Souveraineté des données : concilier indépendance et pragmatisme - Tessi

Quand la menace devient réalité

98 jours. C’est le temps qu’il aura fallu pour que Microsoft coupe l’accès à Office 365 au procureur de la Cour pénale internationale. L’entreprise avait pourtant affiché son indépendance vis-à-vis de l’administration américaine. Mais en mai 2025, sous la pression des sanctions décidées par le gouvernement Trump, le service est interrompu. « On savait que c’était théoriquement possible. Ce jour-là, on a compris que c’était réel », analyse Jérôme Farrouil, qui observe les enjeux de cybersécurité depuis plus de 25 ans.

Cet épisode a fait l’effet d’un électrochoc dans le monde de la cybersécurité, illustrant un basculement : la souveraineté des données n’est plus une préoccupation abstraite. Le Patriot Act américain, renforcé au fil des ans, autorise les autorités à accéder aux données de toute entreprise américaine, où qu’elle soit implantée dans le monde. Pendant longtemps, ce risque concernait principalement l’espionnage économique : des acteurs stratégiques — industriels de défense, énergéticiens, groupes technologiques — pouvaient craindre que leurs données soient consultées à leur insu.

Mais l’incident de la Cour pénale internationale illustre un basculement. Il ne s’agit plus seulement d’accéder aux données : il s’agit de couper le service. Jérôme Farrouil insiste sur cette nouvelle réalité, nommée « technopolitique »[3] : la capacité d’un gouvernement étranger à paralyser des organisations entières par simple décision politique, indépendamment de tout contrat ou régulation.

Dépendance ou nuisance : une distinction fondamentale

Cette nouvelle donne impose de distinguer deux types de risques. « Les cyberattaques constituent des nuisances technologiques, pas une dépendance », pose d’emblée Jérôme Farrouil.

Les cyberattaques, qu’elles viennent d’un État, de groupes mafieux ou d’ailleurs, constituent une menace qu’il faut traiter par la protection et la résilience. C’est le quotidien des équipes cybersécurité.

La dépendance technologique est un problème d’une autre nature. Elle concerne les fournisseurs dont on ne peut se passer, comme Google (Alphabet), Amazon ou Microsoft, et qui peuvent, du jour au lendemain, modifier les règles du jeu. Et elle se décline sur trois dimensions.

Le logiciel d’abord. « Aujourd’hui vous n’avez pas beaucoup de choix : soit c’est américain, soit c’est open source », résume Jérôme Farrouil. Les suites bureautiques, les outils collaboratifs, les solutions cloud : l’essentiel du marché est dominé par les acteurs américains. L’open source offre des alternatives, mais avec des limites : écosystèmes fragmentés, niveaux de support inégaux, intégration complexe à grande échelle.

Le matériel ensuite. Semi-conducteurs, mémoire, stockage : l’Europe a largement perdu sa capacité industrielle sur ces composants critiques. Elle ne représente aujourd’hui que 10 % de la production mondiale de puces[4], et reste dépendante de l’Asie et des États-Unis pour les technologies les plus avancées.

L’hébergement enfin. Même lorsqu’un data center est physiquement situé en Europe, la nationalité de l’opérateur détermine le cadre juridique applicable. Un hébergement chez un hyperscaler américain ou chinois reste soumis aux législations extraterritoriales de ces pays (Patriot Act, Cloud Act, ou leurs équivalents).

La régulation, nécessaire mais insuffisante

L’Europe a choisi de répondre par la régulation : RGPD, NIS 2, AI Act, DORA. Ces cadres sont indispensables pour structurer les pratiques et protéger les citoyens. Mais ils ne résoudront pas le problème de fond.

Le vrai enjeu n’est pas juridique, il est stratégique : construire des alternatives technologiques européennes économiquement viables. Or l’Europe peine à faire émerger des champions, faute d’investissements comparables à ceux des États-Unis ou de la Chine. Les levées de fonds européennes se comptent en dizaines de millions là où les américaines atteignent les centaines de millions.

« On a les gens, on a les compétences, on a la volonté. Ce qui manque, c’est l’investissement et l’organisation centralisée », résume l’expert. Sans cette impulsion, migrer une infrastructure d’entreprise vers une solution européenne reste souvent synonyme de coûts prohibitifs et de complexité d’intégration.

Tessi : une souveraineté construite dans la durée

Face à ces constats, certains acteurs n’ont pas attendu l’urgence pour agir. Tessi a fait très tôt un choix structurant : être son propre hébergeur. Elle dispose de ses propres data centers, localisés en France et en Espagne. « On n’a pas attendu les débats actuels pour faire ce choix. Dès le départ, nos clients bancaires étaient très clairs : ils ne voulaient pas mettre leurs données chez un hyperscaler américain. La question s’est posée très vite, et on y a répondu », se rappelle Jérôme Farrouil.

Cette approche implique une maîtrise complète de la chaîne : développement technologique en interne, infrastructure propriétaire, absence d’infogérance externe sur les données sensibles. Les partenaires technologiques, notamment dans le domaine de l’IA via l’accélérateur Pépites Shaker, sont principalement français et européens.

La transparence en est le corollaire naturel. Et la condition de la confiance. Chaque hébergement est contractualisé et localisé. Les clients de Tessi savent exactement où sont leurs données, qui y accède et selon quelles règles. Cette lisibilité totale se vérifie dans les faits : Tessi est audité dix à quinze fois par an par ses clients. « Quand ils viennent, la porte est ouverte », image Jérôme Farrouil.

Pragmatisme et lucidité

La souveraineté totale est une illusion. Aucune organisation ne peut aujourd’hui s’affranchir complètement des technologies américaines ou chinoises : les contraintes économiques et l’état du marché l’interdisent.

L’enjeu est ailleurs : cartographier ses risques, distinguer ce qui est critique de ce qui ne l’est pas, et agir en conséquence. C’est l’approche de Tessi. Les données clients sont considérées comme critiques — leur souveraineté est non négociable. Pour les protéger, l’entreprise s’appuie sur ses propres data centers, des technologies développées en interne, et des fournisseurs principalement français et européens, volontairement diversifiés pour ne dépendre d’aucun acteur unique.

Pour son fonctionnement interne en revanche, Tessi utilise des outils américains quand ils sont les plus adaptés. « On ne travaille pas par dogmatisme, on travaille par pragmatisme, dans le respect de la transparence envers nos clients », conclut Jérôme Farrouil.

[1] The future of European competitiveness

[2] rapport « State of Cybersecurity » cité dans L’usine digitale

[3] Référence à l’ouvrage « Technopolitique : Comment la technologie fait de nous des soldats », d’Asma Mhalla (Seuil, 2024)

[4] Semi-conducteurs : l’Europe peut-elle regagner du terrain ? (avril 2025, www.polytechnique-insights.com)