Andrea Margiovanni .it
ITENFRDE
Home / Souveraineté numérique européenne

Souveraineté numérique européenne

La souveraineté n'est pas un drapeau : c'est un maillage de dépendances. Voici la page d'index sur les essais où je tente de la cartographier, sans idéologie ni rhétorique.

Ce qui suit est ma lecture personnelle du thème de la souveraineté, en référence aux essais que j’ai écrits. Ce n’est pas une invective anti-cloud : c’est le point de vue de quelqu’un qui travaille sur des infrastructures qui doivent fonctionner dans la prochaine décennie, dans un cadre géopolitique qui n’aide pas.

Dernière révision : 27 mai 2026.

Thèse en une phrase

La souveraineté numérique est une propriété systémique, pas un achat. Elle se mesure en nombre de fournisseurs substituables dans une fenêtre opérationnelle raisonnable — pas en étiquettes produit ou en drapeaux sur la home page.

Comme je la vois

  • Le « cloud souverain » du marketing n’existe pas. Il existe des architectures souveraines : où vous pouvez sortir d’un fournisseur en 6 à 12 mois sans refaire le logiciel. Tout le reste, c’est du branding.
  • L’Europe n’a pas un problème technique, elle a un problème d’acheteur. Les administrations achètent du cloud sans se demander ce qui se passe dans un scénario où le fournisseur change d’avis. Le concept de kill-switch géopolitique n’est aujourd’hui pas dans les cahiers des charges.
  • Souveraineté et open source ne sont pas la même chose. L’open source aide, mais sans ingénierie opérationnelle indépendante il ne sauve pas. Kubernetes est open source ; votre disponibilité en personnes capables de le gérer ne l’est pas.
  • La souveraineté n’est pas qu’industrielle : elle est déjà géopolitique. La réglementation numérique UE — RGPD, DSA, AI Act, CRA, PLD — est lue de l’extérieur (notamment depuis San Francisco) comme une attaque existentielle contre le modèle du capitalisme technologique américain. Reconnaître cette lecture n’est pas céder : c’est comprendre pourquoi chaque décision de fournisseur extra-UE est déjà une décision politique, même quand elle se présente comme technique.

Essais sur ce thème

27.05 2026
№ 69

L'humain est une position

Je suis athée, je viens de la philosophie, je travaille dans la compliance européenne. La première encyclique de Léon XIV sur l'intelligence artificielle, je ne l'ai pas signée, je l'ai discutée. Et j'y ai trouvé un lexique qui manque encore à Bruxelles.

11′ temps de lecture
2 151 mots
Lire →
13.05 2026
№ 67

Douze métiers en quête de marché

La première norme nationale européenne sur les profils professionnels de l'IA est parue le 30 avril. Elle mérite d'être prise au sérieux, et mérite aussi qu'on s'en méfie de la bonne manière.

7′ temps de lecture
1 396 mots
Lire →
07.05 2026
№ 65

Le sablier de la compliance

Carte du marché italien de la compliance vue de l'intérieur : le conseil en haut, les plateformes en bas, le middle layer écrasé entre les deux. Et la spécificité italienne — ACN — qui change les règles.

9′ temps de lecture
1 870 mots
Lire →
05.05 2026
№ 64

Le spectre que nous sommes

Une longue traversée de la réglementation européenne du numérique, vue de l'extérieur — par ceux qui la détestent — et une contre-lecture de l'intérieur, par ceux qui traduisent ces normes, chaque jour, en objets techniques.

26′ temps de lecture
5 640 mots
Lire →
27.04 2026
№ 59

La forme de la contrainte

Traiter la conformité réglementaire comme l'adversaire du projet technique signifie qu'on n'a pas compris ce qu'est un projet technique. Un essai sur l'erreur de catégorie qui affaiblit l'industrie européenne du logiciel, et sur la manière dont le cadre normatif européen — lu comme système et non comme liste — configure un avantage compétitif structurel pour qui sait l'habiter.

17′ temps de lecture
4 050 mots
Lire →
21.04 2026
№ 58

AIPD comme genre, pas comme formulaire

Le template EDPB pour les AIPD, publié en avril, n'est pas un formulaire plus long. C'est la codification d'une forme. Sur le passage du formulaire au genre, et sur ce que cela change pour qui écrit la compliance comme pratique d'écriture continue.

28′ temps de lecture
6 850 mots
Lire →
28.03 2026
№ 50

L'incompétence comme condition structurelle du présent

Personne ne sait ce qu'il fait. Pas au sens banal et un peu auto-absolutoire des conversations entre collègues, quand quelqu'un hausse les épaules et dit qu'on improvise tous.

12′ temps de lecture
2 620 mots
Lire →
17.03 2026
№ 42

Compliance EU 2026 : c'est de l'architecture, pas juste du juridique

Dans les 18 prochains mois, CRA, AI Act, PLD, NIS2 et EAA changent le logiciel européen. La compliance ne se « coche » pas : elle se conçoit en architecture.

10′ temps de lecture
2 280 mots
Lire →
08.03 2026
№ 37

Les mains et la machine : la confiance dans le logiciel

Le logiciel tient le monde mais reste invisible. Entre IA, open source et règles européennes, la confiance se construit avec soin, choix et responsabilité.

10′ temps de lecture
2 280 mots
Lire →
08.03 2026
№ 36

La compliance, c'est votre affaire

Entre 2026 et 2027, le logiciel devient un produit avec responsabilité légale. Si le client ne veut que le go-live, le risque reste pour tout le monde.

7′ temps de lecture
1 540 mots
Lire →
29.12 2025
№ 9

Airbus et le cloud souverain européen : le premier signal crédible d'un réveil ?

Il y a quelques jours, j'ai lu une nouvelle qui est probablement passée inaperçue, cachée entre les titres sur la…

9′ temps de lecture
2 020 mots
Lire →

Travaillons ensemble

Mon travail ici n’est pas de vous convaincre de sortir du cloud américain — c’est de vous montrer, chiffres en main, combien il coûterait d’en sortir si un jour il le fallait. C’est un exercice de sobriété stratégique, pas un manifeste.

Pour qui c'est utile

  • CTO ou Heads of Infrastructure d’entités essentielles, entreprises régulées ou administrations qui doivent défendre des choix cloud face à un board ou à des autorités

  • Responsables IT de ministères, régions et santé qui s’apprêtent à signer (ou renouveler) des contrats hyperscaler

  • Fondateurs et CTO de SaaS européens qui veulent se différencier sur la souveraineté sans tomber dans le marketing

  • Comités de risque qui doivent estimer l’exposition dans des scénarios géopolitiques non triviaux

Comment je travaille

Assessment d'exit-readiness (3–4 semaines)

Je cartographie les dépendances critiques de votre stack et j’estime le coût et le temps pour remplacer chaque fournisseur dominant, scénario par scénario. Output : une matrice de risque avec une roadmap de réduction des dépendances, ordonnée par impact.

Revue d'architectures cloud (2–3 semaines)

Je prends une architecture en cours ou en projet et je l’évalue par rapport à la question « combien de mois faut-il pour la déplacer ailleurs ? ». Utile avant des signatures pluriannuelles.

Coaching sur les choix stratégiques (engagement continu)

Une ou deux calls par mois pour les décisions cloud les plus lourdes : choix d’un nouveau fournisseur, négociation d’une sortie, positionnement public sur la souveraineté.

Questions opérationnelles

Êtes-vous contre AWS, Azure, GCP ?

Non. Je suis contre l’usage inconscient. Dans la plupart des cas un hyperscaler est le bon choix — à condition de savoir ce qu’on achète et combien coûterait de ne plus l’avoir.

Travaillez-vous seulement avec le secteur public ?

Non. Mais le secteur public, les entités essentielles et les entreprises régulées sont ceux où la demande de souveraineté est la plus concrète.

Combien de temps dure un engagement type ?

Trois à six semaines pour un assessment ou une review, continu pour le coaching stratégique.

Faites-vous aussi la migration ?

Non. Le conseil indépendant sur la souveraineté fonctionne précisément parce qu’il ne vend pas de capacité. Si l’exécution est nécessaire, je l’accompagne mais je ne l’exécute pas.

Écrivez-moi à hello@margiovanni.it avec deux lignes de contexte. Je réponds sous quelques jours ouvrés avec une proposition concrète, ou un refus poli si ce n'est pas mon périmètre.

Questions & answers

Que voulez-vous dire par « souveraineté » ?

La capacité de continuer à fournir un service — public ou privé — quand un fournisseur extra-UE change de prix, de conditions, ou est obligé par une loi de son pays à faire quelque chose qui ne nous arrange pas. Ce n’est pas l’autarcie : c’est avoir des leviers de négociation que nous n’avons en grande partie plus aujourd’hui.

Le cloud américain est-il le problème ?

Le problème est la concentration. Si 70 % des charges critiques d’un pays tournent sur trois hyperscalers, vos politiques numériques sont de facto co-décidées à Redmond, Mountain View et Seattle. Indépendamment de la qualité technique — qui est excellente.

© 2026 Andrea Margiovanni Fait avec soin, à la main