2026 : il est temps de couper le cordon californien

# 2026 : il est temps de couper le cordon californien

Je vais vous dire quelque chose que beaucoup pensent tout bas mais que peu écrivent noir sur blanc : en 2026, continuer à faire tourner son système d'information sur des briques américaines en espérant que « ça ne nous arrivera pas » est une forme de négligence professionnelle. Pas une audace. Pas une pragmatisme. Une négligence.

Ce n'est pas une posture idéologique. C'est une lecture froide du contexte réglementaire, géopolitique et contractuel dans lequel nous évoluons.

Le Cloud Act n'a pas disparu. Il s'est normalisé.

En 2018, le Clarifying Lawful Overseas Use of Data Act entrait en vigueur aux États-Unis. En 2026, il est toujours là, intact, et ses effets extraterritoriaux sont toujours aussi réels. Concrètement : si votre moteur de recherche, votre assistant IA ou votre navigateur d'entreprise est édité par une société américaine, ses données — les vôtres, celles de vos clients, celles de vos fournisseurs — sont juridiquement accessibles aux autorités fédérales américaines, sur simple requête, sans que vous en soyez nécessairement informé.

Ce n'est pas un scénario catastrophe. C'est le droit positif américain.

Et pourtant, combien de DSI que je croise en 2026 utilisent encore Chrome comme navigateur standard de leur parc, Google comme moteur par défaut, et un assistant IA dont les serveurs d'inférence sont quelque part en Virginie du Nord ? La réponse me préoccupe.

NIS2 est entrée en application. DORA aussi, pour le secteur financier. Le RGPD a maintenant des dents — les amendes ont cessé d'être symboliques dans plusieurs États membres. Et pourtant, le réflexe californien reste le réflexe dominant. Pourquoi ?

L'argument du confort est un argument de reddition

J'entends souvent la même chose : « Les alternatives européennes ne sont pas au niveau. » Je veux bien qu'on en parle — sérieusement, pas avec des généralités.

Que signifie « pas au niveau » en 2026 ? Que le moteur de recherche européen ne comprend pas dix langues ? Faux. Que le navigateur souverain n'intègre pas de protection contre le pistage publicitaire ? Faux. Que les assistants IA européens ne savent pas synthétiser un document contractuel ou préparer un brief commercial ? Faux également.

Il faut être honnête : ce qui manque parfois, c'est l'habitude. L'interface légèrement différente. Le résultat qui ne ressemble pas exactement à ce qu'on attendait. Et ça, ce n'est pas un problème technique — c'est un problème culturel. Et les problèmes culturels se résolvent avec de la volonté et de l'accompagnement, pas en attendant que l'acteur dominant US fasse mieux.

Je pense sincèrement que le vrai blocage, ce n'est pas la qualité des alternatives. C'est la peur du changement et l'absence de mandat clair de la direction. Quand un RSSI propose de remplacer le moteur de recherche par défaut par une solution hébergée en Europe, il ne devrait pas avoir à justifier sa démarche pendant deux réunions de comité. Ce devrait être l'inverse : c'est le maintien du statu quo américain qui devrait appeler une justification.

Ce que NIS2 et DORA changent réellement à votre calcul de risque

Depuis l'entrée en vigueur de NIS2, les entités essentielles et importantes — et leur chaîne de sous-traitance — ont des obligations de sécurité renforcées sur la gestion de leurs dépendances numériques. La directive ne cite pas nommément les GAFAM, mais elle impose une cartographie des risques tiers et une évaluation de la résilience des fournisseurs.

Posez-vous la question concrète : si demain l'acteur américain qui fournit votre moteur de recherche d'entreprise, votre assistant de navigation ou votre outil de recherche documentaire décide de modifier unilatéralement ses conditions — comme c'est déjà arrivé — ou de restreindre son accès pour des raisons géopolitiques, quelle est votre continuité de service ? Quel est votre Plan B documenté ?

Si la réponse est « on migrerait vers l'autre acteur américain », vous n'avez pas de Plan B. Vous avez un déplacement latéral de dépendance.

DORA va encore plus loin pour le secteur financier : la concentration des risques chez un nombre limité de prestataires TIC est explicitement identifiée comme un risque systémique. Traduction pratique : l'homogénéité californienne de votre SI n'est pas une neutralité. C'est une exposition concentrée.

Deux signaux que je surveille en 2026

Je ne vais pas vous dresser un catalogue d'alternatives. Ce serait vous rendre un mauvais service — chaque organisation a ses contraintes, son niveau de maturité, ses cas d'usage spécifiques. Mais deux dynamiques me semblent importantes à observer cette année.

Premièrement, Qwant Business — l'offre entreprise du moteur français — a structuré son modèle autour d'une promesse simple : aucune donnée de recherche exploitée à des fins commerciales ou transmise à des tiers. Ça paraît évident. Ça ne l'est pas chez ses concurrents américains, où l'usage professionnel reste soumis aux mêmes politiques de données que l'usage grand public, avec toutes les ambiguïtés que cela implique au regard du Cloud Act.

Deuxièmement, les navigateurs d'entreprise à architecture européenne commencent à intégrer des fonctionnalités qui répondent directement aux exigences NIS2 : journalisation des accès, cloisonnement des sessions, gestion centralisée des politiques de sécurité. Ce n'est plus une niche technique. C'est une réponse à un besoin réglementaire réel.

Ce que j'observe, c'est que la pression réglementaire fait ce que la conviction n'a pas suffi à faire : elle crée un marché pour la souveraineté.

L'inaction a un coût que personne ne comptabilise

Nous avons tendance à évaluer le coût de la migration vers des alternatives européennes — en temps, en formation, en réorganisation — et à le comparer à un coût de statu quo que nous présumons nul. Ce raisonnement est faux.

Le statu quo californien a un coût : le risque juridique d'une mise en conformité incomplète avec le RGPD, l'exposition aux injonctions extraterritoriales américaines, la dépendance à des éditeurs qui fixent unilatéralement leurs tarifs, leurs conditions d'accès, leurs priorités de développement. Ce coût est diffus, il est difficile à inscrire dans un budget, mais il est réel — et il se matérialise, un jour ou l'autre, sous la forme d'un incident, d'un contrôle ou d'une rupture de service.

Je pense que notre génération de DSI et de RSSI est celle qui devra répondre de ses choix d'infrastructure. Pas à une idéologie. Pas à un régulateur abstrait. À leurs directions générales, à leurs conseils d'administration, à leurs clients — qui commencent à poser des questions sur où sont traitées leurs données.

Il n'est pas trop tard. Mais la fenêtre se referme.

La bonne nouvelle — et il y en a une — c'est que l'écosystème européen s'est structuré. Les alternatives existent, elles sont auditables, elles sont soumises au droit européen, et elles progressent vite.

Mais il y a une dynamique que je ne peux pas ignorer : plus on attend, plus la migration devient complexe. Les habitudes s'enkystent, les intégrations se multiplient, les dépendances s'approfondissent. Chaque année supplémentaire sous architecture californienne est une année de dette souveraine qui s'accumule.

2026 peut être l'année où vous décidez de commencer à reprendre la main. Pas sur tout, pas du jour au lendemain. Mais avec un plan, un cap, et la conviction que ce n'est pas une option réservée aux grandes entreprises ou aux acteurs publics.

C'est une nécessité de gestion des risques. Et c'est, je le crois sincèrement, une responsabilité professionnelle.