Par Franck KESZI – Auditeur / Directeur de Transition / Expert en gouvernance IT
Depuis septembre 2025, une nouvelle réglementation européenne menace silencieusement l’avenir économique du Liban. Les 1,4 milliard d’euros d’exportations de biens et services vers l’Union européenne – représentant 34% du commerce total du pays et faisant de l’UE son premier partenaire commercial – sont désormais sous pression directe. Les entreprises libanaises qui souhaitent maintenir leurs relations commerciales avec l’Europe doivent désormais se conformer au Data Act, un texte qui impose des obligations techniques strictes en matière de gestion des données. Les sanctions pour non-conformité sont lourdes : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial. Pour un pays déjà fragilisé par des crises multiples, ces amendes pourraient menacer la viabilité de secteurs entiers.
Cette analyse s’appuie sur plusieurs années d’observation du terrain libanais et international dans le cadre de missions de conseil en gouvernance IT, ainsi que sur des échanges approfondis avec des responsables informatiques de divers secteurs. Elle reflète les préoccupations partagées par plusieurs experts libanais du secteur technologique et financier qui constatent, dans leurs propres organisations, la difficile prise de conscience de ces enjeux par les instances dirigeantes.
Suivez les principaux indicateurs économiques en temps réel.
Pourtant, cette menace réglementaire n’est que la partie visible d’un problème beaucoup plus profond. Les entreprises et institutions libanaises ont accumulé des choix technologiques précipités qui les rendent aujourd’hui vulnérables. L’adoption massive de services cloud américains, la multiplication désordonnée d’abonnements à des plateformes étrangères, et l’absence de stratégie cohérente de gouvernance numérique ont créé une dépendance invisible mais redoutable. Nous allons tenter à travers cet article de réveiller les consciences et de démontrer comment cette immaturité en gouvernance IT, combinée aux évolutions du lawfare numérique en Europe, peut aggraver l’isolement économique du pays.
L’exemple le plus frappant de cette dérive est l’adoption récente de Starlink par le gouvernement libanais. Dans un contexte d’effondrement des infrastructures, Starlink promet d’offrir une solution rapide. Mais cette réponse à l’urgence crée des vulnérabilités stratégiques réelles et documentées que nous devons maintenant adresser. Si des évaluations ont été conduites, elles ont manifestement sous-estimé ces risques par méconnaissance des enjeux juridiques extraterritoriaux. Mes échanges avec plusieurs décideurs publics et privés révèlent une lacune systématique : les implications du Cloud Act, de la FISA et des réglementations ITAR/EAR sont tout simplement absentes des grilles d’analyse lors des choix technologiques. Qui a mesuré les risques réels ? Qui a évalué les conséquences sécuritaires, économiques et géopolitiques d’un point de défaillance unique invisible et incontrôlable dans les infrastructures critiques libanaises ? Cette adoption précipitée transforme le pays en territoire numérique dépendant, soumis aux réglementations américaines extraterritoriales et potentiellement incompatible avec les exigences européennes du Data Act.
La réalité est que les organisations libanaises, publiques comme privées, affichent un niveau de maturité alarmant en matière de gouvernance technologique. Mes observations dans le cadre de missions de conseil auprès de gouvernements et de multinationales du CAC 40 ou des Fortunes 100 me permettent de l’affirmer : de très nombreuses organisations en France, à l’international, et encore plus au Liban, plafonnent à un niveau réactif de 1,5 sur 5 selon les standards internationaux. Ces standards, définis par des référentiels comme ISO 20000 pour la gestion des services IT, ISO 27001 pour la sécurité de l’information, ISO 31000 pour la gestion des risques, ISO/IEC 38500 pour la gouvernance IT, COBIT 2019, ITIL, ou encore CGEIT, constituent pourtant les fondations mêmes d’une gouvernance technologique robuste.
L’urgence de ce constat peut sembler disproportionnée à ceux qui considèrent ces questions comme purement techniques. Elle est pourtant proportionnée à l’ampleur des risques : organisations incapables de cartographier leurs dépendances technologiques, dirigeants ignorant les implications juridiques des contrats cloud qu’ils signent, absence totale de plans de continuité en cas de rupture de service par un fournisseur étranger.
Cette immaturité trouve ses racines dans une perception fondamentalement erronée. Les dirigeants considèrent ces exigences normatives comme de simples lourdeurs administratives coûteuses plutôt que comme des fondations stratégiques indispensables. Cette approche réductrice favorise une dérive où l’acquisition de technologies devient l’alpha et l’oméga de la transformation numérique, occultant totalement les dimensions de gouvernance et de gestion transverse.
Lors du festival de L’Orient-Le Jour, nous avons assisté à une excellente table ronde sur l’intelligence artificielle ou plusieurs experts internationaux intervenaient comme panelistes exprimant de très nombreux enjeux et critiques puis ont participé à un déferlement d’enthousiasme pour l’IA comme levier de transformation économique. Oui, dans le meilleur des mondes, on pourrait être très enthousiaste, mais il faut être réaliste, car il y a de plus en plus de difficultés à suivre ce frénétisme. Cette gourmandise technologique masque une perte de maîtrise dangereuse qu’on ne doit pas négliger.
Des exemples concrets secteur par secteur
La multiplication anarchique des services externalisés illustre parfaitement cette dérive. L’adoption effrénée d’abonnements Slack, Notion, ChatGPT Pro, Canva, Figma et autres services cloud à bas coût génère une dette technique et organisationnelle massive que très peu d’organisations mesurent. Chaque nouveau service fragmente l’architecture informatique en créant des silos de données et des dépendances invisibles. Les équipes perdent progressivement la vision d’ensemble de leur écosystème technologique, transformant leurs organisations en assemblages précaires de services externes vulnérables aux discontinuités et aux chantages économiques. Cette fragmentation provoque des coûts cachés exponentiels : duplication des données entre plateformes, multiplication des risques de sécurité, perte de contrôle sur la localisation des informations sensibles. Quand un service cloud populaire modifie ses tarifs ou suspend ses opérations, les organisations découvrent brutalement l’ampleur de leur dépendance.
Prenons des cas concrets pour illustrer ces vulnérabilités. Le secteur bancaire libanais illustre parfaitement cette zone aveugle. Les banques exigent de leurs clients des documents KYC (Know Your Customer) qui contiennent des informations personnelles hautement sensibles et gèrent quotidiennement des transactions avec des compagnies européennes sans aucun respect apparent du RGPD. Personne ne sait précisément où et comment sont stockées ces données, ni quelles garanties existent pour la protection des données individuelles et des échanges avec d’autres organismes européens. Cette opacité crée un risque juridique majeur : à tout moment, un régulateur européen pourrait constater une violation du RGPD dans le traitement de données de citoyens européens par une banque libanaise, entraînant des sanctions lourdes et potentiellement l’exclusion des réseaux de paiement européens SEPA et TARGET2. La perte d’accès à ces réseaux signifierait l’impossibilité d’effectuer des virements vers l’Europe – paralysant de facto l’activité internationale des banques libanaises.
Les industriels libanais ne sont pas mieux lotis. Nombreux sont ceux qui utilisent Microsoft Dynamics 365 ou Oracle Business Services pour leurs systèmes de gestion d’entreprise (ERP). Ces solutions cloud stockent l’intégralité de leurs données opérationnelles – stocks, commandes, fournisseurs, circuits de distribution, données financières – sur des serveurs contrôlés par des entreprises américaines. Concrètement, le Cloud Act permet aux autorités américaines d’exiger l’accès à ces données sans en informer l’entreprise libanaise ni ses partenaires. Pour ces industriels qui exportent vers l’Europe, le Data Act impose désormais de pouvoir exporter l’intégralité de ces données dans un format interopérable et de documenter précisément où elles sont stockées. Si l’entreprise ne peut pas le faire parce que ces systèmes utilisent des formats propriétaires complexes ou parce que la localisation des données varie dynamiquement selon les choix d’optimisation de Microsoft ou Oracle, elle risque des sanctions qui pourraient l’exclure des appels d’offres européens. Pire encore : ses clients européens, eux-mêmes soumis au Data Act, pourraient être contraints de rompre leurs contrats pour éviter d’être en infraction.
Le secteur de la santé illustre une vulnérabilité encore plus critique. Plusieurs hôpitaux libanais ont adopté Epic, un système de dossiers médicaux électroniques hébergé sur le cloud Azure de Microsoft, ou Cerner, hébergé sur Oracle Cloud. Ces systèmes contiennent l’intégralité des données médicales des patients libanais – diagnostics, traitements, historiques médicaux, données génétiques pour certains. Au Liban, le système de santé doit être conforme à plusieurs standards internationaux : les normes ISO 13940 pour les dossiers de santé électroniques et ISO 27799 pour la gestion de la sécurité de l’information dans le domaine de la santé, les standards HL7 (Health Level Seven International) pour l’échange et l’intégration d’informations de santé électroniques, ainsi que les directives de l’Organisation Mondiale de la Santé pour l’implémentation des dossiers médicaux électroniques dans les pays en développement, incluant des recommandations sur la sécurité et la confidentialité des données.
Pour participer à des essais cliniques européens financés par Horizon Europe ou collaborer avec des hôpitaux universitaires français ou allemands, ces établissements doivent pouvoir garantir la conformité au RGPD et au Data Act. Or, ces systèmes hébergés sur des infrastructures américaines posent un double problème : d’une part, la localisation exacte des données médicales peut varier dynamiquement, rendant impossible la certification de conformité requise par les standards internationaux ; d’autre part, l’export complet de ces données dans des formats véritablement interopérables est techniquement complexe voire contractuellement limité. Sans cette conformité, les hôpitaux libanais ne pourront pas accéder aux financements européens de recherche ni aux programmes de coopération médicale, les privant d’opportunités de développement essentielles et d’accès aux innovations thérapeutiques.
Une agence de communication ou de design libanaise travaillant avec des marques européennes utilise quotidiennement Adobe Creative Cloud, Figma, Notion, Slack et Dropbox. Chaque projet accumule des gigaoctets de données créatives et stratégiques sur ces plateformes américaines. Lorsqu’un client français demande, conformément au Data Act, l’export complet de ses données de projet dans un format standard, l’agence découvre que les fichiers Figma ne peuvent être exportés qu’avec perte d’information, que Notion n’offre qu’un export HTML limité, et que Slack restreint l’export des messages aux formules payantes. Cette impossibilité technique de fournir les données dans un format véritablement interopérable la met en infraction avec le contrat client et l’expose à des pénalités contractuelles, voire à la résiliation. Pour une PME dont le chiffre d’affaires dépend à 60% de clients européens, cette situation menace directement sa viabilité.
Les manifestations de cette négligence sont documentées et récurrentes. Une grande compagnie de distribution internationale illustre parfaitement cette problématique : confrontée à des conclusions d’audit démontrant la nécessité critique d’implémenter des processus de gestion de la qualité pour maîtriser son cœur de métier, la direction a préféré contourner l’obstacle en acquérant frauduleusement une certification ISO 9001-2015 auprès d’un organisme de certification compromis. Cette pseudo-certification a ensuite alimenté une campagne marketing vantant l’excellence opérationnelle de l’entreprise. Ce détournement des standards de qualité, loin d’être un cas isolé, révèle un syndrome récurrent dans de nombreux secteurs.
Cette dérive interroge directement la responsabilité des institutions de formation, particulièrement les business schools qui façonnent les référentiels mentaux des futurs dirigeants. L’endoctrinement systématique à une culture de la fuite en avant technologique, privilégiant la vente d’automatisation, d’intelligence artificielle et de solutions cloud sans transmission préalable des fondamentaux de gouvernance robuste et pérenne, constitue une forme d’irresponsabilité institutionnelle. Cette approche anti-systémique prive les décideurs des outils conceptuels nécessaires pour appréhender les enjeux locaux et internationaux contemporains.
Cette analyse n’est pas isolée. Elle fait écho aux préoccupations exprimées par plusieurs professionnels du secteur au Liban et dans la diaspora. Un expert libanais en fintech basé à Amsterdam, confronté quotidiennement aux exigences de conformité européennes, partage ces inquiétudes concernant la trajectoire technologique du pays. De même, le directeur informatique d’une grande industrie cosmétique libanaise tente depuis plusieurs mois d’alerter son conseil d’administration sur ces risques, se heurtant à une incompréhension fondamentale des enjeux de souveraineté numérique. Ces voix convergentes révèlent un décalage préoccupant entre la compréhension technique des risques et la prise de décision stratégique au plus haut niveau des organisations.
Starlink : un cas d’école des vulnérabilités systémiques
Revenons au cas Starlink, car il cristallise toutes ces problématiques. La véritable menace que représente cette adoption pour la souveraineté libanaise ne réside pas dans d’hypothétiques malwares, mais dans l’architecture juridique américaine qui encadre son fonctionnement. Le Cloud Act et le FISA (Foreign Intelligence Surveillance Act) constituent un dispositif légal permettant aux autorités américaines d’accéder aux données stockées sur des infrastructures opérées par des entreprises soumises à leur juridiction, même si ces données sont situées en dehors des États-Unis. Concrètement, cela signifie que toutes les communications libanaises transitant par les satellites Starlink peuvent être interceptées légalement par les services de renseignement américains.
La section 702 de la FISA, base légale du programme PRISM, autorise la surveillance de masse de citoyens non américains. En 2024, son renouvellement a prolongé ces pouvoirs jusqu’en 2026, établissant un cadre juridique permanent pour l’accès aux données libanaises. Seule restriction révélatrice : les personnes ciblées ne doivent pas être américaines. Cette limitation expose tous les citoyens et institutions libanais à une surveillance sans restriction ni contrôle judiciaire libanais. Parallèlement, les réglementations ITAR (International Traffic in Arms Regulations) et EAR (Export Administration Regulations) transforment chaque terminal Starlink en un point de contrôle stratégique, permettant aux États-Unis de garder un œil sur tous les équipements utilisant des composants américains.
L’aspiration systématique des données s’opère par le biais de conditions d’utilisation souvent opaques et modifiables unilatéralement, autorisant l’exploitation commerciale des données libanaises et alimentant des algorithmes d’intelligence économique au profit d’acteurs étrangers. Cette captation ne se limite pas aux données de communication traditionnelles, mais s’étend à une cartographie exhaustive du territoire numérique libanais : géolocalisation en temps réel de tous les utilisateurs révélant les mouvements stratégiques et les zones sensibles, métadonnées de communication dévoilant les réseaux d’influence politique et économique, données de trafic et d’usage permettant de cartographier précisément les infrastructures critiques nationales, horaires et fréquences d’utilisation révélant les habitudes stratégiques du pays et les moments de vulnérabilité maximale.
Cette dépendance opérationnelle transforme le Liban en territoire tributaire d’un prestataire étranger, vulnérable aux décisions géopolitiques imprévisibles. L’exemple récent où Starlink a pu modifier ses conditions de service en Ukraine selon les intérêts géostratégiques américains illustre cette vulnérabilité. Le risque de suspension de service en cas de tensions internationales expose le pays à une paralysie de ses communications critiques. Dans un contexte régional volatile, cette vulnérabilité aux chantages permet aux services américains de disposer d’un levier de pression considérable sur les décideurs libanais, créant une asymétrie informationnelle structurelle qui compromet l’autonomie décisionnelle du pays.
L’exemple britannique récent est également révélateur d’une négligence totale sur le sujet de la souveraineté numérique. En septembre 2025, le Royaume-Uni a signé un contrat de 462 millions d’euros avec Google Cloud pour partager des données sensibles avec les États-Unis. Malgré les assurances officielles, ce partenariat compromet déjà la souveraineté numérique britannique et sa capacité à coopérer pleinement avec l’Europe, car les données transitant par des infrastructures américaines sont soumises à des lois extraterritoriales. Les lois américaines comme le Cloud Act constituent un risque majeur pour les données des entreprises qui aspirent à maintenir des relations commerciales avec l’Europe.
Pour le Liban, qui dépend de ses exportations vers l’UE, l’adoption de Starlink crée une incompatibilité structurelle avec les exigences du Data Act européen. Cette situation menace directement les 1,4 milliard d’exportations vers l’UE, car tous les datacenters et infrastructures localisés sous juridiction américaine sont soumis au droit américain et donc directement au CLOUD Act et au PATRIOT Act. Les exemples d’acteurs emblématiques qui s’affranchissent des directives gouvernementales pour se réfugier sur des offres soumises au Cloud Act ou FISA constituent des signaux alarmants d’une perte de contrôle stratégique. Starlink, comme Google Cloud pour le Royaume-Uni, ou la surconsommation d’outils dans le Cloud, pourrait bien devenir pour le Liban un symbole de la perte de contrôle sur ses données stratégiques et sa capacité à négocier son autonomie numérique future.
Comprendre le Data Act et ses implications
Comprendre le Data Act devient alors essentiel. Ce texte impose des obligations techniques et contractuelles strictes qui redéfinissent les règles du jeu économique international. L’interopérabilité et la portabilité des données deviennent obligatoires, exigeant que les données puissent être exportées dans des formats standardisés, structurés et lisibles par machine, tandis que les API doivent respecter des normes d’interopérabilité ouvertes. Le texte rend nulles et non avenues les clauses limitant la migration, notamment les frais de sortie abusifs ou l’utilisation de solutions propriétaires non interopérables. Enfin, la transparence technique absolue impose aux fournisseurs de donner aux utilisateurs accès à une documentation exhaustive sur les schémas de données, les mécanismes d’export et les spécifications d’interopérabilité.
Amazon AWS, Microsoft Azure et Google Cloud, qui dominent 66% du marché mondial avec une croissance de 21% en 2024, illustrent parfaitement le piège des dépendances technologiques. Pour les entreprises libanaises, il ne s’agit plus seulement de choisir des technologies promettant des gains rapides, mais de repenser en profondeur leurs architectures informatiques, leurs contrats et leurs processus de gouvernance sous peine d’accélérer leur exclusion progressive des circuits économiques internationaux. De nombreuses PME libanaises peuvent déjà subir cette exclusion en raison des crises précédentes et de la très mauvaise réputation du système bancaire libanais auprès des clients et partenaires internationaux.
Les répercussions sectorielles
Les répercussions sectorielles de cette situation sont considérables. Les principaux secteurs d’exportation du Liban vers l’UE en 2024 comprenaient les machines et équipements de transport (20%), les produits manufacturés (18%), et les matières premières (18%). Les services, totalisant 900 millions d’euros, sont dominés par la construction, le tourisme et les services financiers. Mais ce sont les secteurs bancaire, santé et logistique, bien que moins représentés en volume, qui sont les plus exposés aux risques de non-conformité.
Le Liban se trouve dans une position de dépendance asymétrique vis-à-vis de l’UE : alors que le Liban n’est que le 103e partenaire commercial de l’UE, l’Union européenne est le premier partenaire commercial du Liban. Cette asymétrie rend le pays particulièrement vulnérable aux exigences réglementaires européennes comme le Data Act. Cette situation impose désormais une réflexion stratégique urgente, car l’inaction n’est plus une option.
Le paradigme de l’antifragilité
C’est dans ce contexte que les travaux de Patrick Lagadec sur la gestion des risques extrêmes prennent tout leur sens. Le chercheur français a documenté comment les crises contemporaines « mutent, se combinent et se nourrissent les unes des autres », créant ce qu’il appelle un « univers de l’inconcevable ». Face à ces méga-crises où les « cygnes noirs » – ces événements imprévisibles aux conséquences majeures – se succèdent, les approches traditionnelles de gestion des risques deviennent obsolètes. Le Liban, avec son effondrement économique, sa crise bancaire systémique, sa paralysie institutionnelle, son instabilité sécuritaire régionale, sa dégradation environnementale et sa désintégration sociale, incarne parfaitement cet écheveau de vulnérabilités interdépendantes qui exposent un pays à des chocs en cascade.
Cette réalité impose un changement de paradigme radical : passer de la simple résilience – capacité à résister et à se remettre – à l’antifragilité. Ce concept, développé par Nassim Nicholas Taleb mais magistralement contextualisé par Lagadec dans ses travaux, ne se contente pas de survivre aux chocs : il permet d’en tirer profit pour se renforcer et évoluer. Pour le Liban, cette approche devient vitale dans le domaine numérique où les choix technologiques d’aujourd’hui détermineront la capacité du pays à transformer ses vulnérabilités actuelles en avantages compétitifs durables.
Recommandations stratégiques : anticiper ou accentuer l’effondrement
Pour les institutions publiques, l’impératif consiste à développer une approche systémique de la gouvernance technologique s’inscrivant dans une logique de réduction de risques de désastres appliquée au domaine numérique. Cette démarche commence par un audit exhaustif des dépendances technologiques, cartographiant l’ensemble des solutions utilisées, y compris Starlink, pour évaluer leur conformité aux standards internationaux et classifier les données par niveau de criticité stratégique.
Un moratoire sur les nouveaux engagements technologiques non souverains s’impose, suspendant tout contrat avec des prestataires soumis à des lois supranationales compromettantes. Le Cloud Act américain permet aux autorités américaines d’accéder aux données stockées chez tout prestataire américain, même hébergées à l’étranger, tandis que le FISA Amendments Act autorise la surveillance des communications étrangères transitant par des infrastructures américaines. Ces dispositions juridiques exposent directement le Liban à des intrusions légalisées dans ses systèmes d’information critiques.
Le développement d’une souveraineté numérique ne signifie pas l’autarcie technologique, mais la capacité de choisir en connaissance de cause et de maîtriser ses dépendances critiques. Plusieurs options s’offrent au Liban pour reconstruire cette maîtrise :
Solutions européennes conformes au Data Act : Des alternatives comme OVHcloud, Scaleway, ou l’initiative Gaia-X offrent des infrastructures cloud hébergées en Europe, soumises uniquement au droit européen et conçues pour la conformité au RGPD et au Data Act. Pour les organisations libanaises exportant vers l’UE, ces solutions éliminent le risque juridique extraterritorial tout en garantissant l’interopérabilité requise.
Infrastructure nationale et régionale conforme : Le Liban pourrait investir dans des datacenters souverains en partenariat avec des pays alliés partageant des intérêts stratégiques communs, à condition que ces infrastructures soient conformes aux exigences du Data Act pour préserver l’accès au marché européen. Des pays comme les Émirats Arabes Unis développent activement leur infrastructure cloud nationale. Un partenariat permettrait de mutualiser les coûts tout en conservant une gouvernance conjointe et en assurant la conformité réglementaire nécessaire.
Logiciels libres et open source pour les PME : Des alternatives comme NextCloud (pour le stockage), Odoo (pour l’ERP), Matrix (pour la messagerie), ou LibreOffice réduisent drastiquement la dépendance aux éditeurs propriétaires américains. Ces solutions offrent par nature l’interopérabilité et la portabilité exigées par le Data Act, tout en permettant un contrôle complet sur l’hébergement et les données. Elles constituent une option particulièrement adaptée pour les petites et moyennes entreprises.
Hébergement on-premises pour les grandes organisations : Pour les grandes entreprises qui ont besoin de solutions américaines sophistiquées comme Microsoft Dynamics 365 ou Oracle Business Services, la stratégie privilégiée consiste à opter pour un hébergement on-premises (sur site) au Liban ou en Europe. Cette approche permet de bénéficier de la technologie tout en évitant que les fournisseurs américains puissent intervenir sur des infrastructures propriétaires situées au Liban ou en Europe. Le contrôle physique des serveurs et des données garantit que les autorités américaines ne peuvent pas accéder aux données via le Cloud Act, tout en permettant une conformité au Data Act si l’architecture est correctement conçue.
Approche hybride sécurisée et conforme : Pour les organisations ne pouvant migrer immédiatement, une stratégie de classification des données s’impose, mais exclusivement avec des solutions conformes au Data Act et en prenant soin qu’il n’y ait aucune possibilité d’ingérence sur les infrastructures. Les données non critiques peuvent rester sur des infrastructures cloud européennes conformes, tandis que les données stratégiques, sensibles ou liées aux clients européens doivent être hébergées sur des infrastructures souveraines ou européennes avec un contrôle total sur l’accès. Cette approche graduée permet de réduire progressivement les risques sans paralyser les opérations, à condition de maintenir une vigilance constante sur la conformité et la souveraineté.
Le coût de ces alternatives n’est pas aussi exorbitant que les détracteurs le prétendent. Cette objection ignore le coût caché de la dépendance actuelle : sanctions potentielles, perte de contrats européens, vulnérabilité aux chantages géopolitiques, et érosion de la compétitivité à long terme. De plus, ces investissements peuvent faire l’objet de partenariats avec l’Europe, qui a tout intérêt à soutenir la conformité de ses partenaires commerciaux pour sécuriser ses propres chaînes d’approvisionnement et ses flux de données. Des programmes de coopération européens, notamment dans le cadre de l’Instrument européen de voisinage, pourraient financer une partie de cette transition. Une étude de coût total de possession (TCO) intégrant ces risques et ces opportunités de financement révèle généralement que l’investissement dans la souveraineté numérique est économiquement rationnel sur un horizon de 5 à 10 ans.
Pour le secteur privé, la priorité réside dans l’élévation du niveau de maturité organisationnelle face à l’explosion désordonnée des services technologiques externalisés. La multiplication anarchique des abonnements cloud, qu’il s’agisse de SaaS, PaaS, IaaS, d’objets connectés IoT ou de services d’intelligence artificielle, provoque une érosion critique de la maîtrise des architectures informatiques et une déperdition dangereuse de la connaissance des processus métiers. Cette fragmentation technologique transforme les organisations en assemblages précaires de services externes, vulnérables aux discontinuités et aux chantages économiques.
La reconstruction d’une autonomie stratégique nécessite un changement de paradigme radical : passer d’une logique de consommation technologique passive à une stratégie de réappropriation des compétences critiques. Cette transformation implique une montée en compétence systématique des équipes permettant de développer une vision transverse des enjeux technologiques, sécuritaires et géopolitiques, constituant le seul rempart viable contre les vulnérabilités en cascade qui menacent la pérennité économique des organisations libanaises. Un régime imposant la frugalité et la désintoxication à l’accumulation de services externalisés non essentiels serait également de bon aloi pour retrouver plus de maîtrise et de robustesse.
L’heure des choix stratégiques
Les 1,4 milliard d’euros d’exportations de biens et services vers l’UE, les risques de sanctions pouvant atteindre 4% du chiffre d’affaires mondial, et les exemples concrets de Starlink ou du Royaume-Uni dessinent un paysage clair : le Liban n’a plus le luxe de l’attentisme. Les décisions prises aujourd’hui par les institutions publiques et les entreprises privées définiront la place du pays dans l’économie numérique de demain.
L’Europe, en adoptant le Data Act, a fait un choix politique clair : réguler pour émanciper. Le Liban, lui, doit encore décider s’il compte parmi les acteurs qui façonnent leur destin numérique ou parmi ceux qui le subissent. Entre Starlink et le Data Act, entre dépendance et souveraineté, le pays se trouve à un carrefour historique. Les choix d’aujourd’hui scelleront l’autonomie ou la subordination de demain.
Dans cet univers d’incertitudes extrêmes que décrit Patrick Lagadec, seules les organisations et les nations capables de transformer leurs vulnérabilités en forces, leurs crises en opportunités d’apprentissage, pourront prétendre à l’antifragilité. Pour le Liban, la gouvernance technologique et la souveraineté numérique ne sont plus des options : elles constituent les fondations de sa survie économique et de sa renaissance stratégique.
Nous vous invitons à vous nourrir des sources suivantes pour continuer la réflexion sur ce sujet qui nécessite un réveil collectif.
Sources et références
[1] Canalys. (2024, 23 mai). Les dépenses mondiales en matière de cloud augmentent de 21 % au premier trimestre 2024. Rapport sur la croissance du marché cloud et la domination d’AWS, Azure et Google Cloud.
[2] Synergy Research Group. (2025). Parts de marché des principaux fournisseurs de cloud. Données sur la répartition mondiale du marché cloud.
[3] Findstack. (2025, 9 mars). Statistiques et tendances du cloud computing 2025. Analyse des parts de marché et de la croissance des géants du cloud.
[4] Gartner. (2023). Prédictions sur l’adoption du cloud par les entreprises d’ici 2025. Étude sur la transformation des modèles d’affaires basés sur le cloud.
[5] Lagadec, Patrick. (2012). Du risque majeur aux mégachocs. Éditions Préventique.
[6] Lagadec, Patrick (2015) Le Continent des imprévus – Journal de bord des temps chaotiques, Collection Manitoba, Les Belles Lettres, Paris, 2015.
[7] Cloudwards. (2025, 25 août). AWS, Azure et Google Cloud dominent le marché du cloud au T2 2025. Croissance de 25 % des dépenses en infrastructure cloud.
[8] Direction générale du Trésor (France). (2023). Bilan du commerce extérieur du Liban en 2023. Chiffres sur les exportations libanaises vers l’UE et les principaux secteurs.
[9] Statista. (2024). Principaux partenaires d’exportation du Liban en 2022. Répartition des exportations par pays et secteur.
[10] CNIL. (2024). Bilan 2024 des sanctions et mesures correctrices. Montant des amendes RGPD et types d’infractions sanctionnées.
[11] Data Security Breach. (2025). Data Act : nouvelles règles européennes dès septembre 2025. Explications sur les sanctions et obligations du Data Act.
[12] Commission européenne. (2023). Data Act explained. Texte officiel sur les amendes et l’entrée en vigueur du règlement.
[13] Fondation pour la Recherche Stratégique. (2021). Faire converger Spatial et Numérique : quels enseignements pour la constellation satellitaire européenne ? Analyse des enjeux de souveraineté dans les infrastructures spatiales européennes.
[14] Musiani, Francesca. (2021, 20 décembre). « À travers les infrastructures, c’est la souveraineté numérique des États qui se joue ». Acteurs Publics. Interview sur la matérialisation des relations de pouvoir dans les infrastructures Internet.
[15] Inria. (2023). Souveraineté numérique : quel rôle pour la recherche ? Position sur les trois piliers européens : puissance de calcul, contrôle des données, connectivité sécurisée.
[16] Sénat français. (2023). Le devoir de souveraineté numérique. Rapport parlementaire sur les risques liés aux infrastructures détenues par des entités étrangères.
[17] Portail de l’Intelligence Économique. (2025, 14 mars). La réglementation américaine ITAR : une menace pour la souveraineté française ? Analyse de l’impact des réglementations extraterritoriales.
[18] La Libre. (2025, 12 septembre). Contrat à 400 millions de livres entre Londres et Google Cloud. Analyse des risques de souveraineté numérique pour le Royaume-Uni.
[19] BFM TV. (2025, 12 septembre). Le Royaume-Uni passe un contrat avec Google Cloud pour partager des données sensibles. Implications géopolitiques et techniques du partenariat.
[20] Les Affaires. (2025, 11 septembre). Défense : Londres et Google Cloud concluent un contrat pour l’échange d’informations classifiées. Détails sur les clauses du contrat et les risques de dépendance.
[21] Bretagne Commerce International. (2022, 18 octobre). Les spécificités de l’export control américain (ITAR/EAR). Guide pratique sur l’application extraterritoriale des réglementations américaines.
[22] Les Yeux du Monde. (2021, 28 octobre). La norme ITAR comme outil de domination militaire des États-Unis. Étude de cas sur l’extraterritorialité de la réglementation ITAR et son impact sur les entreprises étrangères.
[23] Ministère des Armées français. (2022). Règlementations ITAR – EAR. Guide officiel sur les contraintes réglementaires américaines pour les entreprises de défense française.
[24] Custax & Legal. (2023). Vers des assouplissements de la réglementation US (ITAR/EAR) en matière de coopération Spatiale. Analyse des évolutions réglementaires et de leurs implications pour le secteur spatial européen.
[25] Sciences Po – Chaire Digital, Gouvernance et Souveraineté. (2023). Souveraineté numérique et Cloud Souverain. Recherches sur les capacités des États à agir dans le cyberespace et faire respecter leurs règles.
[26] Société Informatique de France. (2022, 22 novembre). Journée Infrastructures pour la Souveraineté Numérique. Actes du colloque sur les questionnements techniques et géopolitiques de la souveraineté numérique.
[27] Ministère des Affaires économiques et sociales des Nations Unies. (2023). Lebanon Exports By Country. Trading Economics.
