Le 17 avril, un de mes clients m'envoie une capture d'écran de son admin center Microsoft 365. Flex routing activé par défaut. Ses prompts Copilot partent aux États-Unis, au Canada ou en Australie quand les serveurs européens sont chargés14. Le problème : cette PME de 80 personnes est sous-traitant logistique de l'État. En 48 heures, il me fallait un plan B crédible.
Ce plan B, je l'ai construit. Pas à partir d'un comparatif trouvé sur Google (j'ai vérifié, il n'en existe aucun de complet en français), mais à partir de 4 ans de déploiements chez des PME françaises. Nextcloud, Seafile, Proton, et depuis peu Infomaniak. Chaque solution a ses forces et ses angles morts. Ce qui manque dans tous les comparatifs existants, c'est un arbre de décision honnête : selon votre profil, votre secteur et votre capacité technique, la bonne réponse n'est pas la même.
Votre suite collaborative envoie vos données aux US. Et ça vous coûte de plus en plus cher.
Le flex routing Copilot n'est pas un incident isolé. C'est un symptôme d'un basculement plus large, et tout converge en ce moment.
Les prix explosent. Microsoft 365 augmente de 8 à 25 % au 1er juillet 2026 selon les plans6. Google Workspace a déjà pris 17 % en 2025, avec un bundling forcé de Gemini que personne n'a demandé7.
L'État français prend position. Le 8 avril 2026, la DINUM annonce un plan de souveraineté numérique avec migration vers Linux et réduction des dépendances extra-européennes1. Quand l'État migre, le signal est clair pour ses sous-traitants.
La réglementation se durcit. NIS2 entre en application en octobre 2026 avec des obligations sur la chaîne d'approvisionnement2. L'AI Act impose d'inventorier tout système IA utilisé en entreprise dès août 20263. La CNIL a distribué 486,8 millions d'euros d'amendes en 20254, près de neuf fois plus qu'en 202418, et les PME sont de plus en plus exposées à ses contrôles.
Le bouclier juridique vacille. Le Data Privacy Framework (DPF) a été validé en septembre 2025, mais le Privacy and Civil Liberties Oversight Board (PCLOB) a été démantelé en janvier 2025. Un arrêt Schrems III est probable d'ici 2027-20288. Si le DPF tombe, tout transfert de données vers les États-Unis redevient juridiquement risqué.
Pour aller plus loin sur le flex routing et ses implications concrètes, j'ai publié un article dédié la semaine dernière.
La question n'est plus "faut-il s'en préoccuper ?". Elle est devenue "par quoi remplacer, et est-ce réaliste pour mon cas ?".
Le vrai prix de Microsoft 365 + Copilot (celui qui n'est pas sur la fiche tarifaire)
Le tarif affiché de M365 Business Standard est 11,70 €/utilisateur/mois. Ajoutons Copilot à 28,10 €/utilisateur/mois. Pour 50 postes, on arrive à environ 23 880 €/an. Sauf que ce n'est pas le vrai chiffre.
Voici ce que je vois chez mes clients quand on pose tout à plat :
| Poste | Coût estimé (50 users/an) |
|---|---|
| M365 E3 (licences) | 22 620 € |
| Copilot (licences) | 16 860 € |
| Stockage additionnel OneDrive/SharePoint (+30-60 %) | 2 000 – 4 000 € |
| DPIA et analyse de conformité RGPD | 5 000 – 8 000 € (première année) |
| Inventaire AI Act pour Copilot | 2 000 – 3 000 € |
| Formation et accompagnement | 3 000 – 5 000 € |
| Total réaliste première année | ~42 000 – 50 000 € |
Le coût réel par utilisateur tourne entre 55 et 70 €/mois, pas 37,70 €. La différence, ce sont les coûts que Microsoft ne met pas sur la fiche tarifaire mais que votre DPO, votre comptable et votre prestataire IT vous factureront.
Google Workspace n'échappe pas au même calcul. Le Cloud Act s'applique de la même façon. Le Client-Side Encryption (CSE) et l'External Key Management (EKM) existent en théorie. En pratique, je n'ai jamais vu une PME de moins de 100 personnes les activer. Trop complexe, trop cher, trop de contraintes sur les fonctionnalités.
Le marché du cloud souverain européen atteint 12,4 milliards d'euros en 2026, en hausse de 34 %5. Les alternatives existent. Voyons lesquelles tiennent la route.
Les 4 alternatives qui tiennent la route (et celles qui n'y sont pas encore)
J'ai déployé, administré ou audité ces solutions chez des clients réels. Ce qui suit n'est pas un résumé de fiches produit. C'est un retour de terrain, limites comprises.
Infomaniak kSuite – le Google Workspace européen à 5,54 €
Ce que c'est. Une suite collaborative complète hébergée en Suisse : email, stockage (3 To/utilisateur en Standard), suite bureautique web OnlyOffice, visio (kMeet), chat (kChat), et une IA intégrée (Euria, basée sur Qwen3, hébergement suisse, zéro rétention de données)11.
Pourquoi j'en parle. C'est la première fois que je recommande Infomaniak à un client. Une agence de communication de 25 personnes qui quitte Google Workspace. Le dirigeant m'a appelé après avoir lu mon article sur le flex routing. Diagnostic : GWS stocke en UE, mais le DPA autorise les transferts US pour le support technique. L'agence a des clients pharma, donc des données de santé indirectes. Infomaniak résout le problème de localisation et divise la facture par trois.
Les forces terrain. Le prix est imbattable. L'UX est proche de Google Workspace, ce qui réduit la résistance au changement. Pas besoin de prestataire technique pour l'administration. ISO 27001, datacenters en Suisse.
Les limites que je vois. Pas de SSO/SAML, ce qui est bloquant si vous avez un annuaire d'entreprise. kMeet devient instable au-delà de 15 participants. L'écosystème est fermé, peu d'intégrations tierces. OnlyOffice est en web uniquement, pas de client desktop lourd.
Mon avis honnête. Je n'ai pas le recul que j'ai avec Nextcloud (des années de déploiements). La recommandation est basée sur les specs, les prix et un premier déploiement en cours. Je documente cette migration en transparence. Suivi prévu à 3 mois.
Proton Workspace – le coffre-fort, pas le bureau
Ce que c'est. L'écosystème Proton étendu à l'entreprise : mail chiffré de bout en bout, Drive, Calendar, VPN, Pass (gestionnaire de mots de passe), et depuis mars 2026, Docs et Meet (250 participants, E2E)10. Standard à 12,99 USD/utilisateur/mois. IA Lumo intégrée (Mistral Small 3, hébergement Allemagne/Norvège, zéro logs).
Les forces terrain. Le chiffrement de bout en bout est sur tout. Même Proton ne peut pas lire vos données. La fondation non-profit suisse rassure. Le VPN et le gestionnaire de mots de passe inclus ajoutent de la valeur. Scribe (rédaction mail IA) est utile au quotidien.
Les limites que je vois. Proton Docs est immature : pas de sommaire, pas de headers/footers, pas de styles avancés16. Sheets est très basique, pas de tableaux croisés dynamiques ni de macros. Il n'y a pas de Slides du tout. L'écosystème est hermétique : les calendriers ne se synchronisent avec aucun CRM ni outil tiers. Pas d'IdP (Identity Provider) interne. Proton supporte le SSO entrant (SAML) mais ne peut pas servir d'annuaire.
Mon avis. Proton est un coffre-fort, pas un bureau. Si votre priorité absolue est la confidentialité et que vos besoins bureautiques se limitent à de l'email et des notes, c'est excellent. Si vous avez besoin de tableurs complexes, de présentations ou d'intégrations, ce n'est pas la bonne solution aujourd'hui.
Nextcloud Hub hébergé – le couteau suisse, si vous savez l'affûter
Ce que c'est. La plateforme open source (AGPL) la plus complète : stockage, suite bureautique (Collabora Online ou OnlyOffice), Talk (chat + visio), Calendar, Contacts, et un écosystème d'applications. Enterprise Standard à 71,29 €/utilisateur/an pour 100 utilisateurs minimum12. IA locale possible en Ultimate (Mistral, Llama). SSO/SAML natif. Hébergement au choix, y compris sur des infrastructures SecNumCloud françaises.
Mon expérience terrain. C'est la solution que j'ai le plus déployée. Un exemple parmi d'autres : un sous-traitant automobile en Île-de-France, 45 personnes, fichiers CAO sensibles. Migration depuis Google Workspace en 6 semaines. La première semaine a été difficile. Plaintes de lenteur, previews PDF qui saturaient le CPU. Après tuning de PHP-FPM, passage de Redis en socket et ajustement des tâches cron, les performances se sont stabilisées. Le vrai coût caché, ce n'est pas la licence, c'est les 2 jours d'administration par mois pendant les 3 premiers mois.
Le point OnlyOffice. En mars 2026, OnlyOffice a rompu son partenariat de 8 ans avec Nextcloud9. Une coalition de 9 entreprises européennes a lancé Euro-Office, un fork communautaire. Euro-Office n'est pas production-ready avant l'été 2026 au minimum. Ma recommandation pour les nouveaux déploiements : Collabora Online. C'est le moteur LibreOffice adapté au web, maintenu par une société européenne, et parfaitement intégré à Nextcloud.
Les limites que je vois. Nextcloud n'a pas de service email natif (il faut un serveur mail séparé). L'administration est complexe, 10 CVE ont été publiées entre 2025 et 2026. Il faut un prestataire technique compétent, ou une équipe IT interne. Ce n'est pas une solution "installez et oubliez".
Mon avis. Nextcloud est la réponse la plus complète pour les PME qui veulent le contrôle total. Mais "contrôle total" implique "responsabilité totale". Sans les compétences techniques pour l'opérer, vous échangez une dépendance à Microsoft contre une dépendance à votre prestataire.
Seafile – le spécialiste fichiers lourds que personne ne connaît
Ce que c'est. Une plateforme de stockage et synchronisation orientée performance. Pro à environ 48 USD/utilisateur/an en self-hosted13. Delta sync par blocs (seules les parties modifiées d'un fichier sont transférées). Bibliothèques chiffrées côté client. SeaDoc 1.0 pour l'édition collaborative légère (wiki/notes, pas un remplaçant de Google Docs).
Mon expérience terrain. Un cabinet d'architectes de 12 personnes, des fichiers BIM entre 2 et 8 Go. Nextcloud était en timeout systématique sur la synchronisation. Seafile : delta sync en 4 minutes là où Nextcloud faisait un full upload en 12 minutes. La charge serveur est 2,5 fois moindre sur des benchmarks comparatifs17. Les bibliothèques chiffrées par projet permettent au cabinet d'assurer la confidentialité client par client, sans que l'administrateur serveur puisse lire les fichiers. Pour un cabinet sans IT interne, la surface d'attaque réduite est un vrai avantage.
Les limites que je vois. Seafile n'est PAS une suite collaborative complète. Pas d'email, pas de chat, pas de visio, pas de calendrier. Il faut compléter avec d'autres services. L'entreprise est basée en Chine (Haiwen). Pour certains secteurs réglementés, c'est un red flag. Le code serveur est open source (AGPL depuis la v12), mais le client desktop est propriétaire.
Mon avis. Seafile est la meilleure solution que je connaisse pour synchroniser des fichiers volumineux. Si votre métier produit des fichiers de plus de 2 Go quotidiennement (architecture, vidéo, ingénierie), c'est le choix évident. Pour tout le reste, il faudra assembler les pièces manquantes.
Les outsiders à connaître
La Suite Coop est une SCIC constituée fin 2025 qui rend les briques de La Suite Numérique de la DINUM accessibles au secteur privé15. Bêta publique gratuite, pas de pricing public, pas de SLA. Je la surveille de près, mais il est trop tôt pour la recommander en production. Si elle tient ses promesses, elle pourrait changer la donne d'ici 2027.
CryptPad est le seul éditeur collaboratif entièrement zero-knowledge. Utilisé par l'ONU et certaines administrations. Les documents sont chiffrés de bout en bout, y compris les métadonnées. Mais les formats sont propriétaires (pas d'import/export Office natif fluide). C'est un choix de niche pour la confidentialité maximale, pas un remplaçant de M365.
Collabora Online n'est pas une suite collaborative standalone, mais le moteur bureautique web utilisé par Nextcloud et d'autres plateformes. Basé sur LibreOffice, maintenu par Collabora (UK/Europe). À connaître si vous montez votre propre stack.
6 profils de PME, 6 chemins différents
Après 30+ missions de conseil sur ce sujet, j'ai identifié 6 profils récurrents. Chacun mène à une réponse différente. Le profil 6 est le plus fréquent, et aussi le plus réaliste.
Profil 1 – "Je veux que ça marche, sans me prendre la tête"
PME de moins de 50 personnes, pas d'IT interne, besoins standards (email, docs, stockage). Le dirigeant ne veut pas gérer de serveurs.
Recommandation : Infomaniak kSuite Standard (5,54 €/utilisateur/mois). Plug and play, pas d'administration, UX familière.
Profil 2 – "La confidentialité est ma priorité absolue"
Cabinet d'avocats, cabinet médical, ONG, lanceur d'alerte. Les données ne doivent être lisibles par personne, pas même l'hébergeur.
Recommandation : Proton Workspace Standard (12,99 USD/utilisateur/mois). Chiffrement de bout en bout sur tout. Accepter les limites bureautiques.
Profil 3 – "Je veux le maximum de contrôle et j'ai un prestataire IT"
PME de 30 à 150 personnes avec un DSI ou un prestataire technique dédié. Besoin de SSO, d'intégrations, de personnalisation.
Recommandation : Nextcloud Hub hébergé (71,29 €/utilisateur/an + hébergement). Prévoir le tuning initial et l'administration récurrente.
Profil 4 – "Mon équipe manipule des fichiers de plus de 2 Go tous les jours"
Cabinet d'architectes, studio vidéo, bureau d'études, laboratoire de recherche. La synchronisation de fichiers volumineux est le besoin critique.
Recommandation : Seafile Pro (~48 USD/utilisateur/an) + service mail séparé (Infomaniak Mail, Proton Mail, ou autre). Delta sync et bibliothèques chiffrées par projet.
Profil 5 – "Je suis sous-traitant du secteur public ou concerné par NIS2"
PME dans la chaîne d'approvisionnement d'un donneur d'ordre public, défense, santé, énergie. Conformité réglementaire non négociable.
Recommandation : Nextcloud Hub sur hébergeur SecNumCloud (Outscale, OVHcloud qualifié, Scaleway). Plus cher, mais c'est le seul scénario qui coche toutes les cases réglementaires françaises.
Profil 6 – "Je veux migrer progressivement, pas tout casser"
C'est le profil que je rencontre le plus souvent. PME de 30 à 80 personnes sur M365 Business Standard ou Google Workspace. Le dirigeant veut "reprendre le contrôle" mais sans risquer la productivité.
Recommandation : garder M365/GWS pour l'email et la bureautique. Retirer Copilot (ou désactiver Gemini). Ajouter un outil IA souverain comme Mistral Le Chat. Migrer les fichiers vers une solution européenne sur 6 à 12 mois. C'est moins spectaculaire qu'une migration big-bang, mais c'est le scénario qui fonctionne le mieux dans la réalité.
Trouvez votre profil en 2 minutes
1. Avez-vous une équipe IT interne ou un prestataire technique dédié ?
2. Quelle est la taille typique des fichiers que vos équipes manipulent ?
3. Êtes-vous sous-traitant du secteur public ou soumis à des obligations NIS2 ?
4. Quel niveau de confidentialité est nécessaire pour vos données ?
5. Quel est votre usage bureautique au quotidien ?
6. Quelles intégrations utilisez-vous avec votre suite actuelle ?
7. Quelle est votre approche préférée pour le changement ?
8. Quel budget mensuel par poste pour votre suite collaborative ?
Répondez aux 8 questions pour voir votre résultat.
Le tableau que Microsoft ne veut pas que vous voyiez
Voici le coût total de possession réel pour 50 utilisateurs sur 3 ans, hébergement inclus quand applicable. Les prix sont calculés sur la base des tarifs publics d'avril 2026.
| Solution | Coût annuel (50 users) | Coût 3 ans | Stockage/user | Suite bureau | IA intégrée | Chat équipe | Visio | SSO/SAML |
|---|---|---|---|---|---|---|---|---|
| M365 E3 + Copilot | ~42 000 € | ~126 000 € | 1 To | Desktop + Web | Copilot (US/EU flex) | Teams | Teams | Oui |
| Google Workspace Std | ~8 280 € | ~24 840 € | 2 To pool | Web | Gemini (US) | Chat | Meet | Oui |
| Infomaniak kSuite Std | ~3 324 € | ~9 972 € | 3 To | Web (OnlyOffice) | Euria (Suisse) | kChat | kMeet | Non |
| Proton Workspace Std | ~7 800 € | ~23 400 € | 1 To | Web (basique) | Lumo (DE/NO) | Non | Meet E2E | Non* |
| Nextcloud Hub hébergé | ~5 400 – 8 000 € | ~16 200 – 24 000 € | Variable | Web (Collabora) | Locale (Ultimate) | Talk | Talk | Oui |
| Seafile Pro hébergé | ~3 400 – 5 800 € | ~10 200 – 17 400 € | Variable | SeaDoc (léger) | Non | Non | Non | Oui |
*Proton supporte le SSO entrant (SAML) mais ne fonctionne pas comme IdP.
Quelques observations.
L'écart entre M365 + Copilot et Infomaniak kSuite sur 3 ans est de 116 000 € pour 50 utilisateurs. Même en ajoutant les coûts de migration (entre 5 000 et 15 000 € selon la complexité), le retour sur investissement est atteint la première année.
Nextcloud et Seafile ont des fourchettes larges parce que le coût d'hébergement varie énormément selon le prestataire. Un hébergement SecNumCloud coûte 2 à 3 fois plus qu'un hébergement cloud standard.
Google Workspace semble raisonnable en prix, mais le même risque Cloud Act s'applique. Le CSE/EKM n'est activé que par une poignée d'entreprises dans le monde, et aucune PME que j'ai accompagnée ne l'a mis en place.
Le tableau complet avec les 9 critères détaillés est téléchargeable en PDF.
La migration en 90 jours (cas réel en cours)
Les durées ci-dessous sont des ordres de grandeur basés sur mes missions. Le délai calendaire inclut les validations internes et les allers-retours avec les prestataires. L'effort effectif est le temps de travail réel du pilote de la migration.
Phase 1 – Audit et planification (semaines 1 à 3)
Inventaire des usages réels (qui utilise quoi, quelles intégrations, quels volumes). Cartographie des risques réglementaires. Choix de la solution cible. Définition du calendrier.
Effort effectif : 2 à 3 jours. Délai calendaire : 2 à 3 semaines (le temps que tout le monde réponde au questionnaire et que la direction valide).
Phase 2 – Migration technique (semaines 4 à 8)
Migration des emails (si applicable), du stockage, des calendriers et contacts. Recréation des comptes et des droits. Tests avec un groupe pilote de 5 à 10 personnes.
Effort effectif : 1 à 2 jours par tranche de 10 utilisateurs. Délai calendaire : 3 à 5 semaines.
Points d'attention : les tokens OAuth des applications tierces sont à recréer un par un. Les macros Excel ne seront pas compatibles avec les suites web (planifier la réécriture ou l'abandon). L'historique des conversations Teams/Slack est perdu (archiver avant la migration).
Phase 3 – Accompagnement et stabilisation (semaines 9 à 12)
Formation des équipes. Support renforcé. Ajustements de configuration. Désactivation des anciens comptes.
Effort effectif : 1 jour par semaine pendant un mois. Délai calendaire : 4 semaines.
Cas réel : agence de communication, 25 personnes
C'est la migration que je pilote en ce moment. Google Workspace depuis 2018. L'agence a des clients dans la pharma, ce qui implique des données de santé indirectes. La recommandation : Infomaniak kSuite. C'est la première fois que je recommande cette solution à un client. Le choix est motivé par l'absence d'IT interne (Nextcloud aurait nécessité un prestataire), le prix et l'UX proche de Google.
Je documente cette migration en transparence. Un retour d'expérience détaillé suivra dans 3 mois.
La checklist complète de migration en 90 jours est téléchargeable en PDF.
NIS2, RGPD, AI Act : le cadre réglementaire en 3 minutes
Par Benoît G., responsable cybersécurité et conformité
Je vais être direct : la conformité réglementaire n'est pas un sujet sexy. Mais c'est devenu un sujet commercial. Vos clients et vos donneurs d'ordre vous la demandent, et les amendes sont devenues réelles.
NIS2 (octobre 2026). La directive européenne sur la cybersécurité s'applique à environ 18 000 entités en France2. L'article 21 impose aux entités régulées de gérer les risques liés à leur chaîne d'approvisionnement. Concrètement, pour une PME de 30 personnes sous-traitante d'un opérateur d'importance vitale : votre donneur d'ordre va vous demander où sont hébergées vos données, qui y a accès, et quel est votre plan de continuité. Si la réponse est "Microsoft aux États-Unis, avec flex routing activé", le prochain appel d'offres risque de se passer sans vous.
RGPD et Data Privacy Framework. Le DPF est en place depuis 2023 et validé par la justice européenne en septembre 20258. Mais le PCLOB, l'organisme américain censé garantir la protection des données européennes, a été vidé de ses membres en janvier 2025. Max Schrems a déjà annoncé un recours. Un arrêt Schrems III est probable d'ici 2027-2028. Si le DPF tombe, les entreprises qui n'ont pas de plan B se retrouveront avec des transferts de données illégaux du jour au lendemain.
AI Act. Depuis février 2025, la formation IA est obligatoire pour tout collaborateur utilisant un outil IA. À partir d'août 2026, tout outil IA professionnel fait de l'entreprise un "déployeur" au sens du règlement, avec obligation de tenir un registre des systèmes IA utilisés3. Copilot, Gemini, ChatGPT dans le navigateur de votre comptable : tout doit être inventorié.
En termes business, ça veut dire que le choix de votre suite collaborative a des conséquences sur trois fronts réglementaires simultanés. Ce n'est plus un sujet IT, c'est un sujet de gestion des risques.
Pour approfondir le cumul AI Act + RGPD et ses implications pour les PME, Alex a publié un article dédié.
Le choix d'une suite collaborative ne se prend pas isolé
Ce comparatif est une brique d'un puzzle plus large. Le choix de votre suite collaborative s'inscrit dans un schéma directeur IT. Le stockage appelle la question du chiffrement. Le chiffrement appelle la question de l'hébergement. L'hébergement appelle la question de la souveraineté. La souveraineté appelle la question de la conformité. Tout est lié.
L'arbre de décision et les 6 profils ci-dessus donnent une première orientation. Le passage à l'acte dépend ensuite de nuances qui ne tiennent pas dans un quiz : vos intégrations métier, vos contraintes sectorielles, le calendrier de vos donneurs d'ordre, l'état réel de votre équipe IT. Un industriel sous-traitant pharma et une agence de communication peuvent tous les deux tomber sur le profil 1, leur chemin de migration n'a pourtant rien à voir.
Sur ce sujet précis, je propose deux interventions calibrées.
Étude de solution sur votre cas réel. J'audite vos usages, vos intégrations et vos contraintes (NIS2, RGPD, donneurs d'ordre, budget, équipe IT). En sortie, un comparatif TCO calculé pour vous, pas pour 50 utilisateurs génériques, la solution recommandée et les risques identifiés. Format court, livrable écrit, pas de PowerPoint à 80 slides. Compter 1 à 2 semaines.
Pilotage de la migration. De l'audit aux 3 mois de stabilisation, je mène le projet à vos côtés. Choix et coordination du prestataire technique, planning, communication interne, formation, gestion des incidents. Indépendant des éditeurs, je suis du côté du client.
Le point d'entrée le plus simple reste un diagnostic flash de 30 minutes pour qualifier ce qui correspond le mieux à votre situation.
Réserver un diagnostic flash (30 min, sans engagement)
Et pour ceux que ça intéresse : la migration de l'agence de communication vers Infomaniak kSuite est en cours. Je publierai un retour d'expérience complet dans 3 mois, avec les chiffres, les galères et les surprises.