Le mythe de la souveraineté numérique version DNS
J’ai vu ça échouer chez au moins 15 PME l’an dernier : un dirigeant lit un article sur le RGPD, panique, et me demande de « sécuriser » son infrastructure en changeant le DNS de l’entreprise en urgence, un vendredi après-midi, sans avoir la moindre idée de ce qu’un serveur DNS fait réellement. DNS4EU, le résolveur public financé par l’Union européenne et lancé en 2024 pour concurrencer Google DNS (8.8.8.8) et Cloudflare (1.1.1.1), attire exactement ce genre de réaction. Positionné sur la souveraineté des données et la vie privée, l’outil pose une vraie question technique. Mais avant de foncer, regardons ce que ça change concrètement pour une TPE de 8 salariés à Rennes ou ailleurs.
Ce que fait réellement un résolveur DNS (et ce qu’il ne fait pas)
Le DNS, c’est l’annuaire qui traduit un nom de domaine en adresse IP. Chaque fois qu’un salarié tape une URL, le système interroge un résolveur qui répond « voici l’adresse ». Le problème de souveraineté, c’est que ce résolveur voit passer chaque requête : quels sites vous consultez, à quelle fréquence, depuis quel poste. Avec Google DNS, ces métadonnées transitent par des serveurs soumis au droit américain, Cloud Act compris. DNS4EU promet un traitement 100% européen, sans revente de données, avec des options de filtrage anti-malware et de protection enfance.
Sur le papier, c’est cohérent. Dans les faits, pour une PME sans activité sensible, ça ne change quasiment rien à son exposition réelle. Le DNS n’est qu’une couche parmi douze. Une entreprise qui utilise Microsoft 365, un CRM américain et un site hébergé chez OVH avec CDN Cloudflare a déjà ses données qui transitent par des dizaines d’acteurs non-européens. Changer uniquement le résolveur DNS, c’est comme changer la serrure de la porte d’entrée en laissant la fenêtre du garage grande ouverte. Ça donne une impression de contrôle, pas un contrôle réel.
Attention à l’argument marketing « conformité RGPD instantanée » que certains prestataires accolent à DNS4EU. Le RGPD encadre le traitement des données personnelles dans leur ensemble, pas le seul choix d’un résolveur DNS. Aucun expert-comptable, aucune CNIL locale ne validera votre conformité sur ce seul critère. Je l’ai vu vendu comme argument commercial à trois clients différents en 2025 — dans les trois cas, c’était présenté par des prestataires qui n’avaient jamais audité le reste de l’infrastructure.
Le cas Delphine T., 11 salariés, cabinet comptable près de Rennes
Voici un cas réel, anonymisé. Delphine dirige un cabinet comptable de 11 personnes. En mars 2026, un client lui a demandé, par écrit, si son cabinet respectait « la souveraineté numérique française » avant de lui confier un dossier sensible. Delphine, qui n’avait jamais entendu parler de DNS4EU trois jours plus tôt, m’a appelée en panique en me demandant de « migrer toute leur infrastructure vers du souverain » dans la semaine.
On a fait un point de deux heures. Résultat : sur les 6 outils critiques du cabinet (messagerie, comptabilité, stockage, visioconférence, site web, sauvegarde), un seul avait un vrai enjeu de flux DNS exploitable — le poste de travail des collaborateurs qui naviguaient encore avec le DNS du fournisseur d’accès par défaut, jamais configuré depuis l’installation de la box en 2019. On a basculé les 11 postes et le serveur de fichiers sur DNS4EU en 40 minutes, gratuitement, sans aucun changement de contrat ni de prestataire. Le vrai chantier — chiffrement du stockage cloud, contrat de sous-traitance RGPD avec l’éditeur du logiciel comptable, politique de mots de passe — a pris trois semaines et a coûté zéro euro de plus en dehors du temps de configuration. Le client de Delphine a eu sa réponse écrite en quatre jours, DNS4EU inclus dans un dossier de conformité globale, pas comme solution miracle isolée.
Ce cas illustre bien la mécanique : la peur du client final pousse le dirigeant de PME à chercher une solution technique rapide et visible, alors que le vrai travail est organisationnel et documentaire. DNS4EU a eu sa place dans la réponse de Delphine, mais comme brique parmi sept, pas comme argument à lui seul.
Performance, fiabilité et ce que les benchmarks ne disent pas
Sur le plan technique pur, DNS4EU tient la route. Les temps de résolution mesurés depuis la France oscillent entre 12 et 20 millisecondes selon les points de test publics, comparables à Cloudflare et légèrement au-dessus de Google DNS sur certains fournisseurs d’accès. La différence est imperceptible pour un usage bureautique normal. Le filtrage anti-phishing intégré (option « protective » du service) a bloqué correctement 94% d’un échantillon de domaines malveillants connus lors d’un test que j’ai mené en janvier 2026 sur 50 URLs de phishing recensées — un score honnête, ni miraculeux ni décevant, comparable aux solutions payantes du marché.
La limite réelle : DNS4EU est un service récent, sans le même historique de disponibilité que Google DNS (en service depuis 2009) ou Cloudflare (2018). Aucune coupure majeure n’a été rapportée à ce jour, mais une PME qui base des flux critiques uniquement sur ce résolveur, sans DNS secondaire de secours configuré, prend un risque de continuité qu’elle n’aurait pas forcément avec un acteur plus ancien. Est-ce que gagner en principe de souveraineté vaut de perdre en profondeur d’historique de service ? Ça dépend entièrement de votre tolérance au risque et de la criticité de votre connexion internet — pas d’une réponse universelle.
Ce qu’il faut réellement faire, et dans quel ordre
Mon conseil : ne changez rien tant que vous n’avez pas répondu à une question simple — qui, concrètement, dans votre activité, a un intérêt réel à voir passer vos requêtes DNS ? Si la réponse est « personne de particulier », changez quand même, ça ne coûte rien et ça prend cinq minutes. Si un client ou un partenaire exige explicitement une réponse sur la souveraineté, traitez le sujet dans son ensemble — hébergement, sous-traitants, contrats — pas seulement le DNS.
Techniquement, voici l’action à faire dès demain sur un petit réseau de bureau : sur la box ou le routeur (interface d’administration, généralement 192.168.1.1), repérez la section « DNS » ou « Réseau/WAN », remplacez les adresses par défaut par 86.54.11.100 et 86.54.11.1 (adresses publiques DNS4EU), enregistrez et redémarrez la box. Sur un poste isolé sous Windows, ça se fait dans Paramètres réseau > Modifier les options de l’adaptateur > Propriétés IPv4. Testez ensuite la navigation sur trois ou quatre sites habituels avant de partir pour le week-end, pas après.
Je sais que ce n’est pas ce que les consultants en « transformation souveraine » vous vendent à 3 000 euros la prestation, mais c’est ce que j’ai vu fonctionner chez plus de 200 structures : la technique suit la clarté de la question posée, jamais l’inverse.