RiffLab Media

Quand l'usine tourne sous dépendance américaine : le réveil brutal d'un équipementier auto

Date Published

# Quand l'usine tourne sous dépendance américaine : le réveil brutal d'un équipementier auto

En 2026, la pression sur les sous-traitants automobiles européens est maximale. Concurrence chinoise frontale, restructurations en cascade, consolidation des donneurs d'ordre. Dans ce contexte, une ETI industrielle de 800 salariés a découvert, de la pire façon qui soit, que sa dépendance technologique n'était pas un risque abstrait.


Le déclencheur : un audit de qualification fournisseur

Tout commence par une démarche banale. Un grand donneur d'ordre, lui-même sous pression de ses actionnaires pour prouver sa résilience opérationnelle, envoie un questionnaire de qualification fournisseur étendu. Parmi les questions, plusieurs portent sur la localisation des données de production, la chaîne de sous-traitance des outils numériques, et la capacité à garantir la confidentialité des données techniques échangées dans le cadre des appels d'offres.

Le DSI de l'ETI — appelons-le Marc, une quinzaine d'années dans l'industrie — s'attelle à l'exercice en pensant y passer une matinée. Il y passera trois semaines.

Première découverte : l'ERP, déployé il y a sept ans lors d'une vague de modernisation, est hébergé chez un intégrateur européen, mais repose sur une infrastructure dont les sauvegardes automatiques transitent par des nœuds situés aux États-Unis. Personne ne l'avait documenté. Personne ne l'avait demandé à l'époque.

Deuxième découverte : les outils de collaboration utilisés au quotidien par les équipes bureau d'études — partage de plans, annotations de maquettes numériques, messagerie de projet — sont fournis par un acteur américain dont les conditions générales d'utilisation prévoient explicitement une soumission au droit américain, Cloud Act inclus. Les fichiers CAO échangés avec les donneurs d'ordre sur cette plateforme incluent des géométries de pièces soumises à confidentialité contractuelle.

Troisième découverte, la plus inconfortable : le système de supervision des lignes de production — le MES — remonte des données de performance opérationnelle vers un service d'analytics cloud. Ce service est opéré par une filiale américaine. Les données de cadence, de taux de rebut, de temps de cycle sont donc potentiellement accessibles à des autorités américaines sur simple injonction, sans notification préalable à l'entreprise européenne.


Ce que NIS2 et le Cloud Act changent concrètement à la situation

Marc n'est pas juriste. Mais il n'a pas besoin de l'être pour comprendre l'implication opérationnelle immédiate : son entreprise, fournisseur de rang 2 sur des composants embarqués, traite des données techniques qui pourraient, dans un scénario de tension commerciale ou géopolitique, se retrouver accessibles à des acteurs tiers via le levier réglementaire américain.

La directive NIS2, transposée dans la législation nationale de l'ETI depuis 2025, impose désormais des obligations de cartographie des risques numériques et de notification d'incidents aux entités de la chaîne d'approvisionnement. L'ETI, en tant que sous-traitant d'un acteur classé "entité importante", entre dans le périmètre. Ce n'est plus une option de conformité : c'est une condition de maintien de la relation commerciale.

Le problème du Cloud Act, lui, est structurel. Aucune clause contractuelle européenne ne peut y déroger dès lors que le prestataire est une entité américaine ou une filiale d'entité américaine. Le RGPD ne protège pas contre une injonction émise dans le cadre du droit américain. Le Standard Contractual Clause ne couvre pas ce cas de figure. Marc le savait en théorie. Voir la cartographie de ses propres outils lui confirme que l'exposition est concrète, documentable, et opposable lors d'un audit.


La pression compétitive chinoise, accélérateur de la prise de conscience

Parallèlement à cet audit interne, l'ETI fait face à une réalité commerciale que personne ne veut formuler trop clairement en réunion de direction : plusieurs appels d'offres récents ont été perdus face à des concurrents chinois dont les prix sont structurellement inférieurs. La direction industrielle attribue cela aux coûts matières et à l'énergie. Marc, lui, commence à poser une autre question.

Si les données de performance de ses lignes — cadences, rendements, coûts de production par référence — transitent par des infrastructures dont la confidentialité n'est pas garantie, qui peut certifier qu'elles ne circulent pas dans des canaux où des acteurs tiers pourraient en extraire de la valeur concurrentielle ? La réponse honnête est : personne.

Ce n'est pas une théorie du complot. C'est une analyse de risque. Et dans un secteur où la compétition se joue désormais à quelques points de marge, l'asymétrie informationnelle est une arme.


Ce que l'ETI a fait — et ce qui s'est avéré plus difficile que prévu

Marc et son équipe ont lancé un chantier de remédiation en trois axes. Sans entrer dans les détails d'une stack technique, les enseignements transférables sont les suivants.

Premier axe — la cartographie avant tout. L'ETI ne savait pas ce qu'elle ne savait pas. L'inventaire exhaustif des flux de données, avec identification de la nationalité juridique de chaque prestataire et de chaque sous-traitant technique, a pris plusieurs semaines. C'est le prérequis à toute décision. Sans cette cartographie, on navigue à l'aveugle et on prend des décisions de migration qui créent de nouveaux angles morts.

Deuxième axe — prioriser par criticité des données. Toutes les données ne se valent pas. Les données de CAO sur des pièces sous NDA, les données de performance de production, et les données de chiffrage d'appels d'offres constituent le noyau dur à protéger en priorité. Les outils de communication générique sont un risque moindre et un chantier plus complexe à migrer. Marc a fait le choix de ne pas tout traiter en même temps, au risque de paralyser l'organisation.

Troisième axe — le contrat comme outil de due diligence. L'ETI a introduit dans ses contrats fournisseurs une clause exigeant la déclaration de tout changement de localisation des données ou de sous-traitance technique. Simple, mais absent de la quasi-totalité des contrats existants. Cette clause ne suffit pas à garantir la souveraineté, mais elle crée une obligation de transparence et un levier contractuel en cas de litige.

Ce qui s'est avéré plus difficile que prévu : convaincre les métiers. Le bureau d'études ne voulait pas changer ses outils de collaboration. L'équipe commerciale ne voulait pas migrer sa messagerie. Dans chaque cas, Marc a dû traduire le risque réglementaire en langage business : perte potentielle d'un client, risque de non-conformité NIS2, responsabilité personnelle du dirigeant en cas d'incident. C'est ce langage-là qui a débloqué les arbitrages.


Ce que ça dit aux autres DSI du secteur

La situation de cette ETI n'est pas exceptionnelle. Elle est probablement représentative d'une large fraction de l'industrie manufacturière européenne qui a modernisé son SI dans les années 2015-2020, au moment où les offres cloud américaines étaient les plus accessibles, les mieux intégrées, et où personne ne posait sérieusement la question de la localisation des données.

Le contexte a changé. NIS2 est en vigueur. Les donneurs d'ordre posent des questions que leurs équipes achats ne posaient pas il y a cinq ans. Et la pression compétitive chinoise rend la question de la confidentialité des données industrielles moins abstraite qu'elle ne l'était.

Pour un DSI d'ETI industrielle en 2026, la priorité n'est pas de tout migrer demain. C'est de savoir exactement où sont ses données, qui y a accès, sous quelle juridiction, et d'être capable de répondre à cette question en moins d'une heure lors du prochain audit fournisseur.

Ceux qui ne peuvent pas répondre à cette question aujourd'hui ont un problème. Ceux qui ne la posent pas encore en ont un plus grand.

Cet article vous a été utile ?

Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.

Pas de spam. Désinscription en un clic. Données hébergées en Europe.