Une étude de Retarus menée en France, en Allemagne et en Espagne met en lumière un décalage persistant entre la perception de contrôle des flux e-mail et la réalité opérationnelle. Derrière des infrastructures jugées stables, les dépendances juridiques, techniques et contractuelles restent fortes, au moment même où NIS2 et DORA renforcent les exigences de traçabilité et de preuve.
« Beaucoup d’entreprises confondent fonctionnement et maîtrise »
Les flux e-mail restent au cœur des opérations critiques : contrats, factures, alertes, échanges métiers ou applications automatisées transitent quotidiennement par des architectures devenues particulièrement complexes. Pourtant, selon l’étude, 80 % des organisations interrogées estiment maîtriser leurs flux e-mail, alors que 45 % dépendent encore de prestataires extra-européens et que 56 % redoutent une exposition à des législations extraterritoriales comme le Cloud Act. « Beaucoup d’entreprises confondent fonctionnement et maîtrise », résume le rapport.
Le document décrit des environnements « plus opaques, plus rigides, et plus difficiles à reprendre en main », construits au fil des couches technologiques : cloud, ERP, CRM, outils de sécurité, services tiers ou applications métiers. Tant que les flux circulent, le système paraît sous contrôle. Mais la dépendance apparaît dès qu’il faut modifier un paramétrage, migrer un périmètre ou répondre à un audit.
La souveraineté devient un sujet opérationnel
L’étude montre aussi une évolution du regard porté sur la souveraineté numérique. « Elle n’est plus un principe à défendre, mais une marge de manœuvre à préserver », écrit Retarus. 94 % des organisations interrogées affirment désormais que la souveraineté influence directement le choix des prestataires, tandis que 89 % la considèrent comme une priorité stratégique.
Le rapport insiste particulièrement sur une confusion persistante : l’hébergement des données en Europe ne garantit pas à lui seul le contrôle des flux.
« Le contrôle juridique ne dépend pas uniquement de l’endroit où les données sont stockées, mais des règles auxquelles le prestataire est soumis »
Rapport “Infrastructure e-mail : sur le papier, tout est sous contrôle”, Retarus, mai 2026.
Cette lecture devient particulièrement visible en France, où la souveraineté est abordée « comme une question pragmatique : jusqu’où l’organisation garde-t-elle la maîtrise de ses choix, de ses données et de ses marges de manœuvre ? »
L’audit révèle les zones de dépendance
Le véritable point de tension apparaît au moment des audits et des contrôles de conformité. Si 92 % des organisations considèrent le reporting comme essentiel, seules 41 % se disent capables de répondre immédiatement à une demande d’audit.
Retarus estime que le contrôle ne se limite plus à la circulation des e-mails, mais repose désormais sur « la capacité à gouverner, vérifier et faire évoluer les flux sans dépendance excessive ». Le rapport ajoute que « sans possibilité d’audit, point de contrôle ».
Cette dépendance opérationnelle se retrouve aussi dans la relation aux prestataires. 84 % des organisations considèrent désormais le support local comme critique ou très important. L’étude note que la souveraineté « se joue aussi là : dans la capacité à parler vite à quelqu’un qui peut agir ».
