Souveraineté numérique : ce qu'un dirigeant de PME doit vraiment savoir en 2026

Microsoft 365, Salesforce, AWS, Google Workspace, ChatGPT. Ces outils font tourner 8 PME françaises sur 10. Ils sont performants, fiables, bien intégrés — et c'est précisément ce qui rend la question délicate : votre patrimoine numérique le plus précieux est aujourd'hui sous juridiction américaine.

Jusqu'en mai 2025, le risque CLOUD Act restait théorique. Depuis l'affaire Karim Khan — compte Outlook coupé par Microsoft sur sanction américaine — et l'audition d'Anton Carniaux devant le Sénat français, il est matérialisé. Et la facture s'alourdit : +11,4 % d'inflation SaaS US en 2025, sanctions CNIL multipliées par 9 (486,8 M€), AI Act applicable le 2 août 2026.

Ce guide explique ce qu'un dirigeant de PME ou ETI doit faire en 2026 — sans rupture brutale, sans mégaprojet à 200 k€, sans renoncer aux outils qui marchent.

À retenir en 5 lignes.

1. Le risque CLOUD Act n'est plus théorique depuis mai 2025 (cas Karim Khan).
2. Trois obligations 2026 : AI Act (2 août), NIS 2 (printemps-été), CRA reporting (11 sept).
3. Vous n'avez pas à tout quitter — la stratégie gagnante est en couches.
4. Le TCO d'une stack souveraine est 30 à 45 % inférieur à une stack US sur 5 ans.
5. Par où commencer : MonEspaceNIS2 (gratuit) + cartographie outils + 3 quick wins.

Qu'est-ce que la souveraineté numérique pour une PME, concrètement ?

La souveraineté numérique d'une entreprise, c'est sa capacité à exercer un contrôle effectif sur ses données, ses outils et ses dépendances technologiques — sans subir l'influence d'États ou de fournisseurs étrangers. Elle se mesure sur trois dimensions interdépendantes :

1. Juridique — quelle législation s'applique à vos données ? CLOUD Act américain, FISA 702, RGPD européen, lois extraterritoriales chinoises ?
2. Technique — pouvez-vous migrer vers un autre fournisseur sans perte de fonctionnalité ? Avez-vous accès à votre code, à vos schémas, à vos modèles ?
3. Économique — la dépendance à un acteur unique se traduit-elle par des hausses unilatérales, du bundling forcé, une dégradation progressive du service ?

Les trois interagissent. Une dépendance juridique (un SaaS américain qui héberge vos données RH) crée mécaniquement une dépendance technique (lock-in propriétaire) et économique (impossibilité de négocier face à un acteur dominant).

Ce n'est plus une question de DSI. C'est une question de gouvernance — au même titre que la trésorerie ou la propriété intellectuelle.

Pourquoi le sujet bascule en 2026 (et pas avant)

Trois forces alignées expliquent ce basculement.

Le mur d'échéances réglementaires. AI Act applicable le 2 août 2026, NIS 2 transposée en France au printemps-été 2026, CRA reporting au 11 septembre 2026, Data Act applicable depuis le 12 septembre 2025. Pour la première fois, la conformité numérique sort du périmètre du seul DSI pour engager directement la responsabilité personnelle du dirigeant.

Les sanctions CNIL ont changé d'échelle. 486,8 M€ d'amendes cumulées en 2025, contre 55,2 M€ en 2024 — soit ×9 en un an, 83 sanctions, dont Google (325 M€), Shein (150 M€) sur les cookies, Free Mobile (27 M€), Free (15 M€) et France Travail (5 M€) (CNIL, bilan publié 9 février 2026). Le marché n'a plus le temps d'apprendre par essai-erreur.

Les coûts SaaS US qui dérivent. Indice Vertice : +11,4 % d'inflation SaaS en janvier 2025 (vs 2,7 % d'inflation générale G7). Salesforce +6 % au 1ᵉʳ août 2025, Microsoft 365 Business Basic 6 → 7 $/user/mois et Business Standard 12,50 → 14,50 $/user/mois au 1ᵉʳ juillet 2026. Per-employee SaaS spend : 8 700 $ en 2025 (+27 % YoY) (Zylo SaaS Management Index).

À retenir. « La part du logiciel dans les budgets IT est passée de 13 % à 21 % en 5 ans, dépassant pour la première fois les contributions employeur santé. » — BCG, 2025.

Le vrai risque CLOUD Act : l'affaire Karim Khan

À la suite des sanctions Trump du 13 février 2025 visant le procureur de la Cour pénale internationale Karim Khan (mandats d'arrêt contre Netanyahu et Gallant), Microsoft a coupé l'accès au compte Outlook professionnel de Khan, contraignant l'institution à migrer en urgence vers ProtonMail. Ses comptes bancaires britanniques ont été gelés.

Microsoft a publiquement nié avoir suspendu directement le service. Mais Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a admis sous serment devant le Sénat français en juillet 2025 qu'il ne pouvait garantir que des données françaises hébergées en Europe ne seraient jamais transmises au gouvernement américain en cas d'injonction CLOUD Act ou FISA 702.

Cet épisode est le « cas réel » qui change tous les arbitrages. Avant mai 2025, on parlait d'un risque hypothétique. Aujourd'hui, c'est un précédent.

Lecture pratique pour le dirigeant. Le risque est proportionnel à la sensibilité de vos données. Pseudonymisation et localisation peuvent suffire sur des données peu sensibles (cf. décision Conseil d'État du 20 mars 2026 sur le Health Data Hub). Mais pour les données RH, financières régulées ou clients critiques, la migration sélective vers le cloud souverain devient le chemin de moindre risque.

Les 3 obligations 2026 qu'un dirigeant doit cocher

Obligation	Échéance	À qui ça s'applique	Sanction maximale
AI Act (Art. 4 literacy + Art. 50 transparence)	2 août 2026	Toute entreprise qui utilise l'IA générative (Copilot, ChatGPT, Mistral)	7,5 M€ ou 1 % du CA mondial
NIS 2 (transposition Loi Résilience)	Printemps-été 2026	50 salariés OU 10 M€ de CA dans un secteur Annexe I/II	7 à 10 M€ ou 1,4 à 2 % du CA
CRA reporting	11 septembre 2026	Tout produit avec éléments numériques mis sur le marché EU	15 M€ ou 2,5 % du CA

Pour la majorité des PME, la mise en conformité tient en 3 actions :

1. Cartographier les outils IA utilisés (shadow AI inclus — usage ChatGPT/Copilot par les équipes en dehors du cadre formel). L'AI Act ne distingue pas usage formel et informel.
2. Former les équipes à l'AI literacy (formations e-learning 15-40 €/utilisateur). Obligation déjà active depuis février 2025.
3. Ajouter les mentions de transparence Article 50 sur chatbots, contenus synthétiques, décisions automatisées.

Pour NIS 2 : l'outil officiel MonEspaceNIS2 (cyber.gouv.fr) permet de savoir gratuitement en 5 minutes si vous êtes Entité Essentielle, Importante ou hors-périmètre. ~15 000 entités françaises seront régulées contre 500 sous NIS 1.

Une cyberattaque déclenche désormais deux notifications simultanées : ANSSI sous 24 h et CNIL sous 72 h. La Cour des comptes (juin 2025) estime le coût moyen d'une cyberattaque à 5 à 10 % du CA annuel, indépendamment de la taille.

Faut-il vraiment quitter Microsoft 365 ?

Réponse honnête : non, pas tout, pas tout de suite.

Aucune suite logicielle européenne n'arrive aujourd'hui à la cheville de Microsoft 365 en termes de complétude et d'intégration. Office + Teams + SharePoint + OneDrive + Exchange + Intune dans un écosystème unifié, c'est ce qui se fait de mieux pour la productivité d'une PME. Et un grand nombre de DSI et de RSSI le savent — c'est ce qu'ils opèrent au quotidien.

La question n'est donc pas « migrer ou ne pas migrer ». C'est : quelles données acceptez-vous de laisser sous juridiction américaine, et quelles données justifient un effort de migration ?

La stratégie gagnante en 2026 n'est pas la rupture. C'est l'empilement de couches.

Couche	Action	Effort	Impact souveraineté
Sauvegarde tierce souveraine	Externaliser vos sauvegardes M365 vers un acteur français (OVHcloud, Cloud Temple)	Faible	Élevé — vous garantit la récupération en cas de coupure éditeur ou ransomware
Chiffrement côté client	Sur documents critiques (contrats, données clients, financières), chiffrer avant upload	Moyen	Très élevé — même un accès serveur ne livre rien d'exploitable
Classification des données	3 niveaux : non sensibles / sensibles métier / sensibles régulées	Faible	Concentre les efforts là où les risques sont réels
Audit RGPD / NIS 2 fournisseurs	Vérifier clauses CLOUD Act, droit d'audit, notification incidents	Moyen	Documentation contractuelle qui protège en cas d'incident
Migration sélective	Remplacer 1-2 outils critiques par an, sur les usages les plus exposés (RH, CRM)	Élevé	Élevé sur les domaines migrés

La règle simple à appliquer :

• Données sensibles régulées (santé, financières, RH biométrie) → SecNumCloud (OVHcloud Hosted Private Cloud, 3DS Outscale, Cloud Temple)
• Données sensibles métier (clients, propriété intellectuelle) → cloud français de droit européen (OVHcloud, Scaleway)
• Données non sensibles (collaboration courante, marketing) → rester sur l'incumbent si TCO favorable

Quelles alternatives françaises pour quels usages

L'écosystème souverain français a passé un cap en 2025-2026 : 9 offres SecNumCloud 3.2 qualifiées au catalogue ANSSI (mars 2026), OVHcloud franchit le milliard d'euros de CA (+9,3 %), Numspot lance sa plateforme nouvelle génération en décembre 2025, S3NS (Thales/Google) qualifié fin 2025. L'offre couvre environ 30 % du catalogue AWS pour 85 % des usages (Damien Lucas, CEO Scaleway).

Catégorie	Acteurs français de référence	Tarif vs équivalent US
Cloud / IaaS	OVHcloud, Scaleway, 3DS Outscale, Cloud Temple	-30 à -50 % vs AWS
Suite collaborative / drive	Whaller, Jamespot, Talkspirit, Wimi	-40 à -60 % vs M365 Premium
Messagerie sécurisée	Olvid, Proton (Suisse)	Équivalent ou inférieur
CRM / ventes	Sellsy, Axonaut, Brevo, Eudonet	-30 à -50 % vs Salesforce
ERP	Cegid, Sage France, Divalto	Variable selon scope
RH / paie	Lucca, PayFit, Eurécia	-20 à -40 % vs Workday
BI / data viz	Toucan Toco, MyReport, DigDash	Self-service BI

Encadré IA — Mistral AI. Valorisée 11,7 Md€ en septembre 2025 (Series C 1,7 Md€ menée par ASML), ARR run-rate > 400 M$. Le Chat Enterprise (Mistral Medium 3) : déploiement on-premise possible, data isolation native, RGPD-by-design, conformité AI Act native. Clients de référence : BNP Paribas, AXA, Stellantis, Orange, CMA CGM (assistant MAIA dans 160 pays), Veolia, Cisco, France Travail. Coûts revendiqués ≈8× inférieurs aux comparables US. Pour la majorité des cas d'usage IA en PME (RAG, scoring lead, génération de contenu, classification, code), Mistral suffit fonctionnellement — avec l'avantage juridique majeur d'être hors CLOUD Act.

Combien ça coûte, combien ça rapporte

Pour une PME de 50 salariés sur 5 ans, modélisation pédagogique :

• Stack US (M365 E3 + Salesforce + ServiceNow + Tableau + Workday) : ≈400-600 k€ sur 5 ans, inflation embarquée 10 % CAGR.
• Stack souveraine équivalente (Whaller/Jamespot + Sellsy + Cegid + Lucca + Toucan Toco) : ≈220-350 k€ sur 5 ans, inflation typique 3-5 %.
• Économie potentielle : 30 à 45 % sur 5 ans hors coûts de migration (50-150 k€ selon complexité).

Le coût SaaS « invisible » d'une PME 50 salariés atteint typiquement 3 000 à 8 000 € par mois — soit 180 000 à 480 000 € de TCO sur 5 ans. Souvent l'équivalent budgétaire de la construction d'un patrimoine numérique interne et propriétaire.

Trois cas concrets de PME ayant repris leur souveraineté

Cas 1 — Acteur retail français, 12 départements. 12 chefs de département pilotaient leur P&L au tableur. Un BI Power BI installé en 2022 par un cabinet généraliste avait été abandonné au bout de 8 mois (adoption < 5 %). Construction d'un outil interne de pricing et réassort sur stack open-source (PostgreSQL + DuckDB + dbt + Streamlit, hébergé OVH SecNumCloud). Pas de remplacement frontal du Power BI — il est devenu inutile. Résultat à 9 mois : +4 points de marge sur les 4 premiers départements, −35 % de stock dormant. Aucune licence SaaS US ajoutée. La donnée critique réside sur des serveurs français.

Cas 2 — Éditeur SaaS RH français. Acteur historique qui voyait son avantage produit grignoté par des nouveaux entrants américains. Le directeur produit voulait industrialiser un module IA d'analyse de carrières — sans data engineer en interne. Module IA déployé sur Mistral plutôt que GPT-4. Stack interne sur Scaleway. Résultat à 12 semaines : module IA en production, devenu un argument commercial sur un marché RH français sensible aux enjeux RGPD et AI Act.

Cas 3 — Agence média indépendante française. Stack 100 % SaaS américaine (HubSpot, Asana, Notion, Slack, Salesforce). Coût mensuel : ~6 800 € sur 35 utilisateurs. Stratégie de substitution lente sur 18 mois. Étape 1 : remplacement de Notion par Outline self-hosted (économie 800 €/mois, +0 effort utilisateur). Étape 2 : remplacement de HubSpot CRM par un outil interne connecté à Mistral pour le scoring leads (économie 2 100 €/mois, +30 % de productivité commerciale). Résultat à 18 mois : −60 % de TCO SaaS, 100 % des données client sur serveurs européens, patrimoine numérique évalué à 320 k€ par le commissaire aux comptes (production immobilisée, valorisable à la cession).

ROI médian observé sur le marché français : 159,8 % à 24 mois sur projets d'IA bien cadrés, taux de réussite 82,5 % quand le périmètre est clairement défini en amont (Baromètre IA & ROI 2022-2025, > 200 projets PME françaises).

La méthode bottom-up en 4 étapes

C'est la conviction qui a fondé notre cabinet : le patrimoine numérique souverain ne se décrète pas, il se construit. Et il se construit dans le sens inverse de la méthode top-down classique (datalake, gouvernance, BI, puis seulement usages — ce qui prend 18 mois avant le premier dashboard utile).

« Construire l'outil, c'est construire la donnée. »

L'approche en quatre étapes :

1. Cartographier (4 à 6 semaines). Inventaire des outils numériques utilisés (suite collaborative, CRM, ERP, RH, BI, IA générative, hébergement) et identification de la juridiction du fournisseur. Classification des données par criticité (3 niveaux). Inventaire des cas d'IA — shadow AI inclus. Mobilisation du programme IA Booster Bpifrance (diagnostic financé jusqu'à 50 %, 700 PME accompagnées en 2024).

2. Quick wins de conformité (3 à 6 mois). Formation des collaborateurs à l'AI literacy. Désignation référent IA, référent NIS 2, DPO si manquant. Mentions de transparence Article 50. Sécurisation des fondamentaux RGPD susceptibles d'amende CNIL (cookies, vidéosurveillance, gestion des habilitations).

3. Arbitrage stratégique cloud + IA (6 à 12 mois). Application de la règle simple (données sensibles régulées → SecNumCloud ; données sensibles métier → cloud français ; données non sensibles → incumbent si TCO favorable). Évaluation TCO sur 5 ans, pas le tarif mensuel. POC IA générative à périmètre clair (Le Chat Enterprise, LightOn Paradigm sur OVHcloud, ou Copilot avec Transfer Impact Assessment documenté).

4. Industrialisation (12 à 24 mois). Stratégie cloud hybride : Numspot ou Bleu (quand qualifiés) pour la couche sensible + OVHcloud/Scaleway pour la couche métier + hyperscaler ciblé sur l'innovation/R&D non sensible. Clauses contractuelles : immunité aux lois extraterritoriales, droit de résiliation en cas de Schrems III, portabilité Data Act. Mesure trimestrielle : indice TCO IT / collaborateur, % de données sensibles hébergées hors UE, coût réglementaire évité.

L'IT cesse alors d'être un coût récurrent. Elle devient un patrimoine numérique souverain valorisable à la cession et indépendant des aléas géopolitiques. Selon BPI / Bain (2024), une PME data-équipée et souveraine vaut 1,5 à 3× la PME dépendante de SaaS US verrouillés à la transmission. C'est désormais lu en due diligence numérique avant signature.

Par où commencer : checklist dirigeant

1. ☐ Tester votre exposition NIS 2 en 5 minutes sur MonEspaceNIS2 (cyber.gouv.fr) — outil officiel gratuit.
2. ☐ Cartographier vos 10 outils numériques principaux et noter la juridiction du fournisseur (US / FR / EU).
3. ☐ Classifier vos données en 3 niveaux : non sensibles / sensibles métier / sensibles régulées.
4. ☐ Identifier le « shadow AI » dans vos équipes (qui utilise ChatGPT, Copilot, Claude au quotidien et sur quoi).
5. ☐ Désigner un référent IA + un référent NIS 2 (peut être la même personne dans une PME).
6. ☐ Lancer le diagnostic IA Booster Bpifrance si éligible (financé jusqu'à 50 %).
7. ☐ Modéliser le TCO 5 ans de votre stack actuelle vs une alternative souveraine équivalente (sur les 2-3 outils les plus chers).

Déclencheurs qui doivent faire revoir la stratégie

• Schrems III (invalidation du Data Privacy Framework par la CJUE, décision possible 2026) → accélérer la migration des données sensibles
• Loi Résilience promulguée (printemps-été 2026) → enregistrement obligatoire ANSSI
• CRA reporting au 11 sept. 2026 → procédures vulnérabilités opérationnelles
• Augmentation tarifaire SaaS US > 12 % → déclencher un RFP alternative souveraine
• Bleu / Numspot qualifiés SecNumCloud (S1/S2 2026) → élargissement panel souverain Microsoft/Google
• Mistral Compute opérationnel (datacenter Essonne, 2026) → alternative GPU/IA pleine pile sans dépendance hyperscaler

FAQ — Souveraineté numérique pour PME et ETI

C'est quoi la souveraineté numérique exactement ?
La capacité d'une entreprise à exercer un contrôle effectif sur ses systèmes d'information, ses données et ses dépendances technologiques, sans subir l'influence d'acteurs étrangers. Elle se mesure sur trois dimensions : juridique (quelle loi s'applique), technique (peut-on partir sans perte), économique (qui détient le pricing).

Quels sont les 3 piliers de la souveraineté numérique d'une entreprise ?
Le contrôle juridique (quelle législation s'applique aux données), le contrôle technique (capacité à migrer, accès au code, schémas, modèles), et le contrôle économique (capacité à négocier, absence de bundling forcé). Les trois interagissent : une dépendance juridique entraîne mécaniquement une dépendance technique et économique.

Comment une PME peut-elle vérifier sa souveraineté numérique ?
Test simple en 3 questions par outil critique : (1) qui en est l'opérateur juridique et où est-il domicilié ? (2) puis-je extraire 100 % de mes données dans un format ouvert ? (3) combien de temps prendrait une migration complète ? Si vous ne savez pas répondre à l'une des trois, il y a un point de fragilité. Outil officiel gratuit pour démarrer : MonEspaceNIS2 sur cyber.gouv.fr.

Mon entreprise est-elle concernée par NIS 2 ?
Probablement oui. Seuils d'entrée bas : 50 salariés OU 10 M€ de CA dans un secteur Annexe I (énergie, transport, banque, santé, eau, infrastructures numériques) ou Annexe II (poste, déchets, agroalimentaire, fabrication, fournisseurs numériques). ~15 000 entités françaises seront régulées vs 500 sous NIS 1. Vérification gratuite en 5 minutes : MonEspaceNIS2.

Le risque CLOUD Act est-il vraiment réel pour une PME française ?
Oui depuis mai 2025. L'affaire Karim Khan / CPI / Microsoft a matérialisé ce qui était théorique : Microsoft a coupé l'accès au compte Outlook du procureur après sanction américaine. Anton Carniaux (Microsoft France) a admis sous serment au Sénat français en juillet 2025 qu'il ne pouvait garantir que des données françaises hébergées en Europe ne seraient jamais transmises au gouvernement américain. Pour une PME, le risque est proportionnel à la sensibilité des données.

Quelles sont les meilleures alternatives souveraines à Microsoft 365 ?
Whaller, Jamespot, Talkspirit, Wimi pour la suite collaborative (4-12 €/user/mois, -40 à -60 % vs M365 Premium). Olvid pour la messagerie chiffrée (alternative à Teams/Slack). Proton (Suisse) pour mail + drive + VPN avec chiffrement bout-en-bout. Pour la migration progressive sans rupture : Bleu (Capgemini/Orange en JV avec Microsoft France) apporte M365 + Azure dans un cloud isolé France — qualification SecNumCloud visée S1 2026.

Mistral suffit-il pour remplacer ChatGPT en entreprise ?
Pour la grande majorité des cas d'usage IA en PME (RAG documentaire, scoring lead, génération de contenu, classification, code), Mistral suffit fonctionnellement — avec l'avantage juridique majeur d'être hors CLOUD Act, déployable on-premise, RGPD-by-design. Coûts revendiqués ≈8× inférieurs aux comparables US. Pour les benchmarks de raisonnement extrêmes, GPT-5 / Claude 4.6 restent légèrement supérieurs, mais l'écart se réduit chaque trimestre.

---

Pour aller plus loin

Notre cabinet accompagne 9 PME et ETI françaises depuis 2024 sur ce sujet précis : reprendre le contrôle de son patrimoine numérique sans casser ce qui fonctionne. Méthode bottom-up, intervention progressive, ROI mesuré à 90 jours.

→ Découvrir notre méthode · Voir nos cas clients · Lire l'article complémentaire sur l'audit IA pour PME · Comprendre l'écosystème data-natif

---

Sources principales citées

• CNIL — Bilan sanctions 2025, publié 9 février 2026
• AI Act (Règlement UE 2024/1689) — Commission européenne, EUR-Lex
• Cyber Resilience Act (Règlement UE 2024/2847) — entrée en vigueur 10 décembre 2024
• NIS 2 — Loi Résilience — Sénat (mars 2025), Assemblée nationale (commission spéciale septembre 2025)
• Cour des comptes — Rapport S2025-1479 du 31 octobre 2025 sur la souveraineté numérique
• Sénat — Commission d'enquête sur la commande publique (rapport 9 juillet 2025)
• ANSSI — Catalogue SecNumCloud 3.2 (cyber.gouv.fr)
• OVHcloud — Communiqué résultats FY25, 21 octobre 2025
• Mistral AI — Communiqué Series C septembre 2025
• Bpifrance Le Lab — L'IA dans les PME et ETI françaises, juin 2025 (1 209 dirigeants)
• Baromètre France Num 2025 — DGE, 15 septembre 2025 (11 021 répondants)
• Hexatrust / EY — Baromètre souveraineté numérique 2025
• Vertice — SaaS Inflation Index 2025-2026
• Zylo — 2025 SaaS Management Index
• BPI / Bain — Valorisation à la transmission des PME data-équipées, 2024

Article publié le 10 mai 2026, mis à jour le 25 mai 2026.