Souveraineté numérique : la Cour des comptes étrille le manque de cohésion en France
Pas bien glorieux
La Cour des comptes vient de publier un rapport sur la souveraineté numérique. Dressant un tableau relativement sombre de la situation française, elle pointe les dangers de la dépendance actuelle et dresse une liste de recommandations.
Le 31 octobre à 18h02
8 min
Société numérique
Next
Alors que l’on assiste à un nombre croissant de projets de migration vers des logiciels libres en Europe et que même la Cour pénale internationale va se débarrasser en grande partie de Microsoft, la Cour des comptes publie un rapport sur la souveraineté numérique. Sa définition en est claire : l’État doit maitriser les technologies qui lui permettent de rester autonome en toute circonstance, ce qui comprend le matériel, le logiciel et les données.
Cette définition implique ainsi de ne pas se faire dicter des choix technologiques structurants par un tiers et que soient protégées les données d'une sensibilité particulière des systèmes d'information de l'État. Dans ce domaine, la Cour note que la France a des « ambitions », mais elles sont jugées « encore insatisfaites », avec un décalage important entre la volonté affichée et la pratique.
Synthèse douloureuse
Le rapport de la Cour des comptes dresse un bilan de nombreux sujets ayant un lien avec la souveraineté. D’abord, celle-ci est directement confrontée à la position des États-Unis et d’autres puissances.
La Cour rappelle ainsi que la portée extraterritoriale de certaines lois étrangères est une grosse épine dans le pied de la souveraineté. Trois textes américains sont mis en avant, sans surprise : la section 702 du Foreign Intelligence Surveillance Act qui autorise la collecte de données sur des personnes ou entités non américaines à l'étranger à des fins de sécurité nationale, l'Executive Order 12333 qui définit les objectifs des agences de renseignement et permet notamment la collecte de masse, et le Cloud Act de 2018 qui autorise la justice à délivrer des mandats pour récupérer des données dans les clouds des entreprises américaines, dans le cadre d’enquêtes.
Selon le rapport, le risque réel est difficile à évaluer. Les procédures américaines, dans le cadre de ces trois textes, sont décrites comme « très opaques » : « Les seuls chiffres disponibles, ceux de la FISC au titre du Fisa, montrent un nombre de rejets très faible des demandes émises par les agences fédérales de renseignement ». Même chose pour le Cloud Act : « Les dernières publications en la matière (2024) de quatre grandes entreprises américaines, en l’occurrence Microsoft, Google, AWS et Salesforce, restent vagues ».
Synthèse problématique également pour les « décisions d’adéquation » européennes, à savoir le Safe Harbour de 2000, le Privacy Shield de 2016 et finalement le Data Privacy Framework de 2023. Les deux premiers sont tombés sous les coups de Maximilien Schrems de l'ONG noyb. Ces accords sont cruciaux : ils établissent une adéquation entre le niveau de protection des données personnelles entre l’Union européenne et les États-Unis. Le Data Privacy Framework est lui aussi la cible d’attaques. En France, le député Philippe Latombe a déjà tenté de le faire tomber, la CJUE ayant rejeté son recours début septembre.
Loi SREN trop timide, isolement de la France sur EUCS
La Cour des comptes continue de renverser les quilles en listant tout ce qui cloche, dont une loi SREN jugée trop « prudente sur les enjeux de souveraineté ». Le décret d’application n’a été envoyé qu’en début d'année à la Commission européenne et limite les cas où le référentiel SecNumCloud serait utilisé aux seules données sensibles, dont la violation serait « susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle ».
Le rapport illustre dans son point 1.2.2 le lien complexe entre la France et la Commission européenne sur ce sujet. La qualification SecNumCloud serait ainsi souhaitable pour de nombreux services de l’État, mais elle n’est pas reconnue au niveau européen. Elle serait donc « susceptible d’écarter d’appels d’offres publics des entreprises basées dans d’autres États membres ». La position française n’a pas été suivie à ce jour, « comme en témoignent les discussions en cours autour du schéma de certification EUCS ». La Cour des comptes les décrit comme « en cours », mais elles semblent au point mort, la France et l’Allemagne ayant des positions diamétralement opposées.
Pourquoi mettre en avant SecNumCloud ? Car il aurait constitué le socle du niveau High+ dans EUCS. Il aurait été alors possible, pour les entreprises, agences étatiques et autres administrations de lancer des appels d'offres dans ce niveau. Or, SecNumCloud, dans sa version 3.2, impose la sélection de services n’étant soumis à aucun cadre juridique extraterritorial. Ce qui aurait court-circuité automatiquement tous les clouds américains.
Nombreuses limitations dans les actions françaises
Le rapport dresse un constat sombre de l’état de souveraineté en France, très loin d’être atteint. C’est particulièrement vrai sur le matériel, très peu d’industries étant présentes en Europe de manière générale. La production de semi-conducteurs se fait ainsi principalement en Asie et aux États-Unis. Même chose pour les ordinateurs, les équipements réseau, les smartphones et de nombreux composants électroniques.
Mais c’est bien dans le logiciel que les problèmes de souveraineté s’illustrent le plus clairement. La Cour des comptes note que différentes approches se heurtent, sans vraiment de cohérence. Certaines administrations et entités préfèrent ainsi développer en interne les applications dont elles ont besoin, avec des problèmes de respect des budgets alloués et de délais de réalisation. D’autres préfèrent recourir à des logiciels du marché, avec l’avantage des fonctions déjà éprouvées et de la rapidité de déploiement, mais avec un contrôle moindre sur la souveraineté.
Le risque de revirement des politiques techniques et commerciales est prégnant et est illustré, selon le rapport, par le cas Microsoft : quand l’entreprise a annoncé déporter de nombreuses applications vers le cloud, la Dinum a demandé aux ministères de ne pas souscrire à ces offres. Même au sein d’une même entité, le manque de coordination est criant, pointe la Cour. Dans l’Éducation nationale par exemple, les produits Microsoft sont très nombreux, quand des académies préfèrent migrer vers du logiciel libre.
En dépit de certains points positifs mis en avant, notamment le réseau interministériel de l’État (RIE) qui garantit la résilience des communications gouvernementales même en cas de défaillances majeures d’internet, les autres initiatives sont sujettes à critiques. C’est le cas de FranceConnect, pensé pour se prémunir contre les services d’authentification des grandes sociétés américaines. Mais s’il est aujourd’hui largement utilisé, il était assorti de problèmes de sécurité que la Dinum a pris tardivement en compte, selon la Cour, dont la dépendance aux prestataires et les risques liés aux sous-traitants.
La Cour pointe en outre les limites de la doctrine « Cloud au centre », ralentie par certains impératifs du marché unique européen (comme dans le cas de SecNumCloud), ou encore le succès limité des clouds interministériels. Pour ces derniers, elle cite Nubo (ministère des Finances) et Pi (ministère de l’Intérieur), mis à disposition des autres administrations. Cependant, à cause d’un manque de services (disponibilité, expérience utilisateur et même manque d’IA) et d’une tarification jugée « inadaptée », ces deux clouds sont « sous-utilisés ».
Et, bien sûr, le rapport de la Cour des comptes illustre les problématiques par les exemples complexes du Health Data Hub et de Virtuo. Le premier illustre toute la difficulté des questions liées à la souveraineté en ayant choisi Microsoft pour héberger des données de santé, par définition sensibles. Le second est le système d’information des ressources humaines du ministère de l'Éducation nationale, dont l’appel d'offres a finalement été remporté par une société américaine. Dans les deux cas, la qualification SecNumCloud est impossible.
Vision stratégique et recommandations
Dans une conclusion intéressante, le rapport met en garde les administrations contre une recherche trop prononcée de performances. La recherche du « plus haut niveau technologique » peut entrainer aussi bien une mise en cause de la souveraineté des données qu’une dépendance de l’administration à la politique commerciale d’un acteur dominant. En clair, les offres des multinationales américaines à l’heure de l’IA.
Face à la question du coût de la souveraineté, l’investissement de l’État est considéré comme « limité » jusqu’ici, avec un marché de l’hébergement souverain « non stabilisé ».
La Cour formule donc cinq recommandations : le déploiement d’outils bureautiques souverains, l’élaboration d’une stratégie de souveraineté chiffrée (au sens financier du terme), la convergence des clouds interministériels, une cartographie complète des données sensibles et la souveraineté de l’hébergement des données de santé, en alignant la certification HDS (Hébergeur de données de santé) sur les exigences de la qualification SecNumCloud.
Souveraineté numérique : la Cour des comptes étrille le manque de cohésion en France
-
Synthèse douloureuse
-
Loi SREN trop timide, isolement de la France sur EUCS
-
Nombreuses limitations dans les actions françaises
-
Vision stratégique et recommandations
Commentaires (24)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 31/10/2025 à 18h11
Faudrait déjà que les gus en responsabilité sachent de quoi ils parlent avant d'imposer un produit. Et il y a les autres cas ou l'on se demande s'il y a une rétrocommission dans l'histoire.
Le 01/11/2025 à 11h27
Alors, la Cour estime que si le ministère avait, plutôt que de chercher tout de suite à utiliser des fonctionnalités super avancées, fait une version capable de fonctionner dans les environnements souverain, ça aurait peut-être rendu plus attractif le bouzin pour les partenaires. Et au final un truc avec peut-être moins de fonctionnalités de pointe mais plus de données et plus de souveraineté.
(Et rien n'empêche ensuite de travailler avec le fournisseur souverain pour qu'il implémente les fonctions manquantes)
Le 01/11/2025 à 11h35
- Catastrophique par la culture de la livraison projet à tout prix plutôt que de poser le crayon 5 minutes et de régler le problème.
- Catastrophique quand cela abouti à finalement livrer nos données personnelles et hautement sensible (santé) à un état qui n'est pas notre copain (ni de personne d'ailleurs).
Le 04/11/2025 à 22h27
Parce que si les DSI font des rêves mouillés sur les promesses techniques des outils "de partage", dans la réalité des faits, arriver à ouvrir & travailler sur un document Word partagé sur Teams ou Outlook c'est déjà un sacré challenge pourvu que les versions soient différentes entre les divers participants.
Et si on veux imprimer c'est encore pire.
Or c'est quand même là 95% des échanges entre personnes.
Alors oui les mecs s'existent sur le fait qu'on ne "puisse pas télécharger le PDF par sécurité " , ce qu'une extension du navigateur règle sans souci quand c'est pas un service en ligne tiers.... tu parles de sécu...
98% des gens qui vont utiliser les outils en ont une utilisation basique et aimeraient surtout que ça marche sans fioriture et sans péter 2 jours sur 3.
Le 31/10/2025 à 23h00
Mais il faudrait vraiment mutualiser les efforts à ce sujet. On a pu voir quelques articles à propos d'efforts locaux pour se désolidariser des GAFAM mais ça semble rester local... J'imagine facilement la difficulté à coordonner ça au niveau national vu la masse de systèmes que ça représente mais ça semble être une piste à creuser.
Le 01/11/2025 à 11h32
Parfois même on a plus confiance en Microsoft pour maintenir une infra qu'en un autre ministère. Et c'est plus humain qu'autre chose : quand on connais les humains de l'autre côté on voit leurs failles (les fonctionnaires des finances savent quelles bidouilles font ceux de l'intérieur et inversement) alors que Microsoft c'est la grosse entreprise opaque et bien organisée, ils ont probablement leurs propres bidouilles en interne mais on est pas au courant (donc y'en a pas).
Le 01/11/2025 à 01h17
Le 01/11/2025 à 11h36
Dans la synthèse :
Le 03/11/2025 à 08h25
Le 03/11/2025 à 09h20
Si l'on regarde le problème comme cela, on voit même que l'absence d'accord est un début de plus grande souveraineté : il reste cependant les soucis d'extraterritorialité qui eux peuvent être résolus en passant par une société 100 % européenne à laquelle les services US délégueraient le contrôle des données sous licence.
Le 03/11/2025 à 09h59
Modifié le 01/11/2025 à 11h59
Modifié le 01/11/2025 à 15h17
Le 01/11/2025 à 17h02
C'est une des raisons pour lesquelles l'Europe tente de pousser l'open-source dans ses objectifs de souveraineté
Le 03/11/2025 à 10h10
Hum. Souvent c'est économiquement impossible. (déjà passé par là)
Le 03/11/2025 à 12h53
Le 03/11/2025 à 16h34
J'ai eu une douloureuse expérience avec PHP et un linux: une impossibilité de recompiler le 'nouveau' php sans recompiler gcc ce qui nécessitait un remplacement de la libc (entre autres) ce qui imposait de revoir les autres softs du serveur et donc de tout recompiler.
C'est là que open source, ça ne m'a plus semblé si prometteur (sauf sous freebsd)
Le 04/11/2025 à 07h57
Quant à la possibilité de forker, parfois c'est l'équipe qui forke elle-même son projet avec une nouvelle structure légale quand des problèmes d'ingérence apparaissent, comme par exemple avec mariadb. Dans ce cas la compétence et le financement suivent.
Le 04/11/2025 à 20h37
BSD, c'est parce que en BSD (ou sous Arch linux), on peut tout recompiler en une commande. make world / make universe de mémoire.
Concernant la souveraineté, c'est déjà un effort de le faire avec nos données, les applis ... Mais être opensource n'est pas être souverain. Dernièrement j'ai vu une vidéo qui expliquait qu'on pouvait créer un compilateur qui injecte du code non désiré, et on a déjà eu l'affaire du compilo Intel qui défavorisait les CPU via C3/C7 à un point non négligeable (au point qu'ils étaient réputés nuls, alors que c'était les benchs compilés avec les compilo Intel qui faisait en sorte de les rendre nuls).
Là je regarde avec un certain étonnement des gens faire du "souverain opensource", alors que:
* ils sont loin de gérer les dépendances
* ils utilisent Node, PHP, GCC, Java, C#, Go qui ont tous des liens plus ou moins étroits avec Google, Ms, Facebook, ...
* ils utilisent Linux/FreeBSD, qui sont maintenus de toutes façons outre atlantique
* le tout sur CPU Intel/AMD/Qualcom
Désolé, mais on effleure le sujet de la souveraineté. Après je ne dis pas que c'est inutile ou qu'il faut baisse rles bras, je dis juste que ceux qui me disent qu'ils sont souverains se mettent le doigt dans l'oeil et se chatouille bien le cerveau avec leur ongle.
Le 04/11/2025 à 22h37
En ce qui concerne les langages & les OS libre je te trouve dur:
Certes la "structure de décision" se trouve outre-atlantique .... mais les contributeurs sont absolument partout dans le monde, et il y a souvent des rencontres aux US, en Europe, en Asie...
Si demain les USA se coupaient du monde, je ne dis pas que ce serait simple, mais on peux tout a fait imaginer une reprise du développement & d'une gouvernance locale (qui serait certes une sorte de fork, contraint et forcé plutôt que choisi).
Pour le matériel il faut avoir que c'est plus compliqué. Même si de toute façon ce sont les asiatiques qui fabriquent tout, donc la question pour moi est plus en terme juridique que concrète à court terme.
Pour le plus long terme je suis un fervent supporter de l'archi risc-V, qui actuellement n'est pas au niveau de ARM ou x86. Mais qui progresse plus vite que ces 2 là (malheureusement beaucoup sous l'influence chinoise qui sort 5 nouveau coeur / an - qu'on connait - pour un prix dérisoire.
Modifié le 04/11/2025 à 23h47
Ce ne sont pas des sociétés qui veulent faire de l'argent et s'en fichent de tel ou tel cas ou personne en particulier qui ne représentent rien pour elles. Les libristes ont à coeur que leur logiciel soit utilisable et modifiable par tout le monde sans restriction, ce genre de restriction est à l'exact opposé de leurs idéaux.
Quant aux contributeurs, il n'y a pas vraiment de moyen de les empêcher de contribuer quelle que soit leur nationalité, hormis déployer des efforts énormes, et il faudrait quand-même se demander pour quelle raison on voudrait en arriver là. Il n'y a pas de précédent aux USA qui se rapprocherait de ça.
La souveraineté ce n'est pas non plus refuser de travailler avec les autres pays, c'est être capable de se débrouiller sans eux, au moins en mode dégradé. Et avec le logiciel libre on est plutôt bien servi vu qu'on a le code, qu'on peut continuer à utiliser sa dernière version quoi qu'il arrive, voire poursuivre soi-même le développement si la situation ne s'arrange pas.
Modifié le 09/11/2025 à 19h08
Modifié le 10/11/2025 à 11h13
Par contre le deuxième exemple n'est pas un contre-exemple, il illustre justement ce que j'ai dit.
Le 02/11/2025 à 14h07
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?