Résumé

Lorsque les États-Unis ont sanctionné des responsables de la Cour pénale internationale en 2025, l’accès aux services cloud, à la messagerie, aux systèmes de paiement et aux licences logicielles a été coupé en quelques heures. L’infrastructure qui leur a fait défaut est celle sur laquelle les institutions publiques européennes fonctionnent au quotidien. Ce rapport cartographie cette exposition sur huit couches technologiques, de la gestion des identités à l’intelligence artificielle, et établit que pour six d’entre elles, des alternatives européennes opérationnelles existent dès aujourd’hui. Il documente ce qui cède en premier sous pression, ce qui peut être basculé et à quelle vitesse, et ce qui exige des années de préparation. Trois scénarios de rupture, quatre études de cas de migration avec données de coût publiées, et une matrice de priorisation permettent à toute organisation publique européenne de situer son exposition et de déterminer par où commencer. Le rapport identifie également six leviers politiques européens ne nécessitant aucune nouvelle législation, et quatre décisions (avec leurs propriétaires institutionnels, leurs blocages actuels et leurs signaux de progrès) qui changeraient les conditions structurelles pour l’ensemble des organisations simultanément. v1.1, mars 2026. 137 pages. CC BY 4.0.

Changelog v1.0 → v1.1

European Digital Dependencies: Diagnosis and Priorities for Public Sector Decision-Makers
La v1.1 est une révision de la v1.0 publiée sur Zenodo (DOI 10.5281/zenodo.19358628).
La conclusion stratégique du rapport et son architecture argumentative restent inchangées. La révision a porté sur le fact-checking systématique contre sources primaires (EUR-Lex, Federal Register, Bundestag, Conseil d’État, Cour des comptes, communications corporate), sur l’intégration de retours externes, et sur la consolidation méthodologique. La note de synthèse est coordonnée avec cette nouvelle version.

Modifications structurelles :

Annexe F - chiffre Asterès. Le chiffre de 264 milliards d’euros annuels mentionné en v1.0 a été corrigé : il représente les achats des entreprises européennes (secteur privé) auprès de fournisseurs cloud et logiciel américains, et non les dépenses publiques européennes. Source primaire désormais correctement citée (étude Asterès commandée par Cigref et Numeum, avril 2025). La structure de l’Annexe F a été recalibrée pour distinguer dépenses publiques agrégées et indicateurs d’exposition économique européenne.
Annexe C - Criterion 1 sur l’exposition extraterritoriale. La v1.0 traitait principalement le CLOUD Act comme vecteur d’exposition juridique américaine. La v1.1 nomme et source distinctement les quatre instruments concernés (CLOUD Act, FISA Section 702, Executive Orders sous IEEPA, Foreign-Produced Direct Product Rule), avec références primaires consolidées. Cette refonte renforce le test opérationnel proposé aux acheteurs publics et clarifie le périmètre de la posture stricte vis-à-vis de tout nexus américain matériel.
Annexe D - règle UK post-Brexit. Application systématique de la règle « participation UK = flag non-EU » dans le tableau des alternatives européennes, avec ajustement des entrées concernées (Bitdefender, Collabora, Element/Matrix). Ajout de 3DS OUTSCALE parmi les fournisseurs IaaS SecNumCloud-qualifiés. Refonte de l’entrée managed inference européenne pour refléter l’offre existante.
Section 6.3 retirée et intégrée légèrement en 6.4. Réorganisation pour éviter une redondance documentaire identifiée à la relecture.
Section 1.6 - recadrage des objections false equivalence. Les trois objections principales (vitesse d’innovation AI, dépendance défense, coûts de migration) ont été reformulées avec des réponses calibrées sur ce que le rapport peut prouver, et avec une distinction explicite entre objections légitimes et leurs usages comme justification d’inaction.

Corrections factuelles ponctuelles

Microsoft / administration fédérale allemande : 481,4 M€ pour l’exercice 2025 (source : réponse à la question écrite de Rebecca Lenhard, Bundestag).
IAB Europe : 118,9 Md€ pour le marché publicitaire digital européen 2024.
Sanctions ICC : précision des dates (Khan en février 2025, autres juges et officiels au cours de 2025).
Visa bans 23 décembre 2025 : seul Breton lié au DSA enforcement, autres dossiers distincts. Citation Roland Busch (Siemens, FT mars 2026) : reformulée pour ne pas surinterpréter sa position.
Section 3.3 : retrait du paragraphe sur la trajectoire chinoise des semiconducteurs (claims prédictifs à 10 ans non étayables proprement).
Inteca : Pologne. Stormshield : filiale d’Airbus Defence and Space. Pleias et LightOn : entités distinctes.
Claims retirés ou corrigés : IPI véhicules électriques, mesure conservatoire DMA TikTok, DMA non-compliance Microsoft, EuroHPC nombre de supercalculateurs, ICC migration timeline.

Pour citer ce rapport

Roux, N. (2026). European Digital Dependencies: A Diagnostic for Public Sector Decision-Makers. Rapport de politique publique indépendant.
DOI Zenodo : https://doi.org/10.5281/zenodo.20076157

Réception