Aller au contenu principal
Souveraineté Guide pratique PME

Intégrer la souveraineté numérique dans la politique d'achats IT

Votre politique d'achats informatiques intègre-t-elle un critère de souveraineté numérique ?

En bref — ce que vous devez retenir

Sans critère de souveraineté dans votre politique d'achats IT, chaque décision est prise par le principe du moindre effort — qui favorise les grands acteurs américains. Formaliser ce critère garantit que la souveraineté numérique est évaluée à chaque nouvel achat.

? Nature du problème

Les décisions d'achat IT se font souvent dans l'urgence (un besoin, une solution connue, un budget disponible) sans réflexion sur l'origine du prestataire ou la localisation des données. En l'absence de politique formalisée, c'est naturellement vers les outils les plus connus (souvent américains) que les équipes se tournent.

Une politique d'achats IT avec un critère de souveraineté ne signifie pas "toujours choisir l'option française" — mais systématiquement évaluer l'origine, la localisation des données et les risques de dépendance avant toute décision.

Comment corriger — étape par étape

  1. Rédigez une note de politique IT d'une page qui inclut un critère de souveraineté : "Pour tout nouvel outil traitant des données sensibles, une alternative souveraine (EU/France) doit être évaluée et documentée avant signature"
  2. Créez un formulaire d'évaluation pour les nouveaux outils : origine, localisation des données, CLOUD Act risk, alternative souveraine disponible, justification si choix non-souverain
  3. Faites valider les achats IT significatifs (>1 000 €/an) par le référent RGPD ou le DPO
  4. Intégrez ce critère dans les appels d'offres et les cahiers des charges
  5. Formez les acheteurs et les managers qui prennent des décisions IT à ces critères
  6. Réévaluez annuellement les outils existants avec ce nouveau prisme

! Incidents réels

Collectivité locale — Bretagne, 2023

Décision d'acheter Microsoft 365 prise sans évaluation d'alternatives souveraines. Suite à une nouvelle directive régionale sur la souveraineté numérique, obligation de migrer vers une alternative. Coût de migration estimé à 3 fois le coût initial.

Directrice des systèmes d'information — PME industrie, Toulouse, 2022

"On a intégré le critère souveraineté dans notre grille d'achat IT. Ça n'a pas changé toutes nos décisions, mais ça nous a conduits à choisir OVH plutôt qu'AWS pour notre nouveau serveur de prod — même prix, données en France."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →