Jako dostawców KE wybrała DEEP by Post Luxembourg Group (Post Telecom) wraz z CleverCloud i OVHcloud, a także StackIT, Scaleway oraz Proximus wraz z S3NS (Thales i Google Cloud), Clarence i Mistral. Komisja Europejska podkreśla, że dostawcy zostali ocenieni pod kątem ośmiu kryteriów suwerenności. Co ciekawe,  już w ubiegłym roku przez CISPE (Cloud Infrastructure Service Providers in Europe), stowarzyszenie handlowe zrzeszające 38 firm chmurowych, skrytykowało kryteria wyboru. Jednym z najpoważniejszych zarzutów dotyczył sprzyjania dużym amerykańskim operatorom, dominującym na europejskim rynku chmury.

Krytyka nie była bezpodstawna, bowiem wśród wybranych dostawców znalazło się S3NS, wspólne przedsięwzięcie francuskiego międzynarodowego koncernu technologicznego Thales i Google Cloud. Zgodnie z US CLOUD Act, władze USA mogą zmusić amerykańskie firmy chmurowe do zapewnienia dostępu do niektórych danych, które posiadają, w tym danych przechowywanych poza Stanami Zjednoczonymi.

Komisja Europejska twierdzi, że ramy suwerenności w chmurze określają poziomy zapewnienia skuteczności suwerenności (SEAL), które od SEAL-0, co wskazuje, że dostawcy są całkowicie pozbawieni suwerenności, do SEAL-4, który wymaga pełnego łańcucha dostaw UE, od chipów aż po oprogramowanie. Dostawcy mogli być zakwalifikowani, jeśli wykazali się SEAL-2. W praktyce oznacza to, że przestrzegają przepisów i regulacji UE bez konieczności stosowania dodatkowych środków technicznych ze strony klienta w celu ochrony jego danych. Pozostali trzej dostawcy byli w stanie wykazać poziom SEAL-3, co sugeruje, że są odporni na zakłócenia łańcucha dostaw od stron trzecich spoza UE. S3NS nie spełnił tych norm. 

CISPE komentując wybór Komisji Europejskiej stwierdziło, że ramy nie zapewniają jasnych, wiarygodnych odpowiedzi na dwa istotne pytania: co się stanie z infrastrukturą chmury, jeśli zagraniczny rząd chce ją wyłączyć, i co się stanie jeśli zagraniczny rząd chce uzyskać dostęp do danych klienta znajdujących się w tej chmurze?

– Uznanie S3NS, rozwiązania opartego na infrastrukturze Google Cloud, za suwerenne to ewidentnie działanie we własnym interesie i otwiera drogę do instytucjonalizacji tzw. „sovereignty washing” na najwyższych szczeblach decyzyjnych – powiedział Francisco Mingorance, sekretarz generalny CISPE.