DMA, Cloud Act, NIS2 : un DSI face à la réalité de la dépendance cloud américaine

# DMA, Cloud Act, NIS2 : un DSI face à la réalité de la dépendance cloud américaine

*Nous sommes en 2026. Le DMA est en vigueur depuis plus de deux ans, NIS2 s'applique dans la plupart des États membres, et DORA mordra bientôt sur le secteur financier. Pourtant, la migration vers des infrastructures souveraines reste laborieuse pour nombre d'ETI européennes. Un directeur des systèmes d'information, responsable d'une ETI industrielle de taille intermédiaire opérant dans plusieurs pays de l'UE, accepte de parler franchement — sans langue de bois, sans nomme d'entreprise.*

RiffLab : En 2026, le DMA est censé forcer les grandes plateformes à ouvrir leurs écosystèmes. Concrètement, dans votre quotidien de DSI, vous sentez une différence ?

Sur le papier, oui, les acteurs américains ont dû faire des concessions — interopérabilité, portabilité des données, fin de certains couplages forcés. Dans la réalité opérationnelle, c'est beaucoup plus subtil. Ce qu'on observe, c'est que les grandes plateformes US ont anticipé le DMA en redessinant leurs offres autour de l'IA. Elles ont déplacé la valeur captive là où le règlement ne mord pas encore : dans les couches d'inférence, dans les modèles embarqués, dans les API propriétaires d'IA générative qui s'intègrent à vos workflows avant même que vous ayez réalisé la dépendance. Vous pensez vous affranchir du vendor lock-in sur le stockage, et pendant ce temps vous êtes en train de construire une dépendance de niveau supérieur sur la couche IA. C'est très bien joué de leur part.

RiffLab : Le Cloud Act américain reste-t-il votre préoccupation numéro un en matière de conformité, ou d'autres risques ont-ils pris le dessus ?

Le Cloud Act n'a pas disparu. Il est même aggravé par la concentration. Quand un acteur américain consolide à la fois l'infrastructure, le modèle d'IA et les données d'entraînement de vos usages métier, vous avez une surface d'extraterritorialité américaine qui dépasse largement ce qu'on imaginait il y a cinq ans. Ce qui a changé, c'est que nos équipes juridiques et nos RSSI ont fini par admettre que le risque n'est plus théorique. Il y a eu suffisamment de précédents pour que nos assureurs et nos clients grand compte posent des questions précises sur nos chaînes de traitement. Mais ma préoccupation immédiate en 2026, c'est DORA pour nos composants financiers et NIS2 pour notre chaîne de sous-traitance. Ces deux textes nous imposent une traçabilité de la chaîne de dépendance que nous ne pouvons pas produire proprement tant qu'une partie critique de notre SI repose sur des fournisseurs hors juridiction européenne.

RiffLab : NIS2 justement — elle impose des obligations à vos sous-traitants et fournisseurs. Est-ce que ça crée un levier réel pour réduire la dépendance aux acteurs américains ?

C'est le levier que je n'avais pas anticipé, et c'est peut-être le plus efficace à court terme. NIS2 m'oblige à cartographier précisément mes fournisseurs critiques, à évaluer leurs pratiques de sécurité, et à pouvoir démontrer que ma chaîne de sous-traitance est sous contrôle. Quand vous faites cet exercice sérieusement, vous réalisez que certains fournisseurs américains ne peuvent pas vous fournir les garanties contractuelles requises — pas parce qu'ils sont de mauvaise volonté, mais parce que leur modèle juridique est structurellement incompatible avec ce que NIS2 exige. Ça crée une contrainte de compliance qui justifie, en interne, des arbitrages que j'aurais eu du mal à faire passer autrement. Le RSSI et le juriste deviennent des alliés pour la souveraineté numérique, pas juste des freins.

RiffLab : Vous avez mentionné les couches IA. C'est là que la dépendance se recrée le plus vite ?

Oui, et c'est là que le combat se joue maintenant. Nos équipes métier — RH, finance, opérations — ont commencé à expérimenter des outils d'IA générative souvent sans passer par la DSI. Shadow IT de nouvelle génération. Le problème, ce n'est pas l'IA en soi, c'est que ces outils ingèrent des données métier sensibles dans des infrastructures dont nous ne maîtrisons pas la localisation réelle ni les conditions de rétention. J'ai dû mettre en place une gouvernance spécifique sur ce point. Ce qui m'a aidé, c'est de travailler avec des acteurs dont les modèles sont hébergés et opérés en Europe, avec une contractualisation explicite sur la non-rétention des données d'inférence. Il en existe. Ce n'est pas simple à évaluer, mais c'est faisable. Le critère de sélection n'est plus seulement la performance du modèle — c'est la traçabilité juridique de ce qui se passe quand je l'interroge.

RiffLab : Vos directions métier poussent pour rester sur les outils américains qu'elles connaissent. Comment vous gérez cette tension en interne ?

C'est la question la plus difficile, et je vais être honnête : pendant longtemps, j'ai perdu ces arbitrages. La productivité perçue l'emportait sur les risques que j'évoquais. Ce qui a changé, c'est l'entrée en vigueur effective des obligations réglementaires. Quand je peux dire à un directeur métier « si nous avons un incident et que l'autorité de contrôle demande la preuve de la maîtrise de notre chaîne de traitement, nous ne pourrons pas la fournir », la conversation change de nature. Ce n'est plus moi contre eux — c'est l'entreprise contre un risque réglementaire et réputationnel concret. L'autre levier, c'est de ne pas arriver avec des interdictions mais avec des alternatives opérationnelles. La souveraineté numérique ne peut pas être une position de confort pour la DSI si elle dégrade l'expérience utilisateur. On doit livrer des outils qui tiennent la route.

RiffLab : Un mot sur la posture à adopter pour les DSI d'ETI qui n'ont pas encore amorcé cette transition. Par où commencer, sans se perdre ?

Par l'audit de dépendance, pas par la migration. Beaucoup de DSI se paralysent parce qu'ils imaginent qu'il faut tout reconstruire en même temps. Ce n'est pas le bon angle. Commencez par identifier les trois ou quatre composants de votre SI où une indisponibilité, une fuite de données ou une injonction d'autorité étrangère aurait un impact critique sur votre activité ou votre conformité. Sur ces composants-là uniquement, posez-vous la question de la juridiction réelle, de la contractualisation, des alternatives disponibles. Vous aurez une feuille de route réaliste. NIS2 et DORA vous donnent d'ailleurs un cadre naturel pour faire cet exercice — utilisez-le. Ce n'est pas une contrainte supplémentaire, c'est une méthode. Et documentez tout. Si un incident survient, c'est la qualité de votre documentation de gouvernance qui fera la différence devant une autorité de régulation, pas la sophistication de votre stack.