« Nous avons signé un chèque en blanc à des acteurs qui ne nous doivent rien » : un DSI européen tire la sonnette d'alarme

# « Nous avons signé un chèque en blanc à des acteurs qui ne nous doivent rien » : un DSI européen tire la sonnette d'alarme

*En 2026, les promesses de l'IA générative peinent à se traduire en valeur mesurable dans les systèmes d'information des entreprises européennes. Pendant ce temps, les fournisseurs américains continuent d'engranger des contrats, de consolider leur emprise sur les infrastructures critiques et d'imposer leurs conditions. Nous avons rencontré un DSI d'une ETI industrielle française de taille intermédiaire, présente sur plusieurs marchés européens. Il a accepté de nous parler — sans filtre, et sans que son nom apparaisse. Ce qu'il dit mérite d'être entendu.*

RiffLab : Vous avez récemment pris la décision de geler tout nouveau contrat avec des fournisseurs d'IA américains. Qu'est-ce qui a déclenché cette décision ?

C'est une accumulation. Pas un événement unique. Pendant deux ans, nous avons intégré des briques d'IA dans notre SI — pour l'assistance documentaire, pour la génération de rapports, pour quelques automatisations métier. Les promesses étaient immenses. Les résultats, eux, étaient... flous. Je ne dis pas que ça n'a rien produit. Je dis que nous n'avons jamais été capables de démontrer un retour sur investissement clair, et que pendant tout ce temps, nous avons transféré des quantités croissantes de données sensibles vers des infrastructures que nous ne contrôlons pas.

Le déclic, si vous voulez un moment précis, c'est quand notre équipe juridique a relu nos contrats dans le cadre de notre mise en conformité DORA. Nous avons réalisé que plusieurs de nos fournisseurs d'IA américains opéraient depuis des entités soumises au Cloud Act. Ce n'était pas une surprise théorique — c'était écrit noir sur blanc dans les conditions générales que personne n'avait lues jusqu'au bout.

RiffLab : Le Cloud Act, on en parle depuis des années. Pourquoi ce sujet reste-t-il encore sous-estimé dans les comités de direction ?

Parce qu'il est abstrait jusqu'au moment où il ne l'est plus. Le Cloud Act permet aux autorités américaines d'accéder aux données hébergées par des entreprises américaines, y compris si ces données sont physiquement stockées en Europe. Ce n'est pas une théorie complotiste — c'est le texte de loi.

Mais dans un comité de direction, quand vous présentez un outil qui « augmente la productivité », personne ne veut entendre parler de risque d'extraterritorialité américaine. C'est perçu comme une posture technico-juridique défensive. Ce que je réponds maintenant, c'est : imaginez que vos données contractuelles, vos plans industriels, vos échanges avec vos clients grands comptes soient accessibles à une administration étrangère sans que vous en soyez informés. Là, ça calme.

Et avec NIS2 qui s'applique désormais à nos fournisseurs critiques, nous avons une obligation de vérifier la chaîne de sous-traitance. Ce n'est plus une option.

RiffLab : Concrètement, comment NIS2 et DORA changent-ils votre rapport aux fournisseurs technologiques américains ?

Ils créent une obligation de traçabilité et de résilience que les grands acteurs américains ne respectent pas toujours dans leurs offres standard. DORA, pour le secteur financier — et nous avons une filiale concernée —, impose une cartographie précise des tiers critiques, un droit d'audit, et des exigences de continuité que vous ne pouvez pas négocier facilement face à un acteur dominant qui vous impose ses conditions générales.

NIS2 va dans le même sens pour les opérateurs d'importance élevée : vous devez pouvoir démontrer que votre chaîne de sous-traitance numérique est sécurisée. Or, quand votre fournisseur d'IA s'appuie lui-même sur une infrastructure cloud américaine pour l'inférence, vous avez une dépendance en cascade que vous ne maîtrisez plus.

Ce que ces régulations font, en réalité, c'est rendre visible ce que les directions informatiques savaient mais ne disaient pas : nous avons externalisé notre souveraineté technique par commodité.

RiffLab : Face à ces risques, quelles alternatives avez-vous explorées ? Sans nous faire une liste exhaustive...

Je vais être honnête : ce n'est pas simple. Il n'existe pas d'alternative européenne parfaite à tout ce que les acteurs américains proposent. Mais il existe des alternatives sérieuses, sous-évaluées, parce que les équipes informatiques ont été conditionnées à considérer l'offre dominante américaine comme la référence neutre. Elle ne l'est pas.

Nous avons commencé à travailler avec un hébergeur européen certifié SecNumCloud pour nos workloads IA les plus sensibles. Nous avons également évalué des modèles de langage ouverts, déployables sur notre propre infrastructure, pour des cas d'usage où nous n'avons pas besoin d'une puissance de calcul pharaonique. Ce qui compte, ce n'est pas d'avoir le modèle le plus impressionnant — c'est d'avoir un modèle dont nous contrôlons les données d'entrée et de sortie.

La vraie rupture intellectuelle, pour mon équipe, ça a été de se demander : quel est le niveau de performance réellement nécessaire pour ce cas d'usage précis ? Souvent, la réponse est : bien inférieur à ce que les acteurs américains nous ont vendu.

RiffLab : Vous parlez de conditionnement. C'est un mot fort. Vous pensez que les DSI européens ont été manipulés ?

Je pense qu'ils ont été très habilement orientés. Les programmes de certification, les formations, les écosystèmes de partenaires — tout cela crée une gravité naturelle vers certaines plateformes. Quand votre équipe est certifiée sur une infrastructure américaine, quand vos recrutements sont calibrés sur ces compétences, quand vos intégrateurs ne proposent que ces solutions parce que c'est là où sont leurs marges... vous n'avez pas été « manipulé » au sens complotiste. Vous avez été structurellement orienté.

C'est pour ça que le problème ne se résout pas avec une directive de plus. Il se résout par une décision stratégique assumée en comité de direction : nous voulons maîtriser notre destin numérique, et nous acceptons que ça demande un effort de transition.

RiffLab : Dernier mot — qu'est-ce que vous diriez à un DSI qui se reconnaît dans ce que vous décrivez mais qui ne sait pas par où commencer ?

Commencez par auditer vos flux de données IA. Pas votre architecture dans sa globalité — juste les flux liés aux outils d'IA que vous avez déployés ces deux dernières années. Demandez-vous : où vont ces données ? Sous quelle juridiction ? Qui peut y accéder légalement sans vous en informer ?

Cette cartographie, elle est obligatoire au titre du RGPD depuis longtemps. Elle est renforcée par NIS2. Et elle est souvent absente.

Ensuite, posez la question que personne ne pose en réunion de budget : quel est notre plan de sortie si ce fournisseur double ses tarifs, change ses conditions, ou se retrouve impliqué dans un litige géopolitique qui nous oblige à couper le contrat en urgence ? Si la réponse est « on n'en a pas », alors vous n'avez pas fait un choix technologique. Vous avez signé une dépendance.

Nous avons signé un chèque en blanc à des acteurs qui ne nous doivent rien — ni en termes de continuité, ni en termes de protection de nos intérêts. Il est encore temps de reprendre la main. Mais plus pour très longtemps.

*Cet entretien a été réalisé en avril 2026. L'interlocuteur a souhaité rester anonyme pour des raisons contractuelles liées à ses fournisseurs actuels.*