«Les hyperscalers US ne sont pas une fatalité» : les leçons souveraines du choix du RIPE NCC

# «Les hyperscalers US ne sont pas une fatalité» : les leçons souveraines du choix du RIPE NCC

*En 2026, le RIPE NCC — l'organisme qui gère l'allocation des adresses IP en Europe — a publiquement freiné sa migration vers les grandes plateformes cloud américaines, invoquant des préoccupations de dépendance et de gouvernance. Ce n'est pas un détail technique. C'est un signal politique. Nous avons rencontré un directeur des systèmes d'information d'une ETI industrielle européenne, qui suit ce dossier de près et qui, depuis deux ans, reconstruit son infrastructure avec une logique explicitement souverainiste. Il parle sans filtre.*

RiffLab Media : Le RIPE NCC, c'est l'une des organisations les plus critiques de l'infrastructure internet mondiale. Quand elle dit «stop» aux hyperscalers américains, est-ce que ça change quelque chose concrètement pour un DSI comme vous ?

Oui, et je dirais même que ça change tout — pas techniquement, mais politiquement. Le RIPE NCC, c'est une autorité de référence. Ce n'est pas une startup militante ni un think tank pro-européen qui publie un rapport. Ce sont des ingénieurs qui gèrent l'ossature d'internet en Europe depuis des décennies. Quand ces gens-là disent qu'ils ne font pas confiance à un modèle de dépendance cloud unilatéral, ça donne du crédit à ce que beaucoup de DSI pensent en silence depuis longtemps. Moi, ça me donne un argument solide en CODIR. Je peux désormais dire : regardez, même l'organisation qui gère les adresses IP européennes a jugé le risque trop élevé. On ne parle plus d'idéologie, on parle de gouvernance d'infrastructure.

Le discours «cloud souverain» existe depuis des années en Europe. Pourquoi est-ce que cette fois-ci ça résonne différemment ?

Parce que le contexte géopolitique a rendu la question urgente, et parce qu'on a maintenant des cas concrets d'organisations qui ont reculé — pas seulement des institutions qui ont hésité. Pendant longtemps, le discours souverainiste était perçu comme une posture défensive, voire frileuse. Les équipes IT elles-mêmes étaient les premières à vouloir migrer vers les grandes plateformes américaines, parce que c'était confortable, documenté, rapide. Mais entre les évolutions réglementaires américaines, les tensions commerciales transatlantiques, et des épisodes concrets de coupures ou de modifications unilatérales de conditions contractuelles, le vent a tourné. Ce que fait le RIPE NCC, c'est matérialiser une prise de conscience collective : la commodité ne justifie plus le risque systémique.

Concrètement, quelles alternatives européennes avez-vous explorées pour votre propre infrastructure ? Et sans liste à la Prévert — qu'est-ce qui vous a convaincu ?

Je vais être honnête : il y a deux ans, je pensais que choisir une alternative européenne, c'était accepter un compromis sur la qualité. Je me suis trompé — partiellement. Ce qui m'a convaincu, c'est moins la perfection technique d'une offre que la lisibilité juridique et la durabilité de la relation. Quand vous contractualisez avec un acteur dont le siège social, les équipes de support et les datacenters sont en Europe, soumis au droit européen, vous avez une prise que vous n'avez pas avec un acteur américain soumis au Cloud Act. Ce n'est pas une question de patch ou de latence. C'est une question de qui peut vous couper l'accès, sur ordre de qui, et avec quel préavis. Cette question, je n'avais jamais vraiment osé la poser avant. Maintenant, c'est ma première question en appel d'offres.

Le choix du RIPE NCC est aussi une décision politique interne. Comment convaincre un CODIR que ralentir une migration cloud, voire la remettre en question, ce n'est pas «aller à contre-courant» ?

C'est le vrai combat, et je pense qu'il se gagne sur le terrain du risque, pas sur celui des valeurs. Les membres d'un CODIR comprennent la notion de risque systémique. Si vous leur dites «la souveraineté numérique c'est important», vous passez pour un militant. Si vous leur dites «notre fournisseur principal est soumis à une loi extraterritoriale qui permet à un gouvernement étranger d'accéder à nos données sans nous en informer», vous avez leur attention. Le RIPE NCC a fait exactement ça : il a traduit un enjeu politique en risque opérationnel documenté. C'est ce que tout DSI européen doit apprendre à faire. Pas plaider, analyser. Pas convaincre, quantifier le risque.

Y a-t-il un effet d'entraînement possible ? Est-ce que le signal du RIPE NCC peut changer les comportements au niveau de la PME/ETI, ou ça reste une décision d'organisation «d'élite» ?

Je pense que l'effet d'entraînement est réel, mais il sera lent et inégal. Les grandes organisations publiques ou para-publiques européennes ont la légitimité et les ressources pour assumer publiquement ce type de choix. Pour une PME de deux cents personnes, le DSI — quand il existe — est souvent seul face à un patron qui veut du résultat rapide et une équipe IT qui veut des outils qu'elle connaît. Mais il y a quelque chose qui change : les appels d'offres publics européens intègrent de plus en plus des critères de localisation des données et d'audit des sous-traitants. Ça crée une pression de marché. Les PME qui travaillent avec des grands comptes ou des administrations vont être contraintes d'évoluer, même si elles n'ont pas d'opinion politique sur la question. C'est souvent comme ça que les standards bougent : par la contrainte contractuelle, pas par la conviction.

Quel est, selon vous, le vrai test de maturité de l'écosystème cloud européen en 2026 ?

Le vrai test, ce n'est pas de savoir si des alternatives européennes existent — elles existent. Le test, c'est de savoir si elles peuvent gérer la complexité réelle d'un SI d'entreprise en production, avec des SLA crédibles, un support de niveau enterprise et une roadmap lisible sur cinq ans. Sur ce point, je suis lucide : on n'est pas encore à parité sur tout. Mais on est à parité sur plus de choses qu'on ne le croit, et surtout, l'écart se réduit. Ce qui me préoccupe davantage, c'est l'inertie des équipes IT elles-mêmes. Les ingénieurs ont été formés sur les certifications des grandes plateformes américaines. Requalifier, recertifier, reconnaître que ce qu'on a appris pendant dix ans n'est peut-être pas la seule voie — c'est un travail humain et culturel qui prend du temps. Le RIPE NCC a montré que des experts de très haut niveau peuvent faire ce chemin. C'est le signal le plus utile qu'il pouvait envoyer à l'ensemble de notre communauté.

*Propos recueillis par la rédaction de RiffLab Media. L'interlocuteur a souhaité conserver l'anonymat.*