NOTE CONFIDENTIELLE – 02 – 16 mars 2026

Le splinternet : quand l’internet mondial se fracture en blocs rivaux

Risque systémique structurel – Probabilité certaine, impact existentiel sur la propriété intellectuelle, les flux de données transfrontaliers et la compétitivité de toute entreprise digitale opérant dans plusieurs zones géopolitiques

1. Ouverture cinématographique

Il est 9 h 14, heure de Singapour. Bureau d’un fondateur français, 43 ans, SaaS B2B, 4 millions d’euros de chiffre d’affaires annuel, clients en Europe, en Inde et en Chine.

.

Son avocat vient de lui envoyer un email en trois lignes. Sujet : Data Act enforcement – action requise avant le 30 avril. Son infrastructure cloud repose sur AWS us-east-1 et une instance en Irlande. Depuis le 1er janvier 2026, les données de ses clients chinois doivent impérativement être hébergées sur des serveurs physiquement situés en Chine continentale. Ses données clients indiens dans un centre de données en Inde. Ses données européennes en Europe, sans transfert vers les États-Unis sans contrat spécifique. Trois architectures distinctes. Trois régimes juridiques. Trois équipes conformité. Le coût estimé de mise en conformité : 280 000 euros la première année. Son concurrent singapourien, qui a anticipé ce mouvement dès 2024, a déjà segmenté son infrastructure. Il gagne des appels d’offres que le Français perd désormais sur un critère de souveraineté des données.

.

C’est ainsi que commence, pour des milliers d’entrepreneurs européens, la réalité concrète du monde fragmenté.

2. Le mécanisme invisible

Pendant trente ans, l’internet a fonctionné sur un postulat simple : les données circulent librement, les serveurs peuvent être n’importe où, la loi applicable est celle du contrat. Ce postulat est mort. Il s’est éteint doucement, sans annonce officielle, remplacé par une réalité radicalement différente que les praticiens appellent le splinternet (mot-valise : split + internet, à savoir l’internet scindé).

.

La mécanique de base est la suivante. Les États ont compris que contrôler les données qui circulent sur leur territoire, c’est contrôler à la fois leur économie, leur sécurité nationale et leur opinion publique. La Chine l’a compris la première, dès 2017 avec sa loi sur la cybersécurité, puis avec la loi sur la protection des données personnelles (PIPL) en 2021. La Russie a suivi avec la loi sur l’internet souverain de 2019, lui permettant techniquement de déconnecter le réseau russe du reste du monde. L’Iran a nationalisé progressivement son infrastructure réseau. Et l’Union européenne, avec le RGPD d’abord, le Data Act entré en vigueur en 2026 ensuite, a érigé ses propres barrières, certes avec une rhétorique différente (protection des citoyens), mais avec des effets de fragmentation comparables.

.

Le résultat chiffré est vertigineux. Selon les données disponibles mi-2026, environ 75 % des pays ont adopté une forme ou une autre de localisation des données. Ce qui était une exception (la Chine, la Russie) est devenu la norme. Le modèle « construire une fois, déployer partout » qui a permis l’essor des grands groupes technologiques américains est structurellement obsolète. Une plateforme opérant simultanément en Europe, en Asie du Sud-Est et en Inde doit aujourd’hui maintenir des architectures séparées, avec des clés de chiffrement distinctes, des contrats locaux spécifiques et des équipes de conformité régionales.

.

Le coût de cette friction est massif et croissant. Un audit de la violation de données coûte en moyenne 4,44 millions de dollars en 2025 selon IBM. Mais ce chiffre ne mesure pas le coût invisible : la décision de ne pas entrer dans un marché parce que la contrainte réglementaire est trop lourde, le ralentissement de l’innovation faute d’accès aux données agrégées globalement, la perte d’avantage concurrentiel face à des acteurs locaux qui, eux, n’ont pas à gérer plusieurs régimes simultanément.

3. Anatomie géopolitique

La Chine est l’architecte du modèle de référence. Son Grand Pare-feu, déployé sur vingt ans, n’est pas un simple outil de censure : c’est une barrière à l’entrée qui a permis l’émergence de champions nationaux (WeChat, Baidu, Alibaba, Douyin) à l’abri de la concurrence américaine. Le résultat est spectaculaire : un écosystème numérique complet, distinct, non interopérable avec le reste du monde, et entièrement sous contrôle du Parti. Les entreprises étrangères qui veulent accéder au marché chinois doivent y stocker leurs données localement, s’associer à un partenaire local, soumettre leur code source à des audits de sécurité et accepter que les autorités puissent y accéder. La plupart choisissent de ne pas entrer. Le marché se ferme de lui-même.

.

La Russie a industrialisé sa déconnexion après 2022. Le réseau RuNet est techniquement capable de fonctionner en mode isolé depuis 2019. Depuis les sanctions occidentales, plus de 80 % du trafic internet russe transite par des équipements et des fournisseurs sous contrôle de l’État. Instagram et Facebook sont bloqués. Les services occidentaux de cloud (AWS, Azure, Google Cloud) ont quitté le marché russe. Résultat : une économie numérique parallèle, moins performante mais autonome, qui rend les sanctions technologiques partiellement inefficaces.

.

Les États-Unis jouent un jeu plus subtil mais tout aussi fragmentant. L’affaire TikTok en est le symbole le plus lisible. Forcer ByteDance à céder les actifs américains de TikTok sous peine d’interdiction, c’est poser explicitement le principe qu’une application ne peut pas opérer sur le sol américain si ses données sont accessibles par un gouvernement étranger. Ce précédent ouvre la voie à des restrictions similaires contre n’importe quelle entreprise technologique perçue comme un vecteur d’influence étrangère. Le Cloud Act américain de 2018, lui, donne aux autorités américaines un accès aux données stockées par des entreprises américaines, même hors des États-Unis. Ce qui est une revendication de souveraineté unilatérale de la part de Washington, et que l’Europe vit comme une violation de sa propre souveraineté.

.

L’Union européenne se trouve dans la position la plus inconfortable. Elle prétend défendre un internet ouvert tout en construisant ses propres barrières réglementaires. Le RGPD, le Data Act, le Digital Markets Act, le règlement sur l’IA : chaque texte est légitime pris isolément, mais leur cumul crée un environnement réglementaire si complexe que seules les grandes entreprises avec des équipes juridiques dédiées peuvent s’y conformer à l’échelle globale. Les PME européennes sont doublement étranglées : trop contraintes pour rivaliser globalement, trop petites pour absorber les coûts de mise en conformité multi-juridictionnelle.

4. Scénario de crise – simulation réaliste

Printemps 2026. Un groupe industriel allemand, fournisseur de rang 1 dans l’automobile, découvre lors d’un audit interne que ses systèmes de gestion de production partagent des données opérationnelles avec un sous-traitant informatique dont les serveurs sont partiellement hébergés en Chine via un prestataire cloud intermédiaire. Les données en question incluent des spécifications techniques couvertes par des brevets industriels. L’entreprise ne le savait pas. Son contrat avec le prestataire le permettait implicitement. Trois mois de procédure interne, 1,8 million d’euros de frais juridiques, un audit RGPD déclenché par la CNIL à la demande d’un concurrent. Les dirigeants comprennent trop tard que leur propriété intellectuelle circule librement dans des juridictions où leur droit ne s’applique pas.

.

Été 2026. Le gouvernement américain annonce une liste d’applications et de services cloud « à risque », dont plusieurs fournisseurs de logiciels de gestion RH et de comptabilité utilisés par des entreprises européennes. Les entreprises européennes qui utilisent ces services pour traiter des données de citoyens américains reçoivent des injonctions de mise en conformité. Certaines cessent simplement de servir le marché américain. D’autres dupliquent leur infrastructure à grands frais. Les petites n’ont ni le temps ni les ressources et se font racheter par des concurrents américains ou asiatiques mieux positionnés.

.

Automne 2026. L’Inde, deuxième marché numérique mondial par nombre d’utilisateurs, renforce son Digital Personal Data Protection Act. Toute entreprise qui collecte des données sur des citoyens indiens doit désormais les stocker dans un centre de données en Inde, sans exception. AWS et Google y ont déjà des régions locales. Les startups européennes qui avaient des clients indiens sur leur infrastructure mutualisée ont 90 jours pour se conformer. La majorité ne peut pas. Les clients indiens migrent vers des solutions locales (Zoho, Freshworks, Tata Consultancy Services). La fenêtre d’entrée sur ce marché se referme pour les acteurs sans présence locale préexistante.

.

Début 2027. Une coupure de câbles sous-marins en mer Baltique, attribuée à des acteurs liés à la Russie, prive temporairement trois pays d’Europe du Nord d’une large partie de leur connectivité internationale. L’incident dure 11 jours. Les entreprises locales qui avaient migré leurs données et applications vers des clouds régionaux continuent de fonctionner. Celles qui dépendent d’AWS us-east ou de Google Cloud Iowa voient leurs opérations ralentir de 40 à 60 %. Les assureurs cyber réévaluent leurs primes. Les entreprises recommencent à parler de résilience comme si c’était une découverte.

.

Ce scénario ne nécessite pas d’effondrement global. Il suffit que les frictions s’accumulent, les injonctions de mise en conformité se multiplient et les incidents physiques fragilisent les infrastructures numériques centralisées. La fragmentation se renforce à chaque crise locale.

5. Impacts concrets

Pour votre activité numérique : si vous avez des clients dans plus de deux zones géopolitiques (Europe, Chine, Inde, États-Unis, Golfe), votre architecture cloud actuelle est probablement non conforme dans au moins l’une d’entre elles. La mise en conformité complète coûte entre 50 000 et 500 000 euros selon la complexité de votre système, plus un coût récurrent de 20 à 30 % de ce montant par an pour maintenir la conformité dans des environnements réglementaires qui évoluent. Ce n’est pas une option : c’est une contrainte légale avec des amendes qui atteignent 4 % du chiffre d’affaires mondial sous RGPD, et des sanctions pénales dans certaines juridictions asiatiques.

.

Pour votre propriété intellectuelle : le risque de fuite n’est plus seulement celui d’un piratage. C’est le risque que votre code, vos bases de données clients, vos algorithmes, soient légalement accessibles par une autorité étrangère parce qu’ils transitent par un serveur hébergé dans sa juridiction. Le Cloud Act américain, la loi chinoise sur la sécurité nationale, la loi russe sur les données souveraines : ces trois textes donnent à leurs gouvernements respectifs un accès légal à vos données, sans vous en informer, sans que vous puissiez vous y opposer.

.

Pour vos valorisations : les fonds de capital-risque et les acheteurs industriels intègrent désormais systématiquement un audit de conformité numérique dans leurs évaluations. Une entreprise dont les flux de données ne sont pas correctement segmentés se voit appliquer une décote de 15 à 25 % sur sa valorisation, ou voit la transaction bloquée pour risque réglementaire. Ce qui était un détail technique est devenu un critère de valorisation.

.

Pour vos clients grands comptes : les appels d’offres publics européens exigent désormais quasi systématiquement que les données soient hébergées sur sol européen, par un prestataire dont l’actionnariat n’est pas soumis à une législation extra-européenne (CLOUD Act, notamment). Cela exclut de facto AWS, Azure et Google Cloud des contrats publics sensibles en Europe, à moins qu’ils ne passent par des structures locales spécifiques. C’est une opportunité pour les acteurs européens du cloud (OVHcloud, Hetzner, Exoscale) et un verrou de marché réel pour les autres.

6. Cui bono

Les champions nationaux des écosystèmes fermés gagnent en premier. En Chine, les BATX (Baidu, Alibaba, Tencent, Xiaomi) sont structurellement avantagés sur leur marché domestique de 1,4 milliard d’utilisateurs, sans concurrence américaine possible. En Inde, Zoho, Freshworks, Infosys captent les contrats que les entreprises étrangères ne peuvent plus gérer correctement depuis leur siège européen.

.

Les grands acteurs du cloud avec présence physique multi-régionale bénéficient d’une barrière à l’entrée massive. AWS, Azure et Google Cloud ont investi des milliards dans des centres de données locaux en Europe, en Asie du Sud-Est, en Inde. Ils peuvent se conformer. Les challengers qui n’ont pas cette infrastructure physique ne peuvent pas. Le marché se concentre vers trois acteurs dont deux sont américains, ce qui crée une dépendance structurelle que les gouvernements européens dénoncent… tout en utilisant leurs services.

.

Les avocats et cabinets de conseil spécialisés en conformité numérique vivent leur meilleure décennie. Le marché mondial de la conformité réglementaire numérique dépasse 50 milliards de dollars en 2026. Les cabinets qui ont investi dans des équipes plurijuridictionnelles (droit américain, RGPD, droit chinois, droit indien) sont en position de force. Ce n’est pas un secteur glamour, mais c’est un secteur à marges solides dans un environnement de fragmentation croissante.

.

Singapour se positionne comme la juridiction neutre par excellence, équivalent numérique de la Suisse financière. Sa réglementation sur les données (PDPA) est exigeante mais prévisible. Sa position géographique entre Chine et Inde en fait un nœud naturel pour les entreprises qui veulent opérer en Asie sans se soumettre ni à Pékin ni à New Delhi. Les centres de données y poussent à un rythme soutenu. Les filiales asiatiques d’entreprises européennes s’y installent pour des raisons à la fois fiscales et de conformité numérique.

7. Angle mort occidental

L’Europe se croit protectrice alors qu’elle est simplement fragmentante. Le RGPD est présenté comme un bouclier pour les citoyens. Il est aussi, objectivement, une barrière d’entrée qui favorise les grandes entreprises établies au détriment des startups et des PME. Une startup berlinoise de 15 personnes qui veut vendre à des clients en Europe, en Inde et aux États-Unis doit mobiliser une ressource juridique que son concurrent californien, qui ne se soucie pas de conformité RGPD pour ses marchés domestiques, n’a pas. Le terrain de jeu n’est pas plat. L’Europe l’incline contre elle-même.

.

L’illusion de neutralité technologique est l’angle mort le plus dangereux. Des dizaines de milliers d’entreprises européennes utilisent des outils américains pour stocker leurs données clients, gérer leur comptabilité, piloter leur production. Ces données sont légalement accessibles aux autorités américaines via le Cloud Act. Les dirigeants le savent vaguement. Ils n’en tirent aucune conséquence pratique parce que le risque semble abstrait jusqu’au moment où il ne l’est plus : injonction judiciaire américaine sur des données client, fuite vers un concurrent américain, blocage d’une acquisition par un régulateur étranger.

.

La sous-estimation du risque physique sur les infrastructures numériques est systématique. Les câbles sous-marins transportent plus de 95 % du trafic internet mondial. Il y en a environ 400, dont beaucoup passent par des points de concentration géographique vulnérables (détroits, zones de tension). Les incidents se multiplient depuis 2022 : câbles coupés en mer Baltique, incidents en mer Rouge, câbles endommagés près de Taïwan. L’Europe n’a pas de politique cohérente de redondance des infrastructures numériques critiques. Elle délègue à des entreprises privées américaines le soin de gérer des actifs dont elle dépend existentiellement.

8. Architecture de défense – actionable

1. Cartographiez vos flux de données avant tout le reste. Vous ne pouvez pas défendre ce que vous ne connaissez pas. Faites auditer dans les 90 jours où vont physiquement vos données clients, par qui elles transitent, dans quelle juridiction elles sont stockées et traitées. Cet audit coûte entre 8 000 et 40 000 euros selon la taille de votre système. C’est la dépense la plus rentable que vous ferez cette année.

.

2. Segmentez votre infrastructure par blocs géopolitiques. Europe (RGPD), Asie du Sud-Est (Singapour comme hub neutre), Asie du Nord (Chine ou Corée si vous y opérez). Ne mutualisez pas des données de clients relevant de régimes juridiques différents sur la même instance cloud. Les frais supplémentaires de l’architecture segmentée sont inférieurs aux amendes et aux coûts de mise en conformité forcée.

.

3. Sortez des outils américains pour vos données sensibles européennes. Pas pour des raisons idéologiques : pour des raisons légales. Les outils soumis au Cloud Act (AWS, Google Workspace, Microsoft 365 en version standard) ne sont pas conformes pour héberger des données couvertes par le secret professionnel, des données RH sensibles ou des données relevant de secteurs réglementés (santé, finance, défense). Des alternatives européennes existent : OVHcloud, Infomaniak (Suisse, hors RGPD mais avec un niveau de protection supérieur), Nextcloud pour la gestion documentaire, ProtonMail pour la messagerie.

.

4. Enregistrez votre propriété intellectuelle dans des juridictions à droit fort et neutre. La Suisse (Institut Fédéral de la Propriété Intellectuelle), le Royaume-Uni post-Brexit (bonne juridiction pour les brevets logiciels), Singapour (IPOS, reconnu internationalement). Évitez d’enregistrer votre propriété intellectuelle uniquement dans des juridictions où l’État peut y accéder librement ou où les tribunaux sont peu fiables.

.

5. Préparez une structure holding dans une juridiction neutre pour vos actifs numériques. Une holding suisse (canton de Zoug) ou singapourienne est la meilleure façon de détenir vos droits de propriété intellectuelle, vos marques et vos licences logicielles dans un environnement juridique stable, prévisible et respectueux de la propriété privée. Le coût de création est de 3 000 à 8 000 francs suisses. Le coût de ne pas l’avoir faire peut être la perte de vos actifs les plus précieux.

.

6. Formez vos équipes opérationnelles (pas seulement les juristes). Le risque de non-conformité ne vient pas d’une décision délibérée : il vient d’un développeur qui déploie une nouvelle instance cloud sans vérifier sa localisation, d’un commercial qui envoie une liste de prospects par email sur un serveur non conforme, d’un prestataire sous-traitant dont le contrat ne précise pas les contraintes de localisation. La conformité numérique est un enjeu opérationnel quotidien, pas un dossier annuel pour le service juridique.

.

7. Anticipez le marché des données souveraines comme opportunité commerciale. Les entreprises et les administrations publiques qui cherchent des solutions conformes et souveraines paient une prime de 15 à 30 % par rapport à des solutions standard. Si votre offre peut se positionner sur ce créneau (certification HDS pour la santé, SecNumCloud pour les données sensibles en France, IRAP en Australie), vous accédez à des marchés captifs avec des barrières à l’entrée que vos concurrents non conformes ne peuvent pas franchir.

9. Conclusion stratégique

L’internet ouvert est une nostalgie, pas une réalité opérationnelle. Ce qui existe en 2026, c’est un archipel de zones réglementaires, chacune avec ses règles, ses contraintes d’hébergement, ses exigences de transparence envers les autorités locales. Naviguer entre ces zones n’est pas optionnel pour qui veut opérer à l’échelle mondiale : c’est la compétence stratégique centrale de la prochaine décennie.

.

La bonne nouvelle, si l’on peut l’appeler ainsi : la fragmentation est prévisible. Elle suit des logiques géopolitiques identifiables. Elle évolue à un rythme que des entreprises agiles peuvent anticiper, contrairement à une cyberattaque ou à une crise militaire. Celui qui investit maintenant dans une architecture segmentée, une propriété intellectuelle bien protégée et une infrastructure numérique souveraine transforme une contrainte réglementaire en avantage concurrentiel durable.

.

L’entrepreneur qui attend que « ça se simplifie » attend une convergence réglementaire mondiale que ni Bruxelles, ni Washington, ni Pékin n’ont la moindre intention de produire.

.

Prochain briefing : la guerre des semi-conducteurs et les conséquences du contrôle américain sur TSMC, ASML et les chaînes d’approvisionnement en puces pour vos entreprises et vos portefeuilles.