Quand Bruxelles passe du règlement à la stratégie industrielle : le DSI face à un nouveau calcul souverain

# Quand Bruxelles passe du règlement à la stratégie industrielle : le DSI face à un nouveau calcul souverain

Pendant des années, la Commission européenne a joué le rôle de régulateur : RGPD, NIS2, DORA, AI Act. Un corpus normatif dense, parfois contraignant, mais au moins lisible. En 2026, le pivot est acté : Bruxelles assume désormais un rôle d'acteur industriel, orientant les financements, les partenariats stratégiques et les standards technologiques. Pour le DSI d'une ETI, ce changement de posture n'est pas anodin. Il reconfigure les règles du jeu — et pas toujours dans le sens attendu.

Voici ce qu'une situation réelle, vécue par une ETI industrielle de 800 salariés, permet d'illustrer.

Le terrain : une ETI industrielle prise entre deux logiques

Cette entreprise — fabriquant des composants pour l'industrie lourde, présente dans quatre pays européens — avait construit son SI autour d'une offre dominante américaine pour la messagerie, le stockage collaboratif et la gestion des identités. Choix fait il y a cinq ans, justifié alors par la simplicité contractuelle et la pression des équipes métier.

En 2024, l'entrée en vigueur effective de NIS2 avait contraint le RSSI à documenter précisément les flux de données sortants, les chaînes de sous-traitance logicielle et les clauses de réversibilité. Premier signal d'alarme : les contrats avec l'acteur américain comportaient des clauses de transfert de données vers des juridictions hors UE, avec des dérogations larges au titre du droit américain — Cloud Act en tête. Rien d'illégal au sens strict, mais une exposition documentée.

En 2025, DORA est entré pleinement en application pour les entités considérées comme critiques ou liées à des opérateurs critiques. Cette ETI, sous-traitante d'un grand donneur d'ordre du secteur énergétique, s'est retrouvée dans le périmètre indirect. Résultat : un audit de résilience opérationnelle exigé par son client, avec des questions précises sur la localisation des données, la capacité à maintenir les opérations en cas de coupure unilatérale d'un fournisseur tiers, et les procédures de notification d'incident.

L'acteur américain en place n'a pas pu fournir, dans les délais, les garanties contractuelles demandées sur la localisation stricte des données de sauvegarde. Pas par mauvaise volonté : simplement parce que son architecture globale ne le permet pas de manière certifiable à court terme.

Le pivot de Bruxelles : une opportunité mal calibrée, mais réelle

C'est dans ce contexte que le changement de doctrine européenne est arrivé — ni comme une solution clé en main, ni comme une contrainte supplémentaire, mais comme un signal à décoder.

La Commission a cessé de se positionner uniquement comme arbitre normatif. Elle finance désormais activement des infrastructures, oriente des marchés publics vers des fournisseurs qualifiés sous schéma EUCS (European Union Cybersecurity Certification Scheme), et conditionne certaines aides à l'utilisation de technologies souveraines certifiées. Ce n'est pas de la réglementation : c'est de la politique industrielle assumée.

Pour le DSI de cette ETI, la lecture concrète est la suivante : les fournisseurs européens qui se positionnent dans cet écosystème bénéficient d'une visibilité et d'une crédibilité institutionnelle nouvelle. Ce n'est pas une garantie de qualité — et il faut se garder de tout angélisme — mais c'est un critère de sélection supplémentaire, vérifiable, qui s'ajoute aux critères techniques et contractuels.

Autrement dit : un fournisseur qualifié EUCS, hébergé dans une infrastructure certifiée SecNumCloud, avec des clauses contractuelles alignées sur le droit européen, n'est plus seulement un choix idéologique. C'est un choix qui réduit l'exposition réglementaire, satisfait aux exigences d'audit de la chaîne de valeur, et écarte le risque d'extraterritorialité américaine.

Ce que le DSI doit retenir : trois implications directes

1. La cartographie des risques d'extraterritorialité devient un livrable auditable

Avec le pivot industriel de Bruxelles, les donneurs d'ordre — publics et privés — vont de plus en plus exiger de leurs sous-traitants une cartographie documentée des risques liés au Cloud Act et aux juridictions tierces. Ce n'est plus un exercice théorique de conformité RGPD. C'est un critère contractuel qui conditionne l'accès à certains marchés.

Le DSI de cette ETI a dû produire, pour la première fois, un registre de dépendances critiques distinguant les fournisseurs soumis à une juridiction extraterritoriale américaine de ceux opérant exclusivement sous droit européen. Ce registre est maintenant exigé lors de chaque renouvellement de contrat client significatif.

2. NIS2 et DORA ne sont pas des fins en soi : ils filtrent les fournisseurs

Le vrai effet de ces textes, dans une logique de politique industrielle, est de créer une asymétrie de marché. Les acteurs qui ne peuvent pas certifier leur conformité dans les délais imposés — qu'ils soient américains ou européens — sortent progressivement du périmètre des fournisseurs acceptables pour les ETI exposées à des chaînes de valeur critiques.

Cette ETI a engagé une migration partielle de son infrastructure collaborative vers un opérateur européen capable de produire les attestations requises. La décision n'a pas été prise sur un critère idéologique, mais sur un critère de risque contractuel mesurable.

3. Le financement européen crée des distorsions à anticiper — dans les deux sens

La politique industrielle de Bruxelles génère des effets de bord. Des fournisseurs européens, dopés aux financements publics, vont gagner en surface commerciale sans que leur maturité produit soit nécessairement au rendez-vous. Le DSI ne doit pas substituer une dépendance américaine par une dépendance à un acteur européen fragile ou captif d'un écosystème de subventions.

Le bon cadre d'analyse reste : réversibilité contractuelle, portabilité des données, solidité financière indépendante des aides publiques, et capacité à répondre aux exigences d'audit. La nationalité du fournisseur est une condition nécessaire, pas suffisante.

Ce que cette situation enseigne, transférable à votre contexte

Le pivot de Bruxelles n'est pas une bonne nouvelle automatique pour la souveraineté numérique des ETI. C'est un changement de terrain qui demande une lecture active.

Les entreprises qui vont en tirer parti sont celles qui auront anticipé deux mouvements simultanés : d'un côté, la montée des exigences d'audit sur la chaîne de dépendance technologique — portée par NIS2, DORA, et les donneurs d'ordre qui les appliquent en cascade ; de l'autre, l'émergence d'un écosystème européen qui gagne en lisibilité institutionnelle, même si sa maturité technique reste hétérogène.

Le DSI qui attend que la réglementation soit stabilisée avant d'agir prend un risque différent de celui qu'il croit gérer. La fenêtre pour documenter ses dépendances, renégocier ses contrats critiques et tester des alternatives européennes sur des périmètres non critiques est ouverte. Elle ne le restera pas indéfiniment.

L'ETI de 800 salariés citée ici n'a pas refait son SI de fond en comble. Elle a isolé les flux les plus exposés, produit les livrables d'audit qui lui étaient demandés, et enclenché une migration ciblée sur les briques où l'exposition réglementaire était la plus documentée. C'est une méthode, pas un grand soir. Et c'est précisément ce que le nouveau contexte européen rend possible — à condition de ne pas attendre que Bruxelles le fasse à votre place.