DMA et IA : derrière les promesses de conformité d'AWS et Azure, quels risques réels pour vos équipes ?

# DMA et IA : derrière les promesses de conformité d'AWS et Azure, quels risques réels pour vos équipes ?

En 2026, le Digital Markets Act s'applique pleinement aux services d'IA des gatekeepers américains. AWS et Azure ont communiqué sur leurs ajustements — interopérabilité affichée, portabilité des données revendiquée, accès aux modèles soi-disant ouvert. Les directions juridiques ont pris note. Les DSI, eux, devraient regarder ailleurs : dans leurs propres organigrammes.

Ce que la conformité DMA ne règle pas — et que personne ne dit à vos équipes

La conformité réglementaire d'un acteur dominant ne réduit pas mécaniquement la dépendance opérationnelle qu'une organisation a construite autour de lui. C'est là le nœud du problème. Quand une PME ou une ETI a intégré des services d'IA managés — copilotes de code, synthèse documentaire, assistance client automatisée — fournis par un acteur américain, elle n'a pas seulement adopté un outil. Elle a réorganisé des processus, formé (ou pas) ses équipes, et souvent laissé partir les compétences internes qui auraient permis de comprendre ce qui tourne réellement sous le capot.

Le DMA impose aux gatekeepers de permettre la portabilité. Il n'impose pas à votre organisation d'avoir les compétences pour en bénéficier. Ce sont deux choses radicalement différentes. Une clause contractuelle d'interopérabilité ne vaut rien si votre équipe IT n'a jamais manipulé une API tierce, si votre DSI ne sait pas évaluer un modèle alternatif, et si votre RSSI n'a aucune visibilité sur les flux de données envoyés vers des infrastructures hors sol européen.

La question organisationnelle est donc celle-ci : avez-vous en interne — ou chez un prestataire européen identifié et contractualisé — les compétences pour exercer réellement les droits que le DMA est censé vous accorder ? Évaluation de modèles, audit de dépendances logicielles, gestion de la donnée en transit : ces compétences ne s'improvisent pas au moment où un contrat devient défavorable ou qu'une tarification change.

Il y a aussi une question de gouvernance que les annonces de conformité des acteurs américains tendent à occulter. Qui, dans votre organisation, est responsable de surveiller l'évolution des conditions d'utilisation des services d'IA intégrés ? Qui valide qu'un ajustement côté fournisseur — une mise à jour de modèle, un changement de politique de rétention des données — reste compatible avec vos obligations RGPD et vos engagements clients ? Si la réponse est « personne de désigné », le DMA ne changera rien à votre exposition réelle.

Le bon signal à lire dans les ajustements DMA des acteurs américains n'est pas « ils se conforment, on est protégés ». C'est : ils adaptent leur offre pour rester incontournables tout en respectant la lettre du règlement. La stratégie de dépendance n'est pas abandonnée — elle est rendue plus présentable.

Pour les DSI et RSSI de PME/ETI européennes, 2026 devrait être l'année où l'on cesse de déléguer la question de la souveraineté numérique aux juristes et aux communiqués de presse des fournisseurs — et où l'on commence à la traiter comme un enjeu de compétences internes, de gouvernance documentée et de choix architecturaux assumés.