Le paradoxe du petit, vu de Pescara
Je travaille dans une PME tech à Pescara. On est une douzaine, pas cinquante, pas deux cents. On fait du logiciel pour des clients variés, du secteur public à des plateformes SaaS, et ce qui nous tient debout depuis toujours, c’est une sorte d’obsession pour la solidité. Architectures pensées, code qui tient, systèmes qui ne s’effritent pas quand on y met de vraies données, de vrai argent, de vraies décisions.
Et pourtant, ces derniers mois, je me suis retrouvé à penser une chose un peu amère : c’est un moment brutal pour avoir des idées. Pas par manque de créativité — au contraire. Le problème, c’est que la créativité arrive souvent avec un sentiment d’impuissance.
Le syndrome du « ils l’ont déjà fait »
Ça se passe comme ça, avec une régularité presque comique.
Lundi matin, brainstorming. Quelqu’un lance une idée. On s’enflamme, on imagine comment la faire bien, quelle serait la bonne architecture, où sont les risques, comment la vendre sans se raconter d’histoires.
Puis arrive mercredi soir. Scroll sur LinkedIn ou sur Hacker News, et là, l’annonce : Google, Microsoft, OpenAI, ou une startup tout juste financée à des montants qu’on ne voit que dans les podcasts, vient de présenter la même chose. Ou quelque chose d’assez proche pour que notre idée passe, aux yeux du marché, pour un clone en retard.
Ce n’est même pas une question de « ils nous ont copiés ». C’est plus banal et plus déprimant : ils ont l’échelle. Et dans cette phase historique, l’échelle semble compter plus que tout.
Je me demande souvent si on n’entre pas dans une époque où l’innovation, la vraie, devient presque un luxe réservé à ceux qui peuvent se permettre de se tromper vite et en public.
Quand on ne te bat pas parce qu’ils sont meilleurs, mais parce qu’ils sont plus rapides
Jusque-là, ce serait déjà frustrant. Mais il y a un niveau de plus, plus difficile à digérer.
Parce qu’on ne te bat pas toujours sur le temps avec un meilleur produit. Parfois, on te bat avec quelque chose de médiocre, expédié à la va-vite, avec des tests minimes et une confiance presque arrogante dans le fait que la marque tiendra de toute façon.
Le « vibe coding », qui semblait jusqu’il y a peu un truc d’indie hacker, est entré dans l’enterprise. Et je ne parle pas du junior qui utilise Copilot pour écrire un composant. Je parle d’équipes entières qui génèrent des pans entiers d’application avec des prompts, font deux essais à la volée, et mettent ensuite tout en production.
Ces derniers mois, j’ai vu des plateformes avec des failles à donner des frissons. Du XSS qu’on chope en cinq minutes, des API sans rate limiting, des flux de paiement sans idempotence, une gestion des données personnelles qui ferait pâlir n’importe quel DPO sérieux.
Et pourtant, elles sont là. Sur le marché. Avec des utilisateurs. Avec du chiffre.
Le message implicite, qui te tombe dessus même si tu ne veux pas l’entendre, est : la qualité ne compte pas, c’est la vitesse qui compte.
Et si la qualité ne compte pas, alors nous les petits, qui bâtissons sur la qualité notre réputation et souvent notre survie, quelle place avons-nous ?
L’épiphanie de Bruxelles (que je n’attendais pas)
Voici la partie que, il y a deux ans, je n’aurais jamais cru écrire.
Pendant longtemps, j’ai regardé la régulation européenne avec agacement. Le RGPD en 2018 m’avait paru un bloc : beaucoup de peine pour ceux qui travaillaient déjà bien, tandis que les grands continuaient à faire leurs affaires et, au pire, payaient des amendes qui n’étaient pour eux que de la petite monnaie.
Puis j’ai commencé à regarder le tableau qui se forme aujourd’hui. Et j’ai eu une sensation étrange, presque contre-intuitive : Bruxelles est peut-être l’une des rares armes qui nous restent.
Pas parce que « la bureaucratie, c’est beau », loin de là. Mais parce que ce qui prend forme n’est pas un règlement isolé. C’est un écosystème normatif intégré qui change l’aune de la concurrence.
Si l’Europe est faite à 80 % de PME et qu’elle veut que ces PME survivent à l’ère de l’IA, elle doit faire une chose simple et très difficile : éviter que la taille soit le seul avantage concurrentiel.
Et, en bien ou en mal, c’est exactement ce qu’elle essaie de faire.
Sept normes, une seule direction
Je les énumère, oui, mais avec une idée précise : ne les lis pas comme « sept obligations ». Lis-les comme une stratégie industrielle.
AI Act, le grand niveleur vers le haut
L’AI Act est en vigueur depuis le 1er août 2024, avec application progressive. Interdictions à partir de février 2025, obligations pour les systèmes à haut risque à partir d’août 2026.
Ce qui est intéressant, c’est qu’il ne dit pas « ne faites pas d’IA ». Il dit « faites-la bien ». Il classe les systèmes par risque, et là où le risque est haut, il demande des choses qui devraient être normales : gestion du risque, qualité des données, supervision humaine, documentation, transparence.
Pour une PME qui travaille déjà proprement, la compliance est souvent un delta gérable. Pas gratuit, certes. Mais gérable.
Pour qui a mis en production un système critique construit en trois semaines sans vraiment savoir ce qu’il fait, ça devient un gouffre. Il faut repenser processus, gouvernance, architecture. Il faut ralentir.
Et c’est là que l’AI Act devient, paradoxalement, pro-PME. Pas parce qu’il protège les petits en tant que petits, mais parce qu’il récompense ceux qui ont déjà la culture du « faisons-le bien ».
Il y a aussi un point qui m’intéresse beaucoup pour les modèles à usage général : obligations de transparence et de documentation pour les fournisseurs, surtout pour les modèles à risque systémique. Traduit : si je construis un produit sur un modèle de fondation, j’ai plus de droit à connaître ses limites, ses risques, ses contours. Aujourd’hui, on ne le comprend souvent qu’en lisant des papers et des billets corporate.
Cyber Resilience Act, la fin du « ça marche, n’y touche pas »
Le CRA est en vigueur depuis le 10 décembre 2024. Obligations de signalement à partir de septembre 2026, application pleine à partir de décembre 2027.
Ici, la musique change vraiment : si tu mets sur le marché européen un produit avec des éléments numériques, tu es responsable de la sécurité tout au long du cycle de vie. Mises à jour de sécurité pendant au moins cinq ans, gestion documentée des vulnérabilités, signalements rapides, et surtout SBOM.
Le SBOM, sans romantisme, c’est un inventaire : savoir ce qu’il y a dans ton logiciel, dépendances comprises. Quand sort une CVE critique, tu n’as pas à faire de l’archéologie. Tu sais.
Et tu sais qui est souvent déjà structuré comme ça ? Les PME avec des stacks modernes, des pipelines décentes, des dépendances tracées.
Qui souffre, en revanche ? Les organisations énormes avec des années de dette technique, des applications legacy intouchables, des composants figés en 2016, et personne qui ait vraiment la carte du territoire.
Le CRA fait passer la maintenance d’une chose « si on a le temps » à un devoir. Et soudain, l’attention maniaque aux mises à jour cesse d’être une fixation personnelle pour devenir une posture concurrentielle.
Product Liability Directive, le logiciel n’est plus intouchable
La nouvelle PLD a été adoptée en 2024, et les États membres doivent la transposer d’ici décembre 2026.
Là, j’avoue avoir un peu peur. Parce qu’elle étend la responsabilité du fait des produits défectueux au logiciel. Et dans certains cas, elle introduit des mécanismes comme le renversement de la charge de la preuve : s’il y a un lien plausible entre défaut et dommage, le producteur doit démontrer que le produit n’était pas défectueux.
Imagine maintenant une boîte qui a expédié une app financière sans tests sérieux, sans code review, sans documentation. Si un dommage survient, comment le démontre-t-elle ?
Une PME qui travaille avec CI, tests automatiques, reviews tracées, décisions d’architecture annotées, changelogs et notes de release, se retrouve avec quelque chose de précieux qu’elle n’avait pas appelé ainsi : un dossier de défense.
La PLD, concrètement, transforme la qualité du processus en bouclier juridique.
European Accessibility Act, le web n’est pas que pour ceux qui voient bien
L’EAA s’applique déjà depuis le 28 juin 2025.
Accessibilité signifie WCAG 2.1 AA comme référence : sémantique, contraste, clavier, lecteur d’écran, alternatives textuelles. Pas la « belle page », la page utilisable aussi par celles et ceux qui ont une situation de handicap.
Qui a toujours traité l’accessibilité comme exigence part avantagé. Qui a construit des interfaces splendides et inutilisables avec un lecteur d’écran doit courir.
Et là, il y a une opportunité très concrète : l’accessibilité devient un service. Audits, remédiation, design systems accessibles. Il y a aussi l’exemption pour les microentreprises, un détail intéressant : tu peux être assez petit pour ne pas être obligé dans certains cas, mais assez compétent pour aider les autres.
NIS2, la cybersécurité n’est plus optionnelle
NIS2 devait être transposée d’ici octobre 2024, et en Italie la transposition est arrivée. L’application est progressive.
Ce qui touche les PME n’est pas seulement « tu rentres ou non ». C’est l’effet supply chain. Si ton client est sujet à NIS2, il te demandera des garanties. Procédures. Incident response. Mesures.
La sécurité devient un prérequis commercial. Si tu ne démontres pas une posture sérieuse, tu ne travailles pas avec certains clients. Point.
Et là encore, qui a investi tôt — peut-être avec peine et sans gloire — se retrouve devant.
Data Act, les données générées sont aussi à toi
Le Data Act est en vigueur depuis le 11 janvier 2024 et s’applique depuis le 12 septembre 2025.
L’idée, dite simplement : les données générées par l’usage d’un produit connecté doivent être accessibles à l’utilisateur et, sur demande, partageables avec des tiers.
Pour qui vit du lock-in, c’est une secousse. Pour les PME, ça peut être une brèche énorme : si les données doivent être portables, quelqu’un doit construire les infrastructures, les API, les connecteurs, les formats.
C’est presque une norme anti-lock-in. Et beaucoup de PME, banalement, n’ont jamais eu la force de faire du lock-in agressif. Ce « manque » peut désormais devenir un avantage.
DMA et DSA, des gatekeepers avec d’autres règles
Le DMA est pleinement applicable depuis mars 2024, le DSA depuis février 2024.
Ici, le point est politique mais très concret : les gatekeepers ne peuvent plus jouer avec la même impunité qu’avant. Interopérabilité, interdictions d’auto-préférence, plus de transparence.
Est-ce suffisant ? Probablement pas. J’attends des échappatoires, des interprétations créatives, des avocats très bien payés.
Mais un principe change : être grand ne te donne plus automatiquement le droit de tricher.
Mises ensemble, ce n’est pas de la compliance : c’est un changement de métrique
Si je regarde ces normes comme un ensemble, je vois un message assez clair.
Sur le marché européen, l’idée est que celui qui fait les choses bien gagne.
Bien signifie : IA transparente et supervisée, logiciel maintenu et sûr, responsabilité réelle quand on cause des dommages, accessibilité comme exigence, cybersécurité comme pratique quotidienne, données moins enfermées, plateformes dominantes plus contrôlées.
Et, presque sans le vouloir, cette direction valorise certaines caractéristiques typiques des PME sérieuses : attention au détail, proximité du client, stacks plus à jour, moins de legacy intouchable, moins d’incitations au « lance-le et on verra ».
Mais la réalité n’est pas toute rose
Il serait malhonnête de dire que la compliance est gratuite. Elle coûte du temps, de l’argent, du focus. Et dans une boîte de taille moyenne (ou petite), chaque heure passée sur la documentation et les processus est une heure qui n’est pas sur le produit.
Il y a aussi un risque réel : que la compliance redevienne un avantage des grands, ceux qui peuvent se payer des départements juridiques et des plateformes de gouvernance.
Mais l’Europe a peut-être compris un point : la proportionnalité. Beaucoup de normes distinguent par risque et par taille. Et il y a une autre voie, qui me semble très concrète : transformer la compliance en service.
Si tu comprends vraiment CRA, AI Act, NIS2, EAA — pas seulement comme « cases à cocher » mais comme implications techniques —, tu peux le vendre. SBOM, audits, hardening, gouvernance IA, audits d’accessibilité. La compliance cesse d’être un simple coût pour devenir une compétence de marché.
Ce que je ferais lundi matin, vraiment
Je ne veux pas conclure par la morale. Je préfère conclure par du concret, parce que c’est peut-être là que les PME peuvent s’entraider.
On essaie de bâtir un cadre interne unique, pas sept processus séparés. Forcément, on est petits. Et cette fois, être petits est un avantage, parce qu’on ne peut pas se permettre de silos. La doc nécessaire au CRA aide aussi avec la PLD. Le SBOM sert au CRA, mais devient aussi une base utile pour des demandes type NIS2. La logique risk-based de l’AI Act s’emboîte bien avec l’approche du RGPD.
On essaie aussi de traiter la compliance comme un produit, pas seulement comme une obligation. Si un client doit se mettre en conformité, quelqu’un doit l’accompagner. Et si tu l’accompagnes bien, tu ne vends pas de la « bureaucratie ». Tu vends de la réduction du risque, de la continuité opérationnelle, de la réputation.
Puis il y a la formation. Pas celle qui s’arrête aux slides. Une formation pour comprendre le pourquoi des règles, parce que si tu comprends le pourquoi, la checklist sert moins. Tu raisonnes mieux quand arrive le cas étrange, celui qui n’est écrit nulle part.
Et enfin, le réseau. Templates, processus, leçons partagées. La compliance n’est pas un jeu à somme nulle. Si ton écosystème est plus solide, tu l’es aussi.
C’est peut-être ça, le point : pas besoin de s’excuser d’être petits
Je n’ai pas d’illusions. Les big tech investiront dans la compliance, trouveront des moyens de s’adapter, feront du lobbying, chercheront des interprétations favorables.
Mais quelque chose a changé : l’Europe est en train de dire que, sur son marché, la vitesse sans responsabilité n’est plus un superpouvoir.
Et pour ceux qui, comme nous, ont toujours bâti avec soin — pas par vertu mais par nécessité —, c’est une nouvelle étrange et belle. Peut-être qu’on n’a pas besoin de devenir plus grands. Peut-être qu’il suffit de continuer à faire les choses avec attention et responsabilité.
Sauf que maintenant, enfin, quelqu’un essaie de faire compter ce choix.
Ce qu'il faut retenir
Pas besoin de s’excuser d’être petits : l’Europe déplace la concurrence de l’échelle vers le sérieux architectural.
Le CRA fait passer la maintenance de « si on a le temps » à devoir : qui a un stack moderne part devant, qui a du legacy intouchable paie.
La PLD transforme la qualité du processus en bouclier juridique : CI, tests, reviews tracées deviennent un dossier de défense.
La compliance bien comprise se vend comme service : SBOM, audit, hardening, gouvernance IA, audit d’accessibilité.
C’est une fenêtre d’arbitrage : elle ne durera pas pour toujours, mais elle est là maintenant.
Questions & réponses
Pourquoi une PME tech italienne ne peut-elle pas concurrencer les big tech sur l'échelle ?
Parce que chaque semaine Google, Microsoft, OpenAI ou une startup bien financée annonce la même idée que ton équipe avait en début de semaine. Ce n’est pas du copiage : ils ont l’échelle, le capital et la vitesse d’exécution qu’aucune douzaine de personnes à Pescara ne peut égaler. Concurrencer sur l’IA généraliste est perdu d’avance.
Quel est le paradoxe du petit ?
C’est que la petitesse — combinée à la régulation européenne 2026-2027 — devient avantage concurrentiel. CRA, AI Act, NIS2, EAA imposent des contraintes d’architecture, de sécurité, d’accessibilité et de documentation que les big players globaux ont structurellement du mal à respecter rapidement. Une PME italienne qui sait déjà faire du logiciel sérieux part avec l’infrastructure culturelle qu’exige la compliance.
Pourquoi la régulation européenne est-elle une bonne nouvelle pour les PME ?
Parce qu’elle déplace la concurrence du terrain de l’échelle (où les petits perdent) vers celui du sérieux architectural (où les petits peuvent gagner). Le logiciel européen 2026-2027 ne récompense pas qui construit le premier, mais qui construit de manière soutenable, sûre et conforme. C’est un renversement des règles du jeu en faveur de ceux qui ont bâti sur des fondations solides plutôt que sur la seule vitesse.
Que devrait faire concrètement une PME logicielle aujourd'hui ?
Cesser de concurrencer sur l’IA généraliste. Se spécialiser sur des verticaux à barrières réglementaires (santé, secteur public, finance), investir dans des processus de delivery qui produisent SBOM, journaux d’audit et accessibilité comme sortie naturelle — pas comme coût rajouté en fin de projet. Quand les grands doivent ralentir pour s’adapter, ceux qui étaient déjà prêts accélèrent. C’est une fenêtre d’arbitrage qui ne durera pas pour toujours, mais elle est là maintenant.
L'auteur
