Souveraineté numérique : la Cour des Comptes alerte sur les fragilités de l’État.

Elle souligne d’abord la dépendance persistante de certaines administrations à des solutions informatiques étrangères, parfois utilisées pour des données particulièrement sensibles. L’exemple de la plateforme des données de santé, hébergée depuis plus de cinq ans par une entreprise américaine, illustre les limites de cette stratégie. La Cour note également que des opérateurs privés proposent des applications de service public sans être soumis aux mêmes obligations que l’État, ce qui accentue les risques.

Autre faiblesse mise en avant : l’absence de cartographie des données sensibles. Sans référentiel clair, il est impossible de savoir quelles informations doivent être protégées en priorité. Cette lacune complique la mise en place d’une véritable stratégie de souveraineté.

Le rapport insiste aussi sur les difficultés rencontrées par les clouds internes de l’État. Leur adoption reste limitée et ils peinent à atteindre une taille critique. La conciliation entre les impératifs de performance et les exigences de souveraineté s’avère complexe, freinant leur développement.

Tout n’est cependant pas négatif. La Cour salue les réussites de la DINUM, qui pilote deux infrastructures essentielles : le réseau interministériel de l’État et FranceConnect. Ces dispositifs constituent des avancées notables, même si des progrès restent nécessaires, notamment en matière de résilience.

Enfin, la Cour rappelle que l’État ne cherche pas à atteindre une souveraineté totale, mais plutôt à instaurer un niveau de confiance suffisant. Pour cela, il s’appuie sur la commande publique, la mutualisation des achats et la validation par l’ANSSI, autant de leviers destinés à limiter les risques liés à la dépendance technologique.

En conclusion, ce rapport met en lumière une tension persistante entre la volonté de protéger les données sensibles et la réalité des choix technologiques. Si des progrès ont été réalisés, la France demeure exposée à une dépendance numérique qui interroge sa capacité à garantir pleinement la sécurité et la maîtrise de ses infrastructures.

Derrière ce constat se cache une réalité inquiétante. Les systèmes d’information civils de l’État reposent massivement sur des technologies soumises au droit américain. Trois textes suffisent à mesurer l’ampleur du problème : le Foreign Intelligence Surveillance Act, l’Executive Order 12333 et le Cloud Act de 2018. Tous autorisent Washington à collecter, analyser ou saisir des données françaises, y compris celles hébergées dans le cloud de nos administrations. Autrement dit, nos données sensibles, nos communications internes et nos infrastructures critiques peuvent être juridiquement accessibles à un État tiers.

Pendant ce temps, les acteurs français du numérique peinent à émerger. Privés de commandes publiques, ils ne parviennent ni à atteindre le volume nécessaire, ni à acquérir la crédibilité indispensable, ni à obtenir les références qui leur permettraient de s’imposer à l’international. Cette dépendance économique fragilise notre tissu industriel autant qu’elle affaiblit notre indépendance stratégique.

La souveraineté numérique n’est pas une posture. Elle constitue une condition d’existence. Elle engage la sécurité du pays, son emploi, sa fiscalité et jusqu’à la pérennité du fonctionnement de l’État.