligation contraignante par des actes d'exécution.
Du côté des obligations : c’est le pendant complémentaire des droits dont bénéficient les entreprises "domestic undertaking". Les installations d’usine exploitées par des entreprises "domestic undertaking" doivent participer à la plateforme B2B et s'engager à s'affranchir de toute obligation extraterritoriale imposée par des pays tiers. Plus important encore, elles sont soumises à des commandes prioritaires : en cas de crise dans les semi-conducteurs, la Commission peut leur imposer de passer outre leurs contrats privés pour réorienter leur production vers les secteurs critiques, la responsabilité contractuelle étant suspendue pendant toute la durée de la crise.

Cette architecture reste ouverte. Une entreprise étrangère qui se restructure pour être considérée comme entreprise "domestic undertaking" dans le cadre de sécurité économique de l'UE accède ainsi à des instruments politiques préférentiels. La définition autorise explicitement les entreprises "détenues et contrôlées par une entreprise établie dans un pays tiers ou dans un territoire avec lequel l'UE a conclu un accord établissant une zone de libre-échange, une union douanière ou un partenariat stratégique dans le domaine des semi-conducteurs". Cette formulation souple, combinée à la disposition distincte selon laquelle l'adhésion à l'Accord de l’OMC sur les marchés publics confère le statut de domestic undertaking, ouvre la porte à ce que les entreprises taïwanaises puissent accéder au nouveau cadre de l'UE.

Le "pays tiers associé" de la CADA, un instrument de politique étrangère

La CADA introduit un mécanisme quasi inédit dans la réglementation numérique de l'UE : le statut de "pays tiers associé", en vertu de l'article 18. La logique est simple, mais ses implications sont potentiellement considérables. Les fournisseurs de service cloud soumis au contrôle d'un pays tiers sont, par défaut, exclus des niveaux d'assurance 3 et 4 de l’UE, les niveaux les plus élevés couvrant les dimensions sensibles du secteur public telles que la défense, le renseignement, les informations classifiées et l'exploitation des infrastructures critiques. La grande majorité des utilisations de cloud du secteur public (courriels, productivité, systèmes administratifs, bases de données non sensibles) se situe aux niveaux 1 et 2, où la condition requise est soit une auto-évaluation, soit une séparation structurelle des activités entre le pays d'origine et l'UE.

Pour être considéré comme un "pays tiers associé", un pays doit satisfaire à six conditions cumulatives :

La conformité RGPD ;
L'absence de lois nationales autorisant l'accès forcé du gouvernement à des données non personnelles ;
L'impossibilité pour le gouvernement du pays considéré d'ordonner la dégradation ou l'interruption des services ;
L'absence d’obstacles pour les fournisseurs de cloud de l'UE opérant sur son marché national ;
L’absence de mesures visant à entraver la fourniture de technologies et de services de pointe.
Un accès réciproque aux marchés publics pour les entreprises de cloud de l'UE.

Il s'agit de critères juridiques applicables et soumis à réexamen, publiés par la Commission via une liste continuellement mise à jour des pays qualifiés.

Les pays désireux souhaitant que leurs fournisseurs de cloud puissent rivaliser au plus haut niveau du marché du secteur public européen disposent désormais d'une feuille de route claire des réformes requises. Pour les pays dont la législation sur le renseignement ou la sécurité des données contient des dispositions intrusives (c’est-à-dire, la Chine et les États-Unis), la CADA incite soit aux réformes, soit à la confrontation. Deux voies permettent néanmoins de contourner ce choix binaire : une décision d'exécution de la Commission européenne reconnaissant formellement que le pays d'origine du fournisseur est suffisamment aligné sur les exigences de l'UE, ou une stratégie de localisation européenne via la construction de filiales structurellement indépendantes par les grands fournisseurs de cloud issus de pays tiers non associés

L’émergence d’une politique de la demande

Alors que le Chips Act initial qui "était essentiellement axé sur l'offre", l'UE met désormais dans le Chips Act 2.0 "davantage l'accent sur la demande". Le changement le plus tangible concerne les marchés publics. L'article 30 établit un mécanisme volontaire de base : les pouvoirs adjudicateurs qui achètent des infrastructures, des équipements ou des systèmes dans des secteurs critiques peuvent exiger de la part des soumissionnaires qu'ils soumettent une déclaration de sécurité d'approvisionnement couvrant la part des fournisseurs de puces européennes dans leurs produits, la preuve d'une stratégie de double approvisionnement impliquant au moins une domestic undertaking, et un plan de résilience de la chaîne d'approvisionnement.

Ce cadre intègre un mécanisme d'escalade. L'article 31 permet à la Commission, après avoir identifié des risques dans la chaîne d'approvisionnement grâce à ses activités de surveillance, de recommander aux pouvoirs adjudicateurs de privilégier les fournisseurs de puces issus d’un État membre. Si ces recommandations sont ignorées et que les vulnérabilités persistent, la Commission peut adopter un acte d'exécution contraignant exigeant une déclaration de sécurité d'approvisionnement pour des catégories spécifiques de marchés publics.

Dans les services de cloud, les évaluations des risques obligatoires et les exigences minimales de niveau d'assurance introduites par les articles 29 et 30 de la CADA imposent aux organismes du secteur public de l'UE d'apprécier si les fournisseurs sont soumis à la juridiction d'un pays tiers, puis d'intégrer cette appréciation à leurs décisions d'achat.

C'est l'équivalent européen le plus proche des dispositions du CHIPS Act américain liant le soutien public à des objectifs d'approvisionnement national.

L'effet cumulé est de transformer le marché de la commande publique en infrastructures critiques de l'UE, y compris les réseaux énergétiques, les réseaux de télécommunications, les systèmes de santé et les infrastructures de transport, en un signal de demande agrégé pour les producteurs de puces européens et internationaux de confiance. C'est l'équivalent européen le plus proche des dispositions du CHIPS Act américain liant le soutien public à des objectifs d'approvisionnement national.

Positionnement vis-à-vis des États-Unis

Le Chips Act 2.0 pose explicitement que "l'approche de l'Europe en matière de souveraineté technologique est ancrée dans l'ouverture, le partenariat et une concurrence loyale". Le protocole explicatif de la CADA souligne la cohérence avec les obligations de l'UE au titre de l'Accord sur les marchés publics de l'OMC. Pourtant, la relation avec les États-Unis constitue l'une des dimensions les plus sensibles politiquement du nouveau cadre, en particulier dans les services de cloud.

Les hyperscalers américains (les grands fournisseurs de services cloud) représentent actuellement plus de 70 % du marché du cloud européen. La CADA ne conteste pas directement cette position aux acteurs américains : les fournisseurs soumis au contrôle d'un pays tiers restent éligibles au niveau d'assurance 1. Les contraintes apparaissent aux niveaux d'assurance supérieurs qui couvrent les utilisations sensibles du secteur public, les infrastructures critiques et les contrats gouvernementaux les plus stratégiques. L'accès à ces niveaux est effectivement conditionné à la désignation du pays d'origine du fournisseur comme "pays tiers associé" en vertu de l'article 18. Parmi les conditions à remplir pour être considéré comme "pays tiers associé", il faut que les autorités publiques du pays concerné ne puissent pas exercer un contrôle sur les fournisseurs de cloud qui soit incompatible avec les règles de l'UE sur l'accès aux données non personnelles. La législation américaine, notamment le CLOUD Act et l'article 702 de la FISA, est problématique à cet égard.

La portée de l'article 18 réside moins dans son impact immédiat que dans les incitations qu’il met en place. Le mécanisme établit un lien direct entre l'accès aux segments les plus sensibles du marché européen du cloud et l'environnement juridique dont dépend un fournisseur dans sa juridiction d'origine. En ce sens, il fait écho à la logique du régime d'adéquation du RGPD, qui a permis au fil du temps de créer les conditions de la négociation du Cadre de protection des données UE-États-Unis de 2023. L'enjeu n'est plus le transfert de données personnelles, mais la sécurité et la résilience de l'infrastructure numérique. Dans un scénario favorable pour l'UE, ce mécanisme créerait à la fois de nouvelles opportunités de marché pour les fournisseurs de cloud européens cherchant à se développer, et donnerait à l'UE un levier supplémentaire dans les négociations transatlantiques.

Positionnement vis-à-vis de la Chine

Alors que la relation transatlantique est façonnée par une profonde interdépendance commerciale et une alliance capitale pour l'ordre de sécurité de l'Europe, l'architecture réglementaire des deux textes exclut formellement du cercle de confiance de l'UE les entités sous contrôle chinois.

La Chine ne remplit ni les critères du Chips Act 2.0 ni ceux de la CADA pour les entreprises "domestic undertaking" ou les pays tiers associés. Elle ne bénéficie d'aucune décision d'adéquation RGPD, maintient une législation de sécurité des données et de renseignement national très étendue et n'offre pas non plus d'accès réciproque à son marché public pour les fournisseurs de cloud européens. Par conséquent, il est peu probable que les entités sous contrôle chinois se qualifient pour les catégories les plus avantageuses établies par l'un ou l'autre des cadres. Cette logique est renforcée par la référence explicite, dans les annexes du Chips Act 2.0, à l'affaire Nexperia [entreprise néerlandaise de semi-conducteurs détenue par la holding chinoise Wing Tech, dont le gouvernement des Pays-Bas a pris le contrôle afin de mettre fin à la réplication sur le sol chinois des capacités de production sur le sol européen en octobre 2025. La Chine avait riposté par des contrôles accrus sur ses exportations de composants], citée comme illustration des vulnérabilités que le règlement entend corriger.

L'UE transforme ainsi ses préoccupations en matière de dépendance, d'influence étatique et de coercition en critères non tarifaires. Il en résulte un cadre de sécurité économique formellement non discriminatoire, mais calibré pour répondre aux risques spécifiques posés par le capitalisme d'État chinois dans les technologies critiques.

Une architecture incomplète mais lourde de conséquences

Aucun de ces deux règlements ne constitue un cadre achevé. Les États membres et le Parlement européen chercheront vraisemblablement à obtenir des révisions significatives lors du trilogue. Le cadre des projets stratégiques du Chips Act 2.0 reste suspendu aux négociations sur le Fonds européen pour la compétitivité, qui déterminera le financement réel disponible pour les projets. La liste des pays tiers associés au titre de l'article 18 de la CADA n'a pas encore été publiée, et aucun partenariat stratégique sur les semi-conducteurs n'a été conclu avec quelque partenaire que ce soit. Par ailleurs, les 27 évaluations nationales des risques requises par la CADA risquent d'aboutir à des résultats divergents, à moins que la Commission ne fournisse d'abord les lignes directrices nécessaires - qui pour l’instant n'ont pas été publiées.

L'UE a inscrit dans une législation contraignante un cadre structuré permettant de différencier les partenaires dont les entreprises peuvent participer pleinement à l'écosystème technologique critique.

Cependant, une nouvelle architecture prend déjà forme. Pour la première fois, l'UE a inscrit dans une législation contraignante un cadre structuré permettant de différencier les partenaires dont les entreprises peuvent participer pleinement à l'écosystème technologique critique, les partenaires qui peuvent y accéder sous certaines conditions, et les acteurs dont les environnements juridiques rendent l'intégration structurellement incompatible avec les exigences de sécurité européennes. À bien des égards, ces réglementations peuvent être comprises comme une forme de stratégie de réduction des risques (de-risking) face à la Chine, même si leur objectif premier est de renforcer la résilience et la compétitivité de l'UE.

Ce cadre ne s'exprime pas à travers des listes de pays hostiles ou des régimes de sanctions. Il opère plutôt à travers des critères non tarifaires régissant l'accès à des segments spécifiques du marché européen et à des instruments politiques préférentiels. Les concepts d'entreprise "domestic undertaking" et de "pays tiers associé" sont, en fin de compte, les traductions réglementaires de l'idée plus large de "partenaire de confiance". Bien que le Chips Act 2.0 et la CADA n'utilisent pas cette terminologie, ils lui confèrent une forme juridique bien concrète.

Copyright image : Odd ANDERSEN / AFP
David Amiel, ministre délégué à la Fonction publique et à la Réforme de l’État ; Anne Le Henanff, ministre déléguée à l’Intelligence artificielle ; Roland Lescure, ministre de l’Économie et des Finances ; Emmanuel Macron, président de la République ; Friedrich Merz, chancelier allemand ; Henna Virkkunen, vice-présidente exécutive de l’Union européenne chargée de la souveraineté technologique, sécurité et de la démocratie, Henna Virkkunen, et le ministre allemand de la Numérisation et de la Modernisation de l’État, Karsten Wildberger, lors du sommet sur la souveraineté technologique de l’Europe, le 18 novembre 2025 sur le campus de l’EUREF à Berlin.

à la une

March 2025

Chips Diplomacy Support Initiative

The Chips Diplomacy Support Initiative (CHIPDIPLO) is an 18-month project led by the Institut Montaigne and co-funded by the European Commission. It aims to strengthen Europe's semiconductor strategy in the face of geopolitical tensions. Its objectives are to anticipate industrial risks, coordinate member states' policies and develop international partnerships. The consortium brings together experts, industrialists and researchers to analyze the challenges and provide recommendations to the EU. CHIPDIPLO supports the EU Chips Act and promotes Europe's attractiveness for innovation and investment.

Consultez l'Opération spéciale