Souveraineté numérique : choisir ses outils, c’est choisir ses dépendances
Entre RGPD, extraterritorialité et continuité d’activité, le vrai enjeu n’est pas de refuser toute dépendance, mais d’éviter les dépendances subies.
Le problème n’est pas d’utiliser Google, Microsoft, Amazon ou tout autre acteur numérique dominant.
Le problème est de ne plus pouvoir s’en passer.
Une organisation peut parfaitement utiliser des outils largement diffusés, y compris non européens : messagerie, cloud, suite bureautique, outil collaboratif, solution cyber, CRM, outil d’intelligence artificielle. Ces services peuvent être efficaces, économiques, pratiques, parfois même difficiles à remplacer à court terme.
La question n’est donc pas celle d’un rejet de principe.
La vraie question est celle de la maîtrise : quelles données sont déposées dans l’outil ? Pour quel usage ? Avec quelles garanties ? Avec quel niveau de dépendance ? Et que se passe-t-il si cet outil devient indisponible, inadapté, trop coûteux ou juridiquement problématique ?
En matière de protection des données comme de continuité d’activité, le sujet n’est pas l’absence totale de dépendance. Elle est illusoire. Le sujet est la différence entre une dépendance choisie et une dépendance subie.
La souveraineté numérique n’est pas l’indépendance absolue
Parler de souveraineté numérique ne signifie pas tout internaliser, tout nationaliser ou remplacer automatiquement chaque solution étrangère par une alternative locale.
Une entreprise dépend nécessairement d’outils, de prestataires, d’infrastructures, de logiciels, de systèmes d’exploitation et de services numériques. Même un traitement réalisé “en interne” repose souvent sur des couches techniques que l’organisation ne maîtrise pas totalement : ordinateurs, systèmes d’exploitation, terminaux mobiles, comptes administrateurs, logiciels, services de synchronisation ou solutions de sécurité.
L’objectif n’est donc pas de supprimer toute dépendance.
L’objectif est de savoir lesquelles sont acceptées, pourquoi elles le sont, quelles données elles concernent, quels risques elles créent et comment l’organisation peut continuer à agir si l’une d’elles devient problématique.
La souveraineté numérique d’une entreprise peut alors se définir simplement :
la capacité à choisir ses dépendances, à les documenter, à les limiter et à pouvoir en sortir sans désorganiser son activité.
Autrement dit, la souveraineté numérique n’est pas une posture. C’est une capacité de décision. Dépendance choisie, dépendance subie. Toute dépendance numérique n’est pas dangereuse.
Une entreprise peut choisir une solution dominante parce qu’elle est efficace, stable, économiquement adaptée, bien intégrée à son secteur ou largement utilisée par ses partenaires. Cette dépendance peut être acceptable lorsqu’elle est connue, assumée et encadrée.
Elle devient problématique lorsqu’elle n’a jamais été pensée.
Une dépendance choisie suppose que l’organisation sache pourquoi elle utilise l’outil, quelles données y circulent, quelles limites elle fixe, comment elle récupère ses données, et quelle solution de secours peut être activée en cas de difficulté.
À l’inverse, une dépendance subie apparaît lorsque l’organisation ne peut plus raisonnablement se passer d’un outil sans désorganiser fortement son activité.
Cette dépendance subie peut prendre deux formes.
La première est le vrai TINA, pour There Is No Alternative. L’alternative n’existe pas réellement à court terme, ou n’est pas réaliste techniquement, économiquement ou opérationnellement. L’outil est imposé par un marché, un donneur d’ordre, un secteur, un standard technique ou une situation de domination fonctionnelle.
La seconde est le faux TINA. L’alternative existe, mais elle n’a jamais été préparée. L’organisation a accumulé ses documents, ses procédures, ses comptes, ses habitudes, ses archives, ses échanges et parfois ses sauvegardes dans un même environnement, sans jamais prévoir de sortie.
Dans ce cas, la dépendance n’est pas seulement créée par le fournisseur. Elle est aussi créée par l’absence d’anticipation interne.
Le problème n’est donc pas qu’une entreprise dépende d’outils numériques. Le problème est qu’elle découvre sa dépendance le jour où elle n’a plus le choix.
Protéger les données personnelles, mais aussi protéger l’entreprise.
Le choix d’un outil numérique doit être analysé sous deux angles complémentaires.
Le premier est celui de la protection des données personnelles.
Une organisation doit s’interroger sur les données traitées dans l’outil : données clients, données salariés, données sensibles, données de santé, données relatives à des personnes vulnérables, données d’identification, données contractuelles, données de connexion, données nécessaires à la preuve ou à l’exercice des droits.
Elle doit aussi identifier qui traite ces données, où elles sont hébergées, quels sous-traitants interviennent, quels accès sont possibles, quelles garanties contractuelles et techniques existent, et s’il existe ou non un transfert hors de l’Union européenne ou de l’Espace économique européen.
Le RGPD n’interdit pas les transferts de données hors UE ou hors EEE. Il impose en revanche qu’ils soient encadrés et qu’un niveau de protection suffisant et approprié soit assuré au moyen des outils prévus au chapitre V du RGPD.
Le second angle est celui de la protection de l’entreprise elle-même.
Un outil peut ne pas contenir de données personnelles particulièrement sensibles, mais être stratégique pour l’activité : documents internes, grilles tarifaires, méthodes, informations commerciales, secrets d’affaires, accès clients, facturation, production, communication, sauvegardes ou gestion des incidents.
Certaines données peuvent donc être peu critiques au sens du RGPD, mais essentielles au regard de la continuité d’activité ou de la stratégie de l’entreprise.
À l’inverse, certaines données personnelles peuvent ne pas avoir de valeur commerciale particulière, mais présenter un risque élevé pour les personnes concernées.
La souveraineté numérique suppose de tenir ensemble ces deux dimensions : protéger les données personnelles et protéger la capacité de l’entreprise à fonctionner.
L’extraterritorialité : un risque réel, pas un slogan
L’extraterritorialité est souvent abordée de manière spectaculaire : Cloud Act, FISA, accès par des autorités étrangères, dépendance aux grands acteurs américains, souveraineté numérique, tensions géopolitiques.
Ces sujets existent. Ils ne doivent pas être balayés d’un revers de main.
Mais ils ne doivent pas non plus être transformés en slogan.
Le sujet n’est pas de dire qu’un outil américain, suisse, chinois, européen ou français serait automatiquement bon ou mauvais. Une solution européenne mal configurée peut être risquée. Une solution non européenne peut parfois être utilisée dans un cadre juridiquement encadré.
Depuis la décision d’adéquation adoptée par la Commission européenne le 10 juillet 2023, certains transferts de données personnelles vers des organismes américains certifiés dans le cadre UE-États-Unis de protection des données, le Data Privacy Framework, peuvent s’effectuer sans encadrement spécifique supplémentaire. La Commission européenne a publié une première revue périodique du fonctionnement de ce cadre le 9 octobre 2024.
Le 3 septembre 2025, le Tribunal de l’Union européenne a rejeté le recours dirigé contre la décision d’adéquation relative au Data Privacy Framework. Cela ne supprime pas tout débat, mais cela confirme qu’à ce stade, ce cadre reste juridiquement applicable.
Pour autant, l’existence d’un cadre juridique ne dispense pas une organisation de comprendre les conditions concrètes dans lesquelles ses données sont traitées.
La vraie question n’est donc pas seulement : où est hébergée la donnée ?
Elle est aussi :
qui peut y accéder ;
sous quel droit ;
dans quelles conditions ;
avec quelles garanties ;
avec quels sous-traitants ;
avec quelle capacité d’export ;
avec quelle réversibilité ;
avec quel impact si l’outil devient indisponible ou problématique.
L’extraterritorialité n’est donc pas tout le sujet. Elle est une composante d’un risque plus large : la dépendance numérique.
Le RGPD comme révélateur des dépendances numériques
Un audit RGPD n’est pas un audit complet de souveraineté numérique, de cybersécurité ou de continuité d’activité.
Son objet reste l’analyse des traitements de données personnelles, des obligations applicables, des écarts éventuels et des mesures à mettre en œuvre au regard du RGPD.
Mais en pratique, suivre les données personnelles oblige souvent à suivre les outils.
Cloud, messagerie, CRM, logiciels métiers, hébergeurs, prestataires informatiques, solutions cyber, plateformes collaboratives, outils de signature électronique, outils de facturation, solutions d’analyse d’audience : tous ces services apparaissent naturellement lorsqu’on cherche à comprendre où vont les données, qui les traite et dans quelles conditions.
C’est là que l’audit RGPD peut révéler, par ricochet, certaines dépendances numériques.
Non pas parce que le RGPD traiterait directement de tous les enjeux de souveraineté numérique. Mais parce qu’il force l’organisation à regarder concrètement :
quelles données sont traitées ;
par quels outils ;
par quels prestataires ;
dans quels environnements ;
avec quels accès ;
avec quelles garanties ;
avec quelles possibilités de réversibilité.
Une mission RGPD peut donc conduire à recommander une réflexion sur certains outils ou prestataires lorsque ceux-ci concentrent trop de données, présentent des garanties insuffisantes, rendent la sortie difficile ou créent une dépendance opérationnelle excessive.
Il ne s’agit pas nécessairement de changer immédiatement de solution.
Il peut s’agir de limiter les données déposées, de mieux documenter le traitement, de sécuriser les accès, de revoir les clauses contractuelles, de prévoir des exports réguliers, d’identifier une alternative ou de construire une trajectoire de migration progressive.
Le RGPD donne souvent le premier fil à tirer. La souveraineté numérique commence lorsque l’entreprise accepte de regarder ce que ce fil révèle.
Cartographier ses dépendances numériques
Une organisation n’a pas besoin de supprimer toutes ses dépendances numériques. Elle doit d’abord les connaître.
Pour cela, une cartographie simple peut être utile. Elle ne doit pas nécessairement prendre la forme d’un document complexe ou théorique. Elle doit permettre de répondre à une question concrète :
de quoi l’entreprise dépend-elle réellement pour fonctionner, protéger ses données et continuer son activité ?
Cette cartographie peut distinguer deux grandes catégories.
D’abord, ce qui est géré en interne : postes de travail, stockage local, serveurs internes éventuels, logiciels installés, sauvegardes, procédures papier, accès administrateurs, documents critiques conservés localement.
Ensuite, ce qui est délégué : hébergement, cloud, messagerie, cybersécurité, CRM, facturation, outils métiers, support informatique, intelligence artificielle, outils collaboratifs, prestataires web, solutions de signature ou plateformes externes.
Pour chaque outil ou prestataire important, plusieurs questions simples peuvent être posées.
1. À quoi sert l’outil ?
Un outil de confort n’a pas le même poids qu’un outil structurant.
Un brouillon dans un traitement de texte collaboratif n’a pas le même impact qu’un cloud unique contenant l’ensemble des dossiers clients, contrats, documents RH et sauvegardes.
Il faut donc distinguer les outils accessoires, importants, structurants et critiques.
2. Quelles données y circulent ?
L’outil contient-il des données personnelles ? Des données sensibles ? Des données clients ? Des données salariés ? Des informations stratégiques ? Des secrets d’affaires ? Des documents nécessaires à la preuve ? Des données indispensables à la continuité de l’activité ?
Cette question permet de croiser le risque RGPD et le risque business.
3. Qui maîtrise réellement l’environnement ?
L’outil est-il interne ou externalisé ? Qui est le fournisseur ? Quelle est l’entité contractante ? Quels sous-traitants interviennent ? Les données sont-elles hébergées dans l’Union européenne, dans l’Espace économique européen ou ailleurs ? Existe-t-il des accès support depuis d’autres pays ?
Il ne suffit pas de regarder la nationalité affichée d’un outil. Il faut regarder la chaîne réelle de traitement.
4. La sortie est-elle possible ?
L’organisation peut-elle exporter ses données ? Dans un format exploitable ? En combien de temps ? Avec quel coût ? Avec quelle assistance ? Les procédures de restitution ou de suppression sont-elles prévues contractuellement ?
Une sortie théorique n’est pas une vraie réversibilité.
Si personne n’a jamais testé l’export, documenté la procédure ou identifié une alternative, la dépendance est probablement plus forte qu’elle ne le paraît.
5. Existe-t-il un plan B ?
Le plan B peut prendre plusieurs formes : alternative numérique, sauvegarde locale, export régulier, procédure dégradée, limitation des données déposées dans l’outil, duplication contrôlée de certains documents, ou même procédure papier temporaire.
Le papier n’est pas une solution de modernisation. Mais dans certains cas, une procédure analogique minimale peut éviter la paralysie lorsque l’outil numérique devient inaccessible.
Ce n’est pas archaïque. C’est parfois simplement prudent.
6. Quel est le degré de dépendance ?
Niveau
Description
Faible
L’outil est utile, mais sa perte ne bloque pas l’activité.
Modéré
L’outil est important, mais une alternative peut être activée avec un effort raisonnable.
Fort
L’outil structure une partie importante de l’activité ; la sortie est possible mais coûteuse ou désorganisante.
Critique
L’outil est indispensable ; sa perte bloque fortement l’activité et aucun plan B opérationnel n’existe.
Choisir un outil, c’est pouvoir expliquer son choix
La souveraineté numérique ne consiste pas à choisir systématiquement l’outil français, européen, américain, suisse ou open source.
Elle consiste à pouvoir expliquer pourquoi un outil est utilisé, avec quelles données, pour quels usages, dans quelles limites, avec quelles garanties et avec quelle alternative.
Une entreprise peut choisir une solution américaine pour certains usages, une solution européenne pour d’autres, une solution locale pour des données plus sensibles, et une conservation hors ligne pour certains documents critiques.
Ce n’est pas incohérent.
Au contraire, c’est souvent plus mature qu’une politique uniforme et abstraite.
L’objectif n’est pas la pureté idéologique. L’objectif est la cohérence numérique.
Cette cohérence impose parfois de renoncer à certains usages, de limiter les données déposées dans certains outils, de revoir un prestataire, de prévoir une sauvegarde, d’organiser une réversibilité ou de documenter un choix qui, jusque-là, relevait seulement de l’habitude.
Conclusion : ne pas subir ses propres outils
Les outils numériques sont devenus indispensables au fonctionnement quotidien des organisations. Ils permettent de travailler plus vite, de collaborer, d’automatiser, de sécuriser, de stocker et de communiquer.
Mais chaque outil structurant crée aussi une dépendance. Cette dépendance peut être acceptable lorsqu’elle est choisie, comprise, limitée et réversible.
Elle devient dangereuse lorsqu’elle est invisible, totale et impossible à contourner sans désorganiser l’activité.
La conformité RGPD et la souveraineté numérique se rejoignent sur ce point : elles ne demandent pas la peur, mais de la lucidité.
Une organisation doit savoir où vont ses données, qui les traite, dans quelles conditions, avec quelles garanties, et ce qu’elle fait si un outil critique devient indisponible.
La souveraineté numérique ne commence pas par un slogan.
Elle commence par une question simple : Si cet outil disparaît demain, qu’est-ce que je peux encore faire ?
Sources principales
CNIL, “Transferts de données hors UE : le cadre général prévu par le RGPD”, rappelant que les responsables de traitement et sous-traitants peuvent transférer des données hors UE/EEE à condition d’assurer un niveau de protection suffisant et approprié au moyen des outils du chapitre V du RGPD.
CNIL, “Transferts de données vers les États-Unis : la Commission européenne adopte une nouvelle décision d’adéquation”, 10 juillet 2023.
Commission européenne, page “Data protection adequacy for non-EU countries”, mentionnant la première revue périodique du Data Privacy Framework publiée le 9 octobre 2024.
Tribunal de l’Union européenne, affaire T-553/23, Latombe c. Commission, arrêt du 3 septembre 2025, rejetant le recours contre le cadre UE-États-Unis de transfert de données.
Souveraineté numérique : choisir ses outils, c’est choisir ses dépendances
Entre RGPD, extraterritorialité et continuité d’activité, le vrai enjeu n’est pas de refuser toute dépendance, mais d’éviter les dépendances subies.
Le problème n’est pas d’utiliser Google, Microsoft, Amazon ou tout autre acteur numérique dominant.
Le problème est de ne plus pouvoir s’en passer.
Une organisation peut parfaitement utiliser des outils largement diffusés, y compris non européens : messagerie, cloud, suite bureautique, outil collaboratif, solution cyber, CRM, outil d’intelligence artificielle. Ces services peuvent être efficaces, économiques, pratiques, parfois même difficiles à remplacer à court terme.
La question n’est donc pas celle d’un rejet de principe.
La vraie question est celle de la maîtrise : quelles données sont déposées dans l’outil ? Pour quel usage ? Avec quelles garanties ? Avec quel niveau de dépendance ? Et que se passe-t-il si cet outil devient indisponible, inadapté, trop coûteux ou juridiquement problématique ?
En matière de protection des données comme de continuité d’activité, le sujet n’est pas l’absence totale de dépendance. Elle est illusoire. Le sujet est la différence entre une dépendance choisie et une dépendance subie.
La souveraineté numérique n’est pas l’indépendance absolue
Parler de souveraineté numérique ne signifie pas tout internaliser, tout nationaliser ou remplacer automatiquement chaque solution étrangère par une alternative locale.
Une entreprise dépend nécessairement d’outils, de prestataires, d’infrastructures, de logiciels, de systèmes d’exploitation et de services numériques. Même un traitement réalisé “en interne” repose souvent sur des couches techniques que l’organisation ne maîtrise pas totalement : ordinateurs, systèmes d’exploitation, terminaux mobiles, comptes administrateurs, logiciels, services de synchronisation ou solutions de sécurité.
L’objectif n’est donc pas de supprimer toute dépendance.
L’objectif est de savoir lesquelles sont acceptées, pourquoi elles le sont, quelles données elles concernent, quels risques elles créent et comment l’organisation peut continuer à agir si l’une d’elles devient problématique.
La souveraineté numérique d’une entreprise peut alors se définir simplement :
la capacité à choisir ses dépendances, à les documenter, à les limiter et à pouvoir en sortir sans désorganiser son activité.
Autrement dit, la souveraineté numérique n’est pas une posture. C’est une capacité de décision. Dépendance choisie, dépendance subie. Toute dépendance numérique n’est pas dangereuse.
Une entreprise peut choisir une solution dominante parce qu’elle est efficace, stable, économiquement adaptée, bien intégrée à son secteur ou largement utilisée par ses partenaires. Cette dépendance peut être acceptable lorsqu’elle est connue, assumée et encadrée.
Elle devient problématique lorsqu’elle n’a jamais été pensée.
Une dépendance choisie suppose que l’organisation sache pourquoi elle utilise l’outil, quelles données y circulent, quelles limites elle fixe, comment elle récupère ses données, et quelle solution de secours peut être activée en cas de difficulté.
À l’inverse, une dépendance subie apparaît lorsque l’organisation ne peut plus raisonnablement se passer d’un outil sans désorganiser fortement son activité.
Cette dépendance subie peut prendre deux formes.
La première est le vrai TINA, pour There Is No Alternative. L’alternative n’existe pas réellement à court terme, ou n’est pas réaliste techniquement, économiquement ou opérationnellement. L’outil est imposé par un marché, un donneur d’ordre, un secteur, un standard technique ou une situation de domination fonctionnelle.
La seconde est le faux TINA. L’alternative existe, mais elle n’a jamais été préparée. L’organisation a accumulé ses documents, ses procédures, ses comptes, ses habitudes, ses archives, ses échanges et parfois ses sauvegardes dans un même environnement, sans jamais prévoir de sortie.
Dans ce cas, la dépendance n’est pas seulement créée par le fournisseur. Elle est aussi créée par l’absence d’anticipation interne.
Le problème n’est donc pas qu’une entreprise dépende d’outils numériques. Le problème est qu’elle découvre sa dépendance le jour où elle n’a plus le choix.
Protéger les données personnelles, mais aussi protéger l’entreprise.
Le choix d’un outil numérique doit être analysé sous deux angles complémentaires.
Le premier est celui de la protection des données personnelles.
Une organisation doit s’interroger sur les données traitées dans l’outil : données clients, données salariés, données sensibles, données de santé, données relatives à des personnes vulnérables, données d’identification, données contractuelles, données de connexion, données nécessaires à la preuve ou à l’exercice des droits.
Elle doit aussi identifier qui traite ces données, où elles sont hébergées, quels sous-traitants interviennent, quels accès sont possibles, quelles garanties contractuelles et techniques existent, et s’il existe ou non un transfert hors de l’Union européenne ou de l’Espace économique européen.
Le RGPD n’interdit pas les transferts de données hors UE ou hors EEE. Il impose en revanche qu’ils soient encadrés et qu’un niveau de protection suffisant et approprié soit assuré au moyen des outils prévus au chapitre V du RGPD.
Le second angle est celui de la protection de l’entreprise elle-même.
Un outil peut ne pas contenir de données personnelles particulièrement sensibles, mais être stratégique pour l’activité : documents internes, grilles tarifaires, méthodes, informations commerciales, secrets d’affaires, accès clients, facturation, production, communication, sauvegardes ou gestion des incidents.
Certaines données peuvent donc être peu critiques au sens du RGPD, mais essentielles au regard de la continuité d’activité ou de la stratégie de l’entreprise.
À l’inverse, certaines données personnelles peuvent ne pas avoir de valeur commerciale particulière, mais présenter un risque élevé pour les personnes concernées.
La souveraineté numérique suppose de tenir ensemble ces deux dimensions : protéger les données personnelles et protéger la capacité de l’entreprise à fonctionner.
L’extraterritorialité : un risque réel, pas un slogan
L’extraterritorialité est souvent abordée de manière spectaculaire : Cloud Act, FISA, accès par des autorités étrangères, dépendance aux grands acteurs américains, souveraineté numérique, tensions géopolitiques.
Ces sujets existent. Ils ne doivent pas être balayés d’un revers de main.
Mais ils ne doivent pas non plus être transformés en slogan.
Le sujet n’est pas de dire qu’un outil américain, suisse, chinois, européen ou français serait automatiquement bon ou mauvais. Une solution européenne mal configurée peut être risquée. Une solution non européenne peut parfois être utilisée dans un cadre juridiquement encadré.
Depuis la décision d’adéquation adoptée par la Commission européenne le 10 juillet 2023, certains transferts de données personnelles vers des organismes américains certifiés dans le cadre UE-États-Unis de protection des données, le Data Privacy Framework, peuvent s’effectuer sans encadrement spécifique supplémentaire. La Commission européenne a publié une première revue périodique du fonctionnement de ce cadre le 9 octobre 2024.
Le 3 septembre 2025, le Tribunal de l’Union européenne a rejeté le recours dirigé contre la décision d’adéquation relative au Data Privacy Framework. Cela ne supprime pas tout débat, mais cela confirme qu’à ce stade, ce cadre reste juridiquement applicable.
Pour autant, l’existence d’un cadre juridique ne dispense pas une organisation de comprendre les conditions concrètes dans lesquelles ses données sont traitées.
La vraie question n’est donc pas seulement : où est hébergée la donnée ?
Elle est aussi :
qui peut y accéder ;
sous quel droit ;
dans quelles conditions ;
avec quelles garanties ;
avec quels sous-traitants ;
avec quelle capacité d’export ;
avec quelle réversibilité ;
avec quel impact si l’outil devient indisponible ou problématique.
L’extraterritorialité n’est donc pas tout le sujet. Elle est une composante d’un risque plus large : la dépendance numérique.
Le RGPD comme révélateur des dépendances numériques
Un audit RGPD n’est pas un audit complet de souveraineté numérique, de cybersécurité ou de continuité d’activité.
Son objet reste l’analyse des traitements de données personnelles, des obligations applicables, des écarts éventuels et des mesures à mettre en œuvre au regard du RGPD.
Mais en pratique, suivre les données personnelles oblige souvent à suivre les outils.
Cloud, messagerie, CRM, logiciels métiers, hébergeurs, prestataires informatiques, solutions cyber, plateformes collaboratives, outils de signature électronique, outils de facturation, solutions d’analyse d’audience : tous ces services apparaissent naturellement lorsqu’on cherche à comprendre où vont les données, qui les traite et dans quelles conditions.
C’est là que l’audit RGPD peut révéler, par ricochet, certaines dépendances numériques.
Non pas parce que le RGPD traiterait directement de tous les enjeux de souveraineté numérique. Mais parce qu’il force l’organisation à regarder concrètement :
quelles données sont traitées ;
par quels outils ;
par quels prestataires ;
dans quels environnements ;
avec quels accès ;
avec quelles garanties ;
avec quelles possibilités de réversibilité.
Une mission RGPD peut donc conduire à recommander une réflexion sur certains outils ou prestataires lorsque ceux-ci concentrent trop de données, présentent des garanties insuffisantes, rendent la sortie difficile ou créent une dépendance opérationnelle excessive.
Il ne s’agit pas nécessairement de changer immédiatement de solution.
Il peut s’agir de limiter les données déposées, de mieux documenter le traitement, de sécuriser les accès, de revoir les clauses contractuelles, de prévoir des exports réguliers, d’identifier une alternative ou de construire une trajectoire de migration progressive.
Le RGPD donne souvent le premier fil à tirer. La souveraineté numérique commence lorsque l’entreprise accepte de regarder ce que ce fil révèle.
Cartographier ses dépendances numériques
Une organisation n’a pas besoin de supprimer toutes ses dépendances numériques. Elle doit d’abord les connaître.
Pour cela, une cartographie simple peut être utile. Elle ne doit pas nécessairement prendre la forme d’un document complexe ou théorique. Elle doit permettre de répondre à une question concrète :
de quoi l’entreprise dépend-elle réellement pour fonctionner, protéger ses données et continuer son activité ?
Cette cartographie peut distinguer deux grandes catégories.
D’abord, ce qui est géré en interne : postes de travail, stockage local, serveurs internes éventuels, logiciels installés, sauvegardes, procédures papier, accès administrateurs, documents critiques conservés localement.
Ensuite, ce qui est délégué : hébergement, cloud, messagerie, cybersécurité, CRM, facturation, outils métiers, support informatique, intelligence artificielle, outils collaboratifs, prestataires web, solutions de signature ou plateformes externes.
Pour chaque outil ou prestataire important, plusieurs questions simples peuvent être posées.
1. À quoi sert l’outil ?
Un outil de confort n’a pas le même poids qu’un outil structurant.
Un brouillon dans un traitement de texte collaboratif n’a pas le même impact qu’un cloud unique contenant l’ensemble des dossiers clients, contrats, documents RH et sauvegardes.
Il faut donc distinguer les outils accessoires, importants, structurants et critiques.
2. Quelles données y circulent ?
L’outil contient-il des données personnelles ? Des données sensibles ? Des données clients ? Des données salariés ? Des informations stratégiques ? Des secrets d’affaires ? Des documents nécessaires à la preuve ? Des données indispensables à la continuité de l’activité ?
Cette question permet de croiser le risque RGPD et le risque business.
3. Qui maîtrise réellement l’environnement ?
L’outil est-il interne ou externalisé ? Qui est le fournisseur ? Quelle est l’entité contractante ? Quels sous-traitants interviennent ? Les données sont-elles hébergées dans l’Union européenne, dans l’Espace économique européen ou ailleurs ? Existe-t-il des accès support depuis d’autres pays ?
Il ne suffit pas de regarder la nationalité affichée d’un outil. Il faut regarder la chaîne réelle de traitement.
4. La sortie est-elle possible ?
L’organisation peut-elle exporter ses données ? Dans un format exploitable ? En combien de temps ? Avec quel coût ? Avec quelle assistance ? Les procédures de restitution ou de suppression sont-elles prévues contractuellement ?
Une sortie théorique n’est pas une vraie réversibilité.
Si personne n’a jamais testé l’export, documenté la procédure ou identifié une alternative, la dépendance est probablement plus forte qu’elle ne le paraît.
5. Existe-t-il un plan B ?
Le plan B peut prendre plusieurs formes : alternative numérique, sauvegarde locale, export régulier, procédure dégradée, limitation des données déposées dans l’outil, duplication contrôlée de certains documents, ou même procédure papier temporaire.
Le papier n’est pas une solution de modernisation. Mais dans certains cas, une procédure analogique minimale peut éviter la paralysie lorsque l’outil numérique devient inaccessible.
Ce n’est pas archaïque. C’est parfois simplement prudent.
6. Quel est le degré de dépendance ?
Niveau
Description
Faible
L’outil est utile, mais sa perte ne bloque pas l’activité.
Modéré
L’outil est important, mais une alternative peut être activée avec un effort raisonnable.
Fort
L’outil structure une partie importante de l’activité ; la sortie est possible mais coûteuse ou désorganisante.
Critique
L’outil est indispensable ; sa perte bloque fortement l’activité et aucun plan B opérationnel n’existe.
Choisir un outil, c’est pouvoir expliquer son choix
La souveraineté numérique ne consiste pas à choisir systématiquement l’outil français, européen, américain, suisse ou open source.
Elle consiste à pouvoir expliquer pourquoi un outil est utilisé, avec quelles données, pour quels usages, dans quelles limites, avec quelles garanties et avec quelle alternative.
Une entreprise peut choisir une solution américaine pour certains usages, une solution européenne pour d’autres, une solution locale pour des données plus sensibles, et une conservation hors ligne pour certains documents critiques.
Ce n’est pas incohérent.
Au contraire, c’est souvent plus mature qu’une politique uniforme et abstraite.
L’objectif n’est pas la pureté idéologique. L’objectif est la cohérence numérique.
Cette cohérence impose parfois de renoncer à certains usages, de limiter les données déposées dans certains outils, de revoir un prestataire, de prévoir une sauvegarde, d’organiser une réversibilité ou de documenter un choix qui, jusque-là, relevait seulement de l’habitude.
Conclusion : ne pas subir ses propres outils
Les outils numériques sont devenus indispensables au fonctionnement quotidien des organisations. Ils permettent de travailler plus vite, de collaborer, d’automatiser, de sécuriser, de stocker et de communiquer.
Mais chaque outil structurant crée aussi une dépendance. Cette dépendance peut être acceptable lorsqu’elle est choisie, comprise, limitée et réversible.
Elle devient dangereuse lorsqu’elle est invisible, totale et impossible à contourner sans désorganiser l’activité.
La conformité RGPD et la souveraineté numérique se rejoignent sur ce point : elles ne demandent pas la peur, mais de la lucidité.
Une organisation doit savoir où vont ses données, qui les traite, dans quelles conditions, avec quelles garanties, et ce qu’elle fait si un outil critique devient indisponible.
La souveraineté numérique ne commence pas par un slogan.
Elle commence par une question simple : Si cet outil disparaît demain, qu’est-ce que je peux encore faire ?
Sources principales
CNIL, “Transferts de données hors UE : le cadre général prévu par le RGPD”, rappelant que les responsables de traitement et sous-traitants peuvent transférer des données hors UE/EEE à condition d’assurer un niveau de protection suffisant et approprié au moyen des outils du chapitre V du RGPD.
CNIL, “Transferts de données vers les États-Unis : la Commission européenne adopte une nouvelle décision d’adéquation”, 10 juillet 2023.
Commission européenne, page “Data protection adequacy for non-EU countries”, mentionnant la première revue périodique du Data Privacy Framework publiée le 9 octobre 2024.
Tribunal de l’Union européenne, affaire T-553/23, Latombe c. Commission, arrêt du 3 septembre 2025, rejetant le recours contre le cadre UE-États-Unis de transfert de données.