La France croyait maîtriser son destin numérique. Le rapport publié le 31 octobre par la Cour des comptes rappelle une vérité dérangeante : l’État dépend encore massivement des géants américains.
Une souveraineté numérique proclamée… mais encore très loin du compte
Depuis quinze ans, les gouvernements successifs promettent que la France se dotera d’un État maître de ses technologies, de ses données et de ses infrastructures.
Mais le rapport souligne une autre réalité : cette ambition n’a jamais été pleinement assumée ni structurée.
Dès les années 2010, le concept de souveraineté numérique s’est imposé à la suite des révélations Snowden. Pourtant, la dépendance aux GAFAM n’a cessé de s’accroître, avec des administrations séduites par la simplicité, la puissance et la rapidité de déploiement des outils américains.
La Cour rappelle que cette dépendance est d’autant plus grave que les États-Unis disposent d’un arsenal juridique d’extraterritorialité unique au monde : Cloud Act, FISA, Executive Order 12333. Autrement dit : même lorsque des données françaises sont stockées en Europe, elles peuvent être réclamées par Washington si l’opérateur est américain.
La France tente certes d’imposer sa vision : utilisation maîtrisée du cloud, promotion des logiciels libres, volonté de protéger les données sensibles. Mais la voix française reste isolée. Bruxelles privilégie l’harmonisation du marché intérieur au détriment d’une véritable souveraineté technologique.
En clair : la France veut protéger ses données, la Commission veut protéger la concurrence. L’affrontement est inévitable.
Pire encore, la Cour constate un pilotage interne insuffisant : les ministères avancent chacun de leur côté, la Dinum peine à imposer une doctrine commune, et la gouvernance interministérielle se concentre davantage sur la cybersécurité que sur la souveraineté.
Le résultat ? Une politique ambitieuse sur le papier, mais éclatée dans l’exécution.
Une autonomie technologique encore trop dépendante de l’étranger
La Cour est claire : dans le domaine des matériels et composants, la souveraineté totale est hors d’atteinte. L’Europe a perdu la bataille industrielle depuis longtemps.
Les microprocesseurs viennent des États-Unis et d’Asie, les équipements réseau également.
Mais la France peut encore agir sur deux fronts : l’identité numérique et les logiciels.
Le rapport souligne le succès de FranceConnect, outil stratégique lancé face aux solutions d’authentification américaines. Plus de 40 millions de Français l’utilisent : la preuve qu’une solution nationale peut s’imposer lorsqu’elle est fiable.
Mais là encore, tout n’est pas parfait. La sécurisation du dispositif n’a été renforcée que tardivement, et la Dinum reste trop dépendante de sous-traitants privés.
Côté logiciels, le constat est brutal :
– Les suites bureautiques de Microsoft dominent toujours, malgré les alertes répétées sur la souveraineté ;
– Le ministère de l’Éducation nationale tente de migrer vers des solutions libres ;
– La Dinum développe sa propre suite avec l’Allemagne et les Pays-Bas.
Mais ces approches divergentes révèlent un problème croissant : l’État n’avance pas d’un seul bloc. Chaque ministère s’équipe selon ses moyens, ses urgences, ses priorités.
Le résultat ? Une souveraineté numérique à géométrie variable.
Sur le terrain, les revirements commerciaux des grands éditeurs peuvent mettre l’administration sous pression. Microsoft l’a démontré en basculant massivement vers le cloud : plus de cloud, plus d’abonnements, plus de dépendance.
La Cour avertit : même avec des clauses de réversibilité, sortir d’un logiciel propriétaire est long, coûteux et risqué.
En somme, la souveraineté logicielle est possible, mais elle exige une volonté politique ferme, un cap clair et une cohérence interministérielle encore trop absente.
Données sensibles et cloud souverain : la grande bataille qui reste à livrer
C’est le cœur du rapport : les données sensibles constituent le nerf de la guerre. Administrations, citoyens, entreprises, leur protection conditionne l’indépendance de l’État.
Or, le développement du cloud a rebattu les cartes. Les géants américains dominent un marché où les investissements nécessaires dépassent de très loin les capacités européennes.
La doctrine « Cloud au centre » visait à encadrer cette transition. Mais les règles ont été assouplies entre 2021 et 2023. Résultat : seules les données relevant de secrets strictement définis doivent obligatoirement être hébergées de manière souveraine.
Les clouds internes de l’État, Nubo (Finances) et Pi (Intérieur) ont été pensés comme alternatives souveraines. Mais leur usage reste marginal : manque de ressources, services limités, coûts mal calibrés.
La Cour recommande leur fusion pour atteindre une taille critique. Sans mutualisation, ils resteront des solutions de niche, incapables de rivaliser avec les géants du secteur.
Le message de la Cour est limpide : un cloud non souverain peut freiner des projets entiers, car il entame la confiance des acteurs qui doivent y déposer leurs données.
Enfin, la Cour alerte sur les entreprises privées qui manipulent des données stratégiques dans le cadre de missions proches du service public. Doctolib, Pronote ou d’autres gèrent des informations hautement sensibles.
La certification des hébergeurs de données de santé doit impérativement intégrer des critères de souveraineté. Pour l’instant, ce n’est pas le cas.
La souveraineté numérique n’est pas un luxe idéologique. C’est une condition de sécurité nationale, de continuité de l’État et même de démocratie.
Reste à savoir si la France acceptera enfin d’assumer une position ferme et si l’Europe cessera de confondre souveraineté politique et simple compétition économique.
