Données BIM sous juridiction américaine : le retour terrain d'une ETI industrielle qui a décidé de reprendre la main

# Données BIM sous juridiction américaine : le retour terrain d'une ETI industrielle qui a décidé de reprendre la main

Le déclencheur : un audit qui révèle l'invisible

Tout commence par une banale revue de conformité NIS2, initiée en début d'année 2025. Une ETI industrielle de 800 salariés — fabricant d'équipements techniques pour le secteur de l'énergie, implanté sur trois sites en France et en Allemagne — mandate son RSSI pour cartographier les flux de données sensibles dans le système d'information. L'exercice est classique. La découverte, elle, ne l'est pas.

En remontant la chaîne des outils métiers, l'équipe IT tombe sur un angle mort majeur : l'ensemble de la maquette numérique des installations industrielles de l'entreprise — ses données BIM, soit des années de modélisation des équipements, des plans d'infrastructures critiques, des données de maintenance prévisionnelle — transite et réside dans un environnement cloud dont le siège social de l'éditeur est établi aux États-Unis.

Le contrat signé quelques années plus tôt ne mentionnait pas explicitement la localisation des données. Les serveurs étaient « en Europe », disait la documentation commerciale. Mais la maison mère, elle, était américaine. Et le Cloud Act, lui, ne se préoccupe pas de la géographie des serveurs.

Ce que le Cloud Act change concrètement pour un RSSI

Le Cloud Act de 2018 autorise les autorités fédérales américaines à exiger d'un fournisseur de services cloud américain qu'il transmette des données stockées sur ses serveurs, où qu'ils se trouvent dans le monde, sans nécessairement informer l'entreprise concernée ni passer par les voies judiciaires européennes. Ce n'est pas une hypothèse théorique. C'est une obligation légale pour l'éditeur, qui prime sur ses engagements contractuels avec ses clients européens.

Pour le RSSI de cette ETI, la prise de conscience est brutale : les données BIM de ses installations industrielles — infrastructure potentiellement classifiée au titre des opérateurs d'importance vitale dans le secteur énergie — peuvent légalement être consultées par une autorité étrangère sans que l'entreprise en soit informée, sans recours préalable, et sans que le fournisseur puisse s'y opposer.

NIS2, transposée en droit français, impose pourtant une obligation de notification et de maîtrise des risques sur la chaîne de sous-traitance. RGPD exige la traçabilité des transferts hors UE. La combinaison des deux crée une situation inconfortable : l'ETI est formellement en zone grise, avec une exposition réelle qu'elle ne maîtrise pas.

L'audit de la chaîne BIM : trois semaines pour mesurer l'exposition

Le DSI décide de conduire un audit ciblé sur la chaîne BIM, avec un périmètre délibérément restreint pour aller vite. L'objectif n'est pas de refaire l'ensemble de la cartographie du SI — travail déjà en cours dans le cadre NIS2 — mais de qualifier précisément le risque sur ce vecteur spécifique.

Ce que l'audit révèle en trois semaines :

Sur la nature des données exposées. Les maquettes BIM contiennent bien plus que des plans. Elles embarquent des données de configuration d'équipements industriels, des historiques d'interventions, des informations sur les fournisseurs et sous-traitants, des données de performance des installations. Dans un contexte d'espionnage industriel ou de pression concurrentielle, ces données ont une valeur stratégique réelle.

Sur la chaîne de sous-traitance. L'éditeur BIM principal fait lui-même appel à des services tiers — stockage, analytique, rendu 3D — dont une partie relève également de groupes américains. La surface d'exposition est donc plus large que le seul contrat principal. C'est précisément ce que NIS2 vise : la chaîne de dépendance, pas seulement le fournisseur direct.

Sur la conformité RGPD. Certaines maquettes intègrent des données liées à des interventions de techniciens identifiables. Ce sont des données personnelles au sens du RGPD. Leur hébergement dans un cloud soumis au Cloud Act sans analyse d'impact spécifique ni clause contractuelle adaptée constitue un manquement documentable.

La décision : ne pas attendre la prochaine contrainte réglementaire

Face à ce tableau, le DSI aurait pu — comme beaucoup — attendre. Attendre une injonction de la CNIL, une mise en demeure dans le cadre NIS2, ou un incident concret. C'est souvent ainsi que les migrations se déclenchent : sous la pression, en urgence, dans de mauvaises conditions.

L'ETI choisit une autre approche. Elle engage une démarche de migration maîtrisée vers une solution dont la chaîne de custody des données est entièrement localisable en droit européen. Le critère retenu n'est pas le prix, ni même les fonctionnalités. C'est la réponse à une question simple : en cas de demande d'une autorité étrangère, qui décide, et selon quel droit ?

C'est dans ce contexte que la levée de fonds d'ENLAYE — éditeur français spécialisé dans la gestion du risque BIM — prend une signification concrète pour les équipes IT de l'ETI. Non pas comme une annonce de marché, mais comme un signal de maturité d'un segment d'offre européen sur lequel il devient raisonnable de parier.

Ce que la migration enseigne sur la gestion du risque

La migration elle-même réserve des surprises opérationnelles que le DSI partage volontiers, à titre de retour d'expérience.

La résistance vient des métiers, pas de la technique. Les équipes de conception et de maintenance ont leurs habitudes. Changer d'outil BIM, même à fonctionnalités équivalentes, génère une friction réelle. Le DSI l'a sous-estimé. La conduite du changement a nécessité un investissement en temps significativement supérieur à l'effort technique de migration.

La contractualisation doit précéder la migration. L'ETI a appris à ses dépens qu'un avenant au contrat existant pour organiser la période de transition — accès aux données, format d'export, garantie de non-destruction — est indispensable. Sans cela, le fournisseur sortant n'a aucune obligation formelle de faciliter la portabilité.

La documentation de la décision est un actif. Dans le cadre NIS2 et RGPD, le fait de documenter la démarche d'analyse de risque, la décision de migration et les critères retenus a une valeur propre. En cas de contrôle, l'entreprise peut démontrer une démarche proactive et raisonnée. C'est ce que les régulateurs commencent à valoriser : non pas la perfection du système, mais la maîtrise du risque.

Ce que le DSI retient, dix-huit mois après

L'ETI n'est pas sortie de toute dépendance américaine dans son SI — ce n'était pas l'objectif, et ce serait une illusion à court terme. Mais elle a identifié et traité son point d'exposition le plus critique : les données qui décrivent physiquement ses installations industrielles ne sont plus soumises à une juridiction étrangère.

Le DSI formule la leçon ainsi : la souveraineté numérique n'est pas un état binaire. C'est une gestion de portefeuille de risques. Sur certains outils, la dépendance américaine est acceptable parce que les données sont peu sensibles ou facilement réversibles. Sur d'autres — et le BIM industriel en fait partie — l'exposition est trop grande pour être laissée au hasard d'un contrat commercial.

La levée de fonds d'ENLAYE, et plus généralement la structuration progressive d'une offre européenne crédible sur la gestion du risque BIM, change le calcul. Pendant longtemps, l'argument des DSI hésitants était l'absence d'alternative mature. Cet argument s'érode. Ce qui reste, c'est la décision de le vouloir — ou de continuer à faire confiance à des juridictions qui n'ont aucune obligation de réciprocité.