Après Broadcom, la leçon que CISPE n'a pas osé tirer : l'Europe ne peut plus sous-traiter sa souveraineté
Date Published

# Après Broadcom, la leçon que CISPE n'a pas osé tirer : l'Europe ne peut plus sous-traiter sa souveraineté
Le recours comme aveu d'impuissance
En 2026, l'affaire CISPE contre Broadcom est devenue une sorte de cas d'école dans les DSI européennes. Pas pour les bonnes raisons. Quand le Cloud Infrastructure Services Providers in Europe a porté plainte auprès de la Commission européenne contre les pratiques tarifaires de Broadcom post-rachat de VMware, la réaction dans les salles de crise des directions informatiques a été unanime : un soulagement immédiat, suivi d'un malaise durable.
Soulagement, parce que quelqu'un, enfin, nommait le problème. Malaise, parce qu'on réalisait collectivement que le seul outil disponible était le recours juridique. C'est-à-dire l'aveu que l'infrastructure critique de milliers d'entreprises européennes reposait — et repose encore — sur des fondations dont les clés appartiennent à des acteurs américains dont les stratégies commerciales peuvent basculer du jour au lendemain.
Aucun jugement, aucune amende, aucune injonction réglementaire n'a empêché Broadcom de restructurer ses licences, de forcer les migrations vers des bundles onéreux, de faire peser sur les DSI européens un risque budgétaire et opérationnel majeur. Ce que CISPE a gagné, à force de procédures, ressemble moins à une victoire qu'à une négociation sous contrainte.
La vraie question — celle que peu de communiqués institutionnels osent formuler — est celle-ci : à quoi sert un recours si on n'a nulle part où aller ?
Ce que vit concrètement une ETI industrielle de 800 salariés
Il n'est pas nécessaire d'inventer un cas fictif. Des situations comme celle qui suit, les DSI européens en rapportent depuis dix-huit mois dans les cercles fermés, les groupes de travail sectoriels, les réseaux informels de RSSI.
Une ETI industrielle de 800 salariés, présente sur trois pays européens, avec une production sensible et une chaîne logistique partiellement numérisée. Son socle de virtualisation repose depuis des années sur une solution dont le rachat par Broadcom a tout bouleversé. En quelques mois, les conditions de licence ont été redessinées. Les contrats historiques ne sont plus renouvelables dans les mêmes termes. Les équipes techniques se retrouvent face à une alternative binaire : accepter une migration vers un modèle de souscription dont le coût récurrent dépasse largement les prévisions initiales, ou engager une migration vers une autre plateforme — avec tout ce que cela implique en termes de charge projet, de risque opérationnel et de délai.
La DSI de cette ETI — cadre expérimenté, formé à gérer des crises, pas des réorientations stratégiques forcées — résume la situation sans détour : *"On ne nous a pas demandé notre avis. On nous a présenté les nouvelles conditions. C'est tout."*
Ce n'est pas un problème de performance produit. Ce n'est pas un problème de sécurité technique au sens strict. C'est un problème de dépendance structurelle à un acteur dont la gouvernance, les intérêts et les obligations légales sont étrangers au cadre européen.
Le triangle impossible : Cloud Act, NIS2, et fournisseur américain
Là où la situation devient critique du point de vue de la conformité, c'est quand on superpose trois réalités que les équipes juridiques et sécurité de cette ETI ont mis des semaines à articuler clairement.
Première réalité. L'ETI est soumise à NIS2 depuis son entrée en vigueur effective. Son secteur industriel l'y soumet sans ambiguïté. NIS2 exige une maîtrise des risques liés à la chaîne d'approvisionnement numérique, une capacité à évaluer ses prestataires critiques, et une traçabilité des incidents. Rien de tout cela n'est compatible avec une situation où le prestataire impose unilatéralement ses conditions sans préavis raisonnable.
Deuxième réalité. Les données de production, les données de planification, les informations sur les clients industriels — tout ce qui transite par l'infrastructure virtualisée — est potentiellement soumis au Cloud Act américain dès lors qu'une entreprise américaine est impliquée dans la chaîne technique, même indirectement. Broadcom, société américaine cotée au Nasdaq, ne fait pas exception. La question n'est pas de savoir si une réquisition interviendra. La question est de savoir si l'ETI est en mesure de le prouver à son propre conseil d'administration, à ses clients, à son autorité de contrôle.
Troisième réalité. DORA, qui s'applique aux entités financières mais dont la logique de résilience opérationnelle irrigue désormais les réflexions sectorielles bien au-delà de la finance, pose explicitement la question de la concentration des risques chez des tiers. Un fournisseur unique dont les décisions commerciales peuvent paralyser une migration ou doubler un budget n'est pas un fournisseur qui respecte les exigences de résilience.
Le RSSI de l'ETI l'a formulé brutalement lors d'un comité de pilotage : *"Si je dois justifier devant une autorité de contrôle pourquoi je confie des données sensibles à un acteur soumis à une juridiction étrangère et dont je ne contrôle plus les conditions contractuelles, je n'ai pas de réponse satisfaisante."*
Aucun recours CISPE, aussi légitime soit-il, ne change ce constat opérationnel.
Le recours réglementaire : nécessaire, insuffisant, parfois contre-productif
Il faut être honnête sur ce que les recours font et ne font pas.
Ils font pression. Ils créent une jurisprudence utile. Ils obligent les régulateurs à se positionner. Dans un monde idéal, ils dissuadent les comportements prédateurs. CISPE a eu raison de saisir la Commission. Le travail de l'autorité de la concurrence européenne sur les pratiques des acteurs dominants est réel et nécessaire.
Mais les recours ne reconstituent pas une capacité d'autonomie que l'Europe n'a jamais vraiment construite dans ce segment. Ils ne raccourcissent pas les délais de migration. Ils ne forment pas les équipes techniques aux alternatives. Ils ne financent pas les champions européens qui devraient exister à grande échelle et ne sont encore que trop peu nombreux, trop fragmentés, ou insuffisamment matures pour absorber la demande.
Pire : une victoire partielle sur un dossier réglementaire peut créer une illusion de protection qui retarde les arbitrages difficiles. Si Broadcom consent à un geste commercial sous pression institutionnelle, combien de DSI vont repousser leur plan de migration d'un an, deux ans, en se disant que la menace est provisoirement contenue ? Et se retrouver dans la même situation au prochain cycle tarifaire, ou au prochain rachat.
Cette dynamique — recours, répit, attentisme, nouveau choc — est exactement le piège dans lequel plusieurs industries européennes sont tombées avec d'autres dépendances numériques critiques.
Ce que l'ETI a finalement décidé — et ce que ça dit
L'ETI industrielle évoquée ici n'a pas attendu l'issue des procédures. Face à l'incertitude contractuelle et aux injonctions contradictoires de ses obligations réglementaires, elle a lancé un chantier de migration vers une solution de virtualisation portée par un acteur dont le siège social, les équipes, et le cadre juridique sont européens. Ce n'est pas une décision idéologique. C'est une décision de gestion du risque.
Le chantier est long. Il mobilise des ressources qu'elle n'avait pas anticipées. Il révèle des dépendances techniques cachées que des années de dette architecturale avaient enfouies. Mais la DSI dit quelque chose d'important : *"Pour la première fois, on parle avec un fournisseur dont les contraintes légales sont les mêmes que les nôtres. C'est une base de conversation différente."*
C'est précisément ça, la souveraineté numérique au niveau opérationnel. Pas une déclaration de principe. Une base de conversation différente.
La question que personne ne pose dans les communiqués
Les associations professionnelles, les régulateurs, les think tanks publient des analyses solides sur les rapports de force entre grands acteurs technologiques. Ils documentent les abus, plaident pour des marchés plus équitables, obtiennent parfois des résultats tangibles.
Mais la question structurelle reste esquivée : pourquoi l'Europe continue-t-elle à ne financer les champions numériques souverains qu'à la marge, pendant qu'elle consacre des ressources considérables à réguler des acteurs qu'elle n'a pas su ou voulu construire elle-même ?
La réponse à Broadcom n'est pas uniquement un meilleur recours devant la Commission. C'est une infrastructure de virtualisation européenne assez robuste, assez répandue, assez soutenue institutionnellement pour que la prochaine ETI industrielle de 800 salariés ait, dès le départ, une alternative crédible — et pas seulement un numéro de dossier à la DG Comp.
Jusqu'à ce que cette condition soit remplie, les recours resteront ce qu'ils sont : des batailles nécessaires dans une guerre dont l'Europe n'a pas encore décidé qu'elle voulait vraiment la gagner.
Cet article vous a été utile ?
Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.
Pas de spam. Désinscription en un clic. Données hébergées en Europe.