Online Safety Act : pendant que Londres durcit le ton, les ETI européennes découvrent leur dépendance à des tiers américains qu'elles ne contrôlent pas

# Online Safety Act : pendant que Londres durcit le ton, les ETI européennes découvrent leur dépendance à des tiers américains qu'elles ne contrôlent pas

On aurait pu croire que l'Online Safety Act britannique ne concernait que les plateformes grand public — réseaux sociaux, sites de partage, messageries ouvertes. C'était une erreur de lecture. En 2026, les premières mises en conformité exigées par l'Ofcom touchent désormais un périmètre bien plus large, et plusieurs ETI industrielles européennes qui opèrent sur le marché britannique ou qui hébergent des utilisateurs résidant au Royaume-Uni se retrouvent dans une situation qu'elles n'avaient tout simplement pas anticipée : elles dépendent, pour leur conformité, de décisions prises dans des datacenters qu'elles ne gèrent pas, par des entreprises auxquelles elles n'ont jamais vraiment eu les moyens de s'opposer.

Ce n'est pas une crise. C'est pire : c'est une révélation par l'absurde.

Le cas concret : une ETI industrielle de 800 salariés rattrapée par une loi qu'elle pensait lire de loin

Une ETI industrielle de 800 salariés, présente dans plusieurs pays européens et exportatrice vers le Royaume-Uni, gère depuis plusieurs années un espace collaboratif clients — une plateforme interne permettant à ses acheteurs, partenaires et distributeurs britanniques d'accéder à des documents techniques, de soumettre des demandes de support et d'interagir avec les équipes commerciales. Rien d'exceptionnel. Ce type d'environnement existe dans des centaines d'entreprises similaires en Europe.

Sauf que cet espace collaboratif tourne sur une solution proposée par un acteur américain dominant, intégrée il y a quelques années lors d'une migration SI globale. La décision avait été prise pour des raisons de coût et de familiarité — les équipes IT connaissaient l'environnement, l'intégration avec les outils bureautiques existants était fluide, le déploiement rapide. La question de la souveraineté n'était pas à l'ordre du jour.

En 2026, l'Ofcom commence à exiger des garanties concrètes sur la modération des contenus, la protection des utilisateurs vulnérables et la capacité à fournir des rapports de transparence. L'ETI, qui héberge sur sa plateforme des échanges accessibles à des utilisateurs résidant au Royaume-Uni, entre dans le scope. Et là, le problème se matérialise : pour répondre aux exigences réglementaires britanniques, l'entreprise doit obtenir de son prestataire américain des engagements contractuels précis, des capacités d'audit, des garanties de localisation de données et des mécanismes de signalement conformes au cadre de l'Ofcom.

La réponse du prestataire ? Des mises à jour de conditions générales unilatérales, un calendrier dicté depuis un siège social américain, et une architecture de conformité pensée pour le marché américain d'abord, européen ensuite, britannique en option.

La question qui dérange : qui décide vraiment de votre conformité ?

C'est le cœur du problème, et il faut le formuler sans détour : quand une entreprise européenne délègue son infrastructure collaborative ou ses outils de communication à un acteur américain, elle délègue également sa capacité à répondre de manière autonome à une injonction réglementaire. Ce n'est pas une hypothèse théorique. C'est ce que vit concrètement cette ETI en 2026.

L'Online Safety Act n'est pas une loi anodine. Elle prévoit des obligations de résultat, pas seulement de moyens. Et les sanctions, en cas de non-conformité avérée, sont substantielles. Or, la capacité de l'ETI à se conformer dépend entièrement du bon vouloir — et du calendrier — d'un prestataire dont les priorités sont fixées à des milliers de kilomètres de là, en fonction d'un agenda commercial qui n'a rien à voir avec les obligations réglementaires européennes ou britanniques.

La direction informatique de l'ETI s'est retrouvée dans une position absurde : expliquer à sa direction juridique que non, elle ne peut pas garantir la conformité avant telle date, parce que la mise à jour permettant les fonctions d'audit requises n'est pas encore déployée dans la région Europe de l'acteur américain. Et que non, elle ne peut pas obtenir un engagement contractuel ferme sur ce point.

Cette situation, répétons-le, n'est pas exceptionnelle. Elle est banale. Et c'est précisément ce qui devrait alarmer.

Ce que révèle l'Online Safety Act sur l'état réel de la souveraineté numérique européenne

La régulation britannique joue ici un rôle de révélateur — cruel mais utile. Elle met en lumière une fragilité structurelle que le DSI moyen d'une PME ou ETI européenne a souvent tendance à minimiser en période de calme réglementaire : la dépendance à des prestataires tiers dont les engagements de conformité ne sont pas contractuellement opposables, ou le sont dans des conditions tellement restrictives qu'ils ne valent rien en pratique.

On entend souvent dans les couloirs des directions informatiques que « les grands acteurs ont les moyens de se conformer, ils le feront ». C'est vrai. Ils le feront. Mais selon leur calendrier, selon leur interprétation des textes, selon leur vision de ce qui est prioritaire. Et si leur lecture diverge de celle de l'Ofcom, ou demain de l'autorité de régulation allemande, française, ou de la Commission européenne, c'est l'entreprise cliente qui se retrouve en première ligne, avec une exposition juridique réelle et aucun levier de pression.

C'est une dépendance à double détente : dépendance technique d'abord, dépendance de conformité ensuite.

Qui s'en sort en Europe ? La question mérite d'être posée sans complaisance

Il existe en Europe des acteurs capables de proposer des environnements collaboratifs, des plateformes de gestion de contenu ou des outils de communication conformes aux cadres réglementaires européens — et désormais capables d'intégrer les exigences de l'Online Safety Act britannique dans leur roadmap, parce qu'ils ont une relation contractuelle de proximité avec leurs clients et une structure de gouvernance qui les y oblige.

BlueKiwi, racheté et progressivement mis en veille, est l'exemple inverse : un acteur européen qui existait, qui avait une proposition de valeur solide, et qui a disparu dans une logique de consolidation américaine. Le marché européen du collaboratif a laissé filer plusieurs fenêtres d'opportunité.

En 2026, des acteurs comme Talkspirit ou Whaller — pour ne citer que deux noms sans en faire un catalogue — sont positionnés sur ce créneau avec une vraie proposition souverainiste. Mais leur part de marché dans les ETI industrielles reste marginale. Pas parce que leur produit est insuffisant. Parce que les décisions d'achat IT dans les ETI sont encore largement orientées par des critères de familiarité et de coût à court terme, sans intégrer le coût de la dépendance réglementaire.

C'est là que le bât blesse vraiment. Pas dans la qualité des alternatives européennes. Dans la structure de décision des acheteurs.

Ce que les DSI et RSSI devraient retenir de cette situation

L'Online Safety Act britannique ne sera pas la dernière loi à créer ce type d'exposition. Le Digital Services Act européen, les régulations sectorielles à venir dans la finance ou la santé, les exigences NIS2 déjà en vigueur — toutes ces obligations partagent une caractéristique commune : elles présupposent que l'entreprise qui doit se conformer dispose d'un contrôle réel sur son infrastructure et ses prestataires.

Or, déléguer à un acteur américain dominant, c'est précisément abandonner une partie de ce contrôle. Pas en théorie. En pratique, comme l'illustre le cas de cette ETI industrielle.

La question n'est donc pas « est-ce que mon prestataire actuel va se conformer à telle réglementation ? ». La question est : « est-ce que je suis en mesure d'exiger cette conformité, de la vérifier, et d'en répondre contractuellement ? ».

Pour la majorité des ETI européennes aujourd'hui engagées dans des contrats avec les acteurs dominants américains, la réponse honnête est non.

Ce n'est pas une catastrophe irrémédiable. C'est un angle mort que chaque DSI, chaque RSSI et chaque DPO devrait inscrire à l'agenda de la prochaine revue de portefeuille applicatif — avant que la prochaine loi ne le fasse à leur place, avec moins de douceur.