DSA, amendes et dépendances : ce que l'affaire Temu révèle sur la vulnérabilité des SI européens

# DSA, amendes et dépendances : ce que l'affaire Temu révèle sur la vulnérabilité des SI européens

Il serait tentant de lire l'amende infligée à Temu au titre du Digital Services Act comme une simple victoire du régulateur européen face à une plateforme e-commerce agressive venue de Chine. Une bonne nouvelle pour le consommateur, un signal fort envoyé aux acteurs étrangers qui sous-estiment le cadre juridique européen. Circulez, il n'y a rien à voir.

Mais cette lecture-là est exactement celle qu'il faut refuser.

Pour un DSI, un CTO ou un RSSI d'une PME ou ETI européenne, l'affaire Temu est avant tout un révélateur. Elle pose une question que beaucoup d'organisations évitent encore soigneusement : si demain, c'est votre entreprise qui est dans le viseur d'un régulateur — européen ou non — êtes-vous en mesure de démontrer votre conformité sans dépendre d'infrastructures américaines pour le faire ? Et cette question, en 2026, n'a rien d'hypothétique.

Le DSA n'est pas une affaire de géants : l'erreur de cadrage qui coûte cher

Depuis son entrée en vigueur progressive, le Digital Services Act a été largement présenté dans la presse généraliste comme un texte destiné aux « très grandes plateformes » — les VLOP, Very Large Online Platforms. Les GAFAM, Temu, TikTok. Des entités avec des milliards d'utilisateurs, des équipes juridiques de plusieurs centaines de personnes, des budgets compliance à neuf chiffres.

Cette représentation est partiellement exacte et fondamentalement trompeuse.

Le DSA s'applique à un spectre bien plus large d'acteurs : toute plateforme qui met en relation des utilisateurs avec des contenus, des biens ou des services en ligne — y compris des acteurs de taille intermédiaire. Et surtout, il construit un environnement réglementaire dont les effets se propagent bien au-delà des plateformes directement visées. Les obligations de transparence algorithmique, de gestion des signalements, de documentation des systèmes de recommandation, de traçabilité des décisions automatisées : elles créent un standard de preuve que toute organisation exposée à un risque réglementaire — DSA, RGPD, NIS2, AI Act — doit désormais être capable de satisfaire.

Or, voilà le paradoxe que personne ne veut vraiment nommer : la majorité des entreprises européennes qui doivent prouver leur conformité à des réglementations européennes le font aujourd'hui avec des outils américains. Des suites de gouvernance hébergées chez des opérateurs soumis au Cloud Act. Des systèmes de ticketing et de gestion des incidents tournant sur des infrastructures dont la juridiction échappe partiellement au droit européen. Des solutions de GRC (Governance, Risk, Compliance) dont les données — y compris les preuves de conformité elles-mêmes — transitent par des serveurs hors souveraineté.

C'est une contradiction structurelle. Et l'affaire Temu la rend visible.

La conformité comme dépendance : le marché GRC sous surveillance américaine

Quand on ausculte le marché des outils de conformité et de gouvernance utilisés par les entreprises européennes, le tableau est préoccupant. Les grandes suites intégrées qui dominent ce segment — gestion des risques, documentation réglementaire, audit interne, gestion des incidents de sécurité — sont quasi-exclusivement développées et opérées par des acteurs américains ou des filiales dont le contrôle capitalistique remonte à des fonds ou groupes soumis à la juridiction américaine.

Ce n'est pas un détail. C'est un problème de fond.

Lorsqu'une entreprise européenne documente ses processus de conformité DSA — cartographie de ses algorithmes de recommandation, journaux de modération, preuves de traitement des signalements — elle crée un corpus de données qui est à la fois extrêmement sensible et potentiellement exposé. Sensible parce qu'il décrit en détail le fonctionnement interne de l'organisation. Exposé parce que les conditions d'accès à ces données par des autorités étrangères, en vertu du Cloud Act américain notamment, n'ont pas disparu depuis 2026.

Il ne s'agit pas de crier au complot. Il s'agit d'une réalité juridique documentée, que les équipes juridiques des grands groupes connaissent parfaitement — et que les PME/ETI ignorent encore trop souvent.

La question à poser concrètement : où vivent les preuves de votre conformité ? Sous quelle juridiction ? Accessibles à qui, dans quelles circonstances ?

Si la réponse est « dans un SaaS américain, hébergé aux États-Unis ou dans une région Azure/AWS », alors votre démonstration de conformité à une réglementation européenne repose sur une infrastructure qui peut être soumise à des injonctions étrangères. C'est un risque systémique que le régulateur européen n'a pas encore pleinement adressé — mais qui finira par l'être.

Ce que les DSI peuvent apprendre de Temu — même sans être une plateforme

L'une des leçons les plus sous-estimées de l'affaire Temu concerne la capacité à produire des preuves en temps réel. Quand un régulateur ouvre une procédure, il ne demande pas une promesse de conformité. Il demande des journaux, des traces, des historiques de décision, des preuves que les processus existaient et fonctionnaient *avant* la mise en demeure.

Or, la plupart des organisations — PME ou ETI, indépendamment de leur taille — ne sont pas en mesure de produire cette documentation de façon fiable et rapide. Pas parce qu'elles ne sont pas conformes, mais parce que leur infrastructure de conformité est fragmentée, mal documentée, ou dépendante d'outils dont elles ne maîtrisent pas entièrement l'export et la traçabilité.

Ce problème d'auditabilité est distinct du problème de souveraineté — mais ils se croisent dangereusement.

Un outil de conformité souverain, hébergé dans une infrastructure européenne, sous droit européen, avec des garanties contractuelles robustes, ne résout pas à lui seul le problème d'auditabilité. Mais il supprime une couche de complexité juridique qui, en cas de contrôle, peut transformer une procédure normale en crise de gouvernance.

Prenons un exemple concret, sans nommer de solution spécifique : une entreprise qui gère ses incidents RGPD et DSA dans un outil hébergé en Europe, avec des logs immuables, une traçabilité des décisions et une architecture qui permet l'export documenté des preuves, est structurellement mieux positionnée pour répondre à un régulateur. Non pas parce qu'elle est plus conforme sur le fond, mais parce qu'elle peut démontrer sa conformité sans avoir à demander des extractions de données à un opérateur américain soumis à des délais, des contraintes légales croisées, voire des refus.

C'est une différence opérationnelle majeure. Et c'est exactement ce que les équipes dirigeantes qui regardent l'affaire Temu de loin devraient retenir.

L'opportunité industrielle européenne : entre retard structurel et signaux encourageants

Faisons le point honnêtement sur la position de l'industrie européenne dans ce segment.

Le marché des outils GRC, de conformité réglementaire et de gouvernance des données est historiquement dominé par des acteurs américains. Ce n'est pas une fatalité, mais c'est une réalité dont il faut partir. Les cycles d'achat longs, la complexité des intégrations dans les SI existants, et la force commerciale des grands intégrateurs américains ont créé des situations de dépendance qui ne se défont pas en quelques trimestres.

Pour autant, plusieurs signaux méritent attention.

D'abord, la montée en puissance de la demande réglementaire européenne — RGPD, NIS2, DSA, AI Act, DORA pour le secteur financier — crée un besoin de conformité spécifiquement calibré sur le droit européen. Or, les outils américains sont conçus pour un marché américain, avec des référentiels réglementaires américains. Les adaptations au cadre européen sont souvent superficielles, insuffisamment intégrées, et mises à jour avec un décalage structurel. C'est une fenêtre d'opportunité réelle pour des éditeurs européens.

Ensuite, plusieurs acteurs européens — notamment dans l'espace Benelux, en Allemagne et dans les pays nordiques — ont développé des approches sérieuses sur la gestion de la conformité et du risque, avec une architecture pensée pour les exigences juridiques européennes. Ces acteurs ne bénéficient pas de la visibilité marketing de leurs concurrents américains. Ils ne font pas de grandes annonces à Davos. Mais ils existent, et certains commencent à capter des marchés que les acteurs US ne peuvent plus adresser crédiblement face à des DSI attentifs aux risques de dépendance.

Enfin, il faut mentionner le rôle croissant des autorités réglementaires européennes elles-mêmes — CNIL, BSI, ANSSI et leurs homologues — dans la définition de ce que doit être une infrastructure de conformité souveraine. Ce mouvement normatif est lent, parfois frustrant, mais il crée progressivement un cadre de référence qui favorisera les acteurs capables de le satisfaire nativement.

Qui risque de décrocher ? Les organisations qui considèrent encore que la question de la souveraineté de leurs outils de conformité est un sujet « IT » de second rang, à traiter après les grands chantiers de transformation. En 2026, avec les amendes DSA qui tombent et NIS2 qui monte en puissance, cette hiérarchisation est une erreur de gouvernance.

Qui peut émerger ? Les éditeurs européens capables de proposer une offre GRC/conformité avec une véritable garantie de résidence des données, une architecture d'audit native, et une mise à jour réglementaire calibrée sur le droit de l'Union. Le marché adressable est là. La question est de savoir si l'investissement industriel européen suivra.

Les questions que les DSI devraient poser — et qu'ils ne posent pas encore

Concluons par ce qui dérange vraiment.

La majorité des organisations européennes qui ont lancé des programmes de conformité DSA ou NIS2 au cours des dix-huit derniers mois ont fait appel à des cabinets de conseil qui leur ont recommandé des outils. Ces outils sont souvent ceux que les consultants connaissent. Ceux qu'ils ont déjà déployés. Ceux pour lesquels ils ont des certifications. Et dans une très large proportion, ce sont des outils américains.

Personne ne pose la question de la souveraineté de la conformité elle-même. On pose la question de la conformité *aux* réglementations européennes, mais on ne pose pas la question de la conformité *avec* des outils européens. C'est un angle mort collectif.

Voici les questions concrètes que tout DSI ou RSSI devrait poser à son équipe et à ses prestataires :

Où sont hébergées nos preuves de conformité ? Pas nos données métier — nos *preuves*. Les journaux d'audit, les historiques de décision, la documentation réglementaire.

En cas d'injonction étrangère adressée à notre opérateur SaaS, nos données de conformité sont-elles protégées ? Qui en garantit l'inviolabilité, et sur quelle base juridique ?

Notre capacité à démontrer notre conformité dépend-elle d'un acteur soumis à une juridiction étrangère ? Si oui, c'est un risque de gouvernance qui devrait figurer dans notre cartographie des risques — et qui n'y figure probablement pas.

Nos contrats avec nos prestataires de conformité contiennent-ils des clauses de portabilité et d'export des données suffisantes pour répondre à une demande réglementaire en moins de 72 heures ?

Ces questions ne sont pas théoriques. L'affaire Temu a montré que les régulateurs européens savent désormais manier le DSA avec efficacité. La prochaine procédure ne visera peut-être pas une plateforme chinoise. Elle pourrait viser un acteur économique européen dont la documentation de conformité est fragmentée, hébergée hors souveraineté, et difficile à mobiliser rapidement.

Se préparer à cette éventualité, c'est précisément ce que la ligne de fracture entre les organisations qui ont compris l'enjeu — et celles qui l'apprendront à leurs dépens — révélera dans les prochains trimestres.

L'amende Temu n'est pas une victoire à célébrer depuis les tribunes. C'est un signal à décoder depuis la salle des machines.