La Cour des comptes a livré un rapport sur la souveraineté numérique de l’État, dans lequel elle décrit en cent pages une France qui a mis le mot “souveraineté” au cœur de son discours technologique, sans toutefois réussir à en faire une pratique. Derrière les doctrines et les lois, l’administration reste dépendante de technologies qu’elle ne maîtrise pas, isolée dans une Europe qui ne partage ni son urgence, ni son approche.

Une souveraineté érigée en principe… mais jamais en système

Depuis dix ans, la France a fait de la souveraineté numérique un élément de langage autant qu’un axe de politique publique. Doctrine Cloud au centre, loi SREN, SecNumCloud : autant de piliers censés garantir la maîtrise de ses données et de ses infrastructures. Mais le rapport de la Cour des comptes dresse un constat désarmant : « L’ambition affichée par la France en matière de souveraineté numérique peine à être satisfaite du fait notamment de la position prééminente des entreprises américaines et de la législation qui leur est applicable ».

Les infrastructures critiques, de la messagerie à la donnée de santé, reposent encore sur des prestataires américains. La Cour relève que « les systèmes d’information civils de l’État sont particulièrement exposés » aux intrusions et dépendants d’opérateurs soumis à des lois étrangères. Elle observe aussi qu’« il n’existe pas de stratégie de l’État opposable aux ministères », la DINUM ne disposant « d’aucune autorité budgétaire », tandis que « les ministères disposent de budgets informatiques propres et qu’aucun pilotage transversal de leurs investissements numériques n’est organisé ». Résultat : les clouds “souverains” de l’État (Nubo et Pi) « restent peu utilisés » et « leur utilisation interministérielle plafonne à 5 % ».

Un État stratège… sans capacité industrielle

L’une des contradictions les plus fortes du rapport réside dans un État qui a défini ce que devrait être une souveraineté numérique, sans avoir mis en place les moyens pour l’incarner. La Cour note « un investissement modéré » : 55 millions d’euros en neuf ans pour le cloud Nubo, dans un État qui consacre environ 3 milliards d’euros par an à son numérique. Elle souligne que ces clouds publics « restent peu attractifs, faute d’une taille critique », et qu’il serait nécessaire « d’engager leur convergence pour qu’ils atteignent une taille critique et les rendre plus performants ».

Dans le secteur privé, le rapport rappelle que « le marché du cloud en Europe est dominé à 70 % par trois acteurs américains (Amazon Web Services, Microsoft Azure et Google Cloud)», tandis que la part des fournisseurs européens « est passée de 27 % à moins de 16 % entre 2017 et 2021 ». À l’échelle nationale, la Cour recense une dizaine d’acteurs dispersés (OVHcloud, Outscale, Docaposte, Cloud Temple, Whaller, Index Éducation) « qui n’atteignent pas encore le niveau d’investissement ni la profondeur de service des hyperscalers ». Et d’ajouter, sans détour : « L’autonomie technologique est un objectif difficile à assurer dans le champ des matériels et des composants ». Autrement dit, sans politique industrielle à la hauteur, la souveraineté reste un discours d’experts.

L’Europe, arbitre passif de sa dépendance

L’un des constats les plus sévères du rapport concerne l’échelle européenne. Alors que la France plaide pour faire reconnaître ses standards de sécurité, notamment la certification SecNumCloud, comme norme de référence, la Commission européenne « n’a pas émis d’objection » au décret français d’application de la loi SREN, mais « n’a pas reconnu la qualification SecNumCloud au niveau européen ». La Cour constate que « la position française sur la certification européenne EUCS apparaissait isolée » et que « les échanges européens n’ont pas repris depuis », la Commission ayant supprimé le niveau “High+” inspiré de SecNumCloud sous la pression des lobbies américains et du gouvernement allemand.

Le diagnostic est que « La France a plaidé pour y introduire un niveau supérieur de sécurité inspiré de la qualification SecNumCloud […] La démarche de la France est restée jusqu’à présent isolée au sein de l’Union européenne ». Autrement dit, l’Europe parle libre circulation des données, la France parle immunité juridique, deux logiques incompatibles à ce stade.

La souveraineté comme discours défensif

Derrière la doctrine, la Cour met à nu une ambiguïté, à savoir que la souveraineté française est pensée comme un bouclier, et constate que la sécurité reste l’unique prisme : « Le cadre général des systèmes d’information de l’État repose sur trois textes essentiellement consacrés à la sécurité numérique », sans aborder « la question de l’interopérabilité et de la portabilité des technologies ». Elle parle d’une « prise en compte encore insuffisante de l’enjeu de souveraineté » et d’une stratégie réduite à « des considérations générales » non traduites dans la gouvernance quotidienne.

La doctrine Cloud au centre, révisée en 2023, a restreint son champ, ainsi seules les données cumulant deux critères « d’une sensibilité particulière » et dont la violation serait « susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la protection de la propriété intellectuelle », doivent être hébergées dans un cloud souverain. « Cette définition circonscrit la notion de données sensibles », note la Cour, transformant la souveraineté en exception au lieu d’un standard.

La santé, symbole d’un échec politique

Le cas du Health Data Hub est le symbole de cette fracture entre ambition et réalité. Conçu pour structurer la donnée médicale nationale, le projet a été hébergé sur Microsoft Azure « par pragmatisme » pour tenir les délais. Cinq ans plus tard, la Cour observe que « cette solution transitoire a déclenché de nombreux blocages et recours juridiques […] qui ont in fine entravé la mise en place de la plateforme et, surtout, sa capacité à répondre aux besoins des chercheurs ». Et d’ajouter : « Une plateforme initialement moins performante, mais souveraine, aurait probablement permis un déploiement moins heurté et un usage plus répandu ».

La migration vers une infrastructure qualifiée SecNumCloud n’est pas attendue avant la fin 2026, sept ans après son lancement. Entre-temps, « la CNIL maintient sa position » : les données doivent être « hébergées par des entités relevant exclusivement des juridictions de l’UE ».

Une souveraineté à reconstruire, non à réglementer

Ce que révèle le rapport, c’est que la souveraineté numérique ne relève pas du juridique mais du politique. Elle suppose une vision industrielle, une capacité d’investissement, une coordination interministérielle et une diplomatie européenne cohérente. La Cour appelle à « intégrer une stratégie de souveraineté numérique chiffrée à la feuille de route de la DINUM » et à « définir la trajectoire de convergence des clouds interministériels ».

En filigrane, elle rappelle que l’État doit choisir son rôle : opérateur, capable de mutualiser ses infrastructures, ou client structuré, capable d’imposer ses standards. Aujourd’hui, il n’est ni l’un ni l’autre.

Si l’on résume l’ensemble : les États-Unis imposent leur droit, l’Union européenne discute de conformité, la France, elle, publie des circulaires.

De la doctrine à la stratégie

Les magistrats de la Cour des comptes livrent un diagnostic sévère en rappelant que la France parle souveraineté, mais agit encore comme un client captif. Anne Le Hénanff, nouvelle ministre de l’Intelligence artificielle et du Numérique, veut inverser ce rapport de force. En défendant, auprès de notre confrère Sylvain Rolland dans La Tribune, l’idée d’un “réflexe de préférence européenne”, Anne Le Hénanff tente de déplacer la souveraineté du champ défensif vers celui de la production. Mais entre la rhétorique et la mise en œuvre, l’écart demeure abyssal. La ministre hérite d’un appareil administratif fragmenté, d’un cloud public à l’arrêt, et d’une Europe qui confond autonomie et conformité.

Enfin si le rapport de la Cour des comptes et la feuille de route de la ministre convergent sur un même point, la souveraineté numérique ne se gagnera pas dans les textes, mais dans l’investissement et la cohérence d’exécution. Encore faut-il que la promesse survive à l’épreuve du réel…