Ce que Londres a compris que Bruxelles tarde encore à imposer

# Ce que Londres a compris que Bruxelles tarde encore à imposer

Il y a quelque chose d'ironique — et d'instructif — à regarder le Royaume-Uni, sorti de l'Union européenne au nom de sa souveraineté retrouvée, devenir en 2026 l'un des régulateurs les plus offensifs face aux acteurs américains du numérique. Pendant que Bruxelles affine ses textes, accumule les consultations et négocie ses compromis, Londres a commencé à frapper là où ça fait mal : les contrats cloud, les clauses d'exclusivité, les pratiques de verrouillage technique que nos équipes IT subissent depuis des années sans avoir les mots pour les nommer.

Je ne dis pas que le modèle britannique est à copier tel quel. Mais il y a dans cette séquence régulatoire une lecture utile pour les DSI et CTO d'ETI européennes — non pas comme observateurs passifs d'un débat géopolitique, mais comme acteurs de terrain qui ont des décisions à prendre, maintenant, sur leur propre système d'information.

Le verrouillage n'est pas un accident, c'est un modèle économique

Ce que le régulateur britannique a mis sur la table — et que les équipes IT vivent au quotidien sans toujours le formaliser ainsi — c'est le constat que les pratiques de migration sortante sont délibérément coûteuses. Pas techniquement compliquées, pas fonctionnellement risquées : économiquement dissuasives. Les frais de sortie de données, les formats propriétaires, les intégrations croisées entre briques d'un même éditeur qui rendent toute désolidarisation douloureuse : tout cela constitue un système cohérent, pas une série de maladresses.

Pour un DSI d'ETI, cette lecture change quelque chose de concret. Ce n'est plus une question de préférence fonctionnelle ou de confort utilisateur. C'est une question de maîtrise du SI dans la durée. Quand une organisation migre vers une suite collaborative intégrée proposée par un acteur américain dominant, elle ne choisit pas un outil : elle signe un contrat de dépendance dont les termes réels ne figurent pas dans le bon de commande.

La question posée par la démarche britannique — et que chaque CTO devrait poser à ses équipes — est simple : si nous voulions sortir de cette solution dans dix-huit mois, qu'est-ce que cela nous coûterait réellement ? En temps, en données, en reformat, en formation, en rupture d'intégration ? Si personne dans l'équipe ne sait répondre précisément à cette question, c'est que le verrouillage est déjà là.

L'outillage IT, premier terrain de la dépendance

On parle beaucoup de souveraineté à l'échelle des États, des infrastructures critiques, des données de santé. Mais dans les PME et ETI, la dépendance se joue à un niveau bien plus opérationnel : l'outil de ticketing, la suite bureautique, le système de visioconférence, la plateforme de gestion de projet. Ce sont ces briques-là, apparemment anodines, qui constituent le tissu réel du SI — et qui concentrent le plus de friction au moment de reprendre la main.

L'une des leçons les plus concrètes de la séquence régulatoire britannique, c'est qu'elle a poussé plusieurs organisations publiques et privées à conduire ce qu'on pourrait appeler des audits de réversibilité — cartographier, brique par brique, le niveau de dépendance réelle à chaque fournisseur dominant. Non pas pour partir immédiatement, mais pour savoir où on en est. Pour ne plus décider sous contrainte invisible.

Cet exercice, que certaines équipes IT mènent déjà intuitivement, mérite d'être formalisé et porté au niveau de la direction. Ce n'est pas un projet de migration, ce n'est pas un manifeste idéologique : c'est de la gestion de risque ordinaire. Un peu comme on cartographie ses dépendances fournisseurs dans la supply chain physique, il est temps de le faire sur la supply chain logicielle.

Agoria, Nextcloud, et la question du choix structuré

Dans cet espace, des acteurs européens existent — pas toujours avec la profondeur fonctionnelle des solutions dominantes, mais avec des modèles contractuels, des localisations de données et des engagements réglementaires que les alternatives américaines ne peuvent pas offrir à équivalent. Nextcloud, par exemple, a construit une proposition de valeur explicitement ancrée dans la conformité RGPD et la maîtrise de l'hébergement — et sa base installée dans les administrations et ETI européennes s'est élargie précisément parce que certaines organisations ont posé la question de la réversibilité avant de signer.

Mais le sujet n'est pas de constituer une liste d'alternatives. C'est de changer la méthode de choix. Aujourd'hui, la plupart des décisions d'outillage IT dans les ETI se prennent sur trois critères : fonctionnalités, prix, adoption utilisateur. La réversibilité, la localisation des données, les conditions de sortie contractuelle n'entrent presque jamais dans la matrice de décision formelle. Ce n'est pas un oubli : c'est une habitude construite dans un contexte où ces questions ne semblaient pas urgentes. Elles le sont désormais.

Ce que Bruxelles devrait regarder dans le rétroviseur londonien

Je ne suis pas naïf sur les délais institutionnels. Le Data Act, le Cloud Switching Framework en cours de discussion au niveau européen, les travaux autour du EUCS — tout cela avance, mais à une vitesse qui n'est pas celle des cycles d'adoption technologique des entreprises. Pendant que les textes s'écrivent, les contrats se signent. Pendant que les consultations se tiennent, les intégrations se font. Et chaque intégration supplémentaire avec un acteur américain dominant est un point de friction de plus au moment de reprendre la main.

Ce que Londres a fait — avec ses imperfections, ses angles morts, et dans un contexte politique qui n'est pas le nôtre — c'est créer une pression régulatoire suffisamment concrète pour modifier les comportements des acteurs dominants sur son marché. Certaines clauses contractuelles ont été révisées. Certaines pratiques de portabilité ont évolué. Pas par vertu, mais parce que le coût de ne pas le faire est devenu réel.

Bruxelles dispose d'un levier bien plus puissant — le marché unique — et l'utilise encore trop timidement sur ces questions opérationnelles. Mais cette asymétrie de vitesse entre régulation et adoption est précisément pourquoi les DSI et CTO d'ETI ne peuvent pas attendre que le cadre réglementaire soit stabilisé pour agir.

La souveraineté commence dans les appels d'offres

La conclusion que je tire de cette séquence n'est pas politique. Elle est opérationnelle.

Chaque fois qu'une ETI européenne intègre des critères de réversibilité, de localisation des données et de conditions de sortie dans ses appels d'offres ou ses renouvellements de contrat, elle fait quelque chose que ni Bruxelles ni Londres ne peuvent faire à sa place : elle crée une pression de marché là où elle est la plus immédiate. Elle force les éditeurs — y compris les acteurs dominants — à répondre sur ces points, à formaliser des engagements qu'ils préfèrent laisser dans le flou.

Ce n'est pas un acte militant. C'est de la gestion de SI compétente dans un environnement où les rapports de force ont changé, et où ignorer cette évolution revient à sous-estimer un risque que votre prochain audit de sécurité, votre prochain incident de conformité ou votre prochain renouvellement de licence rendra visible — qu'on l'ait voulu ou non.