Souveraineté numérique : l’heure des choix

Face à la domination persistante des géants américains et asiatiques, l’Europe, et la France en particulier, amorcent un réveil stratégique. La quête d’autonomie est désormais regardée comme une nécessité vitale par les gouvernements comme dans les entreprises et leurs DSI, mais sa concrétisation reste très inégale et le plus souvent longue à venir.

Face à la domination écrasante des géants américains, l’Europe prend enfin conscience de sa dépendance. Le réveil des politiques, les initiatives locales ou les succès encore isolés de quelques pionniers suffiront-ils face à des inerties persistantes et au manque de cohésion européenne ? Si la reconquête de l’autonomie numérique est désormais perçue comme un enjeu vital, sa mise en application va prendre du temps.

La fin de l’angélisme, le temps de l’action ?

Le sujet de la souveraineté numérique n’est pas tout à fait nouveau, mais il a pris ces derniers mois la lumière avec une intensité inédite. Il faut dire que les événements se sont succédé pour accélérer la prise de conscience, chez les politiques comme chez les dirigeants d’entreprise, que quelque chose n’allait plus. Et si l’arrivée de Donald Trump au Capitole en janvier dernier a marqué les esprits, ce ne sont pas forcément ses executive orders plus ou moins cohérents qui les affolent. Les DSI sont beaucoup plus préoccupés par le renforcement de l’omnipotence des GAFAM, alignés en rangs d’oignons lors de la cérémonie d’investiture du président des USA, pour bien marquer à la fois leur allégeance et leur certitude qu’avec lui, les affaires vont pouvoir continuer.

Et des affaires, ils en faisaient déjà beaucoup : 65 % des dépenses d’infrastructures sur le cloud public dans le monde vont aux trois grands hyperscalers US (source Canalys, T1 2025), et les quelques miettes qui restent traversent aussi en grande majorité l’Atlantique (Oracle, IBM, etc.). Côté logiciels, la domination est toute aussi écrasante, avec un top 100 mondial quasiment exclusivement installé aux USA, les quelques exceptions européennes se comptant sur les doigts de la main. Ce n’est pas plus brillant lorsque l’on regarde l’origine des composants de base de nos infrastructures, avec cette fois-ci une domination des asiatiques, tempérée par la réussite d’un Nvidia aux États-Unis, mais surtout sans contrepoids européen une fois encore : STMicroelectronics a même annoncé des licenciements en France il y a quelques mois, malgré un Chip Act lancé en grandes pompes en 2022 par Bruno Lemaire, dont les investissements les plus visibles ont jusqu’à présent surtout profité aux fondeurs extra-communautaires, pour les aider à installer des usines sur nos sols.

Pas de raisons d’être surpris

Faut-il pour autant tomber des nues et se dire que rien de tout cela n’était prévisible ? Certainement pas. Les signaux se sont multipliés ces dernières années. Et en 2024, bien avant la réélection de Donald Trump, le Cigref avait publié un document prospectif très intéressant (voir encadré page 55) dont un chapitre entier était consacré à la question de la souveraineté numérique, en envisageant plusieurs scénarios à échéance 2040. Ce rappel est bien utile pour tous ceux qui semblent découvrir le sujet : comment ne pas penser à la sortie du PDG de TotalEnergies en avril lors du dernier FIC, s’inquiétant à voix haute de ce que des données sensibles de son entreprise puissent être stockées sur des infrastructures directement menacées par les mesures d’extraterritorialité associées au Cloud Act ? Quant aux politiques qui saupoudrent désormais leurs discours d’appels vigoureux à renforcer la souveraineté – dans toutes ses composantes et pas seulement la numérique –, difficile d’oublier que ce sont les mêmes, jusqu’à Bruxelles, qui ont pris des mesures allant en sens contraire. Il y deux ans, la Commission européenne avait même nommé au poste d’économiste en chef à sa direction de la concurrence, l’américaine Fiona Scott Morton, précédemment au service de plusieurs GAFAM.

Fin de l’aveuglement

Elle a certes démissionné suite aux protestations de plusieurs pays, en particulier la France. Mais l’épisode illustre bien l’aveuglement qui a prévalu jusqu’ici dans nos instances par rapport aux USA notamment – moins avec la Chine désignée depuis longtemps comme une puissance à combattre. Il y a pourtant un domaine où, historiquement, le positionnement par rapport à l’allié américain a fait l’objet de beaucoup de précautions : « Lorsqu’il parlait d’autonomie stratégique, au sens militaire, le Général de Gaulle visait à ce que la France soit maîtresse de son destin, sans tourner le dos à ses alliés. Cela permet la coopération, et évite la vassalisation », rappelle Guillaume Poupard, ancien directeur de l’ANSSI et désormais DGA de Docaposte.

Dans son domaine de prédilection de la cyber, cette autonomie revendiquée sur le plan militaire a permis dès 2008 que le sujet remonte au plus haut niveau, celui de l’Elysée. « Cette réflexion très précoce, et les moyens qui lui ont été consacrés, expliquent sans doute l’excellent niveau de cette filière en France. » Mais a contrario, le volet connexe de l’IT n’a pas été considéré comme un sujet de sécurité nationale, « ce qu’il n’est d’ailleurs pas », reconnaît Guillaume Poupard.

Des entreprises livrées à l’appétit des GAFAM

Sauf que du coup, les entreprises et les citoyens ont été livrés à l’appétit des GAFAM et des éditeurs américains notamment. Avec des stratégies de commercialisation extrêmement agressives qui les ont amenés non seulement en tête des classements, mais qui ont aussi contribué à tuer la concurrence… quitte à la racheter à coup de milliards de dollars, une broutille au regard de leurs capitalisations boursières.

C’est bien cette dépendance qui est aujourd’hui sur la sellette dans les Comex et les DSI, au-delà d’autres considérations géopolitiques qui relèvent des gouvernements et de la Commission européenne. Car cet asservissement coûte très cher. Le Cigref s’est livré en janvier dernier à une estimation (voir page précédente) : 264 Md€ de dépenses de logiciels et de services partent chaque année outre-Atlantique, et quelque deux millions d’emplois.

On pourra critiquer la méthode de calcul, mais l’ordre de grandeur fait frémir. Surtout, il ne prend pas en compte d’autres conséquences comme celles relevées par le récent Wasabi Cloud Storage Index 2025 selon lequel 62 % des entreprises européennes ont dépassé leur budget cloud en 2024, et 56 % considèrent que les frais cachés liés à l’accès aux données freinent leurs projets IT. À la clé, des retards sur leur concurrents internationaux et aussi, comme on l’a vu lors du dernier rapport de Numeum sur le ralentissement des perspectives du marché des services IT en France, tout un secteur qui souffre (-2,1 % sur 2025).

Autre sujet d’inquiétude, la dépendance de fonctionnement de nos entreprises et de nos administrations, au cas où pour une raison ou pour une autre, les fournisseurs américains décidaient de couper les robinets. Un scénario évoqué par Guillaume Poupard – encore lui – et son successeur à la tête de l’ANSSI Vincent Strubel il y a trois mois devant le Sénat pour expliquer que, SecNumCloud ou pas, les clouds de confiance comme Bleu ou S3ns construits en partenariat et sur les technologies de grands acteurs US, présentaient bien ce talon d’Achille. Et l’actualité n’est pas avare d’exemples : ainsi le 12 juin dernier, une panne mondiale a mis hors d’usage de nombreux services sur l’internet. Cloudflare, pointé du doigt, a expliqué que l’erreur avait été commise chez un fournisseur tiers, mais a assumé sa responsabilité : « Nous sommes en fin de compte responsables des dépendances que nous avons choisies et de la façon dont nous décidons “d’architecturer” autour d’elles. » Une honnêteté qu’on aimerait voir partagée par tous.

Combattre l’immobilisme et la résignation

Mais alors, par où commencer ? Sur les réseaux sociaux professionnels, certains s’indignent des décisions qui sont encore prises dans des ministères ou à Polytechnique pour continuer d’utiliser des solutions américaines. Ils ont raison par rapport au discours ambiant sur la souveraineté. Mais tort si l’on considère l’état de l’offre française ou européenne, ses performances et ses prix. La suite de ce dossier, qui passe en revue les grandes filières – cyber, cloud, IA, logiciel ou composants – le confirme, non sans laisser quelques motifs d’espoirs.

L’autre motif d’indignation, c’est l’immobilisme ou du moins la lenteur des prises de décision concrètes. Pas de modification des règles de commande publique, pas de Small Act européen pour protéger nos PME. A contrario, la production de réglementations diverses et variées avance bien ! On peut les considérer comme des mesures protectionnistes, au moins de nos valeurs, et l’administration Trump comme les lobbyistes américains à Bruxelles ne se privent pas d’enfoncer ce clou. Mais elles handicapent aussi nos propres représentants. CEO et fondateur de Netscape en 2007, l’éditeur d’une suite collaborative hébergée en France, Bertrand Servary le confirme : « Nous avons besoin d’aide pour le business, le recrutement, la R&D… Pas forcément d’un SecNumCloud, une norme très pointue mais déconnectée du marché. »

À la recherche des bons rails

La sortie de l’ornière ou, pour filer une autre métaphore liée à la mobilité, la remise sur les rails d’une IT à l’européenne va certainement prendre du temps. Il faudra des textes – pas trop –, une unité européenne que Donald Trump a peut-être heureusement contribué, mieux que quiconque, à mobiliser. Et de la persévérance une fois le chemin trouvé.

On peut en attendant saluer des initiatives, souligner des réussites concrètes. Par exemple, dans le secteur public et dans des collectivités aux prises avec des budgets serrés, les « débranchements » de Microsoft Office au profit de solutions open source. Ou cet appel à une « Trajectoire d’Indépendance numérique Européenne » des Interconnectés, représentant 22 métropoles, 101 départements, 18 régions, 1 250 intercommunalités, 35 000 communes, soit a minima 1,5 Md€ dépensés chaque année auprès d’acteurs économiques qui ne sont pas européens.

Impossible aussi de ne pas citer les efforts de la Dinum pour faire émerger une alternative open source dans les domaines bureautique et collaboratif, en collaboration avec plusieurs autres États européens. Il y a également des entreprises qui avancent sur la voie du renforcement de leur autonomie par rapport aux acteurs américains, comme France Télévisions qui vient de préférer Scaleway pour l’hébergement et le traitement des données liées à ses programmes (fiction, divertissement, magazine…) et le co-développement des outils nécessaires pour héberger des services de streaming dans sa plateforme cloud. Un accord présenté comme « une étape décisive dans la construction d’une alternative cloud européenne pour le secteur audiovisuel (et) une réponse concrète à l’enjeu de souveraineté numérique ».

Soulignons aussi les efforts d’acteurs nationaux qui n’ont pas attendu les discours des politiques pour identifier des besoins d’autonomie chez leurs clients, et ont développé des réponses techniques de haut niveau, propres à séduire une clientèle internationale qui se fiche du drapeau, mais compte ses sous. C’est le cas de Vates : cet éditeur français, au départ dans la galaxie Citrix avec un hyperviseur, s’est ensuite développé en créant une solution plus œcuménique, qui traite de toutes les machines virtuelles, y compris et bien sûr VMware : « Après son rachat par Broadcom, ce sont d’abord les DSI américains qui sont venus vers nous, car ils ont senti très vite ce qui allait se passer. Ils voulaient se libérer de l’emprise de leur fournisseur », explique Olivier Lambert, son CEO. Ce dernier est persuadé, à l’exemple de sa structure, qu’il est possible de développer des solutions pertinentes en Europe et d’y rester positionné, à condition que les DSI osent aujourd’hui prendre les décisions, certes un peu moins automatiques qu’avant, mais qui ménageront leur avenir.

En finir avec l’angélisme

C’est une autre façon de dire ce que notre chroniqueur, Thomas Chejfec, dans sa récente « Parole de DSI », appelait le choix de la liberté contre celui du confort, en évoquant le remplacement, viable économiquement mais toujours difficile à imposer aux utilisateurs, de Microsoft 365 par une alternative open source. Chez IT for Business, nous entendons monter cette petite musique depuis quelques mois. Et nous nous disons « enfin ! », car cela marquerait la sortie d’une période où il nous était très difficile de trouver un interlocuteur qui remettait en question des « évidences » comme le move to cloud, le cloud au centre ou encore le choix des solutions des GAFAM.

La crainte serait que ce réveil salutaire soit de courte durée, et que les Européens se laissent à nouveau gagner par une espèce d’angélisme par rapport à la concurrence américaine. Et on peut compter sur le rouleau compresseur de son marketing, des baisses de prix opportunes ou le travail de ses lobbyistes pour œuvrer en ce sens. Nous avons par exemple reçu il y a quelques semaines à la rédaction un communiqué de Broadcom qui nous faisait la leçon sur tout ce que l’économie européenne avait à gagner avec l’existence d’un cloud souverain. Morceau choisi : « Au-delà de la conformité réglementaire, le cloud souverain représente un avantage stratégique pour les entreprises, leur offrant plus de contrôle sur leurs données, une meilleure autonomie technologique et une réduction des risques liés aux dépendances étrangères… » De la part de Broadcom ! Sérieux ?

Ce réveil ne doit pas non plus être éphémère parce qu’il faudra du temps pour que de nouvelles règles commerciales se mettent en place, de nouveaux mécanismes de protection de nos pépites, des filières industrielles pour reconstituer ce qui a été détruit ou n’a pas pu être construit depuis 30 ans. « Avec NumSpot, nous faisons le pari de fournir l’offre de services dont les entreprises qui le souhaitent auront besoin pour se rendre autonomes, avec des niveaux de performances ou de sécurité équivalents à ceux des meilleurs, mais avec moins de fonctionnalités. Ils ont pris trop d’avance », explique Guillaume Poupard à propos du cloud promis par le consortium dont Docaposte fait partie. « On peut réussir en se spécialisant, pas en cherchant à concurrencer les plus grands », confirme Bertrand Servary.

Il faudra du temps aussi pour reconstituer des expertises systèmes, en administration de réseaux, bref sur tout ce qu’il est convenu d’appeler les couches « basses » de nos infrastructures. Elles se sont envolées lorsque les DSI ont acheté l’idée qu’ils pouvaient s’en passer puisque les hyperscalers s’occupaient de tout ou presque. « Rien ne sert de disposer des meilleures technologies souveraines si personne ne sait les faire tourner », explique Olivier Lambert, qui s’est rapproché de l’université de Grenoble pour « recréer des filières presque ex nihilo. Il n’y a même plus d’enseignants sur ces sujets. » En attendant les premières promotions, « ce sera aux éditeurs et aux intégrateurs d’assurer la transition ». Ou à cette école « 18.06 » – comme le jour de l’Appel de Londres –, qui ouvre à la rentrée et se veut un acteur de la souveraineté numérique et stratégique française, avec une double offre de formation inédite : numérique et sciences politiques.

« Consommer local, cela marche aussi dans l’IT et c’est bon pour la planète comme pour l’économie », veut croire Bertrand Servary. Comme le bio alors ? Filons là aussi la métaphore : manger des avocats produits à 10 000 km et cueillis pour cela avant maturité, ou confier un centre de contacts à des sociétés implantées loin des clients, ne nous fait assurément pas de bien. Et croire que le digital et la dématérialisation sont sans patrie et sans terroir était sans doute une erreur. À nous de la réparer et de ne pas nous obstiner dans nos erreurs. Après tout, nous ne sommes pas des Shadocks.

---

3 questions à
Eric Le Quellenec, associé, Flichy Grangé Avocats
« Un risque majeur serait que le président américain abroge le CPD »

Avez-vous constaté une évolution dans l’attitude des entreprises et de leurs DSI face aux fournisseurs non européens ?

Oui, très nettement depuis environ un an. La perspective de la réélection de Donald Trump a ravivé les craintes autour de l’accord CPD (Cadre de Protection des Données), signé en juillet 2023 pour succéder au Privacy Shield après l’arrêt « Schrems II ». Anticipant son éventuelle remise en cause, de nombreuses entreprises intègrent désormais à leurs appels d’offres des clauses visant à se prémunir contre les effets d’extraterritorialité. Certaines, notamment les plus grandes, s’inspirent fortement des exigences de SecNumCloud, sans forcément adopter des offres labellisées.

De leur côté, les fournisseurs américains ont-ils évolué ?

Au-delà des protestations virulentes contre les politiques de régulation européenne, ils s’alignent lorsqu’un texte devient effectif. C’est le cas avec Dora depuis le début de l’année. Il faut dire que le règlement inclut des mécanismes de « name and shame », voire d’inscription sur des listes noires, pour les sociétés qui ne le respecteraient pas. 

Qu’est ce qui pourrait faire bouger les lignes dans les prochains mois, sur le plan juridique ?

Un risque majeur serait que le président américain abroge le CPD par un simple executive order — ce qui est tout à fait possible, même s’il ne l’a pas encore fait. À l’inverse, une avancée positive serait que l’Europe simplifie ses normes, notamment en cybersécurité, via un texte unique et une régulation harmonisée. Mais qu’il s’agisse de souveraineté ou de cyber, la solidité de l’ensemble dépend toujours du maillon le plus faible. Il est donc essentiel de ne pas compromettre l’avenir en laissant subsister des points de fragilité. Sinon, nous resterions vulnérables face à des décisions arbitraires prises ailleurs.

---

Le Cigref veut croire à une embellie pour 2040

Le rapport stratégique du Cigref paru fin 2024 envisage plusieurs scénarios pour le futur, et se fixe 2040 comme ligne d’horizon. La prudence l’a incité à séparer le probable et le désirable. Dans le premier cas, les GAFAM et BATX devraient conserver leur domination mondiale grâce à leur avance technologique et financière. Leur stratégie d’expansion se poursuivra, tandis que l’Europe restera dépendante de ces géants. Quelques partenariats, comme ceux de Capgemini et Thales, permettront des offres de cloud souverain, sans pour autant garantir une réelle autonomie numérique à l’Union européenne. Dans la seconde hypothèse, l’Europe aura pu réduire le nombre de ses dépendances dans l’espace numérique et maîtriser les autres : « Elle est capable de fonctionner en mode dégradé en cas de rupture d’approvisionnement ou d’arsenalisation d’une dépendance, elle a aussi mis en place divers outils et processus pour limiter son exposition à ces risques. » Le Cigref veut croire que les valeurs qu’elle promeut renforcent son attractivité, attirant les talents de l’industrie numérique en plein essor. Mais reconnaît que sans une Union européenne forte et cohérente, ce n’est pas le scénario le plus optimiste qui s’écrira. 

---

Le Sénat veut faire cesser le bradage de la souveraineté publique

Alors que l’État dépense 400 Md€ par an, la commande publique continue d’alimenter les dépendances qu’elle prétend combattre. La France affirme soutenir ses PME, mais les noie sous des procédures complexes. Elle veut verdir ses achats, mais sacrifie l’exigence au moins disant. Une commission sénatoriale alerte : l’État achète trop souvent contre ses propres intérêts.

Le rapport met en cause la DAE (Direction des achats de l’État), censée coordonner les achats interministériels, la DAJ (Direction des affaires juridiques) de Bercy, en charge du cadre réglementaire et le CGDD (Commissariat général au développement durable), garant des objectifs environnementaux, incapables de mettre en place une stratégie d’achat cohérente. Cas emblématique : le Health Data Hub, toujours hébergé chez Microsoft alors qu’il était prévu de le rapatrier vers une solution souveraine… il y a deux ans déjà (voir page 6). 

La commission recommande un pilotage fort, confié au Premier ministre, un débat annuel au Parlement, la simplification des procédures en particulier pour les collectivités locales,
et la création d’un passeport commande publique qui centraliserait tous les justificatifs administratifs d’un fournisseur pour simplifier les réponses aux appels d’offres. Elle appelle à réserver 30 % des marchés aux PME, à appliquer la loi SREN sur les données sensibles, à généraliser les clauses environnementales et à renforcer la transparence via une base interopérable.

---

À LIRE AUSSI :

Gouvernance

Entre Cigref, collectivités et éditeurs, 50 nuances de souveraineté IT en débat

Thierry Derouet

26 Sep