Airwallex lève 320M$ : nos données de paiement restent-elles hors de portée du Cloud Act ?

Quand la fintech mondiale grossit, l'Europe doit se poser les bonnes questions

En 2026, Airwallex vient de boucler une levée de fonds de 320 millions de dollars. La startup australienne, spécialisée dans les paiements internationaux pour entreprises, est désormais valorisée dans le haut du spectre des fintechs mondiales. La presse financière applaudit. Mais pour un DSI ou un RSSI européen — Directeur des Systèmes d'Information ou Responsable de la Sécurité des Systèmes d'Information — la vraie question n'est pas là.

La vraie question est simple : où partent vos données de paiement, et qui peut y accéder ?

Le paiement B2B, un angle mort de la souveraineté numérique

Quand on parle de souveraineté numérique dans les PME et ETI européennes, on pense souvent au cloud, aux outils collaboratifs, à l'IA. Rarement au paiement. C'est une erreur.

Vos flux de paiement ne sont pas des données anodines. Ils racontent qui sont vos clients, vos fournisseurs, vos marchés, votre chiffre d'affaires réel. Ce sont des données stratégiques au sens plein du terme. Et dans la grande majorité des cas, ces données transitent aujourd'hui par des infrastructures opérées par des acteurs américains ou ayant des liens structurels forts avec les États-Unis.

Stripe, l'acteur dominant américain du secteur, est intégré dans des milliers de SI européens. Sa présence est tellement banalisée qu'elle est devenue invisible. C'est précisément là que réside le risque.

Cloud Act : un rappel pédagogique indispensable

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une loi américaine adoptée en 2018. Elle autorise les autorités américaines à exiger d'une entreprise soumise au droit américain qu'elle leur transmette des données — même si ces données sont stockées en Europe.

Ce n'est pas une théorie. C'est un cadre légal actif.

Concrètement : si votre prestataire de paiement est une société américaine, ou une filiale d'un groupe américain, vos données de transactions peuvent théoriquement être communiquées à des agences fédérales américaines sans que vous en soyez informé. Sans recours possible de votre côté.

Ce mécanisme entre en contradiction directe avec le RGPD — Règlement Général sur la Protection des Données — qui encadre strictement le transfert de données personnelles hors de l'Union européenne. La tension juridique est réelle. Elle n'est pas résolue.

Airwallex n'est pas une réponse souveraine. Elle pose la question.

Airwallex est australienne. Elle opère globalement. Ses infrastructures cloud s'appuient sur des hyperscalers dont certains sont américains. Sa levée de 320 millions de dollars provient d'investisseurs internationaux dont la gouvernance et les obligations légales méritent d'être scrutées.

Elle n'est donc pas une alternative souveraine européenne. Elle est une alternative à l'acteur dominant américain. C'est différent.

Mais son émergence envoie un signal utile : le monopole de fait sur les paiements B2B internationaux peut être contesté. Et si une startup australienne peut lever 320 millions pour challenger l'acteur dominant américain, pourquoi l'Europe ne finance-t-elle pas ses propres champions du paiement souverain ?

C'est la question que devraient poser les DSI et CTO européens à leurs directions générales — et aux fonds d'investissement du Vieux Continent.

Ce que DORA et NIS2 exigent déjà de vous

Deux réglementations européennes changent la donne en 2026 pour toute entreprise qui s'appuie sur un prestataire de paiement tiers.

DORA — Digital Operational Resilience Act — s'applique au secteur financier mais irrigue progressivement les obligations des entreprises qui s'y connectent. Il impose une cartographie rigoureuse des dépendances aux tiers numériques, une évaluation des risques de concentration, et des clauses contractuelles précises sur la localisation des données.

NIS2 — la directive européenne sur la cybersécurité révisée — élargit considérablement le périmètre des entités concernées. Si votre PME ou ETI est qualifiée d'entité importante ou essentielle, vous devez désormais documenter et maîtriser les risques de votre chaîne d'approvisionnement numérique. Votre prestataire de paiement en fait partie.

Concrètement : ignorer la question de la juridiction applicable à votre solution de paiement n'est plus une option légale. C'est un risque de non-conformité documenté.

Ce que doit faire un DSI européen dès maintenant

Pas de liste à rallonge. Trois réflexes concrets.

Cartographiez votre exposition. Identifiez chaque prestataire de paiement intégré à votre SI. Demandez explicitement : quelle est la juridiction applicable ? Où sont stockées les données de transaction ? Quels hyperscalers sous-tendent l'infrastructure ?

Lisez vos contrats sous l'angle Cloud Act. Une clause d'hébergement en Irlande ou en Allemagne ne suffit pas si l'entité contractante est américaine. La localisation physique des données ne neutralise pas le Cloud Act.

Posez la question de l'alternative européenne. Des acteurs comme Numeral — startup française spécialisée dans les paiements bancaires API — commencent à structurer une offre pensée dès l'origine pour la conformité réglementaire européenne. L'écosystème existe. Il est encore fragmenté. Mais il se construit.

En résumé

La levée d'Airwallex n'est pas une bonne nouvelle pour l'autonomie stratégique européenne. C'est un révélateur : le marché du paiement B2B reste dominé par des acteurs extérieurs à l'Union, soumis à des législations extraterritoriales incompatibles avec nos standards de protection des données.

Pour un RSSI ou un DSI européen, chaque euro qui transite par une infrastructure hors juridiction européenne est une surface d'exposition. Nommer ce risque, c'est déjà commencer à le gérer.