Souveraineté numérique et plateformes CRM : les critères que vous devriez analyser

publié le 28/02/2026

Il y a encore quelques années, parler de souveraineté numérique dans le contexte du CRM et de l’orchestration marketing aurait provoqué des haussements d’épaules. Ce n’est plus le cas.

L’instabilité économique mondiale et les changements de rapports de force entre grandes puissances ont révélé que nos économies et certains services publics essentiels reposent sur des infrastructures numériques qui ne sont pas les nôtres. Nous ne sommes plus à l’abri de pressions de la part de nos alliés, et ces pressions pourraient emprunter le chemin du numérique.

Chez Badsender, cette question résonne aussi avec les valeurs que nous défendons au quotidien. La logique de régulation européenne sur des sujets comme la vie privée ou l’IA nous semble être la bonne voie. Les solutions européennes prennent souvent mieux en compte ces contraintes, des contraintes que nous considérons bonnes pour le marché et pour les individus.

Cet article n’a pas pour vocation de dresser un comparatif (à ce stade) ni de pointer du doigt telle ou telle solution. L’objectif est de poser un cadre de réflexion, une grille de critères que toute organisation française ou européenne devrait intégrer lorsqu’elle évalue ou réévalue sa Customer Engagement Platform.

Cet article est en accès libre.

Il nous a demandé du temps et de l’expertise !

Ce mois-ci, merci à nos clients-sponsors : Actito, Puig France, Voyageurs du Monde, CMI France, Cegeka, BPI France, Citeo, FFT, Castor & Pollux, Clarins, Mews Group. Ils nous permettent de publier du contenu gratuit. Grâce à eux, Badsender remplit sa mission d’éduquer l’écosystème francophone de l’emailing et du CRM pour promouvoir un email responsable.

Avec plus de 10 000 lecteurs mensuels, si seulement 1% devenaient clients, nous continuerions cette mission encore longtemps ! Devenez client et bénéficiez de notre expertise tout en soutenant la production de connaissances ouvertes.

Voir ce qu’on peut faire eNsemble

Le syndrome du « choix de sécurité »

Soyons honnêtes : quand on parle de souveraineté avec des décideurs, tout le monde est d’accord. « Ah oui, il faudrait faire des choix souverains. » Mais lorsque vient le moment de monter une grille d’analyse pour un appel d’offres, ces critères passent au second plan. Le scénario est le même que pour les enjeux écologiques : on approuve le principe, on ne le traduit pas dans les actes.

Pourquoi ? Parce qu’il existe un réflexe puissant dans les organisations : le choix de sécurité. On choisit la même solution que ses concurrents, les leaders du marché dont tout le monde parle, parce que si le projet de migration se plante, personne ne pourra vous reprocher d’avoir fait ce choix. C’est humain. Mais c’est aussi un raisonnement qui ignore des risques bien réels (et qui passe à côté de nombreuses opportunités).

Et le secteur public n’est malheureusement pas toujours mieux positionné sur le sujet. Les mêmes réflexes y sont à l’œuvre.

Les deux arguments qui devraient peser dans un comité de direction

Au-delà du discours sur les valeurs, deux arguments très concrets devraient faire réfléchir toute DSI ou direction marketing/CRM.

La conformité légale : Le RGPD n’est pas une option, c’est une obligation. Mais êtes vous capables de respecter le RGPD si vous êtes soumis à certaines législations américaines ? Le Cloud Act et le FISA 702 permettent aux autorités américaines d’exiger l’accès à des données hébergées n’importe où dans le monde, dès lors que le prestataire est une entreprise américaine ou détenue par des capitaux américains. La localisation des serveurs en Europe ne suffit pas à protéger les données si l’entité qui les opère est soumise au droit américain.
La continuité de service : Si une décision politique, une sanction économique ou une défaillance technique coupe l’accès à un service dont vous dépendez, est-ce que votre CRM fonctionne encore lundi matin ? Est-ce que vos emails partent ? Est-ce que vos campagnes tournent ? Ce n’est pas un scénario catastrophe théorique, c’est une question que toute analyse de risques sérieuse devrait intégrer.

La grille de critères : évaluer la souveraineté d’une Customer Engagement Platform

La souveraineté n’est pas binaire. Ce sont de nombreux éléments qu’il convient d’évaluer, et chaque organisation doit placer son propre curseur. Mais pour pouvoir le placer de manière éclairée, encore faut-il savoir quoi regarder.

1. Hébergement des données et de l’infrastructure

C’est le critère fondamental, le point de départ non négociable.

Les données personnelles de vos clients doivent être hébergées dans un data center européen, opéré par une société dont l’actionnariat est européen. C’est la condition minimale pour pouvoir parler de souveraineté.

Mais il ne suffit pas de poser la question de manière générique. Il faut creuser :

Où sont hébergés les serveurs applicatifs et les bases de données ? Et les sauvegardes ?
Qui est la société d’hébergement ? Est-elle européenne ? Son actionnariat est-il européen, y compris de manière indirecte ?
Si la plateforme ne gère pas elle-même le routage des emails, quel service tiers est utilisé pour l’envoi ? Où est-il hébergé et par quelle société ?

2. Actionnariat et gouvernance

L’hébergement ne fait pas tout. La question de qui contrôle la société éditrice de la plateforme est tout aussi déterminante.

L’actionnariat direct est-il 100% européen ?
Qu’en est-il de l’actionnariat indirect ? Une société française détenue majoritairement par un fonds d’investissement américain n’offre pas les mêmes garanties juridiques.
Quelle est la structure juridique de l’entreprise ?
En cas de litige ou de demande d’accès aux données par une autorité étrangère, quel droit s’applique ?

3. Dépendances technologiques et analyse de risques

Une plateforme peut cocher toutes les cases précédentes et rester fragile si elle repose sur des briques technologiques non européennes et non substituables.

Le MTA (serveur d’envoi d’email) est-il un logiciel propriétaire non européen, ou une solution open source (Postfix, par exemple) ?
La base de données est-elle un service cloud d’un hyperscaler américain, ou une technologie ouverte (PostgreSQL, MariaDB) opérée en interne ou par un prestataire européen ?
S’il y a des briques tierces (moteur de personnalisation, email builder, outils de reporting…), d’où viennent-elles ?

Et surtout : la plateforme a-t-elle réalisé une analyse de risques sur ses propres dépendances ? Si Cloudflare tombe ou devient inaccessible, est-ce que la plateforme peut continuer à fonctionner en mode dégradé ? Si le routage email principal est défaillant, existe-t-il un mécanisme de secours ?

Une plateforme souveraine, c’est aussi une plateforme qui connaît ses points de fragilité et qui a prévu des alternatives.

4. L’IA embarquée : le nouveau cheval de Troie

C’est un point que peu de gens rattachent encore à la souveraineté, et pourtant il va devenir central.

De plus en plus de plateformes d’engagement client intègrent des fonctionnalités d’intelligence artificielle : personnalisation de contenu, scoring prédictif, optimisation des heures d’envoi, génération de texte. Ces fonctionnalités deviennent structurantes dans l’usage quotidien de la plateforme.

Mais avec quelle IA ? Les modèles les plus performants aujourd’hui sont américains. Si votre plateforme européenne envoie les données de vos clients à un LLM hébergé aux États-Unis pour personnaliser vos campagnes, vous avez un problème de souveraineté.

Les questions à poser :

Quelle solution d’IA est intégrée à la plateforme ?
Les données clients sont-elles transmises à des services d’IA tiers ? Si oui, lesquels, et où sont-ils hébergés ?
La plateforme utilise-t-elle des modèles open source ou des solutions européennes ?
Si la brique IA de la plateforme est hors-service, est-ce que la plateforme reste utilisable ?

5. La souveraineté des canaux

On pense infrastructure, hébergement, actionnariat, mais il y a un second angle mort dans la réflexion sur la souveraineté de ces plateformes : les canaux eux-mêmes.

L’email est un protocole ouvert, décentralisé, standardisé. Le SMS repose sur des opérateurs télécoms inter-connectés. Le web est un espace ouvert. Ces canaux n’engendrent pas de dépendance structurelle à un acteur extra-européen.

En revanche, l’essor des stratégies d’engagement client qui reposent sur WhatsApp (Meta) ou le RCS (Google) crée une dépendance directe à des entreprises californiennes qui peuvent modifier les règles du jeu, les tarifs ou les conditions d’accès à tout moment, unilatéralement.

Cela ne signifie pas qu’il faille renoncer à ces canaux. Mais cela signifie qu’une stratégie d’engagement client souveraine est aussi une stratégie qui diversifie ses canaux et ne met pas tous ses œufs dans le même panier. Si demain votre canal principal est WhatsApp et que Meta change sa politique tarifaire ou ses conditions d’utilisation en Europe, quel est votre plan B ?

6. Contribution à l’écosystème

Ce dernier critère est peut-être le moins immédiatement opérationnel, mais il est révélateur de la posture d’un éditeur.

La plateforme utilise-t-elle des briques open source ? Si oui, contribue-t-elle en retour aux projets qu’elle utilise ?
L’essentiel de la R&D et des emplois est-il localisé en Europe ?

Une plateforme qui consomme de l’open source sans jamais contribuer, qui localise sa R&D hors d’Europe tout en se revendiquant européenne, ce sont des signaux à prendre en compte dans une évaluation globale.

Tableau récapitulatif des critères de souveraineté en matirèe de CRM Marketing

Pour vous accompagner, voici un petit tableau récap que nous nous permettrons de faire évoluer au fur et à mesure de nos réflexions.

Axe	Critère	Question à poser à l’éditeur
Hébergement	Localisation des serveurs	Où sont hébergés les serveurs applicatifs, les bases de données et les sauvegardes ?
	Société d’hébergement	L’hébergeur est-il une société européenne à actionnariat européen ?
	Routage email	Si la plateforme ne gère pas elle-même le routage des emails, quel service tiers est utilisé ? Où est-il hébergé et par qui ?
	CDN	L’hébergement des images est-il européen ?
Actionnariat et gouvernance	Actionnariat direct	L’actionnariat direct de l’éditeur est-il 100% européen ?
	Actionnariat indirect	L’actionnariat indirect (fonds, maison mère) est-il 100% européen ?
	Juridiction applicable	En cas de litige ou de demande d’accès aux données, quel droit s’applique ?
Dépendances technologiques	MTA / routage email	Le serveur d’envoi est-il open source ou propriétaire non européen ? Existe-t-il un mécanisme de secours ?
	Base de données	La base de données est-elle une technologie ouverte ou un service cloud d’un hyperscaler américain ?
	Briques tierces	Les composants tiers (rendu, email builder personnalisation, reporting) sont-ils européens ou substituables ?
	Analyse de risques	La plateforme a-t-elle documenté ses dépendances et prévu un fonctionnement en mode dégradé ?
IA embarquée	Solution d’IA utilisée	Quelle solution d’IA est intégrée ? Est-elle européenne ou open source ?
	Transit des données	Les données clients sont-elles transmises à des services d’IA tiers hors Europe ?
Souveraineté des canaux	Dépendance aux canaux propriétaires	La stratégie CRM repose-t-elle sur des canaux contrôlés par des acteurs extra-européens (WhatsApp, RCS) ?
	Diversification	Existe-t-il un plan B si un canal propriétaire modifie ses conditions d’accès ?
Contribution à l’écosystème	Open source	La plateforme contribue-t-elle aux projets open source qu’elle utilise ?
	R&D et emplois	L’essentiel de la R&D et des emplois est-il localisé en Europe ?

Ne pas tout changer, mais ne plus ignorer

Cet article n’est pas un appel à migrer de plateforme dans l’urgence. Les migrations de Customer Engagement Platform et autres plateformes CRM Marketing sont des projets lourds qui interviennent de manière cyclique, tous les 4 à 5 ans en moyenne (parfois avec des cycles encore bien plus longs). Si vous avez migré vers une nouvelle plateforme il y a un an, la souveraineté ne justifie pas de tout recommencer.

En revanche, la prochaine fois que vous remettrez en concurrence votre Customer Engagement Platform, intégrez ces critères dans votre grille d’analyse. Posez ces questions aux éditeurs. Exigez des réponses précises, documentées, vérifiables.

Et maintenant ?

Cet article est une première pierre. Nous avons la conviction que la souveraineté numérique dans le secteur de l’engagement client et de l’orchestration marketing mérite d’être creusée bien au-delà de cette réflexion initiale.

Nous envisageons de poursuivre ce travail, notamment en publiant un formulaire d’auto-évaluation qui permettrait de comparer les acteurs du secteur sur la base de critères objectifs et transparents.

En attendant, nous serions ravis d’échanger avec les éditeurs de Customer Engagement Platforms, les intégrateurs et les utilisateurs sur ces sujets. Qu’en pensez-vous ? Quels sont les critères sur lesquels vous êtes prêts à vous engager ? Quels sont ceux qui vous semblent manquer dans cette grille ? La conversation est ouverte.

Soutenez l’initiative “Email Expiration Date”

Brevo et Cofidis soutiennent financièrement le projet. Rejoignez le mouvement et ensemble, responsabilisons l’industrie de l’email face à l’urgence climatique.

Je me renseigne

L’auteur/autrice

Jonathan Loriaux

Actif depuis plus de dix ans dans l’emailing, j’ai eu un parcours qui a commencé du côté technique (intégration de campagnes emailing) avant de m’orienter vers la vente (en tant qu’expert eCRM) et enfin le conseil marketing. Depuis 9 ans je suis l’auteur du blog Badsender.com. L’emailing n’est pas seulement une expertise, c’est véritablement devenu ma passion, c’est pourquoi Badsender est maintenant mon activité principale avec la création d’une activité de consultant emailing liée au site.

Toutes les publications