Gouvernance
Démission de Sébastien Lecornu : le numérique français navigue à vue entre SREN, NIS 2 et IA Act
Par Thierry Derouet, publié le 06 octobre 2025
Après la démission de Sébastien Lecornu, la France se retrouve avec un ministère du Numérique sans capitaine. En moins de vingt-quatre heures, Naïma Moutchou est entrée et sortie de l’Histoire comme la ministre du Numérique la plus éphémère de la Ve République. Mais derrière l’anecdote politique, c’est tout l’édifice du numérique d’État qui vacille : les grandes réformes — SREN, NIS 2, IA Act — avancent sans coordination claire, portées par des administrations éclatées et des textes encore inachevés.
Depuis 2017, la France a vu défiler au Numérique une succession de profils, chacun avec son cap. Mounir Mahjoubi ouvre la marche le 17 mai 2017, au service d’une « Start-up Nation » naissante. Cédric O prend le relais le 31 mars 2019 et traversera la crise sanitaire en portant cybersécurité, cloud souverain et 5G. En juillet 2022, Jean-Noël Barrot arrive avec une ambition de doctrine publique et porte la loi SREN. Marina Ferrari est nommée en février 2024 dans le gouvernement Attal, avant que Clara Chappaz ne soit nommée le 21 septembre 2024 secrétaire d’État chargée de l’IA et du Numérique. Enfin, le 5 octobre 2025, Naïma Moutchou nommée ministre de la Transformation, de la Fonction publique, de l’IA et du Numérique n’aura même pas le temps de prendre officiellement ses fonctions. Portefeuille aussi stratégique qu’instable, le ministère du numérique a besoin d’un minimum de stabilité pour faire passer en France, les grandes règlementations du numérique adoptées à Bruxelles. Or, l’instabilité politique actuelle ne fait pas que déstabiliser ce ministère, elle fait prendre à la France un retard considérable qui ne peut qu’impacter les DSI et leurs entreprises.
De Mahjoubi à Moutchou, six responsables se sont succédé en huit ans. Chacun a fait progresser un pan du numérique français : inclusion, cybersécurité, cloud souverain, régulation, intelligence artificielle. Mais aucun n’a eu le temps d’ancrer une stratégie continue dans la durée. Le numérique français avance ainsi par élans successifs, au rythme d’une administration en quête d’une stabilité que la politique lui refuse.
Une loi SREN incomplète
Le paradoxe est cruel : la France n’a jamais autant légiféré sur le numérique et pourtant n’a pas encore appliqué l’essentiel. La loi SREN (Sécuriser et réguler l’espace numérique), promulguée le 21 mai 2024, visait à réguler les plateformes, renforcer la cybersécurité, encadrer les hébergeurs et responsabiliser les réseaux sociaux. Elle a bien donné lieu à plusieurs décrets d’application : le 15 avril 2025, la création d’un réseau national de coordination entre autorités (ARCOM, CNIL, ARCEP, ANSSI) ; le 28 avril 2025, la coopération ARCEP–CNIL sur le traitement des données de communication ; et le 30 mai 2025, l’encadrement de l’interopérabilité et de la portabilité du cloud, confié à l’ARCEP.
Mais les textes les plus attendus — ceux relatifs à la modération des contenus, aux procédures de signalement et au filtre anti-arnaque promis par l’exécutif — restent à ce jour non publiés. Si la loi SREN pose bien leurs principes, aucun décret d’application ne vient préciser ni leur périmètre, ni les obligations techniques des acteurs, ni le calendrier de mise en œuvre. Le rapport du Sénat sur l’application des lois au 31 mars 2025 confirme que ces mesures « sensibles » demeurent en attente, notamment le filtre anti-arnaque, toujours dépourvu de texte opérationnel. En pratique, la SREN reste donc une loi partiellement inapplicable sur ses volets les plus visibles pour le grand public.
NIS 2 en attente de précisions
Même scénario pour la directive européenne NIS 2, censée renforcer la cybersécurité des opérateurs vitaux et des entités critiques. Adoptée en décembre 2022, elle devait être transposée dans le droit français avant le 17 octobre 2024, autrement dit, le gouvernement a bien déposé un projet de loi « résilience des infrastructures critiques » le 15 octobre 2024, intégrant NIS 2, DORA et la directive REC — pour Résilience des entités critiques, texte jumeau de NIS 2 visant la protection physique et organisationnelle des infrastructures essentielles. Mais après son adoption par le Sénat le 12 mars 2025, le texte reste bloqué à l’assemblée — conséquence d’un calendrier parlementaire chaotique. En mai 2025, la Commission européenne a d’ailleurs adressé à la France – comme à 19 autres pays membres – un rappel à l’ordre pour transposition incomplète.
Concrètement, les opérateurs dits « essentiels » ou « importants » restent dans le brouillard. La France n’a pas encore publié la liste officielle des entités concernées ni les décrets précisant les obligations techniques de conformité imposées par NIS 2 : exigences de cybersécurité, gestion des incidents, contrôle des sous-traitants, journalisation ou plans de continuité. Les modalités de contrôle et les sanctions administratives restent elles aussi à définir, tout comme la coordination avec DORA et la directive REC, qui s’appliquent en parallèle à certains secteurs critiques. Faute de texte d’application, les entreprises concernées ignorent encore qui les contrôlera, selon quels critères et à quel calendrier. Autrement dit, NIS 2 est, en France, transposée sur le papier, mais inapplicable dans les faits.
Et l’AI Act, en cale sèche
Quant à l’AI Act, il est bien entré en vigueur le 1ᵉʳ août 2024 à Bruxelles, mais la France n’a pas encore arrêté sa mécanique de régulation. Le gouvernement a opté pour une approche dite « distribuée », en s’appuyant sur les régulateurs existants plutôt que sur un organisme unique : une vingtaine d’autorités — CNIL, ARCOM, ARCEP, ANFR, ANSM, HAS, ACPR, DGPR, DGT, entre autres — seront concernées, selon leurs champs de compétence sectoriels. La DGCCRF assurera le rôle de coordination nationale et de point de contact avec Bruxelles, épaulée par la Direction générale des entreprises (DGE) pour le pilotage stratégique et la représentation au Comité européen de l’intelligence artificielle. La CNIL restera en première ligne sur les usages à haut risque touchant aux droits fondamentaux ; l’ARCOM se verra confier la transparence des systèmes génératifs et la lutte contre les contenus trompeurs ; tandis que l’ANSSI et le PEReN fourniront un appui technique transversal pour l’évaluation et la sécurité des modèles.
En clair, Paris a choisi un modèle polycentrique, calé sur la logique sectorielle européenne : un système souple, mais encore en phase de rodage. Les textes d’application nationaux — désignation formelle des autorités, procédures de contrôle et régime de sanctions — sont attendus d’ici à mi-2026, avant la pleine applicabilité du règlement en août 2026.
Une souveraineté numérique en kit
Nous le voyons, en France, le pouvoir numérique ressemble à un puzzle dont personne ne détient la boîte. Le ou la ministre du Numérique, censé incarner la souveraineté numérique de l’État, porte un titre plein de promesses, mais dépourvu de véritable autorité. Son rôle est avant tout politique, pas hiérarchique. Il ou elle impulse, coordonne, arbitre parfois, mais ne commande rien. Car les vraies manettes du numérique public sont ailleurs, soigneusement gardées à Matignon.
L’ANSSI, gardienne de la cybersécurité nationale, relève directement du Premier ministre via le Secrétariat général de la défense et de la sécurité nationale (SGDSN). La DINUM, chargée de la transformation numérique de l’État et du pilotage interministériel des projets, lui est également rattachée. Deux directions essentielles, mais hors de portée directe du ministre du Numérique, contraint de composer avec des arbitrages interministériels et des administrations jalouses de leur autonomie.
Autour de ce noyau gravite une constellation d’autorités indépendantes. La CNIL, pour les données personnelles et l’intelligence artificielle, l’ARCEP, pour les réseaux et le cloud, et l’ARCOM, pour les plateformes numériques et les médias. Trois régulateurs puissants, garants chacun d’un pan de la régulation, mais sans coordination hiérarchique. Même la mise en œuvre du Digital Services Act (DSA), confiée à l’ARCOM en 2025, repose sur un simple réseau de coopération entre régulateurs, un « gentlemen’s agreement » plus qu’un commandement intégré.
Dans cet écosystème éclaté, le ministre du Numérique se retrouve dans la posture d’un médiateur sans levier : il tente de donner une cohérence à des institutions qui n’ont pas de comptes à lui rendre, d’unir des politiques publiques qui s’ignorent, et de maintenir une ligne stratégique que les textes, les budgets et les statuts contredisent.
Résultat : une gouvernance du numérique fragmentée, une souveraineté technologique à plusieurs vitesses, un État digital sans chef d’orchestre. Tout existe — les agences, les lois, les régulateurs, les ambitions — mais rien ne s’imbrique vraiment. La France numérique fonctionne comme un Ikea institutionnel : les pièces sont là, les manuels existent, mais personne ne tient le tournevis.
La DINUM, DSI sans réelle autorité
Même si au cœur du dispositif public, la Direction interministérielle du numérique (DINUM) devait incarner la DSI de l’État. Mais… Son positionnement est flou, son autorité limitée, et ses moyens dispersés, selon les sévères constats du rapport de la Cour des comptes publié le 10 juillet 2024.
Depuis 2019, la DINUM a davantage coordonné que piloté, sans parvenir à imposer une stratégie numérique unifiée à l’ensemble des ministères. La Cour souligne notamment l’absence de vision consolidée des dépenses numériques, la faiblesse des indicateurs de performance et un suivi insuffisant de la valeur publique créée par les projets.
Résultat : chaque ministère poursuit ses propres investissements, développe ses clouds et fait appel à ses prestataires. Le numérique de l’État fonctionne ainsi comme un système fédératif, où la mutualisation et les synergies demeurent l’exception.
Un exemple parmi d’autres : la « Suite Numérique », voulue comme un socle commun d’outils collaboratifs pour l’administration, devait incarner un pas vers la mutualisation. Mais le dispositif, encore limité à quelques usages pilotes, cristallise lui aussi les critiques : manque de vision produit, lente montée en charge, ergonomie inégale et concurrence directe avec les solutions européennes du marché.
Beaucoup y voient un symbole des ambitions contrariées de la DINUM : une volonté sincère de souveraineté numérique publique, mais sans moyens suffisants pour en assurer la réussite.
En réponse, le gouvernement a promis une meilleure articulation interministérielle et la mise en place d’un cadre de gouvernance renforcé. Mais le gouvernement ne cesse de changer. Sans véritable mandat d’arbitrage ni leviers budgétaires, la DINUM reste aujourd’hui un coordinateur sans pouvoir, dans un État numérique encore très fragmenté.
Le filtre anti-arnaque, ou la promesse fantôme
Le pire, c’est quand, derrière les effets d’annonce, les promesses présidentielles se heurtent aux inerties administratives. Le filtre anti-arnaque, pourtant inscrit dans la loi SREN, en est une illustration éloquente.
Prévu par l’exécutif et soutenu politiquement au plus haut niveau, le projet s’est enlisé dans les méandres de Bercy : la Direction générale des entreprises (DGE) a contesté la forme juridique initialement envisagée pour le confier au GIP ACYMA (qui pilote déjà la plateforme cybermalveillance.gouv.fr). Au lieu d’un simple transfert de mission, l’administration a imposé une « convention de mandat », puis lancé un marché en gré à gré évalué à 10,8 millions d’euros. Le GIP, déjà en place et techniquement prêt, a répondu avec une offre ramenée à 7,2 millions, mais Bercy n’avait prévu qu’une enveloppe de 5,9 millions. Résultat : le projet a été gelé, le financement partiellement révisé, et le calendrier repoussé sine die.
À l’Assemblée nationale, Jérôme Notin, directeur général du GIP ACYMA, a résumé la situation avec un calme désabusé : « Cette administration remet en cause les choix de son ministre, voire du président. » Autrement dit, même dans la lutte contre la cybercriminalité la plus élémentaire, la machine administrative reste plus puissante que la décision politique.
Tout n’est pas perdu : quelques progrès
ll serait injuste de tout noircir. Depuis 2017, la couverture 4G s’est nettement densifiée avec le New Deal Mobile (plus de 3 200 nouveaux sites 4G multiopérateurs mis en service au 30/09/2024, poursuite en 2025), ce qui a amélioré la qualité de service hors des grandes villes. Côté usagers, FranceConnect est devenu un réflexe d’accès aux services publics (plus de 43 millions d’usagers à l’été 2024). La vérification d’âge sur les sites pornographiques est désormais engagée et contrôlée par l’Arcom (mises en conformité en 2025, injonctions et retraits annoncés). Les normes d’accessibilité issues de l’European Accessibility Act sont entrées en vigueur le 28 juin 2025 pour une part des produits et services, obligeant les grands acteurs à corriger leurs interfaces.
Sur le cloud, le décret du 30 mai 2025 lance l’interopérabilité/portabilité sous la houlette de l’Arcep, qui publie ses recommandations techniques à l’automne 2025 ; en parallèle, l’écosystème SecNumCloud s’étoffe. Enfin, la coordination DSA est structurée par le réseau national piloté autour de l’Arcom, ce qui stabilise les circuits entre autorités.
Des avancées, certes lentes, mais réelles : la France numérique compile encore… mais certaines briques, elles, s’exécutent enfin.
Le grand art du reboot
Il faut reconnaître une forme de cohérence à l’exécutif : la réinitialisation systématique. À chaque remaniement, les priorités se redéfinissent, les équipes changent, les objectifs se réesquissent. Le numérique de l’État ne recule pas, il patine. Les lois s’accumulent (SREN, IA Act, NIS 2), mais leurs décrets tardent. Les promesses parlementaires, elles, survivent rarement à l’étape des arrêtés.
On pourrait sourire en disant que la France met l’agilité au niveau des annonces plus qu’à celui des actes. Mais derrière l’ironie, il y a un enjeu réel : donner au numérique public non pas un ministre éphémère, mais une durée politique, des moyens permanents et une cohérence institutionnelle capable de traverser les crises politiques.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
