Par Jean Reignier, fondateur de Comearth, partenaire de référence de l’Externalisation de la Relation Client.
Alors que les relations
entre l’Europe et les États Unis traversent une période de tensions politiques,
juridiques et commerciales accrues, un fait demeure largement sous-estimé :
plus de 70 % du cloud européen est aujourd’hui contrôlé par trois entreprises
américaines : Amazon Web Services, Microsoft Azure et Google Cloud. Autrement
dit, une part décisive des données des entreprises, des administrations et
parfois des infrastructures critiques européennes dépend d’acteurs soumis au
droit américain.
Cette situation n’est
pas neutre. Les lois extraterritoriales comme le Cloud Act, en vigueur depuis
2018, autorisent les autorités américaines à exiger l’accès à des données
détenues par des entreprises de droit américain, y compris lorsque celles-ci
sont physiquement hébergées en Europe. Le contexte diplomatique actuel, marqué
par des positions de plus en plus unilatérales de Washington et par
l’instabilité des accords transatlantiques sur les données, renforce la
dimension stratégique du sujet.
Dans le même temps, la menace cyber explose.
Encore ces derniers jours avec Mano Mano, Cegedim Santé, Basic Fit…. En 2024, plus de 5 600 violations de données personnelles ont été notifiées à la CNIL, soit une hausse de 20 % en un an. L’ANSSI estime que les cyberattaques représentent plus de 100 milliards d’euros de pertes annuelles pour l’économie française. Hôpitaux, collectivités, administrations, PME : aucun secteur n’est épargné.
Les attaques sont désormais industrialisées et
parfois instrumentalisées à des fins d’espionnage ou de déstabilisation
économique. La donnée est l’un des assets les plus précieux des entreprises ; à
ce titre, pour elles-mêmes comme vis-à-vis de l’ensemble de leurs parties
prenantes, elles doivent se porter garantes de sa sécurité et de la résilience
des infrastructures informatiques et Telecom.
Face à ces risques
juridiques, géopolitiques et sécuritaires, la souveraineté des données n’est
plus un débat théorique. Elle repose sur trois piliers essentiels : des données
protégées et réversibles, des opérations confiées à des acteurs européens réellement
hors de portée des lois extraterritoriales, et des technologies ouvertes,
évitant les dépendances structurelles.
Mais la souveraineté
numérique ne se décrète pas : elle s’organise. À cet égard, la certification
Numérique France Garanti, créée par l’Association Origine France Garantie,
constitue une avancée concrète. En identifiant les solutions réellement
conçues, hébergées et opérées en France, elle permet aux entreprises, aux
administrations et aux citoyens de reprendre la maîtrise de leurs choix
technologiques et de réduire leur exposition stratégique.
Par ailleurs, les
entrepreneurs qui, à l’instar de Comearth, refusent la délocalisation des
données comme des emplois jouent un rôle essentiel. Ils contribuent activement
à cette souveraineté et l’assument pleinement, même lorsque ce choix n’est ni
le plus rentable ni le mieux valorisé dans une économie qui n’a souvent de
durable que le nom et favorise dans les faits le court terme et le low-cost.
La conformité
réglementaire, du RGPD aux certifications de sécurité, est indispensable. Mais
sans une véritable culture de vigilance, intégrant dès la conception la
protection et la réversibilité des données, elle reste insuffisante.
La souveraineté des
données n’est pas un repli. C’est une opportunité économique et stratégique :
développement de data centers responsables, création d’emplois qualifiés,
renforcement d’un écosystème numérique européen résilient.
Dans un monde où la donnée est devenue un outil de puissance, continuer à en déléguer massivement le contrôle à des juridictions étrangères revient à accepter une dépendance durable. Assumer la souveraineté numérique, c’est aujourd’hui une condition de notre sécurité, de notre compétitivité et de notre indépendance. Ce doit être notre investissement d’avenir !


