La multiplication des contrôles à l’exportation transforme en profondeur les marchés technologiques mondiaux. Longtemps cantonnés aux équipements militaires ou aux technologies explicitement duales, ces dispositifs s’étendent désormais aux logiciels, aux services numériques, aux infrastructures cloud et aux chaînes de valeur de l’intelligence artificielle. McKinsey met en lumière une bascule silencieuse qui concerne directement les acteurs B2B de l’IT, tant du côté des fournisseurs que des entreprises utilisatrices.
Les tensions géopolitiques ne se traduisent plus uniquement par des droits de douane ou des sanctions financières. Elles se matérialisent désormais par une granularité réglementaire qui s’infiltre au cœur même des architectures technologiques. Dans ce paysage fragmenté, la capacité à concevoir, vendre et opérer des solutions numériques dépend de règles d’exportation mouvantes, parfois unilatérales, souvent extraterritoriales, et rarement lisibles au premier regard pour les décideurs IT.
L’un des apports de l’étude McKinsey, « Restricted: How export controls are reshaping markets », consiste à montrer que les contrôles à l’exportation ne relèvent plus d’un périmètre marginal réservé à la défense. Les logiciels commerciaux, les services cloud, les briques de chiffrement, les outils de développement et les modèles d’intelligence artificielle figurent désormais dans le champ de dispositifs conçus pour protéger la sécurité technologique des États. Même des produits courants peuvent devenir sensibles dès lors qu’ils intègrent un composant, une bibliothèque logicielle ou un outil soumis à restriction.
Pour les éditeurs, les fournisseurs de plateformes et les intégrateurs, cette évolution modifie la logique même de conception des offres. Le choix d’un algorithme, d’un moteur de calcul, d’un composant d’entraînement de modèles ou d’un outil de production logicielle n’est plus uniquement technique ou économique. Il engage potentiellement la capacité à adresser certains marchés, à servir certains clients ou à opérer dans des zones géographiques spécifiques. La conformité devient ainsi une contrainte de conception à part entière, au même titre que la performance, la sécurité ou la résilience.
L’extraterritorialité, nouveau facteur de dépendance invisible
L’étude insiste également sur un point encore sous-estimé par de nombreux acteurs IT européens. Les contrôles à l’exportation s’appliquent de plus en plus au-delà des frontières nationales. Les règles américaines liées au contenu minimal ou aux produits fabriqués à partir d’outils ou de savoir-faire américains étendent leur portée à des solutions conçues et assemblées hors des États-Unis. La Chine et l’Union européenne adoptent progressivement des logiques comparables, renforçant la complexité globale du cadre réglementaire.
Pour les directions informatiques et les directions achats, cette extraterritorialité crée des dépendances invisibles. Une solution présentée comme européenne peut se retrouver limitée dans ses usages ou ses déploiements du seul fait de l’intégration d’un composant tiers soumis à contrôle. Cette réalité complique les stratégies de souveraineté numérique, car elle dépasse la simple question de la localisation des données ou des centres de données. Elle impose une lecture fine des chaînes logicielles, matérielles et organisationnelles impliquées dans la fourniture d’un service IT.
Semiconducteurs, un exemple des effets de marché contre-intuitifs
L’étude met en évidence un décalage récurrent entre les objectifs politiques assignés aux contrôles à l’exportation et leurs effets économiques observables. Le cas des semi-conducteurs l’illustre de manière particulièrement éclairante. Les restrictions américaines visant la Chine n’ont pas porté sur l’ensemble du marché, mais sur un périmètre précis, centré sur les équipements de fabrication avancés, certaines catégories de puces haut de gamme et les capacités de calcul associées aux usages d’IA et de centres de données.
Dans les faits, cette granularité a produit des effets contre-intuitifs. Les restrictions américaines ne visaient pas l’ensemble des processeurs graphiques, mais des catégories précises de puces destinées au calcul intensif et à l’entraînement de modèles d’IA. Nvidia en a fourni une illustration emblématique. Lorsque les GPU H100 puis H200 ont été soumis à des interdictions d’exportation vers la Chine, le fournisseur a adapté son offre en commercialisant des modèles volontairement bridés, comme le H20, techniquement conformes aux seuils réglementaires tout en restant exploitables pour des usages civils et industriels autorisés.
Ce contournement réglementaire assumé a permis de maintenir des flux commerciaux significatifs, non pas en défiant les règles, mais en s’y conformant à la lettre. Les exportations ne se sont donc pas interrompues, elles se sont déplacées vers des segments moins avancés, vers des configurations dégradées ou vers des usages explicitement tolérés. Ce mécanisme illustre le décalage entre l’intention politique, qui cherchait à freiner l’accès à des capacités de calcul stratégiques, et l’effet économique réel, qui a surtout reconfiguré les chaînes de valeur sans les assécher.
La conformité devient un levier stratégique pour les acteurs IT
Un autre enseignement de l’étude concerne le rôle des fonctions juridiques et de conformité dans la capacité des entreprises à maintenir leurs positions sur des marchés contraints. McKinsey montre que les acteurs capables d’anticiper les évolutions réglementaires, de maîtriser les régimes de licences et de dialoguer étroitement avec les autorités conservent une marge de manœuvre significative. À l’inverse, les entreprises dépourvues de cette capacité se trouvent souvent contraintes de suspendre brutalement leurs activités sur certains marchés.
Le secteur des semiconducteurs, décidément en première ligne, en fournit une illustration parlante. Lorsque les États-Unis ont renforcé leurs contrôles à l’exportation vers la Chine, plusieurs fournisseurs ont cessé toute collaboration avec des fondeurs chinois. À l’inverse, des acteurs comme Intel, Samsung, SK Hynix ou TSMC ont obtenu des dérogations et des licences spécifiques leur permettant de poursuivre certaines activités industrielles et commerciales. Cette différence de trajectoire ne tient pas à la technologie elle-même, mais à la capacité des entreprises concernées à structurer des dossiers de conformité complexes et à démontrer leur alignement avec les exigences réglementaires.
Dans l’IT B2B, cette réalité transforme la conformité en facteur de différenciation. Les fournisseurs capables d’expliquer précisément les implications réglementaires de leurs offres, d’adapter leurs architectures ou de segmenter leurs portefeuilles selon les zones géographiques et les usages autorisés apportent une valeur tangible à leurs clients. La conformité ne relève plus d’un simple centre de coûts, elle devient un élément structurant de la proposition de valeur et un vecteur de confiance dans un environnement réglementaire instable.
La réponse européenne : une souveraineté granulaire et assumée
Face à cette recomposition, les institutions européennes et les autorités nationales défendent une approche fondée sur la granularité du risque. Pour les systèmes et les données sensibles, la ligne est clairement restrictive. En France, les recommandations de l’ANSSI et la qualification SecNumCloud incarnent cette exigence de contrôle strict, en particulier pour les systèmes critiques, les données stratégiques et les usages relevant de missions régaliennes ou essentielles. Cette approche vise explicitement à limiter les risques d’accès extraterritorial et à renforcer les garanties juridiques et techniques.
À l’échelle européenne, ce débat traverse les travaux sur la certification cloud et sur l’évolution du cadre de cybersécurité. Les prises de position de la CNIL et les discussions autour du schéma européen de certification cloud illustrent les tensions entre harmonisation du marché et exigences de souveraineté. L’enjeu n’est pas de généraliser un modèle unique, mais de préserver la capacité à imposer des critères renforcés dès lors que la sensibilité des données ou des systèmes l’exige.
Une souveraineté plus souple pour les données non sensibles
Le pendant de cette approche stricte réside dans une lecture plus pragmatique pour les données et contenus non sensibles. Les autorités européennes de protection des données et plusieurs organismes professionnels convergent vers une logique d’analyse de risque, plutôt que vers une interdiction systématique. Pour des données ordinaires, des contenus métiers ou des charges de travail non critiques, le risque d’accès extraterritorial est considéré comme maîtrisable dès lors que des garanties techniques et contractuelles sont formalisées.
Cette souveraineté plus souple repose sur plusieurs piliers. Le chiffrement effectif, la maîtrise des clés, la transparence sur les demandes des autorités, les engagements contractuels de contestation et une analyse de risque documentée permettent d’assumer un risque résiduel piloté. Cette approche apporte aux entreprises la flexibilité nécessaire pour continuer à exploiter des écosystèmes technologiques globaux, tout en réservant les exigences les plus strictes aux cas où elles sont réellement justifiées.
En définitive, l’étude de McKinsey éclaire une transformation structurelle du marché IT. Les contrôles à l’exportation ne constituent plus un bruit de fond réglementaire, mais un paramètre déterminant de la compétition technologique mondiale. Pour les entreprises et les administrations, les bénéfices métiers se mesurent désormais dans la capacité à sécuriser les déploiements, à maîtriser les coûts de non-conformité et à préserver des marges de manœuvre stratégiques dans un environnement où la technologie devient un instrument explicite de politique industrielle et géopolitique.
