Propagande chinoise en France : quand l'ingérence étrangère révèle nos angles morts numériques

Propagande chinoise en France : quand l'ingérence étrangère révèle nos angles morts numériques

En 2026, les opérations d'influence chinoises documentées sur le territoire français ne sont plus une abstraction géopolitique. Elles sont devenues un révélateur clinique d'une vulnérabilité que les DSI et RSSI européens ne peuvent plus ignorer : la dépendance de nos flux d'information, de nos outils collaboratifs et de nos infrastructures critiques à des acteurs extra-européens — qu'ils soient américains ou asiatiques — constitue un risque systémique de premier ordre.

Le vrai problème n'est pas uniquement l'émetteur de la propagande. C'est le vecteur.

L'infrastructure comme terrain de manœuvre

Les campagnes d'influence documentées — diffusion de narratifs pro-Pékin sur des médias numériques, manipulation de l'opinion via des plateformes sociales, ciblage de décideurs institutionnels — transitent par des infrastructures que les organisations européennes n'opèrent pas. Réseaux sociaux américains, messageries hébergées hors UE, outils de productivité soumis au Cloud Act : autant de points de passage sur lesquels ni l'État français, ni une entreprise privée européenne, n'exerce de contrôle réel.

Posons la question directement : si une opération d'influence cible les collaborateurs d'une ETI française — ses cadres dirigeants, ses équipes RH, ses responsables achats — via des canaux numériques non souverains, qui détient les métadonnées de cette exposition ? Qui peut les analyser ? Qui peut les transmettre à une juridiction étrangère sans en informer l'entreprise concernée ?

La réponse est inconfortable. Et elle ne change pas selon que la menace vient de Pékin ou de Moscou.

NIS2, DORA et le silence sur l'extraterritorialité

Les cadres réglementaires européens ont progressé. NIS2 étend significativement le périmètre des entités essentielles et importantes soumises à obligation de sécurité. DORA impose aux acteurs financiers une cartographie fine de leurs dépendances numériques. Ces textes sont utiles. Ils sont insuffisants sur un point précis.

Ni NIS2 ni DORA n'adressent frontalement le risque d'extraterritorialité lié aux fournisseurs de cloud soumis à des législations étrangères. Le Cloud Act américain permet aux autorités fédérales américaines d'accéder aux données hébergées par des opérateurs américains, où qu'elles soient dans le monde, sans obligation d'en informer le client européen. Ce mécanisme n'est pas une hypothèse théorique. Il est opérationnel.

Dans un contexte d'ingérence étrangère active, cette faille prend une dimension nouvelle : les données sensibles d'une organisation ciblée par une opération d'influence — échanges internes, cartographie des réseaux décisionnels, documents stratégiques — peuvent être exposées simultanément à deux risques distincts et non coordonnés entre eux.

Le RGPD ne suffit pas à qualifier le risque

Une erreur fréquente consiste à limiter l'analyse à la conformité RGPD. La protection des données personnelles est nécessaire, elle n'est pas suffisante pour qualifier le risque lié à l'ingérence étrangère.

Ce qui est en jeu ici, c'est la confidentialité des flux informationnels des organisations — leurs processus décisionnels, leurs vulnérabilités internes, leurs dynamiques humaines. Des données qui ne sont pas toujours des données personnelles au sens strict du RGPD, mais qui constituent un actif stratégique de premier plan pour un acteur souhaitant cartographier, influencer ou déstabiliser.

L'ANSSI a régulièrement alerté sur ce point dans ses rapports annuels sur la menace : les opérations d'espionnage et d'influence les plus efficaces ne s'appuient pas sur des attaques techniques frontales. Elles exploitent des accès légitimes à des systèmes mal qualifiés sur le plan souverainiste.

Ce que cela implique concrètement pour les DSI

L'analyse des opérations d'influence chinoises documentées en France pointe vers une exigence organisationnelle précise : la cartographie des dépendances numériques extra-européennes ne peut plus rester un exercice comptable de conformité. Elle doit devenir un outil d'évaluation du risque d'exposition à l'ingérence.

Cela suppose d'identifier, parmi les outils en usage, lesquels sont soumis à des législations extra-territoriales — américaines, mais aussi potentiellement chinoises pour certains équipements réseaux ou applications mobiles déployées sur les postes de travail. Cela suppose également de qualifier les données qui transitent par ces outils : sont-elles anodines, ou cartographient-elles les dynamiques internes de l'organisation ?

Des acteurs européens opèrent sur ces segments — messagerie sécurisée, cloud souverain, outils collaboratifs certifiés. Leur adoption n'est pas une question idéologique. C'est une réponse à un risque documenté.

La souveraineté numérique comme posture défensive

La propagande étrangère n'est pas un problème réservé aux institutions publiques. Les PME et ETI européennes sont des cibles réelles : elles influencent des marchés, des emplois, des chaînes d'approvisionnement. Elles participent au tissu décisionnel de nos économies.

En 2026, la souveraineté numérique n'est plus un argument de conférence. Elle est une ligne de défense. Et comme toute ligne de défense, elle ne tient que si elle est construite avant l'incident — pas en réponse à lui.