Connexion
Abonnez-vous

« Pas de souveraineté numérique sans maîtrise de nos données »

On prend les mêmes et on recommence…

« Pas de souveraineté numérique sans maîtrise de nos données »

Le 18 septembre 2023 à 10h36

Les avis et rapports sur le cloud se multiplient sans réelle avancée pour le moment. C’est au tour de la Commission Supérieure du Numérique et des Postes de publier sa liste de dix recommandations, sous la forme de « mesures concrètes et réalistes »… en attendant de voir si la question va enfin devenir centrale aux niveaux français et européen. 

La Commission Supérieure du Numérique et des Postes (CSNP) est une commission parlementaire mixte. Elle comprend ainsi sept membres venant de l’Assemblée Nationale, sept autres du Sénat et enfin trois « personnalités qualifiées » nommées par le ministre de l’Économie et des Finances. Pour la petite histoire, la Commission Supérieure du Service Public des Postes et des Communications Électroniques (CSSPPCE) est devenue la CSNP en 2016 après le vote de la loi pour une République Numérique.

Les membres ont demandé à Anne Le Hénaff (députée du Morbihan) de formuler des recommandations « afin de renforcer notre souveraineté numérique ». Un groupe de travail a été mis en place et précise qu’il « s’est efforcé, tout au long des auditions qu’il a menées [auprès de neuf personnes, listées en bas de ce document, ndlr], d’identifier et de définir des mesures concrètes et réalistes ».  Résultat des courses : un état des lieux au vitriol (ou presque) et dix recommandations. 

La souveraineté numérique, c’est quoi ?

Premier point abordé : adopter une définition « opérationnelle » de la notion de souveraineté numérique : « La souveraineté numérique est la capacité pour un État de conserver un accès autonome à son espace numérique et aux services numériques liés à l’exercice de sa souveraineté, en sécurisant son autonomie et l’accès aux contenus qu’il a définis comme stratégiques, ainsi que les données qu’il juge stratégiques et/ou sensibles ». Pour résumer, la souveraineté numérique entraine deux sous-sujets : souveraineté technologique et souveraineté des données.

Le rapport attaque directement par un point important sur la question de souveraineté technologique : « il convient de rappeler que le numérique comporte différentes couches technologiques et que, pour être totalement souverain, un État devrait en maîtriser la totalité. Cependant, aujourd’hui, aucun pays ne dispose d’une autonomie totale sur l’ensemble de la chaîne de valeurs (terres rares, microprocesseurs, intégrateurs, câbles sous-marins Internet, etc.) ».

L’actualité est riche en récits d’espionnage plus ou moins sophistiqué. Une chose est sûre : l’enjeu de souveraineté dépasse largement les simples disques durs et SSD servant à stocker les données.

Les enjeux sont prégnants dans le monde actuel avec les États-Unis et l’Asie (principalement via la Chine) qui s’opposent à coup de restrictions/taxes sur l'import/export, avec l’Europe au milieu… et on ne parle même pas des enjeux environnementaux. 

Données (non-)personnelles et/ou sensibles

Concernant les données, celles à caractère personnel sont protégées par le RGPD dans l’Union européenne, « mais ce n’est pas le cas des données non personnelles car elles ne font pas l’objet d’une protection garantie par les États, ou alors dans une moindre mesure ». L’avis cite en exemples des données stratégiques et sensibles, mais non personnelles de collectivités locales et d’hôpitaux qui « ne sont protégées par aucun dispositif réglementaire ».

Le rapport soulève une question au cœur du sujet : « Si la donnée est partiellement ou totalement hébergée chez des opérateurs étrangers, peut-on alors considérer que nous sommes en situation de garantir une situation de souveraineté numérique ? ». En creux, la question autour de S3ns (partenariat entre Thales et Google), Bleu (Capgemini et Orange) et du partenariat entre Amazon et Atos.

C’est l’occasion de rappeler que ce trio américain occupe pas moins de 65 % du marché du cloud : Amazon Web Services (32 %), Microsoft Azure (23 %) et Google Cloud (10 %). L’Autorité de la concurrence, s'était d’ailleurs auto-saisie du sujet et a récemment mis en ligne son rapport et prépare le terrain à « une (ou plusieurs) enquête(s) contentieuse(s) ». 

Collectivités, santé, universités, PME : une approche globale

« Si les données publiques et privées doivent être protégées, les données sensibles doivent l’être encore plus. Il est impératif que nos données sensibles soient hébergées dans des espaces sécurisés, dont l’accès et le contrôle sont placés sous l’autorité de notre pays », rappelle l’avis.

Le rapport demande ainsi que les données sensibles soient placées chez une société non soumise à des lois extraterritoriales (comme c’est le cas avec les entreprises américaines et le Cloud Act), de « préférence dans des clouds français ou européens ». Le rapport en profite pour définir le cloud souverain : « un cloud de confiance, transparent, non soumis à des législations extraterritoriales, et dont des certifications garantissent son niveau de confiance ».

En mai 2021, le gouvernement a adopté le principe de « cloud au centre » afin de renforcer la sécurité des données des projets numériques de l’État. Une circulaire en mai de cette année est venue préciser le cas des données sensibles avec l’obligation de passer par un hébergeur de confiance, mais uniquement pour les services d’État.

La Commission souhaite aller plus loin et « recommande à l’ensemble des administrations, des collectivités territoriales, des établissements de santé et des universités (recherche) d’avoir recours à des hébergeurs de confiance pour les données sensibles ou nécessitant une protection particulière ». La CSNP rappelle l’importance de « l’accompagnement des petites collectivités et des établissements publics qui ne disposeraient pas des moyens humains et financiers nécessaires pour se conformer à cette doctrine ». À ce titre, les missions des préfets pourraient être renforcées.

Voici les trois premières recommandations sur la question de la souveraineté des données : 

  • Recommandation 1 : Les données sensibles détenues et gérées par les administrations et  établissements des collectivités territoriales, les établissements de santé et les universités, sont identifiées. Lorsque cette cartographie aura été réalisée, la CSNP estime que ces données pourraient se conformer aux exigences posées par la circulaire du 31 mai 2023 sur « le cloud au centre ».
  • Recommandation 2 : L’extension du rôle des préfets afin qu’ils s’assurent que les données sensibles des collectivités territoriales et de leurs établissements soient bien hébergées dans un cloud souverain. À cet effet, nous proposons qu’un volet numérique soit intégré au plan communal de sauvegarde numérique (PCS numérique). Ces nouvelles attributions seront accompagnées d’un renforcement de leurs moyens, lequel s’inscrira en cohérence avec la mise en œuvre des textes européens (Directive NIS2, Data Act), notamment en termes de calendrier.
  • Recommandation 3 : L’accompagnement des plus petites collectivités, des établissements de santé et des universités qui ne disposent pas des moyens financiers et humains suffisants pour la mise en conformité avec la législation sur l’hébergement des données

Alors que revoilà le « Buy European Act »

La CSNP reprend ensuite à son compte une idée qui n’est pas nouvelle mais qui n’a pour le moment jamais abouti : un « Buy European Act » et un « Small Business Act » (favoriser les petites entreprises), à l’image de ce qui se passe aux États-Unis.

Le numérique n’est pas le seul domaine où cette question remonte régulièrement à la surface, l’espace en est un autre avec des enjeux financiers et de souveraineté tout aussi importants (Ariane Group vs SpaceX). « Il est primordial que ces propositions se concrétisent sans tarder au niveau européen », affirme la Commission… reste à voir si elle sera plus entendue que les précédents appels et rapports sur le sujet.

L’avis demande que la « France porte un message fort en ce sens auprès de l’Union européenne », ce qui était déjà le cas lors de la présidence du Conseil de l’Europe par la France pendant la première moitié de 2022. L’Espagne, qui préside le Conseil jusqu’à la fin de l’année, s‘intéresse aussi au sujet.

Revoir le code des marchés publics français

Au niveau de la France aussi, il est urgent d’agir : « le moment est venu de proposer et d’adopter des règles de commande publique qui établissent une priorité pour des solutions souveraines, par voie règlementaire et législative ». On se souvient à ce sujet du Health Data Hub avec les données médicales des Français sur des plateformes américaines… avant une volte-face du gouvernement.

C’est assez rare pour être noté : le rapport reconnait que des offres françaises et européennes existent, mais il « convient d’adapter les règles des marchés publics afin que : les acheteurs soient incités à acquérir des solutions souveraines intégrées [et que] les entreprises françaises et européennes, notamment les TPE/PME, ne soient pas dissuadées de répondre à des appels d’offres complexes qui, in fine, n’intègrent pas les solutions françaises ou européennes ».

  • Recommandation 4 : Le code des marchés publics intègre davantage la nécessité de souscrire à des solutions numériques souveraines et est simplifié pour ne pas dissuader les nouveaux acteurs du numérique de répondre à des appels d’offre jugés trop complexes, mais au contraire les y encourager. 
  • Recommandation 5 : Le CSF Numérique de confiance formule des propositions concrètes afin de trouver des solutions souveraines intégrées qui permettraient de répondre aux attentes des acheteurs publics.
  • Recommandation 6 : Les autorités françaises portent avec force et vigueur, auprès de la Commission européenne et des autres Etats membres, l’adoption d’un « Buy European Tech Act » et d’un « Small Business Act » dans les meilleurs délais

« La France a perdu la bataille du numérique pour le grand public » 

Nul doute que la France a des ambitions de souveraineté et se bat en ce sens dans l’aérospatial (mises à mal par le retard d’Ariane 6) et dans l’énergie (reste à voir si les choix seront les bons), mais « dans le domaine de l’informatique et du numérique, force est de constater que la France a perdu la bataille du numérique pour le grand public au profit des GAFAM, même si les technologies spécialisées de grands groupes comme Atos, Dassault systems, Thales, sont reconnues au niveau  international ».

Le rapport dresse un triste constat sur l’éducation. D’un côté la France dispose d’écoles et de centres de recherche de renom, de l’autre, elle a bien du mal à garder ses talents. L’avis cite en exemple Yann Le Cun, un Français responsable de la recherche en IA chez Meta (Facebook). La raison n’est pas à aller chercher très loin : les moyens financiers des laboratoires/centres de recherche ainsi que les salaires. La Commission n’y va pas par quatre chemins : « les autorités françaises ont sous-investi pendant des décennies dans ces domaines ». Malgré de multiples promesses ces dernières années, la situation ne s’améliore pas franchement. Pour illustrer, quelques exemples de cette rentrée : ici et .

Les risques des Big Tech sur nos démocraties

La Commission reconnait qu’il n’est pas envisageable de mettre en place des concurrents directs aux Big Tech américaines et chinoises, mais pointe à juste titre qu’il « serait irresponsable de ne pas anticiper les risques que font peser ces monopoles sur nos démocraties ». C’est une réalité depuis des années en Afrique.

Pour résumer : « Une véritable souveraineté ne se fera pas sans une stratégie nationale et un vrai portage politique […] S’agissant d’un domaine aussi stratégique, il est essentiel que la politique de la France intègre toutes les dimensions de ces enjeux alors qu’aujourd’hui on constate que les sujets du numérique ne sont pas transverses, mais « en silo » au sein de chaque ministère ». 

Afin d’améliorer la situation, « la majorité des membres de la CSNP estime que la création d’un Conseil de défense de la stratégie numérique présidé par le président de la République ainsi que la formulation d’une stratégie politique en début de quinquennat permettraient de renforcer la lisibilité de la politique française en matière de souveraineté numérique ». Sophia Chikirou (députée LFI) a par contre voté contre cet avis : elle « s’est montrée réservée à l’égard d’un rattachement d’un Conseil stratégique à la Présidence de la république et privilégie un portage par le Conseil économique, social et environnemental », explique l’avis.

  • Recommandation 7 : Le chef de l’État et son Gouvernement présentent, en début de quinquennat, une feuille de route sur la stratégie politique garantissant la souveraineté industrielle et numérique de la France. Un suivi de la mise en œuvre de la feuille de route pourra être présenté devant la représentation nationale chaque année à l’occasion de l’examen du projet de loi de finances ou dans le cadre des débats annuels du Printemps de l’évaluation.
  • Recommandation 8 : Le Gouvernement s’engage à inscrire, dans chaque projet de loi de finances, une ligne budgétaire consacrée à la souveraineté numérique et à sa mise en œuvre ainsi qu’un document budgétaire retraçant l’effort de l’État en la matière (« jaune budgétaire »). Une meilleure lisibilité du financement au pilotage et au soutien apporté au numérique au niveau territorial nous apparait essentiel.
  • Recommandation 9 : La création d’un Conseil de défense de la stratégie numérique, auprès du Président de la République.
  • Recommandation 10 : Les enjeux et dossiers relatifs à la souveraineté numérique sont directement rattachés aux attributions du Premier ministre et suivis par ses services

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il n’y a pas dans la loi de programmation militaire un volet qui couvre la stratégie de protection des “données sensibles détenues et gérées par les administrations et établissements des collectivités territoriales, les établissements de santé et les universités” ?

votre avatar

Oui mais ici l’article fait référence un comité parlementaire.
Par contre, c’est plutôt la doctrine cloud au centre (mai 2021, Castex) et surtout l’actualisation du décret par Borne en juin dernier :legifrance.gouv.fr République Française




Ces données d’une sensibilité particulière recouvrent :
les données qui relèvent de secrets protégés par la loi, notamment au titre des articles L.311-5 et L.311-6 du code des relations entre le public et l’administration (par exemple, les secrets liés aux délibérations du Gouvernement et des autorités relevant du pouvoi~ exécutif, à la défense nationale, à conduite de la politique extérieure de la France, à la sûreté de l’Etat,aux procédures engagées devant les juridictions ou encore le secret de la vie privée, le secret médical, le secret des affaires qui comprend le secret des procédés, des informations économiques et financières et des stratégies commerciales ou industrielles); les données nécessaires à l’accomplissement des missions essentielles de l’État,notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.


Avant ce décret, les données dites “sensibles” n’étaient même pas clairement connus (même si elles sont évidentes).

votre avatar

C’est ce qu’il me semblait, encore une fois, il faut arrêter de vouloir toujours légiférer, s’il n’y a pas de budget associé, ça ne sert à rien.
L’ANSSI est sous l’eau, les préfets sont déjà saturés de mission à la con suite à la décentralisation et on nous explique qu’il faut réduire les dépenses de l’état.

votre avatar

Dans la législation française (si je retrouve le lien du texte) c’est indiqué que les données produites par les administration française ne doivent pas sortir du territoire national. Du coup il y a un flou juridique vu que le RGPD dit que les données ne doivent pas sortir de l’UE

votre avatar

Oui mais il y a aussi un Act aux US stipulant que la boite est américaine, l’état peut accéder à ses données partout dans le monde.
Donc comment fait-on avec ces lois extra-territoriales ? :8

votre avatar

Revenir à de l’exchange on-premise :D



Comment faire alors pour que les administration abandonne leur Microsoft 365 ou Google workspace ?

votre avatar

le temps de la législation/justice est 10 fois celui de l’adoption de la technologie.



L’Europe, et encore moins la France, n’a pas les moyens de ses ambitions. Là où les USA peuvent dire “pas de stockage des données sensibles hors US”, la France/UE négocie à la chaine des promesses que les USA n’iront pas zieuter les données UE stockées dans les serveurs USA. :/

votre avatar

xillibit a dit:


Revenir à de l’exchange on-premise :D


Non, parce que quand tu écoutes ceux qui te parlent de “souveraineté numérique”, ils te disent clairement que les solutions commerciales étrangères doivent être abandonnées, car risque de backdoor / quid des patchs en cas de crise géopolitique / risques légaux pas maîtrisés etc etc

votre avatar

xillibit a dit:


Revenir à de l’exchange on-premise :D



Comment faire alors pour que les administration abandonne leur Microsoft 365 ou Google workspace ?


Ou utiliser des acteurs européens.



Oui, ça existe.

votre avatar

zeldomar a dit:


Oui mais il y a aussi un Act aux US stipulant que la boite est américaine, l’état peut accéder à ses données partout dans le monde. Donc comment fait-on avec ces lois extra-territoriales ? :8


Mais les USA ont décrété unilatéralement cet “extra-territorialité” , et l’appliquent via un rapport de force….
Même si tu héberges tes propres données chez toi, et que les ricains les veulent vraiment, t’inquiète pas qu’ils sauront utiliser ce rapport de force pour te forcer à leur donner les infos qu’ils veulent, en cas de crise majeure.



La RGPD a été une tentative de l’EU d’équilibrer ce rapport de force en créant également une loi extra-territoriale… Et il me semble que ça ne marche que envers les pays qui sont plus faible que l’EU, pas du tout envers les USA…



Pour moi tout ça c’est “juste” la loi du plus fort et le reste c’est de la sémantique :-)



Ca n’empêche pas d’utiliser d’autres solutions que 365 & Google, mais pour moi la principale raison c’est la diversité des réseaux, des prestataires, et des logiciels bien plus que la protection des données contre les américains , car ces GAFAM ont tous subit des pannes plus ou moins importantes qui ont empêché, temporairement ou pas, l’accès aux données, compromettant ainsi l’activité.

votre avatar

Ce que je ne comprends pas c’est pourquoi dépenser autant d’énergie à dire “il faut faire ci”, “il ne faut pas faire ça” à des entreprises privées et ne pas avoir l’idée de monter des datacenters publiques gérés par du personnel technique de l’état.



Ça sera toujours moins cher que de devoir payer une entreprise qui doit dégager des bénéfices. D’autant que quand on regarde vraiment toutes les technos nécessaires pour faire fonctionner les datacenters cloud c’est faisable à 100% avec de l’opensource robuste et éprouvé.



A mon humble avis, si on veut du souverain, on le fait soit même. Actuellement, on ne loue pas des militaires à des boites privées, on les engage directement. Pour le numérique ça devrait être pareil.

votre avatar

Car faire disparaître le publique c’est dans l’ADN de nos dirigeant depuis des décennies.




« Pas de souveraineté numérique sans maîtrise de nos données »



« Pas de souveraineté sans maîtrise de nos frontières »


Même combat perdu d’avance sans un changement profond de notre société.

« Pas de souveraineté numérique sans maîtrise de nos données »

  • La souveraineté numérique, c’est quoi ?

  • Données (non-)personnelles et/ou sensibles

  • Collectivités, santé, universités, PME : une approche globale

  • Alors que revoilà le « Buy European Act »

  • Revoir le code des marchés publics français

  • « La France a perdu la bataille du numérique pour le grand public » 

  • Les risques des Big Tech sur nos démocraties

Fermer