Aller au contenu
NNextHop
← Retour au blog
CloudEuropeOpen SourceSecNumCloudSouveraineté

La souveraineté numérique française : dépendances structurelles et déficits de pilotage (2014-2026)

Depuis plus d'une décennie, la France affirme vouloir reconquérir sa souveraineté numérique. Mais derrière les discours, la trajectoire suivie raconte autre chose : la construction progressive d'un cadre juridique et technique qui protège certaines données sensibles contre l'extraterritorialité du droit américain, sans rompre la dépendance technologique aux hyperscalers. À partir du cas du Health Data Hub, des arbitrages sur le cloud de confiance et des diagnostics répétés de la Cour des comptes, cette enquête retrace comment des choix défendables à court terme ont installé une dépendance de long terme.

Par Sylvain Rutten25 mars 2026

RESUME EXECUTIF

These centrale

Depuis 2014, la politique française de souveraineté numérique n'a pas produit l'indépendance technologique qu'elle affichait comme objectif. Elle a produit autre chose : un cadre réglementaire sophistiqué, l'un des plus exigeants au monde, qui garantit l'immunité juridique de certaines données françaises vis-à-vis du droit américain extraterritorial, tout en acceptant que les infrastructures qui les traitent restent technologiquement dépendantes d'acteurs américains. Ce résultat découle d'une série d'arbitrages successifs, défendables individuellement à court terme, dont l'accumulation a rendu la dépendance structurellement difficile à résorber.

Cette enquête documente les mécanismes concrets de ce glissement : un contrat passé sans mise en concurrence européenne en 2019, une série d'engagements publics de migration non tenus de 2020 à 2026, un cahier des charges dont l'évolution rapide a été contestée formellement par des parlementaires et par trois acteurs directement consultés, une architecture de certification qui traite l'immunité juridique et la dépendance technologique comme deux questions distinctes, et des textes de diagnostic institutionnel répétés dont les recommandations centrales n'ont pas été suivies d'effet.

Un angle sous-traité dans le débat public mérite d'être formulé avec précision : le modèle "cloud de confiance" fondé sur SecNumCloud 3.2 est présenté comme applicable aux données sensibles de l'Etat, y compris aux opérateurs d'importance vitale (OIV). Or SecNumCloud 3.2 ne couvre pas, et ne prétend pas couvrir, la question des injonctions classifiées du renseignement américain adressées aux maisons mères de Google et Microsoft. Pour un OIV dont les systèmes d'information commandent des infrastructures critiques nationales, ce périmètre non couvert mérite une attention doctrinale que les textes disponibles n'ont pas encore formellement apportée.

Chiffres structurants

IndicateurValeurSource
Contrat-cadre Microsoft UGAP (appel d'offres 2024)760 millions EUR estimésBOAMP, avis 24U025
Part d'usage interministériel des clouds publics d'Etat~5%Cour des comptes, oct. 2025
Délai d'accès aux données de santé (HDH)18 mois en moyenneCour des comptes, oct. 2025
Délai comparable au Royaume-Uni3 à 4 moisCour des comptes, oct. 2025
Capgemini : mission de préfiguration HDH (2019)1,9 million EURCommission d'enquête sénatoriale, fev. 2022
Surcoût estimé d'une offre SecNumCloud 3.2+15 à +20% vs cloud publicLeMagIT, dec. 2025
Exigences cahier des charges EMC2 (consultation nov. 2023)Passées de 165 à 262 en quelques semainesMichel Paulin (OVHcloud), post X du 30 déc. 2023
OIV recensés en France (12 secteurs d'activités vitales)~250 opérateursCode de la défense, art. R. 1332-1 ss.

I. L'héritage et le contexte : avant 2017

1.1 L'échec fondateur d'Andromède (2011-2019)

En 2011, le gouvernement Fillon lance le projet Andromède, doté d'une enveloppe de 150 millions d'euros répartie entre Cloudwatt (SFR-Orange) et Numergy (SFR-Iliad). Les deux structures, sous-capitalisées et sans demande publique captive suffisante, ferment leurs portes respectivement en 2015 et 2019.

(Fait établi) L'échec est documenté et non contesté. Il est régulièrement cité comme précédent dans les débats ultérieurs, sans qu'un bilan institutionnel formalisé en ait été produit dans les archives parlementaires accessibles.

1.2 La French Tech et l'orientation vers l'attractivité (2013-2016)

Lancée le 27 novembre 2013 par Fleur Pellerin et Louis Gallois, la French Tech est amplifiée par Emmanuel Macron, nommé ministre de l'Economie, de l'Industrie et du Numérique le 26 août 2014. Le dispositif est conçu comme un instrument d'attractivité des capitaux et de valorisation internationale des startups françaises, non comme une politique de substitution aux GAFAM dans les infrastructures critiques.

(Lecture analytique) Cette orientation est cohérente avec le contexte : cloud souverain en échec, alternatives européennes sans taille critique, priorité politique centrée sur la croissance et l'emploi. Elle a laissé le terrain libre aux hyperscalers américains pendant la période cruciale 2014-2019, sans qu'une intention délibérée de renonciation à la souveraineté soit nécessaire pour l'expliquer.

II. La politique cloud de confiance et ses architectes (2017-2022)

2.1 Cédric O : trajectoire et responsabilités

Cédric O intègre l'Elysée en 2017 comme conseiller numérique d'Emmanuel Macron et d'Edouard Philippe. Selon Contexte, il est alors "le principal artisan de la politique numérique du gouvernement, plus influent mais moins médiatique" que Mounir Mahjoubi. Nommé secrétaire d'Etat chargé du Numérique le 31 mars 2019, il occupe ce poste jusqu'en mai 2022.

(Fait établi) En mai 2018, il organise le sommet "Tech for Good" en marge de VivaTech, réunissant une cinquantaine de dirigeants du secteur dont les PDG de Facebook, Microsoft, IBM et Samsung. Ce format est caractéristique de l'orientation de l'époque : engagement coopératif avec les acteurs dominants plutôt que régulation distante.

2.2 Le choix Azure pour le Health Data Hub

Le 24 juillet 2019, la loi crée la Plateforme des données de santé (HDH). Le GIP contractualise l'hébergement avec Microsoft Ireland via l'UGAP, sans appel d'offres européen formalisé.

(Fait établi) Cédric O indique, lors de son audition sénatoriale du 2 février 2022, s'être appuyé sur Capgemini pour évaluer les options disponibles (1,9 million d'euros de mission de préfiguration). La conclusion de Capgemini, selon ses déclarations rapportées par Public Sénat, était que "seul Microsoft pouvait répondre au cahier des charges du HDH." Anticor a saisi le Parquet national financier en avril 2021 pour attribution irrégulière ; l'enquête était toujours en cours à la date de rédaction.

(Faits à contextualiser) Capgemini entretient un partenariat commercial de longue date avec Microsoft. La même entreprise a remporté en 2020 un marché UGAP d'intermédiaire central pour les offres cloud commerciales (incluant Azure), puis est devenue en 2024 actionnaire à 50% de Bleu, la co-entreprise distribuant Azure dans un cadre SecNumCloud. Cette superposition de rôles sur cinq ans conseil à la décision, distribution des services, copropriété de l'offre souveraine ne suffit pas à établir un conflit d'intérêts caractérisé ; elle constitue une configuration que la transparence aurait dû rendre visible bien avant cette enquête.

2.3 La chronologie des engagements non tenus

Octobre 2020 : Le Conseil d'Etat reconnaît "un risque pour le potentiel transfert de données vers les Etats-Unis." Cédric O annonce devant le Sénat que le gouvernement souhaite "transférer le Health Data Hub sur des plateformes françaises ou européennes."

Novembre 2020 : Olivier Véran s'engage par lettre à une "nouvelle solution technique" dans un délai "qui ne dépassera pas 2 ans."

Janvier 2022 : Cédric O déclare que la question "ne sera pas traitée avant la présidentielle" pour ne pas qu'elle soit "surdéterminée par des considérations politiques." L'Etat retire sa demande d'autorisation globale auprès de la CNIL.

Septembre 2022 : la directrice du HDH annonce une migration "horizon 2025."

Décembre 2023 : La CNIL autorise l'hébergement d'EMC2 chez Azure pour trois ans.

Février 2026 : Appel d'offres lancé pour une migration complète vers SecNumCloud, cible fin 2026.

(Fait établi) Six années séparent l'engagement de novembre 2020 de l'appel d'offres de 2026. Trois échéances ont été manquées. La décision de janvier 2022 a décalé de plusieurs mois une migration déjà repoussée depuis 2020.

2.4 L'évolution contestée du cahier des charges EMC2

En novembre 2023, la Délégation du Numérique en Santé, la DINUM et l'ANS consultent OVHcloud, NumSpot et Cloud Temple sur leur capacité à accueillir le projet EMC2.

(Fait établi) Le 30 décembre 2023, Michel Paulin (OVHcloud) rend publics sur X les termes de la consultation : le document de référence a connu six versions en quelques semaines, les exigences passant de 165 à 262. Il décrit "une course à obstacles où, chaque fois que vous avanciez d'un point, on rajoutait des critères." Les représentants de NumSpot et de Cloud Temple ont livré des témoignages concordants à 01net. Les trois acteurs avaient présenté des plans par étapes (6, 12 et 18 mois) qui ont été écartés. Le rapport de mission du 13 décembre 2023 conclut à l'absence de prestataire répondant aux exigences "dans un délai compatible avec les impératifs" du projet. Sur cette base, la CNIL autorise l'hébergement chez Azure pour trois ans, en "déplorant" ce choix. Philippe Latombe et la sénatrice Morin-Desailly adressent une lettre formelle à la Première Ministre dénonçant la "partialité du rapport de la mission."

(Inférence raisonnable) La concordance des témoignages, la dénonciation formelle par deux parlementaires, et l'exclusion de plans par étapes habituellement acceptés dans les procédures d'achat public constituent un faisceau qui appelle une instruction plus approfondie. Il n'est pas possible de déterminer depuis les sources disponibles si l'évolution du cahier des charges résultait d'une précision légitime des besoins ou d'une élévation délibérée des exigences. La distinction reste ouverte.

2.5 La trajectoire post-ministérielle de Cédric O

(Fait établi) La HATVP refuse par deux fois à Cédric O de rejoindre le conseil d'administration d'Atos. Il crée une société de conseil (Nopeunteo) et cofonde Mistral AI en avril 2023. En plein débat sur l'AI Act, selon Mediapart et Cafétech, il prend position contre la régulation de l'IA générative à rebours de sa posture en poste tout en siégeant simultanément au Comité de l'IA générative gouvernemental à titre de consultant. La sénatrice Morin-Desailly déclare publiquement qu'il dispose d'"une très forte influence sur le président de la République."

(Inférence raisonnable) Ce qui est documenté : le cumul de deux positions simultanées (conseiller gouvernemental sur l'IA, fondateur d'une entreprise directement concernée par la régulation IA), et des prises de position publiques cohérentes avec les intérêts de Mistral AI. Ce qui n'est pas établi par les sources disponibles : un lien causal direct entre ce cumul et des décisions gouvernementales spécifiques sur l'AI Act, ni que Mistral AI ait bénéficié de manière traçable des choix cloud opérés pendant le mandat ministériel 2019-2022. La sénatrice Morin-Desailly attribue une influence ; elle ne documente pas une décision qui en résulterait. Ces éléments constituent un faisceau qui justifie une vigilance institutionnelle, sans atteindre le seuil d'une démonstration.

III. La dimension financière : flux et architecture contractuelle

3.1 Le contrat-cadre Microsoft UGAP

(Fait établi) En 2024, l'UGAP publie un appel d'offres (référence 24U025) d'une valeur estimée de 760 millions d'euros hors taxes sur 72 mois pour la fourniture de produits Microsoft. L'accord-cadre dispense les acheteurs publics de leurs "obligations de publicité et de mise en concurrence." L'absence de politique d'achat orientant les administrations vers les offres souveraines lacune identifiée par la Cour des comptes signifie que ce mécanisme profite mécaniquement aux acteurs déjà référencés.

3.2 La superposition des rôles de Capgemini

2019 : mission de préfiguration HDH (1,9 million d'euros), conclusion orientant vers Microsoft. 2020 : marché UGAP d'intermédiaire central pour les offres cloud commerciales. 2024 : co-actionnaire de Bleu, co-entreprise distribuant Azure dans un cadre SecNumCloud.

(Fait établi) Aucune enquête administrative ou judiciaire publique ne porte sur ce cumul. Le signaler n'est pas en inférer une intention, mais constater une configuration qui, dans d'autres secteurs, aurait normalement appelé une évaluation préalable des risques de conflit d'intérêts.

3.3 L'insuffisance des investissements souverains

(Fait établi, source Cour des comptes 2025) Les clouds interministériels plafonnent à 5% d'usage interministériel, avec une tarification "jusqu'à 75% supérieure au coût de revient réel." La DINUM gère son périmètre avec 40 millions d'euros annuels (2014-2023). OVHcloud a consacré 350 millions d'euros à ses seules infrastructures en 2024. La Cour estime qu'un effort de 15 à 20 millions d'euros par an permettrait d'améliorer significativement l'attractivité des clouds publics.

Investissements cloud souverain : acteurs publics vs acteur privé européen (2024)Budget annuel en millions EUR

(Lecture analytique) Le ratio est saisissant et mérite d'être formulé directement : l'Etat dépense via l'accord-cadre UGAP environ 127 millions d'euros par an chez un seul éditeur américain plus de trois fois le budget annuel total consacré à l'ensemble de la politique numérique de l'Etat sur dix ans. OVHcloud, acteur européen sans aide publique significative, investit seul presque neuf fois ce que la DINUM dépense pour l'ensemble de son périmètre. La Cour des comptes estime à 15-20 millions d'euros supplémentaires par an le minimum nécessaire pour rendre les clouds publics compétitifs : c'est moins d'un sixième de la valeur annualisée du seul accord-cadre Microsoft.

IV. GAIA-X : de l'ambition européenne au forum multipartite

En juin 2020, Bruno Le Maire et Peter Altmaier annoncent GAIA-X comme un projet de cloud européen fondé sur la fédération d'acteurs, l'interopérabilité et l'indépendance vis-à-vis des législations extraterritoriales. L'association est formalisée en septembre 2020. Scaleway, OVHcloud, Deutsche Telekom et des institutions académiques s'y engagent.

(Fait établi) Dès le lancement, Microsoft, AWS, Google, Huawei et Alibaba entament des démarches d'intégration. La conférence annuelle de novembre 2021 à Milan est sponsorisée par les quatre. Scaleway annonce son retrait le même mois : son PDG Yann Lechelle déclare que "les hyperscalers américains et chinois ont un pouvoir indirect dans les décisions prises par le conseil d'administration, notamment via les comités techniques." Politico révèle que des membres du conseil d'administration expriment eux-mêmes des réserves sur ces présences. En 2022, Forrester qualifie GAIA-X de "machin statique." L'initiative se recentre sur les "espaces de données", un concept sans concurrence directe avec les hyperscalers sur l'infrastructure.

(Lecture analytique) La trajectoire illustre une asymétrie bien documentée dans les instances de normalisation multipartites : les acteurs aux ressources les plus importantes y exercent une influence durable. Clever Cloud témoigne qu'"assister à l'ensemble des réunions et assurer un retour dans les temps sur les documents relève pour nous de l'impossible." Si cette dynamique résulte d'une stratégie délibérée ou d'un effet structurel ordinaire, les sources disponibles ne permettent pas de trancher.

V. La distinction HDS / SecNumCloud : le coeur du dispositif juridique

5.1 Deux certifications, deux niveaux d'exigence

La certification HDS est fondée sur la norme ISO 27001 avec des exigences supplémentaires propres au secteur santé. Elle est obligatoire depuis 2018. Microsoft Azure en dispose.

La qualification SecNumCloud 3.2 couvre plus de 1 000 points de contrôle et exige que le prestataire soit intégralement contrôlé par une entité de droit européen. Microsoft Azure ne peut structurellement pas l'obtenir. La version 2 du référentiel HDS (Journal Officiel, 16 mai 2024) précise explicitement qu'elle "ne prévoit pas, à date, un alignement sur les exigences en termes d'immunité extraterritoriale proposées par le référentiel SecNumCloud V3.2 (notamment celles du paragraphe 19.6)" point renvoyé à une révision "au plus tard en 2027."

5.2 Ce que SecNumCloud certifie et ce que son objet déclaré n'inclut pas

(Fait établi) Le référentiel SecNumCloud 3.2 se définit comme un cadre de qualification portant sur la sécurité organisationnelle, technique et juridique du prestataire qualifié non comme un instrument de souveraineté technologique intégrale. Le §19.6 couvre l'immunité extraterritoriale de l'entité qualifiée vis-à-vis du droit non-européen. Il ne couvre pas les entités tierces dont cette entité dépend technologiquement.

Vincent Strubel, directeur général de l'ANSSI, l'a confirmé devant le Sénat le 28 mai 2024 : "D'après les analyses en droit demandées par l'ANSSI, ces offres sont en principe immunes au Cloud Act et FISA Act." Puis, sur la dépendance technologique aux éditeurs américains : "C'est un autre sujet. L'on n'est plus dans le champ d'application du SecNumCloud."

(Lecture analytique) "En principe" n'est pas un détail de style : l'immunité repose sur une analyse juridique commandée par l'ANSSI et non sur une jurisprudence américaine ayant statué sur des demandes présentées aux maisons mères concernant leurs filiales européennes qualifiées. La Section 702 du FISA autorise le gouvernement américain à contraindre les opérateurs américains de services de communication électronique à fournir des données sur des non-ressortissants, sans décision judiciaire préalable. Cette obligation pèse sur Google LLC et Microsoft Corporation, qui maintiennent les stacks opérées par S3NS et Bleu. L'immunité de la filiale au regard du §19.6 ne répond pas à la question de savoir si la maison mère peut recevoir une injonction FISA portant sur les logiciels, mises à jour ou accès d'infrastructure qu'elle maintient pour la filiale. Ce périmètre n'est pas auditable par construction, et l'ANSSI le reconnaît sans ambiguïté.

(Lecture analytique dimension OIV, registre : risque structurel plausible) Cette limite prend une signification différente selon l'acteur concerné. Pour une administration gérant des données sensibles, le risque résiduel non couvert porte sur une possible atteinte à la souveraineté informationnelle. Pour un OIV dont les systèmes commandent des infrastructures physiques critiques, le même risque de périmètre, s'il se matérialisait, porterait sur des informations dont la compromission pourrait avoir des effets sur des populations civiles. Cette distinction entre les conséquences potentielles est structurellement fondée dans la nature des systèmes. Elle n'établit pas qu'une telle matérialisation a eu lieu les deux périmètres appellent un traitement doctrinal différencié que les textes existants n'opèrent pas explicitement.

Couverture comparée : certification HDS v2 vs qualification SecNumCloud 3.2Niveau d'exigence par critère (estimation qualitative, 0-100)

(Lecture analytique) Le graphique porte un argument que les textes tendent à diluer : sur sept des huit critères, SecNumCloud co-entreprise et SecNumCloud acteur souverain pur sont quasi-identiques. Sur le huitième immunité FISA sur la stack sous-jacente l'écart est absolu (0 contre 95). C'est la seule dimension où la distinction entre les deux modèles est totale. Et c'est précisément celle que le directeur général de l'ANSSI a explicitement placée hors périmètre de son référentiel. La politique de "cloud de confiance" a réussi à fermer sept des huit dimensions du risque. La huitième est la seule qui reste ouverte et c'est la seule qui concerne directement les capacités du renseignement américain.

5.3 Ce que disent les décisions du Conseil d'Etat

(Fait établi) Dans ses décisions de novembre 2024 et mars 2026, le Conseil valide le recours à HDS comme garantie suffisante pour un hébergement temporaire, au motif que Microsoft Ireland "ne peut pas obtenir la qualification SecNumCloud en raison de son rattachement à un groupe soumis au droit américain", mais que les garanties organisationnelles (pseudonymisation, cloisonnement) et la durée limitée de l'autorisation justifient l'appréciation pragmatique retenue.

(Lecture analytique) La logique est cohérente en droit administratif. Elle ne résout pas l'écart entre la norme que la doctrine officielle prescrit (SecNumCloud pour les données sensibles) et la norme effectivement appliquée (HDS). Et le mécanisme installé reproduit cet écart à chaque cycle : l'absence d'alternative dans les délais requis justifie HDS comme standard de substitution, la durée limitée donne l'apparence d'une mesure transitoire, puis un nouveau cycle s'ouvre.

VI. Le dossier Health Data Hub : sept ans d'une migration annoncée

La loi du 24 juillet 2019 crée la Plateforme des données de santé. Le contrat avec Microsoft Ireland via l'UGAP est passé sans appel d'offres européen. OVHcloud figurait dans l'étude de réversibilité de 2019 comme alternative identifiée. L'absence d'appel d'offres a conduit à la saisine du PNF par Anticor en 2021 pour attribution irrégulière ; l'enquête était toujours en cours à la date de rédaction.

La chronologie des engagements non tenus est détaillée en section II.3. Ce qui ne peut être affirmé sans instruction complémentaire : que l'évolution du cahier des charges EMC2 résultait d'une intention délibérée d'écarter les alternatives plutôt que d'une précision progressive des besoins. Les deux hypothèses restent compatibles avec les faits disponibles.

6.1 2024-2026 : quatre décisions du Conseil d'Etat

Mars 2024 : rejet du référé contre la délibération CNIL du 21 décembre 2023.

19 novembre 2024 (n°491644) : rejet au fond. Garanties techniques et durée limitée validées.

25 juin 2025 : rejet du recours de Clever Cloud et Cleyrop. Le Conseil juge qu'aucune décision formelle n'ayant été prise, aucun recours n'est recevable.

20 mars 2026 (n°503159-504171) : rejet sur la délibération CNIL n°2025-014 autorisant DARWIN EU. Le Conseil reconnaît "l'existence d'un risque d'accès aux données personnelles par les autorités américaines" mais juge le dispositif proportionné.

6.2 Février 2026 : l'appel d'offres de sortie

(Fait établi) Le 9 février 2026, le HDH lance un appel d'offres pour une migration complète vers SecNumCloud, cible fin 2026. Les candidats identifiés par L'Informé incluent Cloud Temple-Atos et OVHcloud-Docaposte. Scaleway a renoncé à candidater, préférant attendre un marché "réellement souverain orienté cloud européen."

(Inférence à documenter) Le prestataire retenu déterminera si la migration réduit effectivement la dépendance technologique (stacks propres) ou en transforme la forme (stacks américaines qualifiées SecNumCloud). Dans ce second cas, le périmètre non couvert par SecNumCloud 3.2 documenté en section V.2 demeurerait structurellement non traité.

VII. Les diagnostics institutionnels répétés sans infléchissement

7.1 Le rapport Latombe (juillet 2021)

(Fait établi) Soixante-dix recommandations issues de 83 auditions : ministère du numérique de plein exercice, logiciel libre obligatoire, priorité aux solutions françaises dans la commande publique. Latombe a sollicité les cahiers des charges du HDH ; il en a obtenu une version partielle de la CADA deux ans après sa demande. Il co-signe avec Morin-Desailly la lettre dénonçant la partialité du rapport de mission EMC2. Son rapport est contemporain de la stratégie nationale cloud de mai 2021 : les deux textes coexistent sans dialogue visible, la stratégie retenant une définition de la souveraineté compatible avec les stacks américaines, le rapport parlementaire poussant vers une définition plus exigeante.

7.2 Le rapport cybersécurité 2023 et la Cour des comptes (2025)

(Fait établi) Un rapport parlementaire de mars 2023, rédigé notamment par Anne Le Hénanff, emploie l'expression "piège Microsoft" pour décrire le risque de dépendance à un éditeur dont la stratégie migre vers le cloud. Le rapport S2025-1479 de la Cour des comptes (31 octobre 2025) en reprend le diagnostic et l'approfondit : absence de cartographie des données sensibles par administration, clouds ministériels à 5% d'usage avec tarification dissuasive, circulaire "cloud au centre" affaiblie en 2023, stratégie nationale qui "s'est affirmée tardivement et toujours aujourd'hui de manière limitée." La Cour formule un jugement direct sur le HDH : "Une plateforme initialement moins performante, mais souveraine, aurait probablement permis un déploiement moins heurté" en référence aux 18 mois de délais d'accès contre 3 à 4 mois au Royaume-Uni.

VIII. SecNumCloud 3.2 et le modèle "cloud de confiance" : portée et limites

8.1 La qualification de S3NS

(Fait établi) Le 19 décembre 2025, l'ANSSI accorde à S3NS (Thales-Google) la qualification SecNumCloud 3.2 pour son offre PREMI3NS (IaaS, PaaS, CaaS). C'est la première qualification de cette ampleur accordée à une co-entreprise sur stack d'hyperscaler américain. Bleu (Orange-Capgemini-Azure) vise la même qualification pour le premier semestre 2026.

L'ANSSI qualifie S3NS de manière rigoureuse sur les dimensions auditables : isolement des données, accès des opérateurs, cloisonnement contractuel. Le programme PRISM a documenté que Microsoft, Google et d'autres opérateurs américains fournissaient au renseignement américain un accès aux données de non-ressortissants dans le cadre de la Section 702, avec obligation de non-divulgation. SecNumCloud 3.2, conçu après ces révélations, protège efficacement contre les demandes adressées à l'entité qualifiée française. Il ne répond pas, conformément à son objet déclaré, à la question des demandes adressées directement aux maisons mères américaines.

8.2 L'argument en faveur du modèle : défendable, avec une limite structurelle pour les OIV

(Lecture analytique) L'argument combine deux volets. Le volet pragmatique : en l'absence d'alternative européenne compétitive sur l'ensemble des segments stratégiques, imposer la pureté technologique placerait les administrations devant un choix binaire entre sécurité opérationnelle et conformité souverainiste. Le volet historique : avant SecNumCloud 3.2, les administrations utilisaient massivement des services cloud américains sans certification d'immunité extraterritoriale. Reprocher au modèle de ne pas couvrir le périmètre FISA sur la maison mère, c'est lui reprocher de ne pas être ce qu'il n'a jamais prétendu être.

Ces deux volets ont leur force pour le périmètre administratif. Leur application aux OIV appelle une distinction que les textes existants n'opèrent pas. La circulaire "cloud au centre" (2021, révisée 2023) s'adresse aux administrations de l'Etat. Les arrêtés sectoriels ANSSI applicables aux SIIV relèvent d'un corpus distinct, partiellement non public, dont le contenu précis sur les exigences d'hébergement cloud n'est pas intégralement accessible. Que le modèle de co-entreprise soit recevable pour les administrations ne détermine pas automatiquement ce que ces arrêtés imposent ou permettent pour les systèmes d'importance vitale.

Il existe par ailleurs une limite structurelle que la Cour des comptes formule avec précision : la dépendance d'un acteur utilisant des composants américains est d'une nature différente de celle d'une co-entreprise dont 100% du catalogue dépend d'un hyperscaler. La Cour cite le cas de l'Assurance Maladie, qui a "fait plier Broadcom sur les licences perpétuelles", comme exemple de levier que permet la diversification. Ce levier n'existe pas dans le modèle de co-entreprise.

8.3 Le périmètre non couvert : risque structurel et question doctrinale ouverte

(Fait établi) La Section 702 du FISA, reconduite en avril 2024, autorise la NSA à collecter des communications de personnes "raisonnablement supposées" être non-américaines sans mandat judiciaire, en contraignant les opérateurs américains à coopérer. Le Cloud Act (2018) permet d'exiger la fourniture de données stockées n'importe où dans le monde. Ces deux dispositifs s'appliquent à Google LLC et Microsoft Corporation.

(Inférence raisonnable risque structurel plausible, non exposition opérationnelle documentée) Une injonction FISA adressée à Google LLC ou Microsoft Corporation pourrait théoriquement porter sur les outils de développement, les API ou les mises à jour que ces entreprises maintiennent pour les infrastructures de S3NS et Bleu. Ce vecteur est structurellement plausible au regard du fonctionnement documenté du régime FISA ; aucune exposition opérationnelle de ce type n'est documentée à ce jour pour ces entités. Le risque structurel justifie une vigilance doctrinale ; l'exposition avérée, qui n'est pas établie ici, justifierait une interdiction.

(Lecture analytique) Les OIV sont définis par référence à l'indisponibilité qui "mettrait gravement en cause le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation." Les arrêtés sectoriels ANSSI applicables à leurs SIIV ne sont pas intégralement publics : il n'est donc pas possible de déterminer depuis les sources ouvertes s'ils traitent la question du périmètre FISA pour les co-entreprises sur stack américaine. L'argument "il n'existe pas d'interdiction explicite dans les textes publics" est un argument du silence, reproduit ici pour ce qu'il est, sans en inférer une lacune certaine.

Ce qui peut être établi depuis les sources publiques est plus précis : la doctrine officielle accessible (stratégie nationale cloud, circulaire "cloud au centre") ne distingue pas, dans ses formulations, les exigences applicables aux administrations de celles applicables aux OIV pour leurs SIIV. Si cette doctrine publique vaut pour les OIV, la limite de périmètre reconnue par l'ANSSI s'applique à des systèmes dont la criticité est d'un ordre qualitativement différent. Les arrêtés sectoriels non publics pourraient apporter une réponse à cette question. Leur absence du débat public est elle-même un fait notable.

Périmètre d'audit de SecNumCloud 3.2 selon le type de risque et l'acteur concernéCouverture effective (0 = non couverte, 100 = couverte et vérifiable)

Les deux séries sont identiques parce que SecNumCloud 3.2 couvre les mêmes dimensions pour les deux types d'acteurs, conformément à son objet. La question n'est pas de savoir si cet instrument est insuffisant il est rigoureux sur ce qu'il couvre. Elle est de savoir si la doctrine publique qui prescrit son usage a explicitement traité la différence de criticité entre ces deux périmètres. Les sources publiques disponibles indiquent qu'elle ne l'a pas fait.

IX. La position française en Europe

(Fait établi) La France pousse pour que l'EUCS intègre des critères d'immunité extraterritoriale équivalents à SecNumCloud 3.2, position plus exigeante que celle de plusieurs Etats membres. La négociation n'est pas conclue.

(Lecture analytique) Il existe une tension entre cette position dans les négociations européennes et la pratique nationale : une série de dérogations aux exigences SecNumCloud pour le cas le plus emblématique, validées par le Conseil d'Etat. La tension peut refléter une stratégie délibérée tenir une position de principe au niveau européen tout en gérant la contrainte opérationnelle nationale. Elle mérite d'être signalée : la France défend au niveau européen une norme dont l'ANSSI reconnaît qu'elle ne couvre pas, dans le cas des co-entreprises, la question des injonctions classifiées sur la maison mère américaine.

Sur les délais d'accès aux données de santé : 18 mois en France via le HDH, contre 3 à 4 mois au Royaume-Uni selon la Cour des comptes (2025). La comparaison est imparfaite systèmes de santé et cadres réglementaires différents mais significative en ce qu'elle provient d'un audit institutionnel français.

X. Etat des lieux au 25 mars 2026

Les clouds ministériels plafonnent à 5% d'usage interministériel. Il n'existe pas de cartographie nationale des données sensibles. La Section 702 du FISA a été reconduite en 2024. Le périmètre non couvert par SecNumCloud 3.2 pour les co-entreprises reconnu par l'ANSSI n'a pas été traité explicitement dans la doctrine publique applicable aux OIV.

Cette enquête ne peut pas établir : qu'une exposition opérationnelle des SIIV via le périmètre FISA des maisons mères a eu lieu, ni que les décisions opérationnelles documentées résultaient d'intentions délibérées de favoriser des intérêts privés. La distinction entre un mécanisme institutionnel produisant structurellement des résultats favorables à certains acteurs et une décision intentionnellement orientée vers ces résultats est analytiquement nécessaire. Le premier est documenté ici ; le second relèverait d'une instruction judiciaire dotée des pouvoirs idoines.

XI. Conditions d'une sortie de l'impasse : cinq pistes

Le diagnostic produit par cette enquête et par les rapports institutionnels qui la précèdent est convergent et répété depuis dix ans. Sa non-transformation en politique n'est pas une question de connaissance : les mécanismes sont identifiés. Elle est une question de volonté politique et de conditions structurelles. Les pistes suivantes ne sont pas des recommandations programmatiques : elles identifient les conditions minimales nécessaires pour que la trajectoire documentée soit infléchie, avec les obstacles réels à chacune.

Fléchage budgétaire contraint vers les clouds souverains purs. La Cour des comptes chiffre à 15-20 millions d'euros supplémentaires par an le minimum nécessaire pour rendre les clouds ministériels compétitifs. Ce montant représente moins de 15% de la valeur annualisée du seul accord-cadre Microsoft UGAP. L'obstacle n'est pas financier au sens strict : il est politique. Une clause de préférence tarifaire pour les offres souveraines dans les appels d'offres des administrations et une obligation de justification pour tout choix s'en écartant constitueraient des leviers immédiats sans modification législative majeure. La BPI France dispose des instruments pour abonder un fonds d'infrastructure cloud souverain en complément, sur le modèle des fonds sectoriels déjà opérés dans l'énergie et les semi-conducteurs.

Cartographie obligatoire des données sensibles avec délai contraignant. La Cour des comptes identifie l'absence de cartographie nationale comme une défaillance primaire : sans elle, l'application de la doctrine SecNumCloud reste arbitraire et incontrôlable. Une directive DINUM avec délai et sanction administrative pour les administrations non conformes dans les 18 mois est une mesure administrative, non législative. Son absence depuis 2021 n'a pas d'explication technique.

Doctrine publique explicite sur les OIV et les co-entreprises. Les arrêtés sectoriels ANSSI couvrant les SIIV ne sont pas intégralement publics. Que leur contenu traite ou non la question du périmètre FISA pour les co-entreprises sur stack américaine est une information que les OIV eux-mêmes n'ont pas nécessairement. La publication d'une doctrine ANSSI publique sur ce point même sous forme d'orientation non contraignante permettrait aux OIV de prendre des décisions d'hébergement cloud en connaissance de cause. Son absence maintient une zone d'incertitude que seuls les plus grands OIV, dotés de juristes internes spécialisés, sont en mesure de réduire par leurs propres moyens.

Clause de réversibilité contraignante dans tous les contrats cloud publics. OVHcloud figurait comme alternative dans l'étude de réversibilité de 2019 du HDH. Sept ans plus tard, la migration reste une perspective. La réversibilité sans coût prohibitif est la condition technique de tout rééquilibrage futur. Son inscription comme clause obligatoire dans les cahiers des charges de l'ensemble des marchés cloud publics, avec audit annuel de l'effectivité, est une mesure de politique d'achat que l'UGAP peut intégrer sans modification du cadre législatif existant.

Alignement de la position EUCS avec la pratique domestique, ou l'inverse. La France ne peut pas défendre à Bruxelles des exigences d'immunité extraterritoriale qu'elle ne respecte pas elle-même dans ses marchés les plus emblématiques sans que cela soit relevé par ses partenaires européens. L'alignement peut prendre deux formes : soit la France renforce ses exigences domestiques jusqu'au niveau qu'elle promeut dans les négociations EUCS, ce qui implique une migration effective du HDH vers un acteur souverain pur et une doctrine OIV publique excluant les co-entreprises pour les SIIV ; soit elle révise sa position EUCS pour y intégrer les mêmes accommodements pragmatiques que sa pratique nationale, ce qui affaiblit l'ambition mais restaure la cohérence. La tension actuelle entre les deux est analytiquement intenable à moyen terme.

Conclusion

La politique française de souveraineté numérique entre 2014 et 2026 a produit deux choses simultanément : un cadre réglementaire sophistiqué sur l'immunité juridique des données vis-à-vis du droit américain extraterritorial, et une dépendance technologique aux hyperscalers américains qui n'a pas été réduite mais reformatée dans ce cadre. Ces deux réalités sont compatibles. Elles ne sont pas équivalentes.

Les défaillances de pilotage documentées marchés sans mise en concurrence européenne, cahiers des charges contestés formellement, clouds ministériels sous-investis, cycle HDS/SecNumCloud reproduit à chaque autorisation sont cohérentes avec la littérature sur la dépendance de sentier institutionnelle et l'asymétrie de ressources dans les arènes de normalisation. Elles n'exigent pas de thèse complotiste. La Cour des comptes, le rapport Latombe et la CNIL les ont formulées de manière convergente sur dix ans. La réponse politique n'a pas été proportionnée.

A ce constat s'ajoute une question que la doctrine officielle publique n'a pas résolue. SecNumCloud 3.2 est rigoureux sur ce qu'il couvre. Il ne couvre pas, conformément à son propre objet déclaré, les injonctions FISA classifiées adressées aux maisons mères américaines dont dépendent les stacks de S3NS et de Bleu. C'est un risque structurel plausible, non une exposition opérationnelle documentée. Pour les données administratives sensibles, ce risque résiduel constitue le prix d'un compromis pragmatique en l'absence d'alternative souveraine disponible. La question ouverte est la suivante : ce même compromis, appliqué à des systèmes d'information dont la criticité est définie par référence à la survie nationale, appelle-t-il un traitement doctrinal différencié ? Les arrêtés sectoriels ANSSI non publics peuvent contenir une réponse. La doctrine publique accessible ne la formule pas.

Les pistes identifiées en section XI ne requièrent ni rupture technologique ni budget exceptionnel. Elles requièrent que le coût politique du statu quo soit perçu comme supérieur au coût politique du changement. Dix ans de rapports institutionnels convergents suggèrent que cette perception n'a pas encore basculé.

Annexe 1 : Chronologie des principaux jalons

DateEvenementRegistre
2011Lancement Andromède (Cloudwatt-Numergy)Fait établi
Nov. 2013Création label French Tech (Pellerin-Gallois)Fait établi
Août 2014Macron nommé ministre Economie et NumériqueFait établi
2015-2019Fermeture Cloudwatt puis NumergyFait établi
Mars 2019Cédric O nommé secrétaire d'Etat au NumériqueFait établi
Juil. 2019Création HDH -- contrat Azure sans appel d'offresFait établi
Juin 2020Annonce GAIA-X (Le Maire - Altmaier)Fait établi
Oct. 2020Conseil d'Etat : risque reconnu, solution pérenne demandéeFait établi
Nov. 2020Engagement Véran : sortie Azure en 18-24 mois maximumFait établi
Nov. 2021Scaleway quitte GAIA-XFait établi
Avr. 2021Anticor saisit le PNF (enquête en cours)Fait établi
Mai 2021Stratégie nationale cloud et "cloud de confiance"Fait établi
Juil. 2021Rapport Latombe (70 recommandations)Fait établi
Jan. 2022Cédric O : décision reportée "après la présidentielle"Fait établi
Mai 2022Cédric O quitte le gouvernementFait établi
Mars 2023Rapport cybersécurité : "piège Microsoft" (Le Hénanff)Fait établi
Avr. 2023Cédric O cofonde Mistral AIFait établi
Juil. 2023CADA : Latombe obtient partiellement les benchmarks HDHFait établi
Nov. 2023Consultation DNS/DINUM/ANS : cahier des charges contestéFait établi
13 déc. 2023Rapport de mission : "aucune alternative disponible dans les délais"Fait établi
21 déc. 2023CNIL autorise EMC2 chez Azure pour 3 ans, en "déplorant" ce choixFait établi
Jan. 2024Création Bleu (Orange-Capgemini-Azure)Fait établi
Mars 2024Conseil d'Etat : rejet en référé (HDH)Fait établi
Avr. 2024Reconduction FISA Section 702 par le Congrès américainFait établi
Mai 2024Loi SRENFait établi
Mai 2024Nouveau référentiel HDS v2 (sans immunité extraterritoriale jusqu'en 2027)Fait établi
Nov. 2024Conseil d'Etat : rejet au fond EMC2Fait établi
Avr. 2025Bleu : jalon J0 SecNumCloud 3.2Fait établi
Nov. 2025Bleu : jalon J1Fait établi
Oct. 2025Cour des comptes : rapport souveraineté numérique (S2025-1479)Fait établi
Déc. 2025S3NS (PREMI3NS) : qualification SecNumCloud 3.2Fait établi
Fev. 2026HDH : appel d'offres migration complète vers cloud SecNumCloudFait établi
Mars 2026Conseil d'Etat : rejet DARWIN EUFait établi
S1 2026Bleu : qualification attendueProjection
Fin 2026Migration HDH vers cloud souverain (cible)Projection

Annexe 2 : Acteurs et positions documentées

ActeurRôlePosition documentée
ANSSI (Strubel)Qualification SecNumCloudValide "souveraineté par contrôle opérationnel" ; immunité extraterritoriale de l'entité qualifiée couverte ; dépendance technologique et exposition FISA sur maison mère américaine explicitement hors périmètre SecNumCloud selon l'objet déclaré du référentiel
CNILRégulateur donnéesRecommande SecNumCloud pour données sensibles ; a délivré des autorisations temporaires chez Azure depuis déc. 2023, en relevant leur non-conformité à sa propre doctrine
Cour des comptesAudit institutionnelDiagnostic sévère et répété ; clouds sous-utilisés, périmètre obligation réduit en 2023, absence de stratégie formalisée
Cédric OEx-secrétaire d'Etat au Numérique (2019-2022)A maintenu l'hébergement HDH sur Azure malgré deux engagements publics de sortie ; cofonde Mistral AI (2023) ; cumul documenté de positions simultanées (conseil gouvernemental IA, fondateur Mistral) ; lien causal avec des décisions spécifiques non établi par les sources disponibles
CapgeminiESN et actionnaire BleuPréfiguration HDH 2019 ; marché UGAP cloud 2020 ; co-actionnaire Bleu 2024
Philippe LatombeDéputé MODEMRapport 70 recommandations 2021 ; dénonce formellement partialité cahier des charges EMC2
Catherine Morin-DesaillySénatriceAlertes répétées sur souveraineté ; co-signe lettre à Première Ministre sur EMC2
OVHcloudCloud européen purEcarté de consultation HDH 2023 malgré plan par étapes ; candidat appel d'offres 2026
S3NS (Thales-Google)Co-entreprise franco-américainePremière qualification SecNumCloud 3.2 (déc. 2025) ; stack Google Cloud Platform maintenue par Google LLC
Bleu (Orange-Capgemini-Azure)Co-entreprise franco-américaineQualification attendue S1 2026 ; stack Microsoft Azure maintenue par Microsoft Corporation
Scaleway (Iliad)Cloud européen purA quitté GAIA-X (2021) ; renonce à candidater HDH 2026 en l'absence de marché "réellement souverain"
NSA / renseignement américainBénéficiaire FISA Section 702Accès aux maisons mères des stacks qualifiées hors périmètre SecNumCloud 3.2 ; régime de non-divulgation obligatoire ; application aux SIIV d'OIV non traitée explicitement dans la doctrine publique disponible
Partager :