Le directeur général d’une PME de services informatiques à Nantes a reçu, fin 2025, un appel de son plus gros client, une collectivité territoriale. Le message était sans ambiguïté : dans six mois, tous les prestataires devront héberger les données sur des infrastructures qualifiées “SecNumCloud”. Autrement dit, fini le stockage chez Amazon Web Services ou Microsoft Azure sans certification française. Ce patron a compris qu’il allait devoir revoir toute son architecture technique. Et vite.
L’Europe ne veut plus dépendre des géants américains
Depuis une dizaine d’années, un constat s’est imposé à Bruxelles comme à Paris : l’essentiel de l’infrastructure numérique européenne repose sur des entreprises américaines. Cloud computing dominé par AWS, Azure et Google Cloud. Systèmes d’exploitation, suites bureautiques, messageries : Microsoft et Google règnent presque sans partage. Réseaux sociaux, moteurs de recherche, plateformes publicitaires : même diagnostic.
Pendant longtemps, les politiques ont minimisé le problème. Puis les alertes se sont accumulées. Snowden en 2013, Cambridge Analytica quelques années après, et surtout l’invalidation du Privacy Shield par la Cour de justice européenne en 2020. À chaque fois, même constat : quand un patron européen met les données de ses clients sur un serveur américain, le gouvernement américain peut y accéder grâce au Cloud Act. Pour un continent qui a érigé la protection des données en droit fondamental avec le RGPD, c’est un peu fort de café.
La réponse européenne a pris forme progressivement. Le Digital Markets Act et le Digital Services Act encadrent les grandes plateformes. Le Data Act régule le partage des données industrielles. Le règlement européen sur l’intelligence artificielle, l’AI Act, pose un cadre inédit pour les systèmes d’IA. En France, la doctrine « Cloud au centre » impose aux administrations de recourir à des solutions cloud souveraines ou qualifiées.
Pour les PME, la souveraineté numérique n’est pas un concept abstrait
On pourrait croire que ces sujets ne concernent que les grandes entreprises ou les administrations. Ce serait une erreur. Les effets de cascade sont immédiats.
Prenons un exemple concret. Une PME qui travaille en sous-traitance pour un donneur d’ordres public devra, à terme, démontrer que ses outils numériques respectent les exigences de souveraineté. Hébergement des données en Europe, voire en France. Absence de soumission à des législations extra-européennes. Qualification de sécurité de type SecNumCloud pour les données sensibles. Si la PME utilise une suite Google Workspace ou un CRM hébergé sur AWS sans les garanties requises, elle risque tout simplement de perdre le marché.
Même logique dans le secteur privé. Les grandes entreprises qui doivent se conformer à la directive NIS 2 sur la cybersécurité ne vont pas garder ça pour elles. Elles vont transmettre la pression à leurs fournisseurs et sous-traitants. C’est le même phénomène qu’avec la CSRD dans le domaine environnemental : les obligations glissent du haut vers le bas, et les PME se retrouvent en bout de chaîne, sans que personne ne leur ait demandé leur avis.
L’AI Act, un cadre qui va bousculer les usages
Le règlement européen sur l’intelligence artificielle, entré en application progressive depuis 2024, mérite une attention particulière. Il classe les systèmes d’IA par niveau de risque et impose des obligations croissantes : transparence, documentation technique, supervision humaine, évaluation de conformité.
Pour les PME qui développent ou intègrent des solutions d’IA, c’est un changement de paradigme. Un éditeur de logiciel qui propose un outil de scoring crédit ou de tri de CV devra démontrer que son système respecte les exigences de l’AI Act. Documentation exhaustive, tests de biais, registre d’utilisation : autant d’obligations nouvelles qui alourdissent le processus de développement.
Et pour les PME qui utilisent simplement des outils d’IA sans les développer ? Elles ne sont pas épargnées non plus. L’AI Act exige de la transparence de la part des “déployeurs” de systèmes d’IA classés à haut risque. Concrètement, un cabinet de recrutement qui se sert d’un algorithme pour trier les CV est tenu de prévenir les candidats et de s’assurer qu’un humain supervise le processus de bout en bout.
Il y a aussi un aspect qu’on ne voit pas tout de suite : celui de la compétitivité. Les boîtes européennes qui auront compris le cadre de l’AI Act les premières pourront en faire un argument commercial, surtout sur les marchés où la confiance et la conformité comptent. En B2B, c’est déjà le cas : les appels d’offres incluent de plus en plus de critères éthiques et réglementaires, et ça ne va pas s’arrêter.
Le cloud souverain, entre promesse et réalité
La question du cloud souverain cristallise les tensions entre ambition politique et réalité économique. La France a investi massivement dans des solutions alternatives aux géants américains. OVHcloud, Scaleway, Outscale : des acteurs français existent et proposent des offres compétitives sur certains segments.
Mais il faut être lucide : le fossé technologique reste large sur les services les plus pointus. Quand on parle d’IA intégrée au cloud, de traitement de données massives ou d’écosystèmes d’applications, AWS et Azure ont encore un sacré coup d’avance. Pour une PME qui a besoin de ces fonctionnalités avancées, migrer vers un cloud souverain peut signifier accepter un service moins riche, au moins temporairement.
Le compromis trouvé par certains acteurs consiste à proposer des solutions hybrides : technologies américaines opérées par des entités européennes, sous juridiction européenne. C’est le modèle de S3NS (Thales et Google) ou de Bleu (Orange et Microsoft). Ces offres sont prometteuses, mais elles soulèvent des questions. La technologie reste américaine. Les mises à jour dépendent du fournisseur d’origine. En cas de conflit géopolitique majeur, la continuité de service est-elle vraiment garantie ?
Ce que les dirigeants doivent faire maintenant
Face à cette accumulation réglementaire, la tentation est grande de reporter les décisions. Attendre que le cadre se stabilise. Voir comment les concurrents réagissent. Espérer que les obligations seront assouplies.
C’est une stratégie risquée. Les échéances sont connues et elles approchent. L’AI Act est en application. NIS 2 impose ses premières exigences. La doctrine Cloud au centre se déploie dans l’administration. Ceux qui n’auront rien préparé vont revivre le scénario du RGPD en 2018 : panique de dernière minute, consultants hors de prix et facture de mise en conformité qui explose.
En pratique, il y a trois chantiers à ouvrir sans tarder. Le premier : cartographier ses outils numériques et identifier ceux qui posent un problème de souveraineté ou de conformité. Le deuxième : évaluer l’impact de l’AI Act sur ses activités, qu’on soit développeur, intégrateur ou simple utilisateur de solutions d’IA. Le troisième : engager un dialogue avec ses fournisseurs cloud pour comprendre leur feuille de route en matière de qualification et de localisation des données.
La souveraineté numérique, un sujet stratégique et pas seulement technique
Réduire la souveraineté numérique à un tas de contraintes réglementaires, ce serait passer à côté du sujet. C’est d’abord une question de positionnement. Une entreprise qui sait où sont ses données, qui comprend les outils qu’elle utilise et qui garde la main sur son infrastructure, celle-là encaisse mieux les coups quand ça secoue.
L’exemple des sanctions contre la Russie le montre bien : du jour au lendemain, des fournisseurs technologiques ont quitté le marché, des accès ont été coupés, et les entreprises dépendantes se sont retrouvées le bec dans l’eau. La souveraineté numérique, au fond, vise le même but que la diversification commerciale : ne pas mettre tous ses œufs dans le même panier.
Pour les dirigeants de PME, ça veut dire changer de lunettes. Choisir un outil cloud, un prestataire IT ou une solution d’IA, ce n’est plus juste une affaire de budget ou de technique. C’est un choix stratégique, au même titre que le choix d’un marché export ou d’un partenaire industriel. Et comme tous les bouleversements politiques européens de ces dernières années, celui-ci profitera aux entreprises qui l’auront vu venir plutôt que subi.