L’Europe a raison de prendre la cybersécurité au sérieux. À mesure que les réseaux télécoms, les systèmes énergétiques, les infrastructures financières, l’industrie, les hôpitaux et les services publics deviennent dépendants d’équipements connectés, la sécurité des chaînes d’approvisionnement n’est plus un sujet technique secondaire. Elle devient un enjeu stratégique.
Mais une question demeure : comment renforcer cette sécurité sans affaiblir l’économie que l’on cherche précisément à protéger ?
C’est le point central d’un rapport publié par la Chambre de commerce chinoise auprès de l’Union européenne, la CCCEU, en collaboration avec KPMG, sur la révision proposée du Cybersecurity Act européen, dite CSA2. Selon cette étude, si le texte conduisait au remplacement obligatoire de fournisseurs chinois dans dix-huit secteurs critiques, le coût cumulé pour les États membres pourrait atteindre 367,8 milliards d’euros entre 2026 et 2030.
Au-delà du montant, le rapport pose une question très concrète : lorsqu’une règle de sécurité impose la réorganisation de chaînes industrielles déjà installées, qui paie la facture, et pour quel gain réel en matière de cybersécurité ?
Des entreprises chinoises déjà intégrées à l’économie européenne
La CCCEU, ou China Chamber of Commerce to the EU, est basée à Bruxelles. Elle représente les intérêts des entreprises chinoises présentes dans l’Union européenne et se veut une plateforme de dialogue entre milieux économiques chinois et institutions européennes.
Cette présence chinoise en Europe ne se limite plus à la vente d’équipements ou à des contrats d’exportation. Dans l’automobile, les batteries, les télécommunications, les équipements énergétiques, la logistique ou les infrastructures numériques, certaines entreprises chinoises sont désormais intégrées aux chaînes de valeur européennes.
Le rapport souligne que les entreprises chinoises contribuent à l’investissement, à l’emploi, aux infrastructures numériques et à la transition verte en Europe. Il indique également qu’elles ont créé des dizaines de milliers d’emplois locaux et généré des effets d’entraînement pour les chaînes d’approvisionnement européennes.
Cette intégration se retrouve aussi dans les achats locaux. Selon le rapport, près de 47 % des entreprises chinoises opérant en Europe réalisent plus de la moitié de leurs achats auprès de fournisseurs situés en Europe, ce qui montre que leur activité alimente également un réseau de PME et de partenaires locaux.
Le débat autour de CSA2 ne concerne donc pas seulement la Chine. Il concerne aussi les opérateurs européens, les fournisseurs locaux, les collectivités publiques, les consommateurs et, plus largement, la compétitivité industrielle de l’Europe.
Le risque d’un glissement : de l’évaluation technique à l’exclusion par origine
L’objectif affiché de CSA2 est légitime : renforcer la sécurité des chaînes d’approvisionnement dans les technologies de l’information et de la communication. Dans un contexte de tensions géopolitiques, d’attaques cyber et de dépendances technologiques, l’Europe ne peut pas ignorer ces enjeux.
La difficulté réside dans la méthode.
Le rapport critique une évolution possible du cadre européen : passer d’une évaluation fondée sur des critères techniques, vérifiables et auditables, à une logique dans laquelle l’origine du fournisseur devient un facteur déterminant. Autrement dit, la question ne serait plus seulement : ce produit est-il sûr ? Ce système est-il auditable ? Ce code peut-il être contrôlé ? Mais aussi : de quel pays vient le fournisseur ?
Une telle approche peut sembler plus simple à mettre en œuvre. Elle est pourtant lourde de conséquences économiques. Dans les infrastructures critiques, un fournisseur n’est pas seulement un nom sur un contrat. Il est souvent intégré dans des réseaux, des interfaces, des systèmes de maintenance, des architectures logicielles et des cycles d’investissement de long terme.
Remplacer un fournisseur déjà déployé n’est donc pas une simple opération d’achat. C’est une opération industrielle lourde.
Une facture qui dépasse largement le prix des équipements
Le rapport estime à 367,8 milliards d’euros le coût potentiel d’un remplacement obligatoire sur cinq ans. Cette somme est divisée en quatre catégories : 146,2 milliards d’euros de pertes directes, liées notamment au remplacement des équipements, au démontage et à la réinstallation ; 81,5 milliards d’euros de pertes indirectes, liées à la reconstruction des systèmes, à la maintenance parallèle, à la formation et à la certification ; 102,1 milliards d’euros de pertes sociales, liées notamment aux retards de numérisation et aux perturbations de services ; enfin 38,1 milliards d’euros de pertes juridiques, liées aux litiges, aux compensations et aux procédures de conformité.
Le point important n’est pas seulement le montant. C’est la nature des coûts.
Dans les télécommunications, l’énergie, la finance, l’industrie ou la santé, les équipements fonctionnent rarement de manière isolée. Ils sont liés à des systèmes existants, à des obligations de service, à des contrats de long terme et à des exigences de continuité. Les remplacer peut donc entraîner des tests, des migrations, des périodes de double fonctionnement, des retards de projets et des surcoûts qui dépassent largement le prix du matériel.
Selon le rapport, les secteurs les plus exposés seraient la logistique et l’industrie manufacturière, avec 114,6 milliards d’euros de pertes potentielles, l’énergie, avec 79,9 milliards, et les télécommunications, avec 57,4 milliards. Les infrastructures financières, la santé, la recherche et les services publics seraient également touchés.
Ce point est essentiel : le débat ne se limite pas aux équipements télécoms chinois. Il touche potentiellement la production industrielle, les réseaux électriques, les plateformes de recherche, les hôpitaux, les systèmes financiers et les services publics.
Le coût invisible : l’investissement qui ne se fera pas
L’un des aspects les plus importants du rapport concerne le coût d’opportunité. Si les entreprises doivent consacrer des capitaux importants à remplacer des équipements encore fonctionnels, elles auront moins de moyens pour investir dans la 5G avancée, la 6G, l’intelligence artificielle, les réseaux électriques intelligents, l’automatisation industrielle ou la transition énergétique.
Autrement dit, la question n’est pas seulement : combien coûtera le remplacement ? Elle est aussi : quels investissements seront retardés ou annulés ?
C’est un sujet particulièrement sensible pour l’Europe. L’Union cherche à réduire ses dépendances stratégiques, mais elle doit en même temps rattraper certains retards dans le numérique, accélérer sa transition énergétique et renforcer sa base industrielle. Une politique de sécurité mal calibrée pourrait donc produire un effet paradoxal : renforcer le discours sur la souveraineté tout en affaiblissant la capacité d’investissement des entreprises européennes.
Le rapport prévoit d’ailleurs une montée rapide des coûts après 2028, lorsque les discussions réglementaires laisseraient place à une phase d’application plus large. Les pertes passeraient, selon l’étude, de 39,1 milliards d’euros en 2026 à 93 milliards en 2028, avant de rester à un niveau très élevé en 2029 et 2030.
Des effets inégaux au sein de l’Union
Le rapport rappelle aussi que l’impact économique ne serait pas réparti de manière uniforme entre les États membres. En raison des différences de structure industrielle, de capacité budgétaire, de niveau de numérisation et de systèmes énergétiques, une même règle européenne pourrait produire des effets très différents selon les pays.
L’Allemagne serait la plus exposée, avec une perte estimée à 170,8 milliards d’euros. La France, l’Italie, l’Espagne, la Pologne et les Pays-Bas feraient également partie des pays les plus touchés. Le risque, selon le rapport, serait d’ajouter une pression budgétaire et industrielle supplémentaire à des économies déjà engagées dans des transitions coûteuses.
L’absence de preuve établie de « porte dérobée technique »
Un autre point important du rapport concerne la question des preuves. Selon la CCCEU et KPMG, il n’existe à ce jour aucune preuve établie démontrant l’existence d’une « porte dérobée technique » ou d’une violation des règles européennes de cybersécurité par des entreprises chinoises opérant dans l’Union européenne.
Le rapport rappelle également que certaines entreprises chinoises ont mis en place des mécanismes de conformité et de transparence en Europe, notamment des centres d’audit de code source et des laboratoires de cybersécurité ouverts aux clients, régulateurs et parties prenantes. Il cite aussi le recours à des certifications ou évaluations de sécurité internationales, comme le dispositif NESAS défini par la GSMA et 3GPP, pour montrer que la sécurité des fournisseurs peut être évaluée à partir de standards communs, d’audits indépendants et de procédures de gestion du cycle de vie.
Cet argument ne signifie pas que les risques cyber n’existent pas. Il souligne plutôt que, dans un domaine aussi technique, l’évaluation des risques devrait reposer sur des éléments vérifiables : tests, audits, certifications, architecture des réseaux, accès aux données, gouvernance logicielle et capacité de contrôle par les autorités compétentes.
Les entreprises chinoises restent attirées par l’Europe, malgré un climat plus difficile
Le paradoxe est que l’Europe reste attractive pour les entreprises chinoises, malgré un climat d’affaires jugé de plus en plus difficile. Selon l’enquête 2025 publiée par la CCCEU avec Roland Berger, les entreprises chinoises interrogées estiment que l’environnement des affaires dans l’Union européenne s’est dégradé pour la sixième année consécutive, la note globale passant de 73 en 2019 à 61 en 2025. Mais, dans le même temps, 62 % d’entre elles anticipent encore une hausse de leurs revenus dans l’UE, près de la moitié prévoient d’y augmenter leurs investissements, et seulement 11 % envisagent de les réduire.
Ce contraste dit beaucoup de la relation actuelle entre les entreprises chinoises et l’Europe : le marché européen reste stratégique, avec des consommateurs solvables, des normes exigeantes, un tissu industriel dense et un fort potentiel dans les technologies vertes, la mobilité, l’énergie et les infrastructures numériques. Mais il devient aussi plus complexe, plus réglementé et plus incertain.
C’est dans ce contexte que la secrétaire générale de la CCCEU, Fang Dongkui, appelle à traiter les différends économiques et commerciaux par le dialogue et la consultation, afin de créer un environnement d’affaires plus équitable et plus prévisible pour les entreprises des deux côtés.
Le débat autour de CSA2 montre ainsi que la cybersécurité européenne n’est pas seulement une affaire de réglementation technique. Elle touche directement aux choix industriels, aux coûts de transition et à l’équilibre futur des relations économiques entre l’Europe et la Chine.
La sécurité économique ne doit pas servir de prétexte à une remise en cause des principes fondamentaux du marché unique. Comme le souligne ce rapport, une politique d’exclusion fondée sur l’origine des investisseurs, plutôt que sur une évaluation technique et objective des risques, risque d’imposer un coût exorbitant à l’économie européenne. Pour rester compétitive et crédible sur la scène mondiale, l’Union européenne se doit de maintenir un cadre réglementaire juste, équitable et non discriminatoire envers tous les investisseurs, quel que soit leur pays d’origine. Seul un dialogue rationnel et le respect de la neutralité technologique permettront de garantir une sécurité réelle sans sacrifier l’innovation et la croissance.