Gouvernance

DINUM-DITP : fusion stratégique ou aveu d’impuissance du numérique d’État ?

Par Thierry Derouet, publié le 04 mai 2026

En annonçant la fusion de la DINUM et de la DITP, Sébastien Lecornu promet de « remettre de l’ordre » dans le numérique public. La formule résume l’urgence : des cyberattaques qui se multiplient, des clouds internes peu mutualisés, des outils souverains inégalement adoptés, une IA publique encore en phase de test et, au fond, une question de gouvernance que l’État repousse depuis des années : qui pilote réellement son système d’information ?

Il faut remettre de l’ordre dans notre organisation numérique. La formule, publiée sur X par Sébastien Lecornu dans le prolongement de ses annonces du jeudi 30 avril 2026, donne le ton. Ce jour-là, le Premier ministre présente un plan de renforcement de la protection numérique de l’État lors d’un déplacement à l’Agence nationale des titres sécurisés (ANTS), devenue France Titres. Deux semaines plus tôt, l’agence avait été touchée par une fuite massive de données concernant potentiellement 11,7 millions de comptes [1][2].

Dans ses messages, Sébastien Lecornu lie clairement la réorganisation à la menace cyber. « La multiplication des vols de données par des cyberattaques est une réalité. Des millions de Français sont concernés », écrit-il. Il cite les services publics du quotidien (hôpitaux, éducation, impôts) et évoque, dans les scénarios les plus graves, la possibilité pour un adversaire de « paralyser le pays ».

La réponse annoncée est à la fois budgétaire, opérationnelle et institutionnelle : 200 millions d’euros mobilisés sur France 2030, fléchage des futures amendes de la CNIL vers un fonds de modernisation du numérique, 5 % des budgets numériques ministériels consacrés au cyber dès 2027, tests de crise, y compris des scénarios de « black-out numérique », et recours à l’IA pour détecter les failles.

Mais la mesure la plus structurante tient à la fusion de la DINUM et de la DITP pour créer une Autorité nationale du numérique et de l’IA, placée sous l’autorité du Premier ministre, chargée d’« imposer des règles de sécurité à l’ensemble des ministères ».

Le mot important est là : imposer. Pour un DSI, il marque une rupture. L’État ne parle plus seulement de coordination, de doctrine ou de bonnes pratiques. Il parle d’autorité, de règles et d’arbitrage.

Une DSI groupe sans les leviers d’une DSI groupe

La DINUM devait déjà incarner cette maîtrise. Elle devait être, sinon la DSI groupe de l’État, du moins son point d’appui numérique : cloud, données, grands projets, communs, produits interministériels. Mais l’État n’est pas une entreprise. Ses ministères ne sont pas des filiales. Chacun conserve ses budgets, ses priorités, ses marchés, ses architectures, ses habitudes et parfois ses dettes techniques.

La Cour des comptes a résumé cette fragilité en des termes prudents mais sévères. Les repositionnements successifs de la DINUM ont « altéré sa capacité à piloter une politique interministérielle à fort impact » (Cour des comptes, Le pilotage de la transformation numérique de l’État par la direction interministérielle du numérique, 10 juillet 2024, p. 17) [3].

Le diagnostic est clair : une direction peut être placée au centre sans disposer du pouvoir nécessaire pour imposer une trajectoire. La DINUM peut conseiller, animer, recommander, produire des feuilles de route. Mais sans maîtrise budgétaire, sans veto réel, sans autorité suffisante sur les ministères, elle reste une direction centrale dont le pouvoir dépend largement de l’adhésion des autres.

C’est un problème classique pour les grands groupes. Il devient plus difficile encore dans l’État, où chaque ministère défend ses contraintes, ses risques et son autonomie.

Nubo et Pi, ou la mutualisation qui ne prend pas

Le cloud interne de l’État illustre cette difficulté. Nubo et Pi devaient constituer des infrastructures souveraines, sécurisées et mutualisées. Dans les faits, ils restent très marqués par leurs ministères d’origine.

La Cour des comptes constate que « la part d’interministériel pour les clouds Pi et Nubo plafonne à 5 % » (Cour des comptes, Les enjeux de souveraineté des systèmes d’information civils de l’État, 31 octobre 2025, p. 67) [4]. Nubo reste utilisé à plus de 90 % par la DGFiP. Pi demeure essentiellement le cloud du ministère de l’Intérieur.

L’État a donc financé des infrastructures pensées pour être communes, mais consommées comme des outils ministériels. Le coût n’est pas anecdotique : 55,8 millions d’euros pour Nubo entre 2016 et 2024, avec des montants comparables pour Pi [4]. Mais le vrai sujet est moins la dépense que son rendement : l’infrastructure n’a pas produit l’effet de masse attendu.

La DINUM avait d’ailleurs identifié le risque. Dès 2021, elle alertait sur le fait que « disperser les énergies sur des offres multiples et non coordonnées dans plusieurs ministères ne peut que conduire à un échec à moyen terme » (ibid., p. 67) [4]. Quatre ans plus tard, la Cour décrit précisément ce scénario.

Des outils souverains qui peinent à devenir des réflexes

Le même écart apparaît avec les outils communs des agents publics. Tchap, Visio, FranceTransfert : l’intention est compréhensible. L’État veut réduire ses dépendances, sécuriser les échanges et proposer des alternatives maîtrisées aux outils du marché.

Mais un outil souverain ne devient pas un standard par décret. La Cour décrit la suite numérique de l’agent public comme une offre « peu lisible et instable », encore « inconnue de la plupart des agents » (Cour des comptes, Le pilotage de la transformation numérique de l’État, 10 juillet 2024, p. 82) [5].

Le cas Tchap est révélateur. L’État finance une messagerie sécurisée, la présente comme un outil souverain, puis Matignon recommande à ses ministres et cabinets d’utiliser Olvid. Les raisons peuvent se discuter (sécurité, chiffrement, ergonomie, usages sensibles) mais le symbole est difficile à ignorer : l’État peine à faire de son propre outil un réflexe au sommet.

Visio pose une question voisine. Faut-il que la DINUM développe elle-même des outils ? Ou doit-elle structurer un marché français et européen capable de fournir des alternatives robustes, maintenues et réellement adoptées ? Derrière le débat technique, c’est le rôle même de la DINUM qui est en jeu : stratège, opérateur, éditeur, acheteur, incubateur, architecte. À force de cumuler ces fonctions, la direction s’expose à une critique de dispersion.

Les Startups d’État, ou la limite du prototype permanent

La DINUM n’a pas seulement produit des doctrines. Elle a aussi porté une certaine idée du numérique public avec les Startups d’État, réunies autour de beta.gouv.fr. Le principe était séduisant dans une administration longtemps marquée par les grands projets longs et coûteux : partir d’un problème concret, constituer une petite équipe, tester vite, mesurer l’usage, corriger, puis décider si le service mérite de grandir.

Ce modèle n’est pas marginal dans l’histoire de la DINUM. L’incubateur de services numériques de la direction est présenté comme l’incubateur interministériel à l’origine de l’approche Startup d’État. Il pilote beta.gouv.fr, édite le site, outille et anime le réseau des incubateurs publics.

Il serait injuste d’en nier les réussites. Démarches simplifiées, Pix, SignalConso, Mon-entreprise ou TrackDéchets ont montré qu’un service public numérique pouvait naître autrement : plus près du terrain, plus vite, avec moins de cérémonial et davantage d’attention aux usages.

Mais cette méthode, utile pour sortir de l’immobilisme, rencontre une limite lorsqu’elle devient le principal mode de production. La Cour rappelle que plus de 450 produits numériques ont été étudiés ou développés, pour 172 millions d’euros dépensés depuis 2019 par l’incubateur de la DINUM ou d’autres incubateurs publics. Seuls 24 ont atteint le statut de service à impact national (Cour des comptes, Le pilotage de la transformation numérique de l’État, 10 juillet 2024, p. 9) [6].

La statistique ne condamne pas l’expérimentation. Elle en montre le prix. Une bêta peut échouer ; c’est même une partie de sa logique. Mais l’État n’est pas un fonds d’amorçage. Il doit savoir arrêter proprement, reprendre ce qui fonctionne, mutualiser ce qui peut l’être, financer la maintenance, garantir la sécurité et transformer les meilleurs produits en actifs publics durables.

Le numérique public sait lancer. Il sait parfois réussir. Il peine encore à industrialiser.

Albert, ou l’IA publique à l’épreuve des usages

C’est ici qu’Albert devient central. Derrière la fusion DINUM-DITP, le véritable enjeu des prochaines années n’est pas seulement le cloud ou la messagerie. C’est l’IA.

En février 2025, Clara Chappaz et Laurent Marcangeli annonçaient une stratégie destinée à accélérer le déploiement de l’IA dans tous les ministères, au service des agents et des usagers [7]. Albert devait en être l’un des symboles. D’abord assistant conversationnel, puis socle API, il porte désormais l’ambition d’une IA mutualisée, sécurisée, capable d’éviter le shadow AI et de proposer une alternative publique aux grands outils américains.

Le repositionnement est cohérent. L’État n’a pas seulement besoin d’un chatbot. Il a besoin d’une couche IA commune : modèles, RAG, OCR, classification, recherche documentaire, gouvernance des usages.

Mais les ordres de grandeur imposent la prudence. Les chiffres publics évoquent plus de 70 projets et 100.000 requêtes par semaine. Dit ainsi, le volume paraît significatif. Rapporté aux 5,7 millions d’agents publics que la stratégie IA entendait toucher, cela représente environ 0,07 requête par agent et par mois.

Ce ratio ne disqualifie pas Albert. Il remet simplement le projet à sa juste place : un socle en expérimentation avancée, pas encore une IA d’État industrialisée. L’État sait ouvrir des portes. Il doit maintenant démontrer qu’il sait faire entrer les usages.

L’ANSSI, indispensable mais pas suffisante

La place de l’ANSSI doit être clarifiée. L’agence reste une autorité cyber solide, reconnue et indispensable. Sa feuille de route 2026-2027 rappelle que les incidents et fuites de données touchant ministères et établissements publics ont mis en évidence des fragilités persistantes [8].

Mais l’ANSSI n’est pas l’architecte général du numérique public. Elle peut prescrire, contrôler, accompagner, intervenir. Elle ne peut pas transformer seule un paysage applicatif dispersé en système cohérent.

Une source proche du dossier formule d’ailleurs cette réserve : si la réforme répond d’abord aux failles de sécurité et aux vols de données, « n’est-ce pas déjà en partie le rôle de l’ANSSI ? » La question oblige à préciser le partage des rôles. L’ANSSI fixe les exigences de cybersécurité et coordonne la réponse. Mais elle ne pilote pas, à elle seule, les choix d’architecture, de cloud, d’outillage, de données et d’IA des ministères.

La fusion DINUM-DITP peut donc avoir un sens si elle renforce la chaîne de décision cyber sans brouiller les responsabilités. La sécurité ne se traite pas en bout de chaîne. Elle dépend des fondations : identités, cloud, réseaux, données, applications, supervision, gouvernance.

L’État n’a pas seulement besoin de mieux se défendre. Il doit mieux organiser ce qu’il construit.

Une fusion ne suffira pas

La création d’une Autorité nationale du numérique et de l’IA peut être une étape importante. À condition de ne pas rester un nouvel étage administratif.

« J’espère que cette fusion ne sera pas un gadget », confie une autre source proche du numérique public. La formule résume le risque : changer l’organigramme sans changer les leviers.

Le mot choisi par Sébastien Lecornu – « imposer » – est donc décisif. Il reconnaît implicitement la limite de la coordination. Mais imposer suppose des moyens : budget, veto, normes opposables, arbitrage des grands projets, doctrine cloud contraignante, gouvernance IA, capacité à arrêter les mauvais projets comme à industrialiser les bons.

Sans ces leviers, la fusion ajoutera une structure, une feuille de route et un acronyme. Avec eux, elle pourrait donner à l’État ce qui lui manque depuis longtemps : un pilote numérique capable de faire exécuter ce qu’il décide.

Le problème du numérique public n’est plus le manque de discours. Les discours existent. La souveraineté est proclamée. Le cloud est prioritaire. L’IA est stratégique. La cybersécurité est vitale.

Le problème est désormais plus concret : l’État sait-il transformer ses priorités en plateformes, en standards, en usages et en services réellement adoptés ?

À l’heure où les données fuient et où l’IA redessine les administrations, la réponse ne pourra plus tenir dans une doctrine. Elle devra se voir dans l’exécution.

Sources

À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights