Débunker l’« Observatoire de la souveraineté technologique de l’Europe » de Proton

Je te préviens tout de suite. Ce que fait Proton est intéressant, parfois juste sur le fond, mais très orienté marketing et méthodologiquement fragile. On n’est clairement pas sur une étude académique. Alors on va débunker calmement, nuancer, et remettre un peu de technique là-dedans.

Lien vers l’observatoire : https://proton.me/fr/business/europe-tech-watch

Petit rappel : Proton, c’est qui déjà ?

Proton est une entreprise suisse, fondée en 2014 par des scientifiques issus du CERN. À la base : Proton Mail, puis un écosystème complet (VPN, Drive, Pass, Calendar…). Structure particulière : Proton AG est contrôlée par une fondation à but non lucratif, basée à Genève. Pas américaine, pas européenne non plus (important pour la suite).

Bref, Proton vend de la confidentialité, de la souveraineté juridique suisse, et se positionne frontalement contre les GAFAM. Jusque-là, rien d’anormal : c’est leur marché.

Le constat de départ : on est tous d’accord

Dès l’intro, Proton balance :

« Pendant des décennies, l'Europe a misé sur les technologies américaines au lieu d'investir sur son territoire. Aujourd'hui, ce choix menace sa stabilité économique, sa cybersécurité et sa souveraineté démocratique. »

Franchement ? Difficile de contredire ça. Les rapports institutionnels européens (Commission, Parlement, ENISA) disent exactement la même chose depuis des années. Dépendance massive aux OS, au cloud, aux outils collaboratifs, à la cybersécurité… rien de choquant ici.

Là où ça se corse, c’est juste après.

« 74 % des entreprises européennes dépendent de services US »

Proton affirme :

« Plus de 74 % de toutes les entreprises européennes cotées en bourse dépendent de services technologiques basés aux États-Unis, comme Google et Microsoft. »

Et là, réflexe !

Quoi ? Seulement 74 % ?

J’ai bossé dans une bonne moitié du CAC 40 et, spoiler : c’est plus proche de 100 % que de 74 % si tu comptes Windows, Office, Active Directory, VMware, Cisco, Palo Alto, etc.

Mais en continuant la lecture… ah.

Le twist : en fait, on parle UNIQUEMENT de messagerie

Plus loin, Proton précise sa méthode :

« Proton a analysé les domaines de messagerie d'entreprise […] pour déterminer quels fournisseurs de messagerie ou de sécurité de messagerie étaient utilisés. »

Donc on ne parle pas de “stack IT”, ni de cloud global, ni d’ERP, ni même d’OS.

On parle uniquement de la messagerie visible via les enregistrements DNS.

C’est important. Très important.

Comment Proton a fait concrètement (spoiler : de l’OSINT DNS)

La méthode est simple et plutôt maligne :

1. Lister les entreprises cotées par pays.
2. Prendre leur nom de domaine principal.
3. Regarder les enregistrements MX (Mail eXchanger).
4. Identifier le fournisseur derrière (Google, Microsoft, Proofpoint, etc.).

Un exemple en Python :

import dns.resolver

mx = dns.resolver.resolve('entreprise.fr', 'MX')
for r in mx:
    print(r.exchange)

Si tu vois *.mail.protection.outlook.com → Microsoft. Si tu vois aspmx.l.google.com → Google.

C’est de l’OSINT basique, automatisable, rapide… mais très incomplet.

Pourquoi les chiffres sont trompeurs

Prenons la France : Proton annonce 66 % d’entreprises cotées utilisant des services US.

Donc, selon eux :

• 34 % n’utilisent aucune messagerie américaine.

Ça veut surtout dire :
- pas de messagerie US sur le domaine principal visible,
- ou de la messagerie on‑premise (Exchange, Domino… américains aussi),
- ou des domaines secondaires / filiales non analysés,
- ou un mix (hybride, très fréquent dans les grands groupes).

Les grands groupes ont des dizaines, parfois des centaines de domaines. Proton n’en regarde qu’un seul.

Le cas Bulgarie (16 %) et l’illusion de la vertu numérique

Autre chiffre qui fait tiquer : Bulgarie à 16 %.

Avant de crier à l’avant-garde numérique bulgare :

• peu de très grands groupes cotés,
• structures plus petites,
• beaucoup d’auto‑hébergement ou de prestataires locaux,
• moins de complexité organisationnelle.

Même logique pour l’Allemagne, moins bien placée que la France dans l’étude : tissu de PME industrielles, entreprises familiales, IT moins éclatée.

Ce n’est pas (que) de la souveraineté, c’est de la sociologie économique.

Là où Proton a raison (et il faut le dire)

Malgré tout, leur argumentaire de fond tient :

• dépendance juridique (CLOUD Act, FISA),
• exposition géopolitique,
• captation de valeur hors d’Europe,
• frein à l’émergence d’acteurs locaux.

Et ce n’est pas Proton qui le dit : le Parlement européen estime que 70 à 80 % des dépenses cloud et logicielles européennes partent vers des entreprises américaines.

Donc oui : le problème est réel.

Le vrai problème : la généralisation abusive

Le péché originel de l’étude, c’est celui-ci :

mesurer un indicateur très étroit (MX DNS) et le présenter comme un proxy de toute la dépendance technologique.

C’est pratique, c’est visuel, c’est vendable… mais c’est faux .

Une vraie étude devrait :

• analyser tous les domaines,
• distinguer cloud / on‑prem,
• inclure OS, IAM, hyperviseurs, sécurité,

Mais ça, c’est un boulot monstrueux. Et surtout, beaucoup moins compatible avec une landing page marketing.

Conclusion (spoiler : on est encore foutus)

La page est belle. Le discours est bien ficelé. Les intentions sont globalement louables.

Mais les chiffres ? Fragiles, partiels, orientés.

La réalité, camarade, c’est que la dépendance technologique européenne n’est pas de 74 %.

Elle est structurelle, systémique, et proche de 100 %.

La question n’est donc pas « si » nous dépendons des technologies US, mais « comment » on en sort, et à quel rythme.