RiffLab Media

Le droit européen comme levier : DSI, il est temps de reprendre le volant

Date Published

# Le droit européen comme levier : DSI, il est temps de reprendre le volant

Pendant des années, nous avons accepté l'inacceptable. Des contrats rédigés en anglais, soumis au droit de l'État de Californie ou de l'État de Washington. Des clauses de résiliation unilatérale. Des hausses de prix annoncées par email à soixante jours. Des données d'entreprise hébergées on ne sait exactement où, dans on ne sait exactement quel datacenter, accessibles on ne sait exactement par qui.

Nous avons accepté tout ça parce que nous pensions ne pas avoir le choix. Parce que l'outil était commode. Parce que les équipes avaient pris l'habitude. Parce que migrer semblait plus coûteux que rester.

En 2026, cette équation a changé. Pas radicalement, pas du jour au lendemain — mais elle a changé. Et si vous êtes DSI, CTO ou RSSI d'une PME ou d'une ETI européenne, vous avez aujourd'hui entre les mains des leviers réglementaires que vous n'aviez pas il y a trois ans. La question n'est plus : "peut-on partir ?" La question est : "pourquoi ne sommes-nous pas encore partis ?"


Ce que le droit européen a changé, concrètement

Commençons par le commencement. Trois textes structurants sont entrés pleinement en application ces dernières années et transforment le rapport de force.

Le RGPD — Règlement Général sur la Protection des Données — vous le connaissez. Mais beaucoup l'ont réduit à une contrainte de conformité, à une case à cocher. C'est une erreur d'interprétation stratégique. Le RGPD est en réalité une *arme de négociation*. Il impose à tout fournisseur traitant des données de ressortissants européens de respecter les règles européennes — y compris un acteur américain. Si votre fournisseur ne peut pas vous garantir la localisation de vos données en Europe et l'absence de transfert vers des juridictions tierces sans garanties adéquates, il est techniquement en infraction. Et vous, en tant que responsable de traitement, vous l'êtes aussi.

Ensuite, le Data Act, entré en vigueur en 2024 et pleinement applicable en 2025, change la donne sur un point précis : la portabilité des données. Désormais, vous avez un droit opposable à récupérer vos données dans un format exploitable, dans des délais raisonnables, sans que votre fournisseur puisse vous facturer cette sortie à un tarif prohibitif. Pour une équipe IT, cela signifie quelque chose de très concret : le plan de migration que vous n'osiez pas lancer parce que "récupérer nos données sera une galère" — ce plan est juridiquement protégé aujourd'hui.

Enfin, le **DMA** — Digital Markets Act — cible directement les "gatekeepers", les contrôleurs de marché. Microsoft, Google, Amazon ont été désignés comme tels par la Commission européenne. Ce statut leur impose des obligations d'interopérabilité. En langage IT : ils doivent jouer le jeu des connecteurs ouverts, des APIs accessibles, de la compatibilité avec les outils tiers. S'ils refusent, les amendes sont astronomiques — calculées sur le chiffre d'affaires mondial.


Ce que ça change pour vos équipes, au quotidien

Arrêtons-nous sur la dimension opérationnelle. Parce que les textes réglementaires, c'est bien. Mais ce qui m'intéresse, c'est ce qui se passe dans la salle des serveurs et dans les tickets de support.

Premier impact concret : l'audit de dépendance devient une priorité légitime. Avant, cartographier ses dépendances vis-à-vis d'un acteur américain était perçu comme un exercice paranoïaque ou purement académique. Aujourd'hui, c'est une obligation de fait pour tout responsable de traitement qui veut prouver sa conformité RGPD. Cela signifie que votre équipe IT a une raison officielle — et même une obligation — de savoir exactement quelles données transitent par quels outils, hébergés où, sous quelles conditions contractuelles. Ce travail de cartographie, bien mené, révèle souvent des surprises. Des outils de productivité adoptés en mode shadow IT — c'est-à-dire sans validation de la DSI, installés directement par les métiers — qui transmettent des données sensibles vers des serveurs hors Union européenne.

Deuxième impact : **la portabilité des données rend les migrations techniquement moins risquées**. Une des grandes frayeurs du changement d'outil, c'est la perte de l'historique. Trois ans d'emails, cinq ans de documents partagés, deux ans de tickets de support. Le Data Act contraint les fournisseurs à faciliter cette extraction. Des acteurs européens comme **Nextcloud** — solution allemande de gestion de fichiers et de collaboration — ou **Infomaniak** — hébergeur suisse — ont d'ailleurs fait de cette compatibilité un argument commercial fort. Pas parce qu'ils sont altruistes, mais parce que le marché de la migration est devenu un marché réel.

Troisième impact, le plus sous-estimé : l'interopérabilité imposée par le DMA ouvre des fenêtres de sortie que vous ne soupçonniez pas. Si un acteur américain doit exposer des APIs standards et jouer le jeu des intégrations tierces, cela signifie que votre SI peut progressivement se désolidariser d'une suite logicielle dominante sans tout casser d'un coup. On parle d'une stratégie de découplage progressif : on commence par les outils périphériques, on migre les données de contexte, on forme les équipes sur de nouveaux environnements, et on ne coupe le cordon principal que lorsque l'écosystème alternatif est opérationnel.


La vraie résistance n'est pas technique

Il faut être honnête : les obstacles à la reprise de contrôle ne sont plus principalement techniques. Ils sont culturels et organisationnels.

Les équipes se sont habituées aux interfaces des outils dominants américains. La direction générale a peur du changement. Les commerciaux ne veulent pas toucher à leur CRM. Les RH ne veulent pas former leurs équipes à un nouvel outil.

Mais voici ce que j'observe : les DSI qui ont commencé à documenter leurs dépendances, à poser des questions précises à leurs fournisseurs américains sur la localisation des données, à activer leurs droits réglementaires — ces DSI ont souvent obtenu deux choses. Des réponses embarrassées. Et un levier de renégociation contractuelle qu'ils n'avaient jamais eu avant.

Le droit européen ne va pas migrer votre SI à votre place. Mais il vous donne quelque chose que vous n'aviez pas : une légitimité à exiger des comptes, une base juridique pour partir si les réponses ne sont pas satisfaisantes, et un cadre pour construire une alternative sans être perçu comme le DSI qui "fait de la politique".

Vous ne faites pas de politique. Vous faites votre travail.

Et en 2026, votre travail inclut de savoir où sont vos données, qui y a accès, et ce que vous feriez si votre fournisseur principal décidait demain de doubler ses tarifs, de changer ses conditions d'utilisation, ou de répondre à une injonction d'une juridiction étrangère.

Ce n'est pas une hypothèse d'école. C'est un risque opérationnel documenté. Et vous avez, enfin, les outils réglementaires pour le gérer.

Le volant est là. Il ne reste plus qu'à le saisir.

Cet article vous a été utile ?

Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.

Pas de spam. Désinscription en un clic. Données hébergées en Europe.