DMA : quand la contrainte réglementaire devient un levier de désintoxication numérique

# DMA : quand la contrainte réglementaire devient un levier de désintoxication numérique

Le Digital Markets Act n'était pas, à l'origine, conçu pour aider les DSI européens à reprendre la main sur leur système d'information. Deux ans après son entrée en vigueur effective, c'est pourtant l'un de ses effets les plus concrets dans certaines organisations. Retour sur le parcours d'une ETI industrielle qui a su transformer une obligation réglementaire en chantier de gouvernance.

Le contexte : une dépendance construite couche par couche

Une ETI industrielle de 800 salariés, présente dans plusieurs pays européens, fabrique des équipements destinés au secteur de l'énergie. Son SI s'est construit par sédimentation : messagerie, suite bureautique, stockage, visioconférence, CRM, gestion de projet — chaque brique ajoutée au fil des années, souvent sous la pression d'un usage métier ou d'un prestataire habituel. Résultat en 2024 : une dépendance quasi totale à un acteur américain dominant pour la quasi-totalité des outils du quotidien.

La DSI n'ignorait pas la situation. Elle la subissait, faute de mandat politique interne pour l'adresser. Le sujet de la souveraineté numérique était perçu par la direction générale comme un débat d'expert, lointain, sans impact opérationnel immédiat.

C'est l'entrée en vigueur du DMA, et les premières obligations concrètes qu'il a générées, qui a changé la donne — non pas directement sur les outils, mais sur la conversation interne.

Le déclencheur : une clause contractuelle devenue indéfendable

Courant 2025, le département juridique de l'ETI est interpellé par un client grand compte allemand, lui-même soumis à des exigences de conformité renforcées dans le cadre de sa politique d'achat. La question posée est simple : où sont hébergées les données échangées dans le cadre du contrat ? Qui y a accès ? Sous quelle juridiction ?

La réponse honnête — des serveurs hors Union européenne, des conditions générales régies par le droit de l'État de Delaware, des clauses d'accès gouvernemental potentiel au titre du Cloud Act américain — n'est pas acceptable pour le client. Le contrat est menacé.

C'est ce moment précis qui transforme la souveraineté numérique d'un sujet DSI en sujet de direction générale. Le DMA, en forçant les opérateurs désignés comme « gatekeepers » à exposer davantage leurs interfaces et leurs pratiques, avait entre-temps rendu plus visible l'asymétrie des relations contractuelles. Des alternatives européennes crédibles commençaient à s'organiser autour de ces ouvertures forcées.

La réponse organisationnelle : ne pas confondre migration et transformation

La première réaction de la direction aurait pu être de lancer un projet de migration en urgence — remplacer un outil par un autre, cocher la case, passer à autre chose. La DSI a résisté à cette logique, avec raison.

« Le vrai problème n'est pas l'outil, c'est la compétence interne qu'on n'a jamais développée parce qu'on avait sous-traité la réflexion à l'éditeur », explique le DSI de l'entreprise, qui a accepté de témoigner sous anonymat. « On avait des administrateurs, pas des architectes. Des utilisateurs de consoles, pas des gens capables de raisonner sur l'architecture de données. »

La décision prise est structurante : avant de migrer quoi que ce soit, l'entreprise investit dans un audit de souveraineté des données. Non pas un audit technique au sens strict, mais un exercice de cartographie fonctionnelle : quelles données circulent où, pour quel usage, avec quel niveau de sensibilité, et quelle serait la conséquence d'un accès non autorisé ou d'une rupture de service ?

Cet exercice, conduit sur plusieurs mois avec une équipe interne renforcée de deux profils recrutés en externe — un architecte d'entreprise et un juriste spécialisé en droit des données — révèle une réalité que personne n'avait formalisée : une part significative des données opérationnelles les plus sensibles (plans, spécifications techniques, données clients industriels) transite quotidiennement par des services dont les conditions d'hébergement n'ont jamais été auditées.

L'impact organisationnel : ce que le DMA force à décider

Le DMA n'impose pas aux entreprises de changer de fournisseur. Il impose aux fournisseurs désignés d'ouvrir leurs systèmes à l'interopérabilité, de ne plus pratiquer certaines formes de couplage forcé, de permettre à leurs clients de récupérer leurs données dans des formats portables. En théorie, c'est une libération. En pratique, encore faut-il être organisé pour en tirer parti.

Pour cette ETI, le premier bénéfice concret du DMA n'a pas été la migration vers un autre outil. C'est la fin d'une forme de paralysie : « Avant, quand on évoquait une alternative, la réponse était toujours 'mais on ne peut pas exporter nos données'. Le DMA a rendu cet argument moins tenable. L'interopérabilité forcée a donné une crédibilité technique à la démarche. »

Sur le plan des ressources humaines, les implications sont directes :

La montée en compétence ne peut pas être externalisée à l'infini. L'ETI a identifié trois types de compétences critiques à internaliser prioritairement : la gouvernance des identités et des accès (qui voit quoi, depuis où, avec quelle traçabilité), la gestion des contrats cloud dans leurs dimensions juridiques et techniques, et la capacité à évaluer des solutions alternatives sans dépendre du discours commercial des éditeurs.

La gouvernance doit changer de niveau. Les décisions d'outillage ne peuvent plus être déléguées à la seule DSI, ni arbitrées uniquement sur critère de coût ou d'ergonomie. Un comité de gouvernance numérique a été formalisé, intégrant la direction juridique, la direction des opérations et un représentant de la direction générale. Ce comité valide désormais tout contrat SaaS dépassant un certain seuil de sensibilité des données traitées.

La formation des managers métier devient stratégique. L'un des angles morts identifiés : les décisions d'adoption d'outils numériques se prenaient souvent au niveau des directions métier, sans remontée systématique à la DSI. Un programme de sensibilisation a été déployé, non pas sur la technique, mais sur la notion de donnée sensible et sur les réflexes à avoir avant d'adopter un service tiers.

Où en est l'entreprise aujourd'hui ?

Deux ans après le déclencheur contractuel, l'ETI n'a pas effectué une migration totale de son environnement. Ce n'était d'ailleurs pas l'objectif affiché. Elle a en revanche opéré des choix différenciés : certains outils critiques ont migré vers des alternatives hébergées en Europe, avec des contrats soumis au droit français ou allemand. D'autres outils, jugés moins sensibles du point de vue des données traitées, restent en place — mais avec une gouvernance contractuelle renforcée et une stratégie de sortie documentée.

Un prestataire européen spécialisé dans la gestion documentaire sécurisée — Seafile dans sa version on-premise hébergée en interne, pour la partie la plus sensible — a été retenu pour les échanges avec les clients grands comptes. Le choix a été guidé non par l'idéologie, mais par la réponse concrète aux exigences contractuelles du client déclencheur.

Le contrat allemand a été sauvé.

Ce que ce cas enseigne

Plusieurs enseignements sont transférables à d'autres ETI en situation comparable :

Le DMA est un outil, pas une solution. Il crée des conditions favorables à la mobilité et à l'interopérabilité. Il ne dispense pas d'un travail interne de cartographie, de gouvernance et de montée en compétence. Les organisations qui attendent que la réglementation règle le problème à leur place passeront à côté de la fenêtre d'opportunité.

La souveraineté numérique se pilote comme un risque, pas comme un projet. Ce n'est pas un chantier avec une date de fin. C'est une posture de gouvernance permanente, qui suppose des compétences internalisées et des processus de décision adaptés.

Le déclencheur client est souvent plus efficace que l'argument réglementaire. La direction générale de cette ETI n'a pas bougé sur le fond du dossier tant que le sujet restait abstrait. C'est la menace sur un contrat commercial qui a converti l'argument souverainiste en priorité opérationnelle. Les DSI qui cherchent à faire avancer ce type de dossier en interne gagneraient à identifier ces déclencheurs clients plutôt qu'à argumenter seuls sur la base de la conformité réglementaire.

Les compétences internes sont le vrai actif souverain. Une migration sans compétence interne reproduit la dépendance sous une autre forme. La vraie rupture se joue dans la capacité de l'organisation à évaluer, choisir, contractualiser et piloter ses fournisseurs numériques sans leur déléguer la réflexion stratégique.

*Le DMA n'a pas réglé la question de la dépendance numérique des entreprises européennes. Il a rendu les choix plus difficiles à esquiver. C'est peut-être là son apport le plus durable.*