Depuis quelques mois, un glissement discret mais réel s’opère dans le bras de fer entre l’Union européenne et les grandes plateformes américaines. Loin des éclats médiatiques des amendes antitrust, une nouvelle ligne de front s’est dessinée : celle de la réglementation technique, en particulier dans le champ de la cybersécurité et de la gouvernance des données. Le Digital Markets Act (DMA), le Digital Services Act (DSA), la directive NIS2 ou encore le règlement DORA ne sont pas que des outils juridiques : ce sont des instruments de souveraineté numérique. Et les réactions récentes des GAFAM montrent qu’ils l’ont parfaitement compris.
L’Europe réglemente, les GAFAM répliquent
L’adoption du DMA en 2022 a marqué un tournant. En imposant aux grandes plateformes des obligations structurelles (interopérabilité, accès aux marchés, liberté de choix pour les utilisateurs), l’Union européenne ne se contente plus de sanctionner les abus passés : elle anticipe et encadre. Mais cette volonté de régulation se heurte à des stratégies défensives de plus en plus assumées.
Apple, par exemple, contraint par le DMA à autoriser des systèmes de paiement tiers dans l’App Store, affiche désormais des messages dissuasifs aux utilisateurs européens, laissant entendre que leur sécurité serait menacée hors de l’écosystème Apple. Meta, de son côté, multiplie les modifications à la marge pour éviter de modifier en profondeur son modèle publicitaire. Ces stratégies, souvent qualifiées de « compliance théâtrale », consistent à respecter la lettre du règlement sans en appliquer l’esprit.
Cette attitude ne se limite pas au DMA. Sur le RGPD, Google a longtemps joué la carte de la coopération minimale. Sur les obligations de désignation de prestataires critiques prévues par DORA, Amazon Web Services tente d’obtenir des dérogations ciblées. Et sur NIS2, certains fournisseurs cloud lobbying activement pour faire réinterpréter le champ d’application opérationnel. Le point commun ? Une stratégie d’usure, fondée sur l’ambiguïté juridique et les mécanismes de consultation interminables.
Cybersécurité, gouvernance des risques : un affrontement silencieux
Avec la directive NIS2 et le règlement DORA, l’UE déplace le curseur. Il ne s’agit plus uniquement de protection des données ou de libre concurrence, mais de résilience opérationnelle. En exigeant des obligations de reporting, des audits de cybersécurité, et des plans de continuité pour les opérateurs critiques, l’Europe impose un niveau d’exigence que les big tech n’ont jamais eu à affronter sur leur propre marché.
Ce tournant inquiète. Certains y voient une européanisation rampante de la gouvernance numérique, d’autres une attaque déguisée contre les modèles de rentabilité des grandes plateformes. Dans les faits, il s’agit d’une mise à niveau : si les plateformes veulent opérer dans les services critiques (finance, santé, cloud), elles doivent se conformer aux standards de sécurité exigés des autres acteurs.
Cette approche a été saluée par des agences comme l’ENISA ou l’EDPS, qui plaident pour une responsabilisation technique accrue des intermédiaires numériques. Mais elle soulève aussi des interrogations : quelles capacités ont les autorités nationales pour auditer des architectures aussi complexes que celles de Google Cloud ou Microsoft Azure ? La doctrine opérationnelle reste à affiner.
Le facteur géopolitique : l’ombre de Washington
Le retour sur le devant de la scène politique de Donald Trump, ou plus largement l’affirmation d’une diplomatie économique américaine plus offensive, n’est pas neutre dans cette dynamique. Les GAFAM, renforcés par leur poids financier et leur ancrage stratégique, savent que les tensions transatlantiques sur le numérique sont de retour. Chaque règlement européen est désormais lu aussi comme un acte politique.
L’affaire Apple/DMA en est une illustration. Derrière un simple message d’alerte dans l’App Store, c’est une bataille d’influence qui se joue : celle de savoir si l’UE peut encore imposer ses règles face à des entreprises qui disposent de moyens comparables à ceux d’un état.
Côté américain, les signaux se multiplient : pressions diplomatiques, contentieux bilatéraux, recours à l’OMC pour contester certains volets réglementaires européens. Cette politisation accrue du droit du numérique impose à l’UE une posture ferme mais stratégique, sous peine de voir ses textes vidés de leur substance.
Une réglementation européenne à consolider
Pour rester crédible, l’UE devra toutefois éviter deux pièges : la complexité paralysante de certains textes (voir les critiques récentes sur les projets de règlement RGPD ou NIS2) et l’application inégale entre états membres. La volonté de réguler ne suffit pas : elle doit être exécutée de manière cohérente, lisible, et rapide.
Une meilleure coordination entre les agences nationales, une doctrine de contrôle partagée, et un soutien opérationnel aux petites structures de régulation seront essentiels pour garantir l’efficacité du dispositif. Sans cela, les grandes plateformes continueront à exploiter les angles morts du système européen.
Quel avenir pour la souveraineté numérique européenne ?
Trois scénarios se dessinent :
- L’affaiblissement progressif du cadre européen, sous la pression combinée des lobbys, de l’instabilité politique, et d’une mise en œuvre hétérogène.
- La consolidation institutionnelle, avec des agences européennes renforcées, des jurisprudences claires, et une capacité d’auditer réellement les grandes infrastructures.
- La fracture numérique transatlantique, où les règles s’éloignent au point de devenir incompatibles, provoquant une re-segmentation des services.
Dans tous les cas, le cycle actuel montre une évolution de fond : la Big Tech n’est plus intouchable. L’Europe, par la réglementation, tente d’imposer une autre vision du numérique : à défaut d’être technologique, elle sera juridique. Et c’est peut-être là sa force.
Le combat n’est pas terminé, mais il a changé de nature : ce n’est plus un simple bras de fer commercial, c’est une bataille de souveraineté numérique.
