L’illusion du contrôle : les entreprises européennes exposent les communications qu’elles pensent protéger
• Une nouvelle étude de Retarus révèle un écart entre la souveraineté perçue et la souveraineté réelle des communications par e-mail • 8 organisations réglementées sur 10 estiment maîtriser leurs flux e-mail (SMTP), malgré une forte dépendance à des fournisseurs non européens
Paris, 21 mai 2026 //
Les résultats de l’étude menée par Retarus, expert de la communication sécurisée, en partenariat avec Researchscape en France, en Allemagne et en Espagne, mettent en lumière un décalage structurel entre le niveau de contrôle que les entreprises des secteurs réglementés (banque/finance, secteur public, santé) pensent exercer sur leurs communications par e-mail et la réalité.
La souveraineté, un nouveau prérequis stratégique qui peine à devenir réalité
La souveraineté se hisse désormais au rang de condition stratégique et infrastructurelle : 82% des entreprises sondées envisagent par exemple une démarche de « géopatriation » dans les 18 mois. La pression réglementaire, les tensions géopolitiques et les exigences d’audit de plus en plus strictes l’ont propulsée en priorité multi-impactante :
- 89% des entreprises la considèrent comme une priorité stratégique, qui implique directement la direction et la C-suite ;
- 94% déclarent qu’elle est un facteur clé dans le choix du fournisseur.
45% s’appuient cependant largement sur des fournisseurs de services basés hors d’Europe, un chiffre qui s’élève à 56% pour les entreprises françaises. 56% des sondés au total estiment très probable que leurs données risquent ainsi d'être exposées à des lois extraterritoriales.
L'étude identifie de plus un malentendu : les entreprises perçoivent l’hébergement des données en Europe comme suffisant pour en garantir la protection. Cela ne signifie cependant ni contrôle ni souveraineté, cette dernière dépassant le scope de la localisation pour englober tous les éléments qui déterminent le contrôle effectif sur les flux de données : soumission à des systèmes juridiques étrangers, marge de manœuvre dans les négociations contractuelles, dépendance vis-à-vis des prestataires de services, capacité à faire évoluer l'architecture…
Un manque d’autonomie dans la gestion des flux
Un véritable contrôle signifie avoir la capacité de gérer, vérifier et adapter les processus avec un minimum de dépendance vis-à-vis de l’extérieur. Si 80% des entreprises sondées déclarent maîtriser leurs flux d’e-mails, l’étude montre une autre réalité :
- Seules 61% affirment pouvoir appliquer leurs politiques de manière autonome ;
- Moins de 50% peuvent gérer ou migrer leurs comptes sans dépendre de leur prestataire.
Le contrôle opérationnel est donc seulement partiel, et limité en outre par la complexification actuelle des architectures IT. La dépendance vis-à-vis de fournisseurs couplés à la complexité des systèmes rendent les modifications plus difficiles à gérer.
Une dépendance technique qui ralentit la mise en conformité des entreprises françaises
Un reporting précis constitue l’une des garanties essentielles du contrôle. Il permet de démontrer concrètement la disponibilité des données, la rapidité d’accès aux informations, ainsi que la capacité à répondre efficacement à un audit ou à une exigence de conformité.
Le durcissement du cadre règlementaire, notamment avec les directives NIS2 et DORA, rend le reporting central. 94% des entreprises françaises disent qu'il est crucial ou très important de recevoir de leur fournisseur des données de suivi et de reporting complètes et transparentes. Cependant, les capacités réelles des entreprises limitent leur contrôle et ralentit leur mise en conformité :
- Seules 41% se disent totalement aptes à répondre immédiatement à une demande d’audit.
- 51% ont dû demander l’exportation ou l’accès à des données à des fins d’audit ou de conformité au cours des 12 derniers mois.
« Pour évaluer concrètement leur degré de contrôle, les entreprises doivent s'interroger sur l'importance de la souveraineté pour leur organisation et comment elle influence le choix de leurs prestataires en matière de sécurité des e-mails » analyse Benoît Trémolet, Directeur Général de Retarus France. « Les questions du risque juridique, de l'extraterritorialité numérique, du contrôle opérationnel, de la capacité d'audit et de la dépendance aux prestataires doivent émerger pour couvrir le plus d'angles morts stratégiques possibles. Dans le secteur de la sécurité des e-mails, nous observons actuellement une volonté des entreprises de réduire les dépendances en choisissant des prestataires souverains, capables d’apporter à la fois lisibilité juridique, contrôle opérationnel et transparence ».
Malgré une conscience croissante des enjeux de souveraineté, de contrôle et de conformité, les entreprises peinent encore à en maitriser les conditions. Seule une compréhension affinée des prérequis permettra un véritable tournant dans les habitudes, et dans les niveaux de sécurité et de conformité. Les entreprises gagnent à s’appuyer sur des solutions européennes et réellement souveraines garantissant le respect des normes et la gestion locale des données.