De quoi traite ce domaine#
Le septième domaine est le domaine de synthèse et d’honnêteté. Il demande au déclarant de distinguer clairement ce qu’il garantit explicitement (avec le niveau juridique de la garantie : engagement contractuel opposable, déclaration unilatérale publique, simple bonne pratique interne), ce qu’il ne peut pas garantir et pourquoi, les évolutions à venir qui pourraient modifier le profil dans les 12 à 24 prochains mois (changement de version, migration d’infrastructure, levée de fonds avec investisseurs non-européens en perspective, repositionnement stratégique), et les points de faiblesse identifiés avec les actions engagées pour les traiter.
Le domaine est explicitement conçu pour résister à la tentation marketing du « nous garantissons tout ». Le format invite au contraire à formuler les angles morts, parce qu’un fournisseur qui assume ses faiblesses est plus crédible que celui qui prétend n’en avoir aucune.
Pourquoi ce domaine compte#
C’est le domaine le plus politiquement structurant du Profil. Il opère le basculement de l’exercice : d’un document de communication potentiellement creux à un exercice d’honnêteté qui transforme la relation entre fournisseur et acheteur. La thèse générale du manifeste s’incarne ici plus que dans aucun autre domaine — la souveraineté ne se décrète pas dans des communiqués, elle se construit ligne par ligne, fondation par fondation, mainteneur par mainteneur, et fragilité après fragilité assumée.
Pour le fournisseur, déclarer un angle mort dans le domaine 7 a une triple valeur. D’abord, vis-à-vis du client : si le client découvre par lui-même un angle mort que vous n’aviez pas déclaré, votre crédibilité globale s’effondre ; si vous l’avez déclaré, vous gardez la maîtrise de la conversation. Ensuite, vis-à-vis de vos concurrents : un Profil qui assume des fragilités et décrit les actions correctives en cours est plus difficile à attaquer qu’un Profil qui prétend à la perfection. Enfin, vis-à-vis de vos propres équipes : l’exercice de remplissage du domaine 7 force la conscientisation collective des points à traiter et oriente les chantiers techniques internes.
À l’échelle agrégée, la lecture des domaines 7 publiés par les fournisseurs européens fait apparaître les fragilités les plus communément identifiées et orientées vers la résolution. L’observatoire des lacunes peut s’enrichir non seulement des absences (couches sans alternative européenne) mais aussi des dimensions où la communauté des fournisseurs reconnaît collectivement avoir des progrès à faire.
Ce qui est demandé par catégorie de déclarant#
Pour toutes les catégories. Liste des engagements explicites avec niveau juridique. Liste des dimensions où le fournisseur ne peut pas garantir et explication factuelle (par exemple : « nous ne pouvons pas garantir l’absence de réquisition CLOUD Act parce que notre service de mailing transactionnel transite par un prestataire américain en cours de migration »). Liste des évolutions anticipées dans les 12 à 24 mois qui modifieront le profil (changement d’hébergeur, intégration d’un nouveau composant tiers stratégique, levée de fonds en cours de négociation avec mention de la nature attendue des investisseurs). Liste des angles morts identifiés avec les actions engagées et les horizons cibles.
Spécificité pour les éditeurs. Mention des bascules de licence anticipées sur les composants tiers utilisés et des actions préventives engagées. Mention des évolutions de roadmap susceptibles de modifier substantiellement le profil de souveraineté du produit (par exemple, intégration prévue d’un service IA chez un fournisseur américain).
Spécificité pour les distributeurs et intégrateurs. Mention des évolutions anticipées des éditeurs d’origine des solutions distribuées (changements connus de licence, rachats annoncés, restrictions géographiques en discussion).
Exemple de réponse honnête bien faite#
Un éditeur SaaS français de 50 personnes déclare son domaine 7 ainsi. Engagements explicites contractuels : hébergement en France pour les clients européens, préavis de 12 mois minimum avant cessation de service, séquestre logiciel actif chez un séquestre légal français, mise à jour annuelle du Profil de souveraineté. Engagements unilatéraux publics : engagement de release du code sous AGPL v3 en cas de cessation, contribution annuelle de 0,75 % du chiffre d’affaires logiciel à des fondations open source européennes. Dimensions où l’éditeur ne peut pas garantir : absence de toute réquisition étrangère (le service de mailing transactionnel actuellement opéré par SendGrid, prestataire américain, génère un transit US de métadonnées d’envoi — migration vers Mailjet planifiée pour octobre 2026), résistance à un éventuel CLOUD Act élargi (analyse juridique en cours). Évolutions anticipées : levée de série B en cours de négociation avec deux fonds européens et un fonds britannique post-Brexit ; le scénario britannique pourrait modifier la qualification de l’actionnariat selon les critères du manifeste, ce qui est anticipé et serait déclaré publiquement le cas échéant. Angles morts identifiés : absence de miroir local du registre npm pour les builds (action engagée : mise en place de Verdaccio à horizon T1 2027), recours à Keycloak (Red Hat / IBM) sans alternative testée pour l’identité (action engagée : POC Authentik dans les 12 mois).
Anti-pattern à éviter#
Un domaine 7 réduit à « nous garantissons un service de la plus haute qualité conformément aux meilleures pratiques de l’industrie » trahit l’esprit du Profil. C’est précisément ce que le format est conçu pour faire échouer : si les six premiers domaines sont remplis sérieusement et le septième vide ou rhétorique, l’incohérence est immédiate à la lecture. À l’inverse, un domaine 7 qui exagèrerait les fragilités au-delà de la réalité dans un effort d’humilité affichée serait également peu crédible. Le ton à viser : factuel, précis, daté, avec actions correctives quand elles existent.
Articulation avec les autres domaines et engagements#
Le domaine 7 est le domaine de synthèse qui s’articule avec les six précédents. Chaque angle mort déclaré renvoie typiquement à un domaine particulier (un angle mort sur la chaîne d’approvisionnement renvoie au domaine 3, un angle mort sur la continuité au domaine 5, etc.). Le domaine 7 est aussi le pont naturel vers les engagements : ce qui y est déclaré comme angle mort en cours de traitement correspond souvent à un engagement formalisé dans la déclaration d’engagements parallèle (par exemple, un angle mort sur le séquestre renvoie à pub-005-establish-software-escrow, un angle mort sur la liste des composants à pub-006-publish-component-jurisdiction-list).