Anne Le Hénanff :« La souveraineté numérique, c’est politique » 

Souveraineté, SecNumCloud, dépendances, commande publique, NIS 2, plateformes : pour Anne Le Hénanff, le numérique n’est plus un débat de techniciens, mais une question de pilotage. Dans cet entretien, la ministre explique sa méthode – « mesurer, réduire, arbitrer » –, défend une approche « par le risque » et affirme sa volonté d’aider la filière à passer à l’échelle avec l’aide de l’Europe.

---

Entretien avec Anne Le Hénanff, ministre déléguée chargée de l’Intelligence artificielle et du Numérique

---

C’est un de ses premiers entretiens au long cours depuis sa nomination. À Bercy, dans le bureau de la ministre, Anne Le Hénanff pose les choses dans l’ordre, à commencer par une définition du terme « souveraineté numérique ».
Le moment n’a rien d’innocent. La question est revenue comme un boomerang quand S3NS, mi-décembre 2025, a annoncé la qualification SecNumCloud 3.2 de son offre PREMI3NS. Avec à la clé, des débats réactivés autour du label, ce qu’il protège ou pas. Raison de plus pour peser ses mots autour du sujet du moment.

La souveraineté, c’est un mot qui fait débat ?

C’est un mot fort et je l’ai assumé dès mon arrivée. Le lundi matin, je prenais mes fonctions, et le mercredi soir, j’étais devant le Cigref. C’est là que j’ai utilisé ce terme dès ma première prise de parole. Mais en préambule, définir ce que j’entends par « souveraineté numérique » me paraît utile, parce que nous n’en avons pas tous la même définition.

Pour moi, la souveraineté numérique repose sur trois piliers. Le premier, c’est l’accompagnement d’une offre industrielle – start-up et entreprises technologiques – via des dispositifs comme la French Tech ou France 2030 que nous portons, mais aussi par des choix politiques forts, notamment en matière de commande publique. L’idée est claire : soutenir une filière technologique française et européenne, l’aider à émerger, à se développer, à gagner en visibilité et en compétitivité, pour qu’elle devienne un réflexe, dans le public et dans le privé.

Le deuxième pilier, c’est la mesure de nos dépendances technologiques, parce que les mesurer permet ensuite de les réduire. L’objectif n’est pas de prétendre à 100 % d’autonomie, mais de tendre au maximum vers une baisse de ces dépendances. C’est le sens des Rencontres de la souveraineté numérique que j’ai organisées à Bercy le 26 janvier dernier pour le coup d’envoi de deux démarches complémentaires : l’Observatoire de la souveraineté numérique, que nous confions au Haut- Commissariat à la Stratégie et au Plan, et l’Indice pour la résilience numérique, une initiative privée pour un outil à la main des entreprises.

Enfin, le troisième pilier, c’est le respect de nos valeurs : une conception européenne de la technologie qui place l’humain, les droits fondamentaux, l’environnement, la durabilité et la transparence au coeur.

En résumé : soutenir l’offre, réduire nos dépendances, respecter nos valeurs – et faire de ces valeurs un avantage compétitif.

Vous préférez évoquer une « préférence européenne » plutôt que nationale. Pourquoi cette nuance ?

Je la préfère parce que ces défis ne peuvent être relevés qu’avec la puissance de l’Europe. C’est tout l’objet du travail que nous menons avec Roland Lescure à Bruxelles. La logique qui sous-tend cette approche est très concrète : il faut assumer le fait que nous avons des pépites, des entreprises qui ne demandent qu’une chose – passer à l’échelle – et que la commande publique et privée va leur permettre de se développer et de jouer les premiers rôles à l’international.

Vous insistez sur la mesure des dépendances. Comment passe-t-on du constat à une trajectoire de réduction qui ne reste pas théorique ?

La mesure, c’est d’abord faire un constat lucide : nous sommes encore trop dépendants, notamment de grands acteurs étrangers dans le domaine du numérique. Faire ce constat, c’est déjà singulier. Par le passé, on ne se posait pas de question : les organisations allaient vers Microsoft, par exemple, de manière naturelle.

Mesurer, ça permet de dire : sur ce point-là, sur ce chantier-là – je pense notamment au cloud – nous pouvons réduire. Je ne dis pas de 100 %. Je dis : tendre au maximum vers une réduction.

Et il faut mesurer, pour ne pas parler dans le flou. Soit on devient fataliste, soit on agit. Être fataliste, ce n’est pas la position du gouvernement, ni celle du Premier ministre, ni la nôtre avec Roland Lescure : nous avons des dépendances, essayons de les réduire. Nous avons pris beaucoup de retard, par exemple sur le cloud, mais nous avançons, grâce à une politique d’innovation et à des évolutions réglementaires et législatives à la fois au niveau national et au niveau européen.

L’autre nouveauté, c’est de voir ce sujet remonter au plus haut niveau de l’État ?

La souveraineté numérique, c’est politique. La cybersécurité, comme la politique de la donnée ou le déploiement de l’intelligence artificielle, c’est du pilotage. Et le pilotage se fait au plus haut niveau des organisations. Les techniciens sont essentiels pour leurs compétences, mais c’est une décision de dirigeant : c’est à lui de choisir où il sauvegarde ses données, quel niveau minimum de cybersécurité il impose, comment il utilise l’IA dans son organisation et comment il la diffuse auprès de ses salariés. Le Premier ministre l’a affirmé : c’est aujourd’hui un sujet régalien.

Le régalien se décide, se pilote, s’anticipe, se maîtrise au plus haut niveau de l’État.

Le référentiel SecNumCloud cristallise les débats, mais occupe une place essentielle dans cette maîtrise régalienne. Qu’en attendez-vous aujourd’hui ?

SecNumCloud a deux ambitions : protéger nos systèmes d’information, et protéger nos données – notamment les plus stratégiques, les plus sensibles – des lois extraterritoriales. Nous ne ciblons pas un pays ou une entreprise en particulier. Simplement, nous disons : les données françaises, nous y tenons, elles doivent être protégées.

Cette qualification permet d’empêcher que des systèmes d’information soient fragilisés, qu’il y ait, par exemple, une suspension de service, et que des données sensibles et stratégiques partent dans des pays étrangers. C’est cela, l’objectif.

Ensuite, il faut une approche par le risque. Toutes les données n’ont pas vocation à être protégées de la même manière. Les entreprises doivent faire ce travail de cartographie sur la sensibilité de leurs données : ce qui est stratégique, ce qui l’est moins, ce qui relève de clouds robustes, qualifiés, ou de clouds internes.

Le risque zéro n’existe pas. Le rôle du politique et de ceux qui font la politique numérique, c’est d’anticiper ces risques et de les réduire. Réduire nos dépendances, c’est aussi réduire les risques.

Sur quoi repose votre raisonnement lorsque vous expliquez que sur des solutions hybrides comme Bleu et S3NS, le risque de coupure n’existe pas ?

S3NS a déjà atteint la qualification SecNumCloud. Bleu y travaille. Derrière ces solutions hybrides, il y a un transfert de technologie fait par des acteurs américains – Google pour S3NS, Microsoft pour Bleu. Mais il y a surtout une étanchéité totale, exigée par la qualification : c’est une obligation. Et la qualification est très exigeante : 1 200 items à valider, et plusieurs années de travail pour atteindre le niveau imposé par l’ANSSI.

Le risque de coupure sur ces solutions qualifiées n’existe pas, puisqu’elles sont entièrement à la main d’acteurs français. Pour Bleu : Orange et Capgemini. Pour S3NS : Thales. Il y a une étanchéité totale. En revanche, nous – gouvernement – demandons de veiller à ce que les données sensibles et stratégiques ne soient pas hébergées sur d’autres clouds non qualifiés SecNumCloud afin qu’elles ne soient pas soumises à des lois extraterritoriales. C’est aussi le rôle de l’ANSSI de veiller, notamment pour les OIV, à ce que les données aillent dans des clouds suffisamment robustes.

Prévoir, anticiper et limiter les risques, c’est le rôle du politique. C’est à lui de dire quand, dans certains cas, il faut muscler notre arsenal. Ma boussole, c’est la Revue nationale stratégique publiée l’été dernier par le SGDSN, et la stratégie nationale cyber – que nous aurons vocation à annoncer, avec le Premier ministre, dans les semaines à venir.

Concernant NIS 2, qu’est-ce qui bloque encore ?

Nous n’avons pas terminé le chemin législatif. Les sénateurs ont voté la loi Résilience [NIS 2 est dans la loi Résilience, NDLR] et il y a deux autres directives européennes à transposer : DORA et REC [Directive européenne sur la Résilience des Entités Critiques, NDLR]. Les sénateurs ont fait leur travail. Il revient maintenant à l’Assemblée nationale de faire le sien. Mais à ce jour, nous ne savons pas quand elle étudiera le texte. Ce n’est pas un secret, il y a un engorgement suite au travail sur le budget.

Je souhaite bien sûr que NIS 2, DORA et REC soient transposées le plus rapidement possible. Cela donnera lieu à des débats, comme d’habitude au Parlement, et c’est une bonne chose. Ma seule inquiétude serait une surtransposition, alors qu’une directive fixe des niveaux minimum.

Comment entendez-vous peser sur les choix des acteurs publics, notamment suite aux recommandations de la Dinum ?

Nous agissons déjà, comme vous le savez. Laurent Marcangeli, lorsqu’il était ministre [de l’Action publique, de la Fonction publique et de la Simplification au sein du gouvernement Bayrou, NDLR], s’est approprié ce sujet de manière prioritaire. Nous continuons dans cette voie. Avec Roland Lescure et David Amiel, nous avons réuni l’ensemble des acheteurs publics, notamment des ministères, pour assumer une logique de préférence européenne dans la commande publique numérique : l’État doit être exemplaire.

On ne peut pas prétendre être souverain, être autonome, si nous-mêmes, acheteurs publics, nous n’accompagnons pas l’offre industrielle. Lorsqu’il existe des acteurs privés, français ou européens, qui ont un outil répondant à un besoin de l’État, ceux-ci doivent être privilégiés.

La commande publique est un levier : pour l’État, sur mon périmètre, c’est presque 5 Md€ d’achats numériques. Et nous prenons des décisions concrètes : par exemple, 10 000 agents ont désormais accès à un agent conversationnel fondé sur l’IA générative de Mistral. Cette expérimentation est une première étape, nous en suivons avec attention les résultats et nous entendons généraliser l’accès d’outils d’IA français pour les agents publics dans les mois à venir.

Au niveau européen, au premier semestre 2026, nous allons aussi mener la révision du cadre de la commande publique. La France est moteur avec l’Allemagne : c’était un des engagements pris lors du sommet de Berlin, où nos deux pays ont affirmé qu’il fallait aller vers une préférence européenne dans la commande publique – une avancée inédite, je tiens à le souligner.

Le privé aussi a son rôle à jouer. Nous, le public, prenons notre part, avec la commande publique et les passages à l’échelle. Mais les grands groupes doivent agir également : on ne parle pas de 4,7 Md€ ici, mais de dix fois plus, plus de 40 Md€ rien que pour les très grandes entreprises sur le périmètre cloud et logiciels. Enfin, n’oublions pas les collectivités, qui ont un rôle crucial à jouer. Le code des marchés publics, quand il est pleinement utilisé, leur donne des leviers.

Comment éviter qu’à l’issue d’un appel d’offres, le « moins-disant » l’emporte systématiquement, même sans solution souveraine ?

Je me rappelle qu’en tant qu’acheteur public, quand j’étais à la mairie de Vannes ou à l’agglomération, nous introduisions un pourcentage significatif sur le critère de l’achat durable, donc environnemental. Et je plaide pour que soit intégrés des coefficients qui portent, par exemple, sur la résilience ou la cybersécurité. Ce n’est pas interdit dans le code des marchés publics. Il est également possible de prendre en compte les aspects énergétiques, pour les data centers notamment.

Il y a en ce moment des débats en Europe sur la simplification, avec des impacts potentiels sur l’AI Act ou le RGPD notamment. Où est la ligne rouge ?

Nous ne pouvons pas ignorer les retours des entreprises. La position de la France est de ne pas opposer régulation et innovation. Et globalement, les pays européens sont du même avis.

Concernant le règlement IA, certaines dispositions techniques ne sont pas abouties. Or, il est demandé aux entreprises de se mettre en conformité avec des dispositions imprécises, floues. Décaler de 12 mois la mise en œuvre de certaines obligations de ce règlement est donc une décision de bon sens. Ce n’est pas un retour en arrière, c’est au contraire permettre une mise en œuvre sereine du texte, sans précipitation. Surtout, il n’y a pas de retour en arrière sur les risques inacceptables, qui constituent la colonne vertébrale du texte.

Je suis très attachée à la protection des données et les Français le sont aussi. On ne revient pas sur les fondements du RGPD, mais nous procédons à des simplifications ciblées pour harmoniser : en France, le texte est appliqué stricto sensu, et ce n’est pas forcément le cas ailleurs. Nous allons vers une mise en oeuvre égale partout en Europe, avec le même niveau d’exigence. Mais la France ne s’engagera pas dans un détricotage du RGPD.

Enfin, à propos des données de santé, vous savez que les Français tiennent à leur protection. Nous disposons de la certification HDS et il n’est pas question de mettre en péril cette protection.

Comment lutter contre l’« enfermement algorithmique » dont seraient victimes les mineurs sur les réseaux sociaux ?

Nous avons instauré le DSA et le DMA pour contrôler et faire appliquer notre vision européenne. Mais la technologie va très vite, l’IA générative crée de nouveaux usages : il faut s’adapter aussi rapidement.

Aujourd’hui, les mineurs en sont les premières victimes parce qu’il n’y a pas de mode d’emploi pour des enfants, qui ouvrent en moyenne un premier compte sur les réseaux sociaux dès huit ans et demi ! Ils sont des proies faciles pour l’enfermement algorithmique, la désinformation et l’exposition à des contenus haineux et violents. Les parents sont souvent désarmés – et ils subissent aussi.

L’idée n’est pas de stigmatiser ces derniers, mais plutôt de se dire que nous ne pouvons pas rester spectateurs. Il faut protéger nos populations. Mais la régulation ne suffit pas : l’éducation est clé. C’est tout le sens du travail mené avec le ministère de l’Éducation nationale sur l’esprit critique, le rapport à l’information et l’encadrement des usages, notamment avec l’interdiction du portable au lycée. C’est un problème auquel aucun pays n’échappe. Si nous n’y prenons pas garde, nous pouvons être manipulés. Ce n’est évidemment pas ce que je souhaite.

Notre approche consiste donc à demander aux plateformes de respecter leurs obligations, notamment de modération, ainsi que le droit européen et le droit national. Sinon, nous interviendrons. Au niveau européen, la France joue un rôle moteur dans ce combat. Notre Parlement vient de voter en première lecture un texte pour protéger les plus jeunes d’une exposition trop précoce aux réseaux sociaux : c’est indispensable pour leur permettre de grandir dans de bonnes conditions. Le consensus scientifique sur ce sujet est net, nous devons désormais obtenir un consensus politique.

Au risque d’un bannissement du territoire américain comme en est aujourd’hui victime Thierry Breton ?

Nous sommes totalement solidaires. Thierry Breton était mandaté par l’Europe, il a fait son travail. Je le rappelle : le DSA est un texte démocratiquement choisi par les représentants des 27 États membres. Face à l’attitude américaine, les décisions se prendront au niveau européen, collectivement, et la France sera bien sûr partie prenante.

D’ici un an, quel bilan aimeriez-vous pouvoir tirer de votre action et de vos avancées ?

Je ne suis au service que de mon pays. Et je suis ici pour mettre en oeuvre, aux côtés de Roland Lescure, sur tous ces sujets majeurs qui touchent au numérique et à l’intelligence artificielle, la vision du Premier ministre Sébastien Lecornu, qui m’a fait confiance pour participer à son gouvernement, et celle du président de la République.

Mon fil rouge, c’est la souveraineté numérique, vous l’aurez compris. Et parce que je vais beaucoup sur le terrain, que j’en tire des constats, je peux vous dire que je serai fière si j’ai réussi à diffuser l’idée que ce chemin vers la souveraineté est un travail collectif. Nous devons former une équipe de France du numérique et faire converger tous les acteurs – organisations professionnelles, gouvernement, collectivités, entreprises – pour aller dans le même sens. Le temps presse.

J’espère aussi que dans un an, on pourra dire que la France a mis en place rapidement des mesures, à commencer par la majorité numérique, pour protéger sa population contre des comportements prédateurs et dangereux en ligne. C’est absolument fondamental.

Propos recueillis par Thierry Derouet / Photos de Maÿlis Devaux

À LIRE AUSSI :

DSIN

Thierry Breton aux DSIN de l’année : « La confiance s’est effondrée »

Thierry Derouet

20 Mar