L’autonomie numérique devient un sujet prioritaire pour les entreprises et les administrations, qui réévaluent leurs architectures à mesure que les équilibres géopolitiques et réglementaires se transforment. L’étude McKinsey « Boards are calling for more digital autonomy » met en évidence une évolution nette des attentes des conseils d’administration, qui demandent davantage de maîtrise sans renoncer aux avancées des plateformes globales. Les DSI portent cette transition en première ligne et doivent composer avec des injonctions parfois contradictoires.
La recherche d’un meilleur contrôle technologique s’étend à tous les secteurs. Elle s’explique par l’accumulation de facteurs qui perturbent la planification numérique et la continuité opérationnelle. Les organisations constatent que leurs dépendances technologiques, souvent héritées d’arbitrages historiques, deviennent plus visibles et parfois plus coûteuses à gérer. Les DSI doivent alors redessiner des architectures capables d’intégrer les services mondiaux tout en préservant les espaces critiques où s’exercent souveraineté et gouvernance.
L’étude souligne que la souveraineté technologique ne se limite plus à une notion institutionnelle. Elle influence désormais la manière dont les entreprises orientent leurs investissements, notamment en matière d’infrastructure, de modèles d’IA et de contrôle des flux de données. L’enjeu consiste à établir un nouvel équilibre où la capacité d’innovation s’appuie sur des choix techniques transparents, réversibles et pleinement alignés avec les attentes des directions générales.
Une lecture élargie des risques pour les chaînes technologiques
McKinsey décrit des probabilités de risques qui ont considérablement augmenté. Les exigences réglementaires, très hétérogènes d’un pays à l’autre, complexifient la localisation des traitements et la gouvernance des données sensibles. Les organisations doivent aussi anticiper des perturbations plus volatiles, qu’elles soient techniques, commerciales ou liées aux évolutions réglementaires imposées par des juridictions extérieures.
Un autre enjeu s’installe durablement dans la réflexion des DSI. La propriété des données d’entraînement, des modèles internes et des jeux d’information sensibles devient un espace de vulnérabilité. Plusieurs États revendiquent des prérogatives d’accès étendues, ce qui crée des contradictions juridiques difficiles à gérer dans les architectures distribuées. Ces situations obligent les entreprises à cartographier leurs dépendances, à identifier les zones critiques et à réévaluer les mécanismes de confiance qu’elles accordent à leurs fournisseurs technologiques.
L’open source comme stratégie d’autonomie
L’étude met en avant l’open source comme levier structurant pour reprendre le contrôle des chaînes de valeur techniques. Plusieurs grandes banques européennes ont déjà engagé une transition significative vers des piles logicielles ouvertes, motivées par le besoin d’auditer, d’orchestrer et de sécuriser leurs agents d’IA sur des bases plus transparentes. Les technologies ouvertes d’orchestration et de supervision deviennent essentielles pour garantir la maîtrise des flux et la portabilité des environnements.
McKinsey cite également le cas d’une entité publique européenne qui a conservé l’entière maîtrise de son code grâce à une stratégie ouverte. Cette décision lui a permis de transformer sa plateforme interne en un actif commercialisable tout en réduisant les dépendances implicites vis-à-vis de technologies propriétaires. Cette stratégie exige cependant des compétences internes solides et une capacité d’accompagnement continue, faute de quoi l’open source risque d’être sous-exploité ou d’introduire d’autres fragilités.
Des offres « localisées » à portée réglementaire limitée
Les fournisseurs mondiaux multiplient les annonces de services localisés pour répondre aux exigences européennes. McKinsey évoque la nouvelle zone européenne d’AWS opérée par des équipes établies dans l’Union et les évolutions de l’initiative de Microsoft dédiée aux environnements conformes aux normes nationales. Ces services, même s’ils renforcent la transparence opérationnelle et facilitent la mise en conformité sur certains volets, ne modifient pas la nature juridique des entreprises qui les proposent. Leur siège, leur gouvernance et leurs obligations réglementaires demeurent inscrits dans des juridictions extérieures qui conservent un droit d’accès potentiel aux données en vertu de leurs lois nationales.
Cette réalité crée un point de vigilance majeur pour les entreprises européennes. La simple localisation des infrastructures ou des équipes opérationnelles ne transforme pas un service en offre souveraine au sens du RGPD, du Data Act ou des cadres de cybersécurité comme NIS et NIS2. Les lois extraterritoriales restent susceptibles de s’appliquer, en particulier lorsqu’un fournisseur est soumis à des obligations de transmission de données ou de coopération judiciaire dans son pays d’origine. Cette situation limite la capacité des organisations à garantir une maîtrise complète des données sensibles, même lorsque les flux sont confinés dans l’Union.
Les DSI doivent donc analyser ces offres pour ce qu’elles sont réellement : des environnements améliorés pour répondre aux exigences européennes de conformité opérationnelle, mais pas des solutions permettant d’assurer une souveraineté juridique ou stratégique. L’étude invite à considérer ces services comme des composants d’un écosystème plus large, utile pour renforcer certaines garanties, mais insuffisant pour répondre aux critères stricts de contrôle, de réversibilité et d’indépendance attendus dans les secteurs les plus régulés.
Les fournisseurs régionaux comme relais de résilience et de diversification
L’étude met en évidence la consolidation progressive d’offres locales capables de répondre aux besoins de souveraineté. STACKIT, la plateforme du groupe Schwarz, illustre cette dynamique avec une infrastructure entièrement située en Europe et conçue pour répondre aux exigences de conformité. Ce type d’acteur a opté pour une logique de diversification et de stabilisation des dépendances plutôt qu’une stratégie d’exclusion des grands fournisseurs mondiaux.
Les DSI clients organisent ainsi des architectures multi-fournisseurs dans lesquelles chaque couche joue un rôle spécifique. Les services locaux assurent la continuité de certaines charges de travail, les plateformes mondiales restent utiles pour les capacités avancées, et les projets internes servent de socle pour les applications les plus sensibles. Cette organisation repose sur un ajustement permanent et sur une gouvernance plus explicite des flux, des responsabilités et des droits d’accès.
La portabilité des architectures pour anticiper les scénarios critiques
McKinsey insiste sur la nécessité de préparer la réversibilité des environnements, en particulier pour les composants critiques. Les architectures cloud-native conçues pour être portables permettent de rediriger les charges de travail lorsque des contraintes réglementaires, des évolutions commerciales ou des décisions stratégiques l’exigent. Telefónica illustre cette approche en virtualisant son réseau d’accès mobile afin de découpler ses équipements et de diversifier son écosystème technologique.
Cette portabilité ne peut s’appliquer à toutes les applications, mais elle devient indispensable pour les systèmes essentiels à la continuité de service. McKinsey propose une notion structurante, celle de l’« entreprise minimale fonctionnelle », qui désigne l’ensemble des capacités nécessaires au maintien des opérations lors de perturbations majeures. Cette idée sert de guide pour identifier les zones critiques, déterminer les degrés d’autonomie souhaitables et définir les mécanismes opérationnels de repli.
La souveraineté technologique se présente finalement comme une logique d’interdépendance maîtrisée plutôt que comme un retrait. Les organisations cherchent à maintenir leur accès à l’innovation mondiale tout en rétablissant des zones de contrôle explicites. Les DSI deviennent alors les architectes de cet équilibre, responsables de concevoir des systèmes flexibles, diversifiés et capables d’absorber les incertitudes d’une décennie numérique marquée par davantage de contraintes et de recompositions rapides.
