Le flou entre les questions de territorialité, d’ordre juridique, de nationalité des acteurs en cause, de maîtrise technique ou d’adhérence technologique.
La « souveraineté numérique » s’entend comme la détermination des conditions qui permettent l’expression et la maîtrise de ses activités ainsi que de l’exercice de ses libertés fondamentales sur les réseaux informatiques. C’est un impératif pour l’entreprise de passer par un usage prioritaire des logiciels libres.
Citons un des principaux points discutés dans le rapport de la commission d’enquête sénatoriale 8 juillet 2025 : celui-ci concerne la question de l’application dite «extraterritoriale» du droit américain, qui permet potentiellement au gouvernement des États-Unis d’accéder à l’ensemble des données stockées par des entreprises américaines, quel que soit le lieu où leurs serveurs se trouvent.
Une des citations les plus reprises dans les travaux de la commission d’enquête sénatoriale 8 juillet 2025 est celle de M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France qui, invité à garantir que ces données de santé hébergées par Microsoft ne seront jamais transmises à des autorités étrangères sans l’accord des autorités françaises, a répondu :
« Non, je ne peux pas le garantir ».
Rappelons ici une caractéristique importante des commissions d’enquête : Les auditions se font sous serment.
La critique de l’usage des logiciels des « géants du numérique » ne limite pas à cette seule question. Le rapport de la commission d’enquête sénatoriale précise ainsi que :
« au-delà même de ces enjeux fondamentaux, doit être pris en compte le risque d’accoutumance, voire de dépendance, à des solutions étrangères, qui fragilise gravement la souveraineté numérique européenne. »
Un des éléments régulièrement évoqué lors des auditions concernait le sujet du référentiel SecNumCloud – établi par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) – et des « clouds de confiance ». Ces offres de services d’informatique à distance doivent, pour être certifiées SecNumCloud, démontrer leur immunité à l’application extraterritoriale de droits étrangers. Parmi celles-ci, Blue et S3ns, en cours de certification et respectivement basées sur les technologies Microsoft et Google, sont régulièrement citées et souvent présentées comme des solutions de compromis.
Une des forces du rapport consiste à remettre en cause le recours à de telles solutions.
« Le recours à des solutions étrangères opérées par des acteurs immunisés à l’égard du droit américain telles que le « cloud de confiance » « Bleu », porté par Orange et Capgemini et en cours de qualification SecNumCloud, est souvent présenté comme une voie de compromis pour les acheteurs publics.
Il ne saurait toutefois constituer une solution viable, dans la mesure où il contribuerait à entretenir l’adhérence française aux solutions étrangères tout en nous exposant au risque d’interruption de l’accès à ces technologies par leurs fournisseurs américains. »
Le cas de « Bleu » : un « cloud de confiance » ?
Pour remplir les critères d’attribution de la qualification SecNumCloud, certaines sociétés développent des solutions souveraines concurrençant les offres américaines. Il s’agit de faire opérer des technologies européennes par des acteurs européens tant pour le développement que pour l’exploitation. C’est le cas, entre autres, d’OVHcloud ou d’Outscale, qui bénéficient de la qualification SecNumCloud. D’autres initiatives consistent, pour leur part à :
« opter pour des technologies américaines, mais à les faire opérer par des acteurs qui ne sont pas soumis au droit américain ».
Des offres de cette nature sont en cours de certification SecNumCloud, à commencer par le cloud de confiance Bleu, porté par Orange et Capgemini, qui permet de recourir à l’offre Microsoft 365 et aux services Microsoft Azure dans le cadre d’un cloud sécurisé. La version 3.2 du référentiel SecNumCloud inclut des exigences d’immunité au droit extra-européen permettant de se prémunir de l’essentiel des menaces touchant les environnements cloud. Dès lors, l’Anssi rappelle que : « l’ensemble des offres candidates à la qualification SecNumCloud est jugé à l’aune des exigences du référentiel et aucune d’entre elles ne peut prétendre à ce visa de sécurité si une non-conformité majeure est relevée lors de l’évaluation ».
En tout état de cause, les offres hybrides telles que Bleu :
« ont intégré le processus de qualification mais ne sont pas à la date de réponse à ce questionnaire qualifié ».
M. Nicolas Guérin, secrétaire général d’Orange, a catégoriquement écarté l’idée selon laquelle l’utilisation de ces offres présenterait des risques sur le plan de l’autonomie stratégique de la France :
« La presse a récemment rapporté que le président de la Cour pénale internationale s’était vu couper ses accès à des outils Microsoft sur ordre de l’administration américaine. Le recours à Bleu éviterait d’en arriver là en garantissant un accès à ces outils, quitte à ne plus bénéficier de leurs mises à jour. Microsoft envisage d’ailleurs de nouer d’autres partenariats de ce genre garantissant aux utilisateurs une continuité de service ».
Les représentants de Microsoft France reçus par la commission d’enquête ont, eux aussi, tenu à se montrer rassurants sur ce point. Pour M. Anton Carniaux, directeur des affaires publiques et juridiques, Bleu est :
« (…) une entreprise totalement indépendante de Microsoft, créée par Capgemini et Orange. Nous sommes fournisseurs technologiques et nous avons mis en place un système qui permet de séparer cette offre d’informatique en nuage de celle de Microsoft, afin de la protéger de tout effet extraterritorial. À cela s’ajoute une séparation juridique, en vertu de laquelle Microsoft n’est pas présent au capital de Bleu ».
Il est toutefois permis de douter des garanties effectivement apportées par ces offres hybrides et de leur souveraineté. De toute évidence, on ne parle pas du même type de produit, la principale différence tenant, non pas à la sécurité, mais à la disponibilité des technologies. Si, demain, les fournisseurs de technologies américains décident de couper l’accès à leurs technologies, compte tenu de l’évolution constante des outils et des mises à jour nécessaires à leur fonctionnement, les systèmes hybrides s’effondreront très rapidement, au bout non pas de quelques années ou de quelques décennies, mais de quelques jours, peut-être de quelques semaines.
Aussi est-il préférable d’écarter l’option du recours à des solutions hybrides. Dans le contexte géopolitique actuel, personne n’aurait pu prédire il y a quelques années, même pour les plus paranoïaques, que des décisions politiques pourraient tout à fait interdire la diffusion de technologies. C’est un risque qu’Orange ne peut pas prendre.
On constate un décalage persistant entre les discours et les actes concrets.
Le rapport qualifie même cette dépendance de « persistante et dangereuse ».
La gendarmerie nationale a, de longue date, décidé de migrer sur des solutions en open source.
Certains États européens commencent à prendre conscience des risques. Le gouvernement danois a, par exemple, annoncé récemment sa volonté de remplacer progressivement les offres Windows et Office 365 de Microsoft par Linux et LibreOffice.
Le rapport cite l’article 16 de la loi pour une République numérique qui indique notamment que l’on doit :
« encourager à l’utilisation des logiciels libres et des formats ouverts lors du développement, de l’achat ou de l’utilisation de tout ou partie de ces systèmes d’information » – comme principe constitutif d’une plus grande souveraineté numérique.
Ce n’est qu’en mettant en œuvre une politique globale et ambitieuse, passant par une priorité au logiciel libre et un soutien par l’investissement aux communautés et tissus économiques qui les font vivre que l’on pourra répondre aux enjeux de « souveraineté numérique ».
Le chef de l’armée suisse veut une alternative à Microsoft 365, selon lui « MS365 s’avère peu exploitable ». La Confédération a en effet décidé que les documents classifiés ne peuvent pas être traités ni stockés dans M365. Pour le Groupement Défense, cette restriction réduit considérablement l’utilité de la suite, car la grande majorité des documents sont classifiés : tout comme les données les donnée de l’entreprise Orange sont censées être sensibles.
Le chef de l’armée suisse poursuit :
MS365 n’apporte aucun avantage (…). Au contraire, dans sa configuration actuelle, elle est en grande partie inutilisable. Il souligne en outre que la solution Microsoft engendre « des coûts supplémentaires considérables » ainsi que des besoins de formation pour le personnel. « Ces dépenses sont disproportionnées au regard du faible gain réel apporté par la plateforme. Compte tenu de la pression croissante sur les coûts de fonctionnement de l’armée, je ne peux pas assumer ces dépenses sans bénéfice identifiable ».
En Autriche également, l’armée renonce à Microsoft Office. Pour ses 16 000 postes de travail, la défense autrichienne migre sur LibreOffice. Un projet préparé depuis 5 ans et qui vise à garantir l’indépendance de ce service régalien. À cette occasion l’administration Autrichienne a déclaré :
Il est très important pour nous de montrer que nous faisons cela principalement (…) pour renforcer notre souveraineté numérique, afin de conserver notre indépendance en matière d’infrastructure IT et (…) de garantir que nos données ne sont traitées qu’en interne.
Nous ne faisons pas cette migration pour économiser de l’argent (…), nous le faisons pour (…) pour fonctionner lorsque tout le reste est à terre, continue à disposer de produits qui fonctionnent dans notre sphère d’influence.
L’État Allemand est passé de Microsoft Exchange / Outlook à une solution open source pour sa messagerie électronique. La migration, qui a duré six mois, a permis de remplacer Microsoft Exchange et Outlook par Open-Xchange et Mozilla Thunderbird. Le transfert a concerné plus de 40 000 boîtes aux lettres et plus de 100 millions de messages et d’entrées d’agenda. L’État Allemand, en collaboration avec des fournisseurs open source comme Nextcloud, a remplacé tous les systèmes propriétaires par des logiciels open source. L’année dernière, par exemple, ils ont commencé à déployer LibreOffice comme suite bureautique par défaut pour remplacer Microsoft Office. On peut citer la déclaration du gouvernement à cette occasion :
Il sera plus important que jamais d’éviter les dépendances économiques ou techniques de nature individuelle et monopolistique si l’État veut conserver le contrôle des systèmes informatiques qu’il utilise et la maîtrise des données de ses citoyens et de ses entreprises. C’est pourquoi il est essentiel de réduire les dépendances actuelles et de poursuivre sur la voie de la souveraineté numérique.
Dans le domaine de l’IA, en novembre 2025 une quarantaine d’acteurs plaidaient pour un soutien en faveur de l’open source pour renforcer la souveraineté européenne dans le domaine. Parmi eux, Mozilla, l’OSI, Hugging Face, Nextcloud, Wikimedia, Red Hat, mais également des Français comme Mistral AI, Kyutai et Linagora. Ensemble, ils appellent à investir :
« dans la stack IA open source complète, des modèles d’IA aux données et aux outils logiciels ».
À l’ère de l’instabilité géopolitique et de l’innovation rapide, ils indiquent que l’Europe doit jouer sur ses points forts, notamment ses chercheurs de renommée mondiale et sa riche histoire en matière de développement.
« Par définition, le code open source n’appartient à personne, donc les lois extraterritoriales n’ont pas de prise sur lui », affirme Rémy Mandon, directeur France chez Red Hat.
Sélection de recommandations du rapport en lien avec la « souveraineté numérique » :
- Transférer dans les meilleurs délais l’hébergement des plateformes des données sur une solution souveraine, immune aux législations extraterritoriales.
- Élargir le périmètre des données considérées comme sensibles à l’ensemble des données produites ou détenues par l’entreprise.
- Rendre obligatoire l’insertion d’une clause de non-soumission aux lois extraterritoriales étrangères dans tous les marchés comportant des prestations d’hébergement et de traitement de données publiques en cloud.
- Faire respecter le recours obligatoire à des offres disposant de la qualification SecNumCloud pour l’hébergement des données d’une sensibilité particulière.
- Parmi les solutions qualifiées SecNumCloud, privilégier le recours à celles qui reposent sur des technologies intégralement souveraines
- Assigner aux achats un objectif d’appui à la structuration des filières françaises et européennes, notamment dans le secteur du numérique, avec la diffusion de solutions souveraines en matière de logiciels et d’hébergement en nuage.
- Créer un parcours de formation certifiant sur l’achat et la souveraineté numériques
On ne peut que regretter que dans son Cybersecurity Act 2, Bruxelles sacrifie la souveraineté du cloud européen sur l’autel du marché au même moment où l’administration Trump multiplie les provocations et les menaces à l’égard de ses (anciens) alliés. Comme l’a déclaré David Monniaux directeur de recherche au CNRS :
« Que se passerait-il si Trump ordonnait aux Gafam de cesser leurs services cloud à l’égard de nos gouvernements ? ».
On objectera qu’il s’agit de spéculations, que de tels actes impliqueraient la rupture de contrats entre ces sociétés et leurs utilisateurs ainsi que des violations des droits français et européen. Cette objection est caduque : le gouvernement américain, qui a exprimé son désir d’occuper le Groenland et qui coule dans les eaux internationales des bateaux soupçonnés de transporter de la drogue, n’a clairement que faire du droit, a fortiori du droit international ou étranger.
En effet, la révision du règlement cyber européen exclut les critères de souveraineté dans la délivrance de certifications cloud. Un revers pour la France qui, dans la dernière version du SecNumCloud, offre une immunité aux lois extraterritoriales américaines comme Cloud Act.
L’enjeu est critique. Pour rappel, avec Cloud Act, Patriot Act ou FISA (Foreign Intelligence Surveillance Act) les agences de renseignement américaines s’arrogent le droit d’accéder aux données d’individus situés hors des frontières étatsuniennes pour peu qu’elles soient hébergées sur des plateformes de providers américains comme AWS, Microsoft Azure ou Google Cloud. Et ce qu’importe que leurs datacenters soient localisés dans l’Union européenne. Qu’importe que nos serveurs soient à Paris, en Bretagne ou en Normandie : si le logiciel qui les pilote est sous licence américaine, ou si l’entreprise que les héberge est détenue par des capitaux américains, nos données restent vulnérables.
Les hyperscalers américains savourent cette victoire. Le lobby de la CCIA, qui représente entre autre Google et Amazon, se félicite de l’absence de restrictions « discriminatoires ». Au regard du contexte géopolitique actuel, ne peut-on pas craindre que les États-Unis deviennent un « pays à haut risque » ?
Selon le cabinet d’études Markess by Exægises, les trois hyperscalers américains - Amazon Web Services (AWS), Microsoft Azure et Google Cloud – ont accaparé 70 % du marché français en 2022, dont 45 % pour le seul AWS.
Leur emprise ne tient pas seulement à la puissance de leurs infrastructures, mais aussi à l’asservissement progressif des entreprises à leurs technologies fermées. En érigeant leurs logiciels comme standards, ces géants ont verrouillé l’accès aux services numériques, contraignant les entreprises à suivre leurs évolutions et rendant toute alternative coûteuse et complexe.
Les États-Unis imposent à leurs administrations le Buy American Act, qui garantit la primauté des technologies nationales. Pourquoi ne pas en faire autant ?
Orange évoque la notion cloud de confiance ou de cloud souverain, une approximation sémantique qui crée la confusion.
Il n’y a plus aucun cloud souverain pour Orange depuis le défunt Cloudwatt de 2011
La souveraineté numérique ne se décrète pas, elle se construit. Tant qu’Orange continuera à investir dans des infrastructures reposant sur des logiciels que nous ne maîtrisons pas, nous n’aurons qu’une illusion d’indépendance.
Le consensus général spécifie qu’un cloud souverain est un environnement cloud contrôlé en l’occurrence pas une entreprise locale. Cette souveraineté s’applique à différents niveaux :
- Souveraineté des données quand elles sont localisées sur le sol national,
- Souveraineté technique quand le provider assure la puissance de calcul nécessaire à leur traitement
- Souveraineté opérationnelle quand seuls des citoyens nationaux opèrent dans ses datacenters.
Souveraineté numérique : pas de pilote à la commande publique ! (April)