L’Union européenne à l’épreuve de sa souveraineté numérique

Dans un contexte d’interconnectivité numérique croissante, l’Union européenne se trouve dans une situation de dépendance critique : selon le Cigref, 80 % des dépenses européennes en logiciels et en services cloud professionnels, soit 265 milliards d’euros, bénéficient à des entreprises américaines.

Par Pierre-Yves Hentzen, Président et CEO de Stormshield

Cette captation massive souligne une perte de maîtrise sur des outils désormais essentiels à l’autonomie stratégique, à la continuité économique, et à la sécurité nationale. Comme le rappelle le récent lancement d’un Observatoire de la souveraineté numérique, cette question est désormais au cœur de l’agenda politique français. Car, au-delà des mots, c’est une capacité d’action qu’il faut renforcer. En sécurisant les transferts de données, en maîtrisant les technologies de chiffrement, en développant des infrastructures certifiées, et en affirmant une gouvernance collective de la donnée. Alors, face à la montée des tensions géopolitiques qui fragmentent le monde et à la complexité des menaces numériques, il devient crucial d’ancrer cette exigence dans toutes les décisions touchant à l’innovation, à la régulation et à la gouvernance. Au-delà des cadres techniques et des réglementations, c’est une culture du numérique souverain qu’il faut faire émerger, reposant sur une vision partagée entre États, acteurs économiques et citoyens.

Les dangers d’une non-souveraineté technologique

La souveraineté numérique désigne la capacité d’un Etat ou d’une entité à maîtriser ses infrastructures technologiques, à contrôler ses données, à développer ses propres solutions numériques et à garantir la conformité de ses usages aux différentes réglementations. S’il ne fait pas le choix de cette souveraineté, un pays devient dépendant d’acteurs technologiques étrangers, ce qui limite sa marge de manœuvre stratégique, freine l’innovation locale, et le rend potentiellement sujet à de l’espionnage, voire de l’ingérence.

L’Europe fait aujourd’hui face à une trop forte dépendance aux technologies étrangères. Ce qui expose les infrastructures critiques européennes à des ruptures d’accès ou des hausses de coûts spectaculaires (jusqu’à 4 000 % pour certains composants comme observé ces dernières années). Cette fragilité est accentuée par une dépendance aux matières premières, notamment les composants et leur chaîne de valeur associée.

À cela s’ajoutent des risques liés à la cybersécurité. Les données des entreprises européennes, qu’elles soient militaires, industrielles, commerciales ou politiques, se retrouvent exposées à des lois extraterritoriales – à l’image du Cloud Act américain. Dans des domaines sensibles comme la défense, l’énergie ou l’industrie, ces menaces compromettent à la fois la sécurité, la compétitivité et l’autonomie stratégique. Ces constats soulignent l’urgence de renforcer la souveraineté numérique de l’Europe, un enjeu désormais central.

Les réponses européennes face à ce constat

Pour répondre aux enjeux de souveraineté numérique, l’Europe a engagé une stratégie structurée, fondée sur plusieurs leviers complémentaires.

D’un point de vue réglementaire, des cadres comme le RGPD, le Cyber Resilience Act ou encore le schéma EUCC (European Cybersecurity Certification Scheme) posent les bases d’un numérique souverain, aligné sur des standards européens. Ces textes visent à instaurer des règles claires, protectrices pour les citoyens et structurantes pour les acteurs économiques.

La coopération entre États membres est un pilier essentiel pour garantir la cohérence des actions à l’échelle continentale, entre le partage d’informations, le développement de normes communes et le renforcement de capacités de réponses aux incidents. De plus, la recherche et développement bénéficie de financements ciblés, avec l’objectif d’accélérer l’innovation souveraine dans des secteurs clés comme la cybersécurité, le cloud, l’informatique quantique ou l’intelligence artificielle (IA). Afin de consolider la position de l’Union européenne sur la scène mondiale et de renforcer la recherche et l’innovation en Europe, la Commission européenne alloue plus de 7,3 milliards d’euros dans le cadre de son programme de travail Horizon Europe 2025, dont 1,6 milliards pour le développement de l’IA.

En parallèle, l’Union soutient le développement de solutions de cybersécurité européennes. Mais malgré les discours récurrents sur la nécessité de faire émerger des « champions européens », sa mise en œuvre concrète reste timide. Pour exemple, selon un baromètre Ipsos et Yousign, bien que 78 % des décideurs reconnaissent l’importance des solutions technologiques locales, seuls 32 % d’entre eux en font une priorité dans leurs décisions d’investissement. Se pose alors la question de mesures plus affirmées : doit-on aller jusqu’à instaurer une préférence européenne dans les marchés publics ? Faut-il envisager des quotas pour encourager le recours à des technologies issues de l’écosystème européen ?

Mitiger les risques en faisant des choix souverains et éclairés

En effet, comment passer d’une stratégie européenne bien intentionnée à une souveraineté numérique réellement tangible ? Faut-il envisager des obligations à utiliser des technologies européennes ?

Pour les acteurs économiques et institutionnels, il devient essentiel de faire des choix souverains pour avoir le contrôle sur leurs données. Ces derniers doivent veiller à la conformité des produits et services face aux exigences européennes, tout en effectuant un choix éclairé en termes de solutions, en connaissance des risques géopolitiques et technologiques. Il est en effet judicieux d’effectuer un arbitrage conscient entre enjeux géopolitiques, sécuritaires et stratégiques. Cependant, la question d’une potentielle limite dans la hiérarchisation des critères de sécurité, d’origine et d’interopérabilité doit être soulevée et examinée attentivement. Il est crucial de déterminer si un critère doit primer sur un autre en toutes circonstances, ou si une approche plus nuancée, dépendant du contexte et des objectifs spécifiques, serait plus appropriée. Par exemple, dans certains cas, la sécurité pourrait être la préoccupation primordiale, tandis que dans d’autres, la traçabilité de l’origine ou la fluidité de l’interopérabilité pourraient prendre le pas. Une analyse approfondie de ces interactions complexes est nécessaire pour éviter les écueils d’une hiérarchisation trop rigide qui pourrait compromettre l’efficacité globale du système ou du service en question.

Dans un paysage numérique marqué par l’instabilité et les menaces croissantes, s’appuyer sur des produits qualifiés par une autorité nationale de cybersécurité européenne, comme l’ANSSI en France, permet de poser des fondations solides en matière de confiance et de sécurité. Cette qualification repose sur un processus d’évaluation rigoureux et multidimensionnel. Elle comprend notamment un audit complet du code source, destiné à vérifier la qualité du développement, à identifier d’éventuelles vulnérabilités et à s’assurer du respect des bonnes pratiques. Elle implique aussi un contrôle spécifique de l’absence de portes dérobées. Aucune fonctionnalité cachée ne doit permettre un accès non autorisé au système, condition essentielle pour garantir la confidentialité, la confiance dans la solution et prévenir tout risque d’espionnage.

Des tests de robustesse sont également menés pour évaluer la résistance du produit face à des attaques simulées ou à des conditions extrêmes, afin de s’assurer qu’il saura faire face à des menaces réelles. Enfin, l’ensemble de la chaîne de production, de la conception aux mises à jour, fait l’objet d’un contrôle strict pour garantir que la sécurité est maintenue tout au long du cycle de vie du produit.

Pour les acteurs européens, il est impératif d’intensifier les partenariats technologiques (co-développement, licences, fusions-acquisitions) et d’investir massivement, en soutenant universités et start-ups. La formation et la rétention des talents numériques (ingénieurs, experts) sont également cruciales, via des programmes adaptés et des salaires compétitifs. Enfin, défendre les valeurs et standards réglementaires (protection des données, éthique IA) offre un modèle « à l’européenne » et un avantage concurrentiel.

En fin de compte, face à la montée des tensions géopolitiques et à la complexité des menaces numériques, il devient crucial d’ancrer cette exigence dans toutes les décisions touchant à l’innovation, à la régulation et à la gouvernance. Face à la dépendance technologique croissante et à l’extraterritorialité de certaines législations étrangères, le développement d’une souveraineté numérique passe par des actions concrètes, entre maîtrise du chiffrement, encadrement juridique des transferts de données, et soutien à des infrastructures certifiées et européennes. Dans cette perspective, le développement de la cybersécurité française pourrait s’appuyer sur un ancrage renforcé au secteur de la défense, où la complémentarité croissante entre usages civils et militaires offrirait l’opportunité de consolider un socle industriel souverain.

À LIRE AUSSI :

Cloud

La souveraineté selon SAP : pragmatique, hybride, européenne

Thierry Derouet

2 Sep

À LIRE AUSSI :

Gouvernance

67 propositions pour cesser de brader la souveraineté publique

Thierry Derouet

15 Juil

À LIRE AUSSI :

Gouvernance

Souveraineté numérique : l’USF alerte sur une dépendance devenue critique

Laurent Delattre

4 Juin

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !