Aller au contenu
NNextHop
← Retour au blog
CloudCybersécuritéEuropeIAOpen SourceRGPDSecNumCloudSouveraineté

Souveraineté numérique : critères, certifications et arsenal réglementaire européen

La souveraineté numérique ne se résume ni à “mettre des serveurs en Europe” ni à empiler des règlements. Entre l’approche française par la certification (SecNumCloud) et l’arsenal normatif européen (RGPD, DMA, DSA, AI Act, NIS2, DORA, Data Act), se joue une tension centrale : encadrer des acteurs dominants sans produire d’alternatives, ou exiger une immunité juridique et opérationnelle au prix d’une offre plus limitée. Cette étude propose une grille de lecture en sept critères (localisation, immunité, contrôle, maîtrise technologique, certification, réversibilité, transparence), analyse les angles morts (OS, SaaS, licences révocables) et interroge la solidité des modèles hybrides (S3NS, Bleu) face au seul test qui compte vraiment : la continuité en situation de crise.

Par Sylvain Rutten22 janvier 2026108 min de lecture

RÉSUMÉ EXÉCUTIF (lecture 5 minutes)

Thèse centrale

La souveraineté numérique ne se décrète pas : elle se construit par l'accumulation de critères techniques, juridiques et industriels dont l'articulation détermine le degré réel d'autonomie d'un État ou d'une zone économique. L'Europe a développé deux approches complémentaires mais distinctes : une approche "dure" fondée sur des certifications techniques exigeantes (SecNumCloud en France), et une approche "souple" reposant sur un arsenal réglementaire contraignant pour les acteurs étrangers (RGPD, DMA, DSA, AI Act, NIS2). Ces deux voies présentent des forces et des limites qu'il convient d'analyser sans complaisance.

Les sept piliers de la souveraineté numérique

La souveraineté numérique effective repose sur sept critères cumulatifs :

1.Localisation des données : stockage physique sur le territoire national ou européen
2.Immunité juridique : protection contre les lois extraterritoriales étrangères (Cloud Act, FISA)
3.Contrôle opérationnel : administration des infrastructures par des entités nationales
4.Maîtrise technologique : indépendance vis-à-vis des technologies propriétaires étrangères
5.Sécurité certifiée : validation par une autorité nationale compétente (ANSSI)
6.Réversibilité : capacité à migrer vers d'autres solutions sans perte de données
7.Transparence : auditabilité du code et des processus

SecNumCloud : l'approche par la certification

SecNumCloud, référentiel de l'ANSSI, constitue la tentative française la plus aboutie de définir des critères techniques de souveraineté cloud. La version 3.2 (2022) a introduit des exigences d'immunité aux lois extraterritoriales qui excluent de facto les hyperscalers américains dans leur configuration standard.

Chiffres clés SecNumCloud (janvier 2026) :

22 prestataires qualifiés
0 hyperscaler américain qualifié en propre
S3NS (Thales/Google) : qualifié depuis le 17 décembre 2025
BLEU (Capgemini/Orange/Microsoft) : en cours d'évaluation
800+ exigences techniques dans le référentiel

Le package réglementaire européen : réguler sans produire

L'Union européenne a développé un arsenal réglementaire impressionnant visant à encadrer les acteurs numériques :

RèglementEntrée en vigueurApplication effectiveCible principale
RGPD20182018Données personnelles
DMA20222023Gatekeepers (GAFAM)
DSA20222024Plateformes en ligne
AI Act20242024-2027 (progressive)Systèmes d'IA
NIS220222024Cybersécurité
Data Act202312 septembre 2025Données industrielles
DORA202217 janvier 2025Finance numérique

Limites structurelles : Ce package réglemente des acteurs étrangers sans créer d'alternatives européennes. Il impose des contraintes aux GAFAM tout en maintenant la dépendance structurelle à leurs services.

Le paradoxe français

La France dispose du référentiel de souveraineté cloud le plus exigeant d'Europe (SecNumCloud 3.2), mais son administration reste massivement dépendante des solutions américaines. Microsoft détient plus de 80% du marché des postes de travail de la fonction publique. Le "cloud de confiance" progresse (qualification S3NS fin 2025), mais reste un chantier plus qu'un acquis.

Diagnostic

La souveraineté numérique européenne oscille entre deux écueils : une certification trop exigeante qui exclut les solutions performantes (SecNumCloud pur), et une régulation qui encadre sans autonomiser (package réglementaire). La voie médiane des offres hybrides (S3NS désormais qualifié, BLEU en cours) tente de concilier performance américaine et immunité juridique européenne, au prix de compromis dont la solidité à long terme reste à observer.

Position éditoriale : le risque que personne ne nomme

Au-delà des risques juridiques (Cloud Act, FISA), le risque stratégique majeur concerne le code dormant. Stuxnet (2010) a prouvé que des États peuvent insérer des cyberarmes dans des systèmes informatiques. Les révélations Snowden ont documenté les programmes NSA (BULLRUN, QUANTUM, TAO) visant à compromettre les produits commerciaux. L'affaire Crypto AG a démontré que cette pratique a duré des décennies.

Implication : les systèmes Windows, Azure et autres produits américains peuvent contenir des vulnérabilités exploitables en cas de crise. Ce n'est pas de la paranoïa : c'est du réalisme géopolitique.

Cas d'usage chiffré : la preuve par l'exemple

Une migration type "Région administrative" (4 200 agents, 3 800 postes) vers des solutions souveraines présente ce bilan :

IndicateurValeur
Coût total sur 5 ans9,72 M EUR (vs 9,83 M EUR statu quo)
Économie annuelle post-transition1,11 M EUR (-52%)
Part souveraine atteinte70% des postes sous Linux
ROIPositif dès année 5

Conclusion : le souverain n'est pas plus cher, il est différemment réparti dans le temps.

Projection budgétaire 10 ans : l'investissement rentable

Pour l'ensemble de l'État français (5,5 millions d'agents) :

ScénarioCoût 10 ansCoût année 10
Maintien Microsoft31,0 Md EUR4,1 Md EUR/an
Migration souveraine28,5 Md EUR1,8 Md EUR/an
Économie2,5 Md EUR2,3 Md EUR/an

La souveraineté numérique n'est pas un coût mais un investissement rentable à moyen terme.

Projection budgétaire : le prix de la souveraineté

Une modélisation économique sur 10 ans (2026-2035) pour l'administration française permet de chiffrer le coût de la transition :

ScénarioCoût total 10 ansSurcoût vs statu quoNiveau souveraineté
A. Statu quo optimisé18,4 Md EURRéférenceFaible (15-25%)
B. Transition hybride23,0 Md EUR+4,6 Md EUR (+25%)Moyen (55-80%)
C. Souveraineté maximale26,0 Md EUR+7,6 Md EUR (+41%)Élevé (85-100%)

Le scénario B (hybride) apparaît comme le meilleur compromis : surcoût maîtrisé de 460 M EUR/an (20% du budget SI), trajectoire progressive, réduction significative des risques de dépendance, contribution à l'écosystème européen.

Introduction : qu'est-ce que la souveraineté numérique ?

Une notion aux contours flous

La souveraineté numérique est une expression omniprésente dans le discours politique contemporain, mais dont le contenu précis reste souvent indéterminé. Elle peut désigner, selon les contextes : la capacité d'un État à contrôler les données de ses citoyens, l'indépendance technologique vis-à-vis de fournisseurs étrangers, la protection contre l'espionnage et les lois extraterritoriales, ou encore l'existence d'un écosystème industriel national dans le numérique.

Cette polysémie n'est pas innocente. Elle permet aux acteurs politiques d'invoquer la souveraineté numérique sans s'engager sur des critères précis, et aux acteurs économiques de revendiquer une conformité à géométrie variable. Un hyperscaler américain peut se prétendre "souverain" parce qu'il stocke des données en France, tandis qu'un acteur français peut revendiquer ce label simplement parce que son siège social est à Paris.

Souveraineté formelle et souveraineté effective

L'analyse doit distinguer la souveraineté formelle (l'apparence juridique du contrôle) de la souveraineté effective (la capacité réelle à exercer ce contrôle en situation de crise).

Une entreprise française utilisant AWS avec des serveurs localisés en France dispose d'une souveraineté formelle sur ses données : elles sont physiquement sur le territoire national. Mais cette souveraineté est effective seulement tant que les relations franco-américaines restent stables. En cas de sanctions américaines, de conflit commercial, ou simplement de demande d'accès au titre du Cloud Act, cette souveraineté formelle s'évapore.

La souveraineté effective suppose de pouvoir maintenir le contrôle y compris dans des scénarios adverses : sanctions économiques, conflits géopolitiques, pressions juridiques, cyberattaques. C'est ce critère de résilience en situation dégradée qui différencie les approches cosmétiques des approches substantielles.

Le trilemme de la souveraineté numérique

Les organisations confrontées à la question de la souveraineté numérique font face à un trilemme entre trois objectifs difficilement conciliables :

Performance : les hyperscalers américains (AWS, Azure, GCP) offrent des services techniquement supérieurs, avec une couverture mondiale, une richesse fonctionnelle et une fiabilité que les acteurs européens peinent à égaler.

Souveraineté : l'indépendance vis-à-vis des juridictions étrangères et des technologies propriétaires suppose de renoncer aux solutions les plus performantes.

Coût : les solutions souveraines européennes sont généralement plus coûteuses que leurs équivalentes américaines, du fait d'économies d'échelle moindres et d'un écosystème moins mature.

Maximiser deux de ces critères implique généralement de sacrifier le troisième. Les offres hybrides type S3NS ou BLEU tentent de résoudre ce trilemme, avec des résultats qui commencent à être évaluables depuis la qualification de S3NS fin 2025.

Le trilemme de la souveraineté numériquePositionnement comparé des différentes approches cloud

Partie I : Les sept critères de la souveraineté numérique

1.1 Critère 1 : Localisation des données

Le premier critère, le plus visible et le plus souvent invoqué, concerne la localisation physique des données. Il repose sur l'idée que des données stockées sur le territoire national sont soumises au droit national et échappent aux juridictions étrangères.

Ce que garantit la localisation :

Application du droit local (RGPD en Europe)
Compétence des tribunaux nationaux
Accès physique aux serveurs en cas de besoin
Protection contre certaines formes de saisie à distance

Ce que la localisation ne garantit pas :

Protection contre les lois extraterritoriales si l'opérateur est étranger
Indépendance technologique (le matériel et le logiciel peuvent être étrangers)
Continuité de service en cas de sanctions

La localisation est une condition nécessaire mais très insuffisante de la souveraineté. Un data center Amazon en France reste soumis au Cloud Act américain. La localisation sans maîtrise de l'opérateur est un leurre juridique.

1.2 Critère 2 : Immunité aux lois extraterritoriales

Ce critère vise à garantir que les données ne peuvent être réquisitionnées par une autorité étrangère sans passer par les voies de la coopération judiciaire internationale (traités d'entraide, commissions rogatoires).

Les principales menaces extraterritoriales :

Le Cloud Act américain (2018) permet aux autorités américaines d'exiger l'accès aux données détenues par des entreprises américaines, quel que soit le lieu de stockage. Il concerne toute entreprise "soumise à la juridiction des États-Unis", ce qui inclut les filiales européennes des groupes américains.

La section 702 du FISA (Foreign Intelligence Surveillance Act) autorise la surveillance des communications de personnes non-américaines situées hors des États-Unis, via les infrastructures des entreprises américaines.

L'Executive Order 12333 permet la collecte de renseignements sur les communications étrangères transitant par des infrastructures américaines, sans contrôle judiciaire.

Comment atteindre l'immunité :

Opérateur juridiquement indépendant des États-Unis (pas de filiale, pas de cotation)
Pas d'utilisation de technologies soumises à licence américaine révocable
Chaîne de contrôle (direction, actionnariat) intégralement européenne
Contrats régis par le droit européen avec clause de juridiction exclusive

SecNumCloud 3.2 a introduit des exigences spécifiques sur ce point, rendant la qualification impossible pour les filiales européennes des hyperscalers américains agissant en propre.

1.3 Critère 3 : Contrôle opérationnel

Le contrôle opérationnel désigne la maîtrise effective des opérations d'administration, de maintenance et de sécurité des infrastructures. Il ne suffit pas que les serveurs soient en France : encore faut-il que les personnes qui les administrent soient soumises au droit français et agissent dans l'intérêt du client.

Dimensions du contrôle opérationnel :

Administration système par du personnel habilité (nationalité, habilitations de sécurité)
Gestion des accès et des identités
Supervision et monitoring
Gestion des incidents et réponse aux crises
Maintenance matérielle et logicielle

Risques d'un contrôle opérationnel défaillant :

Accès non autorisé par du personnel étranger
Dépendance à un support technique extraterritorial
Impossibilité de réagir à un incident sans validation externe
Exfiltration de données via les canaux de maintenance

Les offres hybrides (S3NS, BLEU) reposent sur une séparation entre la technologie (américaine) et l'opération (française). La qualification de S3NS par l'ANSSI en décembre 2025 valide en principe cette architecture, mais des questions de long terme demeurent : que se passe-t-il si Google décidait de ne pas renouveler la licence technologique de Thales dans un contexte géopolitique dégradé ?

1.4 Critère 4 : Maîtrise technologique

La maîtrise technologique désigne la capacité à comprendre, modifier, auditer et, le cas échéant, remplacer les composants techniques de l'infrastructure. Elle s'oppose à la dépendance à des "boîtes noires" dont le fonctionnement interne est opaque.

Niveaux de maîtrise technologique :

NiveauDescriptionExemple
0 - OpaqueAucune visibilité sur le fonctionnementSaaS propriétaire fermé
1 - DocumentéDocumentation technique fournieAPI publiques des hyperscalers
2 - AuditableCode source accessible pour auditOpen source avec licence restrictive
3 - ModifiablePossibilité de modifier le codeOpen source permissive (Apache, MIT)
4 - MaîtriséCompétences internes pour maintenirDéveloppement interne ou fork maîtrisé

La souveraineté technique complète (niveau 4) est rarement atteignable : elle supposerait de maîtriser l'intégralité de la pile technologique, du silicium au logiciel applicatif. Une approche réaliste vise un niveau 2-3 sur les composants critiques et accepte la dépendance sur les composants non critiques.

Composants critiques nécessitant une maîtrise :

Systèmes de chiffrement et gestion des clés
Contrôle d'accès et authentification
Hyperviseurs et orchestrateurs
Systèmes de stockage et bases de données (pour les données sensibles)

1.5 Critère 5 : Sécurité certifiée

La certification par une autorité nationale compétente atteste du respect d'exigences de sécurité vérifiées par des audits indépendants. En France, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) délivre les qualifications de référence.

Niveaux de certification ANSSI pour le cloud :

NiveauRéférentielExigencesCible
ÉlémentaireHDS200+ exigencesDonnées de santé
StandardISO 2700193 contrôlesUsage général
AvancéSecNumCloud 3.2800+ exigencesDonnées sensibles

La certification n'est pas une garantie absolue de sécurité : elle atteste de la conformité à un référentiel à un instant donné. Elle doit être complétée par une surveillance continue et des audits réguliers.

1.6 Critère 6 : Réversibilité

La réversibilité désigne la capacité à migrer ses données et applications vers un autre fournisseur sans perte, sans dégradation, et dans des délais raisonnables. Elle conditionne l'exercice effectif de la souveraineté : un client prisonnier de son fournisseur n'est pas souverain, même si ce fournisseur est national.

Dimensions de la réversibilité :

Portabilité des données : formats standards, export complet, pas de lock-in propriétaire
Portabilité des applications : conteneurisation, abstraction des services managés
Portabilité des compétences : technologies standards, documentation, transfert de connaissances
Conditions contractuelles : délais de préavis, assistance à la migration, tarification de la sortie

Le Data Act européen (applicable depuis le 12 septembre 2025) introduit des obligations de portabilité pour les fournisseurs cloud, mais leur effectivité à grande échelle reste à démontrer face aux stratégies de lock-in des hyperscalers.

1.7 Critère 7 : Transparence et auditabilité

La transparence désigne la capacité du client à vérifier ce que fait réellement le fournisseur : où sont les données, qui y accède, quels traitements sont effectués, quelles mesures de sécurité sont en place.

Niveaux de transparence :

NiveauAccès clientVérification
DéclaratifRapports du fournisseurConfiance
DocumentéAccès aux logs et métriquesAuto-vérification
AuditableAudit tiers possibleVérification indépendante
OuvertCode source accessibleVérification technique complète

SecNumCloud exige un niveau "auditable" minimum, avec possibilité pour l'ANSSI de conduire des inspections. Les hyperscalers américains proposent généralement un niveau "documenté" avec des rapports SOC 2 et des certifications ISO, mais sans accès au code source ni possibilité d'audit technique approfondi.

Conformité aux sept critères de souveraineté par type d'offreScore sur 100 pour chaque critère

Partie II : SecNumCloud - l'approche française par la certification

2.1 Genèse et évolution du référentiel

SecNumCloud est le référentiel de sécurité de l'ANSSI pour les prestataires de services d'informatique en nuage. Créé en 2016, il a connu plusieurs évolutions majeures reflétant la prise de conscience progressive des enjeux de souveraineté.

Chronologie :

VersionDateÉvolutions majeures
1.02016Création du référentiel, focus sécurité technique
2.02019Renforcement des exigences, audit PASSI
3.02021Introduction des critères de souveraineté
3.12021Précisions sur l'immunité extraterritoriale
3.22022Exigences renforcées sur le contrôle capitalistique

La version 3.2, actuellement en vigueur, marque une rupture conceptuelle. Elle ne se contente plus de vérifier la sécurité technique des infrastructures : elle impose des critères de souveraineté juridique et opérationnelle qui rendent la qualification impossible pour les hyperscalers américains opérant en propre.

2.2 Architecture du référentiel SecNumCloud 3.2

Le référentiel SecNumCloud 3.2 s'organise en plusieurs domaines d'exigences :

Exigences techniques (environ 500 points de contrôle) :

Sécurité physique des data centers
Sécurité des réseaux et des communications
Gestion des identités et des accès
Chiffrement et gestion des clés
Continuité d'activité et reprise après sinistre
Gestion des incidents de sécurité

Exigences organisationnelles (environ 200 points de contrôle) :

Gouvernance de la sécurité
Gestion des risques
Politique de sécurité des ressources humaines
Gestion des tiers et sous-traitants
Conformité réglementaire

Exigences de souveraineté (environ 100 points de contrôle, version 3.2) :

Siège social et établissement principal dans l'UE
Contrôle capitalistique majoritairement européen
Absence de soumission à des législations extraterritoriales non-européennes
Données stockées et traitées exclusivement dans l'UE
Administration et supervision depuis l'UE par du personnel européen

2.3 Les exigences de souveraineté en détail

La version 3.2 de SecNumCloud introduit des exigences dites "de souveraineté" qui vont au-delà de la sécurité technique.

Exigence de nationalité du prestataire : Le prestataire doit avoir son siège social dans un État membre de l'Union européenne. Son capital et ses droits de vote doivent être détenus directement et indirectement à plus de 50% par des entités européennes. La direction effective doit être assurée depuis l'Europe.

Exigence d'immunité aux lois extraterritoriales : Le prestataire ne doit pas être soumis à des législations non-européennes susceptibles d'imposer la communication de données hébergées. Concrètement, cela exclut :

Les filiales de groupes américains (Cloud Act)
Les entreprises cotées aux États-Unis
Les entreprises utilisant des licences technologiques révocables par une entité non-européenne

Exigence de localisation : Les données doivent être stockées et traitées exclusivement sur le territoire de l'Union européenne. Aucune donnée, même technique ou de supervision, ne doit transiter par des infrastructures situées hors de l'UE.

Exigence de contrôle opérationnel : L'administration, la supervision et la maintenance doivent être réalisées depuis l'Europe par du personnel soumis au droit européen. Le support technique de niveau 3 (expertise approfondie) ne peut être externalisé hors UE.

2.4 Prestataires qualifiés SecNumCloud (janvier 2026)

Au 20 janvier 2026, 22 prestataires disposent d'une qualification SecNumCloud, pour un total de 30 services qualifiés.

Évolution majeure fin 2025 : La qualification de S3NS (Thales/Google) le 17 décembre 2025 marque un tournant. C'est la première offre hybride utilisant une technologie hyperscaler à obtenir le visa SecNumCloud, validant le modèle de séparation technologie/opération.

Liste des prestataires qualifiés (extrait) :

PrestataireServices qualifiésType
3DS OutscaleIaaSFiliale Dassault Systèmes
AtosCloud privéESN française
Cloud TempleIaaS, PaaSOpérateur souverain
DocaposteArchivage, signatureFiliale La Poste
OVHcloudIaaS (Bare Metal Cloud)Leader européen
ScalewayIaaSFiliale Iliad
S3NS (Thales)IaaS, PaaSOffre hybride Google Cloud
WorldlinePaiement cloudFiliale Atos
WhallerCollaborationStartup française

Statut des offres hybrides :

S3NS (Thales/Google) : Qualifié (17 décembre 2025)
BLEU (Capgemini/Orange/Microsoft) : En cours d'évaluation

Absents structurels :

Amazon Web Services : non éligible (société américaine)
Microsoft Azure : non éligible (société américaine)
Google Cloud : non éligible (société américaine) - mais technologie disponible via S3NS

2.5 Les offres hybrides : S3NS et BLEU

Face à l'impossibilité pour les hyperscalers de se qualifier directement, des montages juridiques hybrides ont été conçus pour tenter de concilier technologies américaines et souveraineté française.

S3NS (Thales + Google Cloud) - Qualifié SecNumCloud :

Structure : société détenue par Thales
Technologie : Google Cloud Platform sous licence
Modèle : Thales opère la plateforme depuis la France, Google fournit la technologie
Statut : Qualifié SecNumCloud le 17 décembre 2025
Signification : L'ANSSI a validé que l'architecture de séparation permet de satisfaire aux critères d'immunité extraterritoriale et de contrôle opérationnel

BLEU (Capgemini + Orange + Microsoft) :

Structure : co-entreprise Capgemini (50%) / Orange (50%)
Technologie : Microsoft Azure sous licence
Modèle : BLEU opère la plateforme, Microsoft fournit la technologie
Statut : en cours d'évaluation SecNumCloud
Calendrier prévisionnel : qualification attendue courant 2026

Questions résiduelles sur le modèle hybride :

La qualification de S3NS valide le modèle juridique et opérationnel à un instant T, mais des interrogations de long terme subsistent :

1.Pérennité de la licence : que se passe-t-il si Google décide de ne pas renouveler ou modifie substantiellement les termes de la licence ? Des clauses contractuelles encadrent ce risque, mais leur solidité en cas de crise géopolitique majeure reste théorique.
1.Évolution technologique : S3NS peut-il suivre le rythme d'innovation de Google Cloud, ou un décalage va-t-il se créer entre la plateforme originale et sa version "souveraine" ?
1.Profondeur de la maîtrise : Thales opère la plateforme, mais la maîtrise technologique profonde (code source, algorithmes, optimisations) reste chez Google.
Architecture juridique des offres hybrides (modèle S3NS qualifié)Flux de contrôle et de technologie

2.6 Les angles morts de SecNumCloud : OS, dépendances et SaaS

SecNumCloud, malgré ses ambitions et sa rigueur sur le périmètre qu'il couvre, présente des angles morts structurels qui limitent sa capacité à garantir une souveraineté et une résilience complètes. Ces lacunes concernent principalement les couches basses (OS, firmware) et les couches hautes (SaaS, applications) de la pile technologique.

#### 2.6.1 Angle mort n°1 : la couche système d'exploitation

SecNumCloud certifie l'infrastructure cloud (IaaS, PaaS) mais ne traite pas la question des systèmes d'exploitation qui tournent sur cette infrastructure. Or, la quasi-totalité des workloads déployés sur des clouds SecNumCloud utilisent des OS d'origine américaine :

ComposantÉditeurJuridictionNature du risque
Windows ServerMicrosoftUSALicences, support, mises à jour sécurité
Red Hat Enterprise LinuxIBMUSAGouvernance commerciale américaine
VMware ESXiBroadcomUSAHyperviseur propriétaire
Intel Management EngineIntelUSAAccès firmware hors OS
AMD PSPAMDUSAEnclave sécurisée propriétaire

Précisions sur la nature des risques :

Il convient de distinguer plusieurs types de risques souvent amalgamés :

1.Télémétrie : les OS modernes (Windows notamment) collectent des données de fonctionnement. Ce risque est partiellement configurable : les éditions Enterprise permettent de désactiver une grande partie de la télémétrie, et des configurations GPO durcies existent. Le risque résiduel est réel mais gérable.
1.Support et mises à jour : en cas de sanctions ou de décision commerciale, un éditeur américain pourrait cesser de fournir support et correctifs de sécurité. C'est un risque de continuité opérationnelle plus que d'espionnage.
1.Licences révocables : les licences commerciales (Windows, RHEL, VMware) sont contractuellement révocables. En cas de sanctions, un client pourrait perdre le droit d'utiliser le logiciel. Ce risque est juridique et opérationnel.
1.Accès extra-judiciaire (backdoors) : l'existence de portes dérobées exploitables par les autorités américaines est un sujet de débat. Aucune preuve publique n'a démontré de backdoor généralisée dans Windows Server, mais l'opacité du code propriétaire rend l'audit impossible.

Le point clé : une organisation peut héberger ses données sur un cloud OVH qualifié SecNumCloud, mais si ces données sont traitées par un Windows Server, elle reste exposée à des risques de continuité (licences, support) et à une opacité technique (code non auditable).

Exposition résiduelle malgré certification SecNumCloudDistinction des types de risques par couche

#### 2.6.2 Angle mort n°2 : les dépendances de l'écosystème

SecNumCloud se concentre sur l'opérateur cloud mais n'audite pas exhaustivement les dépendances de l'écosystème technique.

Dépendances matérielles :

Processeurs Intel/AMD avec firmware propriétaire
Puces réseau, contrôleurs de stockage
BMC (Baseboard Management Controller)

Dépendances logicielles courantes :

Kubernetes (gouverné par la CNCF, fondation américaine)
Docker
Terraform (HashiCorp)
Outils de monitoring

Nuance importante sur l'open source :

Il faut distinguer :

1.Gouvernance : une fondation américaine (CNCF, Apache, Linux Foundation) gouverne le projet. C'est un indicateur de risque politique, pas une dépendance opérationnelle directe.
1.Disponibilité du code : les projets open source (Kubernetes, Linux) ont leur code source publiquement disponible et peuvent être forkés. En cas de crise, la communauté européenne pourrait maintenir des versions indépendantes.
1.Dépendance aux repositories : les dépôts de packages (npm, PyPI, Docker Hub) sont souvent américains. C'est un risque opérationnel réel mais atténuable par des miroirs européens.

Un cloud SecNumCloud utilisant Kubernetes n'est pas "dépendant des USA" de la même manière qu'un cloud utilisant VMware. L'open source change fondamentalement la nature du risque : la continuité est possible, même si elle a un coût.

#### 2.6.3 Angle mort n°3 : la couche SaaS

C'est sur la couche SaaS que l'angle mort est le plus significatif. Le référentiel a été conçu pour l'IaaS et le PaaS, mais la majorité des usages quotidiens repose sur du SaaS :

CatégorieSolution dominanteNationalitéAlternative SecNumCloud
Suite bureautiqueMicrosoft 365USAAucune équivalente qualifiée
Messagerie collaborativeOutlook/TeamsUSAAucune équivalente qualifiée
VisioconférenceTeams/Zoom/MeetUSATixeo (périmètre limité)
CRMSalesforceUSAAucune équivalente
ERPSAP / OracleDE/USAAucun qualifié
Code repositoryGitHub/GitLab.comUSAGitLab self-hosted uniquement
IA générativeChatGPT/Claude/GeminiUSAMistral (API non qualifiée)

Le constat : une administration française peut héberger ses bases de données sur un cloud SecNumCloud tout en faisant transiter l'intégralité de ses communications et documents par Microsoft 365, hors de tout périmètre souverain.

#### 2.6.4 Le problème des licences en cas de crise

Scénario de stress : en cas de crise géopolitique majeure impliquant des sanctions américaines contre des entités européennes, plusieurs ruptures sont envisageables :

ÉvénementProbabilitéImpactAtténuation possible
Révocation licences MicrosoftFaibleÉlevéMigration Linux (longue)
Coupure Docker Hub / GitHubFaibleMoyenMiroirs européens
Arrêt support VMwareFaibleÉlevéMigration KVM/Proxmox
Blocage mises à jour sécuritéMoyenneMoyenCommunauté/forks
Révocation certificats TLS USTrès faibleÉlevéAutorités européennes

Calibration du risque : ces scénarios sont théoriquement possibles mais supposent une escalade géopolitique majeure (comparable aux sanctions contre la Russie). Ils ne doivent pas être présentés comme des menaces imminentes, mais comme des risques de queue à intégrer dans une stratégie de résilience.

Couverture de SecNumCloud par couche technologiqueNiveau de protection effectif (0-100)

#### 2.6.5 Synthèse des limites de SecNumCloud

LimiteNatureGravitéAtténuation
Offre restreinte30 services pour des milliers de besoinsÉlevéeQualification progressive
Gap de performance20-40% inférieur sur PaaS avancéMoyenneOffres hybrides (S3NS)
Surcoût20-50% plus cherMoyenneCommande publique
Pas de reconnaissance UERéférentiel franco-françaisÉlevéeEUCS en négociation
OS non couvertsWindows/RHEL hors périmètreMoyenneLinux souverain à développer
Absence couverture SaaSPas de suite bureautiqueÉlevéeInvestissement R&D requis
Dépendances non auditéesÉcosystème open sourceMoyenneMiroirs et forks européens

2.7 Proposition de cadre complémentaire : le modèle EJCI

Face aux angles morts de SecNumCloud, des réflexions émergent dans la communauté de la souveraineté numérique sur un cadre complémentaire plus exigeant que nous désignons ici sous l'acronyme EJCI (European Jurisdiction Controlled Infrastructure).

Avertissement méthodologique : le "label EJCI" présenté ci-après n'est pas un référentiel officiel existant. Il s'agit d'une proposition conceptuelle synthétisant les exigences maximales de souveraineté identifiées par différents analystes et rapports parlementaires. Ce modèle est présenté à titre d'outil de réflexion pour illustrer ce que serait une souveraineté numérique "dure", et non comme une certification en voie d'institutionnalisation.

#### 2.7.1 Philosophie du modèle EJCI (proposition)

Là où SecNumCloud se concentre sur l'opérateur cloud et ses pratiques de sécurité, le modèle EJCI théorique adopte une approche par l'immunité juridique complète de l'ensemble de la chaîne technologique.

Principe fondamental proposé : "Une infrastructure EJCI garantit une soumission exclusive au droit de l'Union européenne et un contrôle effectif exercé par des entités européennes, à l'exclusion de toute influence juridique, technique ou opérationnelle extra-européenne."

La différence conceptuelle est fondamentale : SecNumCloud certifie des opérateurs, EJCI qualifierait des chaînes de contrôle complètes.

#### 2.7.2 Critères proposés pour un niveau EJCI

Critère 1 : Juridiction exclusive (calque strict)

Entité constituée selon le droit d'un État membre
Contrôle capitalistique et organes de décision exclusivement européens
Aucune disposition légale étrangère applicable, directement ou indirectement

Critère 2 : Contrôle opérationnel total

Exploitation, administration, supervision depuis le territoire UE
Accès à privilèges réservés à des personnes physiques relevant d'une juridiction européenne
Aucun accès distant par une entité ou personnel soumis à juridiction extra-européenne

Critère 3 : Indépendance technologique (apport majeur vs SecNumCloud)

Composants critiques : open source sous licence libre OU développés par entité européenne
Exclusion : logiciels propriétaires à licences révocables par acteurs non-européens

Implications si ce modèle existait :

Windows Server : exclu (licence Microsoft révocable)
RHEL : exclu (IBM/USA)
VMware : exclu (Broadcom/USA)
Debian/Ubuntu : éligible (licences libres, forks possibles)
KVM/Proxmox : éligible (open source)
PostgreSQL : éligible (licence libre)

#### 2.7.3 Comparaison avec les cadres existants

CritèreSecNumCloud 3.2EJCI (proposition)BSI C5 (Allemagne)
Nationalité opérateurUE requisUE exclusifNon requis
Immunité extraterritorialeExigéeExigée (renforcé)Non traitée
Dépendances OS/middlewareNon auditéesExclues si révocablesNon traitées
Offres hybridesPossibles (S3NS)ExcluesPossibles
Open source privilégiéNonOuiNon

#### 2.7.4 Pourquoi EJCI reste une proposition théorique

Un tel référentiel n'existe pas institutionnellement pour plusieurs raisons :

1.Offre quasi-inexistante : très peu de solutions pourraient se qualifier (uniquement des stacks full open source sur hardware non-américain)
1.Coût prohibitif : le développement d'alternatives complètes représenterait des dizaines de milliards d'euros
1.Perte de compétitivité : les entreprises européennes soumises à EJCI seraient handicapées face à leurs concurrentes utilisant les technologies américaines
1.Absence de volonté politique : aucun État membre n'a proposé un tel niveau d'exigence dans les négociations EUCS

#### 2.7.5 Articulation réaliste SecNumCloud / niveau supérieur

Une approche pragmatique distinguerait deux niveaux :

Niveau 1 : SecNumCloud (opérationnel aujourd'hui)

Données sensibles, applications critiques
Risque résiduel de dépendance technologique accepté
Coût maîtrisé, offre étoffée (30 services, plus S3NS)

Niveau 2 : Exigences renforcées (à construire)

Données classifiées, OIV, secteurs régaliens
Résilience exigée y compris en crise géopolitique majeure
Surcoût assumé, offre très restreinte

L'enjeu n'est pas de créer un label EJCI immédiatement, mais de développer progressivement l'offre permettant d'y satisfaire : distributions Linux européennes certifiées, forks maintenus des projets critiques, alternatives SaaS souveraines.

Arbre de décision : niveau de souveraineté requisChoix du cadre selon la sensibilité des données

2.8 Doctrine de l'État français sur l'usage du cloud

La circulaire du Premier ministre du 17 juillet 2021 (dite "doctrine cloud au centre") définit les règles d'utilisation du cloud par les administrations françaises.

Trois niveaux de sensibilité :

NiveauDonnées concernéesCloud autorisé
SensibleSecret défense, données critiquesCloud interne ou SecNumCloud
OrdinaireDonnées personnelles, données métierSecNumCloud ou cloud commercial (RGPD)
Non sensibleDonnées publiquesTout cloud conforme RGPD

Application pratique (état janvier 2026) : La doctrine reste partiellement appliquée. L'arrivée de S3NS qualifié fin 2025 élargit l'offre pour le niveau "sensible" avec une solution combinant fonctionnalités Google Cloud et certification ANSSI. Cependant, de nombreuses administrations continuent d'utiliser Microsoft 365 pour leurs outils collaboratifs, le passage à une alternative souveraine restant un chantier de plusieurs années.

Répartition des services cloud qualifiés SecNumCloud par type (janvier 2026)30 services qualifiés incluant S3NS

Partie III : Le package réglementaire européen - la souveraineté par la norme

3.1 Vue d'ensemble de l'arsenal réglementaire

L'Union européenne a développé depuis 2016 un arsenal réglementaire sans équivalent visant à encadrer l'économie numérique. Contrairement à l'approche par la certification (qui crée des labels de confiance), l'approche réglementaire impose des contraintes à tous les acteurs opérant sur le marché européen, qu'ils soient européens ou non.

Les textes structurants (état janvier 2026) :

AcronymeNom completAdoptionApplication effectiveObjet
RGPDRèglement général sur la protection des données201625 mai 2018Données personnelles
NIS2Network and Information Security Directive202217 octobre 2024Cybersécurité infrastructures critiques
DMADigital Markets Act20222 mai 2023Régulation des gatekeepers
DSADigital Services Act202217 février 2024Responsabilité des plateformes
DORADigital Operational Resilience Act202217 janvier 2025Résilience numérique finance
AI ActArtificial Intelligence Act2024Progressive 2024-2027Systèmes d'IA
Data ActData Act202312 septembre 2025Accès et portabilité données
Cyber Resilience ActCRA20242027Cybersécurité produits connectés
EUCSEU Cybersecurity Certification SchemeEn négociationTBDCertification cloud européenne

3.2 RGPD : le modèle fondateur

Le Règlement général sur la protection des données (RGPD), applicable depuis mai 2018, constitue le texte fondateur de l'approche réglementaire européenne au numérique. Son influence a largement dépassé les frontières de l'UE, inspirant des législations similaires dans de nombreux pays ("effet Bruxelles").

Principes clés :

Licéité du traitement : tout traitement de données personnelles doit reposer sur une base légale (consentement, contrat, intérêt légitime, etc.)
Minimisation : ne collecter que les données strictement nécessaires
Limitation de la finalité : ne pas utiliser les données pour d'autres fins que celles déclarées
Exactitude : maintenir les données à jour
Limitation de conservation : ne pas conserver au-delà du nécessaire
Intégrité et confidentialité : protéger les données contre les accès non autorisés

Droits des personnes :

Droit d'accès : obtenir copie de ses données
Droit de rectification : corriger les données erronées
Droit à l'effacement : demander la suppression ("droit à l'oubli")
Droit à la portabilité : récupérer ses données dans un format exploitable
Droit d'opposition : refuser certains traitements

Sanctions : Le RGPD prévoit des amendes pouvant atteindre 4% du chiffre d'affaires mondial annuel ou 20 millions d'euros. Ces montants théoriques se sont traduits par des sanctions effectives significatives :

EntrepriseMontantAnnéeMotif
Meta (Ireland)1,2 Md EUR2023Transferts vers les USA
Amazon746 M EUR2021Publicité ciblée sans consentement
Meta405 M EUR2022Traitement données mineurs
Google150 M EUR2022Cookies
Microsoft60 M EUR2022Cookies

Limites du RGPD comme outil de souveraineté : Le RGPD protège les données personnelles mais ne crée pas de préférence pour les acteurs européens. Il impose des contraintes aux GAFAM tout en leur permettant de continuer à opérer en Europe. L'arrêt Schrems II (2020) a certes invalidé le Privacy Shield et compliqué les transferts vers les USA, mais le nouveau Data Privacy Framework (2023) a rouvert les flux de données transatlantiques.

3.3 DMA : réguler les gatekeepers

Le Digital Markets Act (DMA), applicable depuis 2023, cible spécifiquement les grandes plateformes numériques qualifiées de "contrôleurs d'accès" (gatekeepers). Son objectif est de garantir la contestabilité des marchés numériques et l'équité des relations entre plateformes et utilisateurs professionnels.

Critères de désignation des gatekeepers :

CritèreSeuil
Chiffre d'affaires UE>= 7,5 Md EUR/an sur 3 ans
Capitalisation>= 75 Md EUR
Utilisateurs actifs UE>= 45 millions/mois
Utilisateurs professionnels UE>= 10 000/an
Position établieCritères atteints 3 années consécutives

Gatekeepers désignés (septembre 2023) :

Alphabet (Google) : 7 services core platform
Amazon : 2 services
Apple : 3 services
ByteDance (TikTok) : 1 service
Meta : 4 services
Microsoft : 3 services

Obligations imposées aux gatekeepers :

Interopérabilité : permettre aux tiers de fonctionner avec les services de la plateforme (messagerie interopérable, app stores alternatifs).

Non-favoritisme : ne pas favoriser ses propres services dans les classements (Google Shopping dans Google Search, apps Apple préinstallées).

Portabilité : permettre aux utilisateurs de récupérer leurs données et de les transférer.

Accès aux données : fournir aux utilisateurs professionnels l'accès aux données générées par leur activité sur la plateforme.

Non-coupling : ne pas imposer l'utilisation d'un service comme condition d'accès à un autre.

Sanctions : jusqu'à 10% du CA mondial, 20% en cas de récidive, voire démantèlement structurel.

Portée et limites : Le DMA représente la tentative la plus ambitieuse de réguler les plateformes numériques. Les premiers cas d'application font l'objet de bras de fer avec la Commission (Apple et les app stores, Google et le choix du moteur de recherche). Le DMA contraint les pratiques mais ne crée pas d'alternatives européennes aux services régulés.

3.4 DSA : la responsabilité des plateformes

Le Digital Services Act (DSA) modernise le régime de responsabilité des intermédiaires numériques hérité de la directive e-commerce de 2000. Il introduit des obligations de diligence graduées selon la taille et la nature des plateformes.

Catégories de plateformes et obligations :

CatégorieCritèreObligations
IntermédiairesTout service intermédiairePoint de contact, coopération autorités
HébergeursStockage d'informationsNotification et action, transparence
Plateformes en ligneInterface acheteurs/vendeursTraçabilité des traders, lutte produits illégaux
Très grandes plateformes (VLOP)>45M utilisateurs UEÉvaluation risques systémiques, audit, transparence algo
Très grands moteurs (VLOSE)>45M utilisateurs UEIdem VLOP

Obligations spécifiques aux VLOP/VLOSE :

Évaluation annuelle des risques systémiques (désinformation, manipulation électorale, impacts sur les mineurs)
Audit indépendant de conformité
Transparence sur les systèmes de recommandation algorithmique
Possibilité pour les utilisateurs de refuser le profilage
Répertoire des publicités (qui finance, qui cible)
Accès aux données pour les chercheurs agréés

Plateformes désignées VLOP (2024) : Alibaba AliExpress, Amazon Store, Apple App Store, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, X (Twitter), Wikipedia, YouTube, Zalando, Bing, Google Search.

3.5 AI Act : encadrer l'intelligence artificielle

L'AI Act (Règlement UE 2024/1689), adopté en 2024, constitue le premier cadre réglementaire horizontal sur l'intelligence artificielle au niveau mondial. Il adopte une approche par les risques, avec des obligations graduées selon la dangerosité potentielle des systèmes.

Calendrier d'application (progressif) :

Février 2025 : Interdiction des pratiques à risque inacceptable
Août 2025 : Obligations pour les modèles GPAI (IA à usage général)
Août 2026 : Obligations complètes pour les systèmes à haut risque
Août 2027 : Pleine application incluant les systèmes embarqués

Note : Des discussions sont en cours sur d'éventuels ajustements de ce calendrier pour certaines catégories de systèmes.

Pyramide des risques :

Approche par les risques de l'AI ActClassification et obligations selon le niveau de risque

Obligations pour les systèmes à haut risque :

Système de gestion des risques documenté
Gouvernance des données d'entraînement
Documentation technique détaillée
Enregistrement des logs
Transparence envers les utilisateurs
Contrôle humain (human oversight)
Exactitude, robustesse et cybersécurité
Évaluation de conformité avant mise sur le marché

Obligations pour les modèles de fondation (GPAI) :

L'AI Act introduit des règles spécifiques pour les "General Purpose AI" (modèles de fondation type GPT, Claude, Gemini) :

Documentation technique sur l'entraînement
Respect du droit d'auteur sur les données d'entraînement
Résumé détaillé des contenus d'entraînement
Pour les modèles à risque systémique : évaluation du modèle, tests adverses, incident reporting

Portée et limites : L'AI Act crée des barrières à l'entrée sur le marché européen pour les systèmes d'IA non conformes. Il ne crée cependant pas de préférence pour les systèmes européens et pourrait même avantager les grands acteurs capables d'absorber les coûts de conformité face aux startups européennes.

3.6 NIS2 et DORA : la résilience des infrastructures critiques

La directive NIS2 (Network and Information Security) et le règlement DORA (Digital Operational Resilience Act) visent à renforcer la cybersécurité et la résilience des secteurs critiques.

NIS2 - Périmètre élargi (applicable depuis octobre 2024) :

NIS2 étend considérablement le périmètre de la directive NIS originale de 2016 :

CatégorieSecteurs concernés
Entités essentiellesÉnergie, transports, santé, eau, finance, infrastructure numérique, administration, espace
Entités importantesPoste, déchets, chimie, alimentation, industrie, services numériques, recherche

Obligations NIS2 :

Gouvernance de la cybersécurité au niveau de la direction
Analyse de risques et mesures de sécurité appropriées
Gestion des incidents et notification sous 24h
Continuité d'activité et gestion de crise
Sécurité de la chaîne d'approvisionnement
Tests réguliers et audits

DORA - Focus secteur financier (applicable depuis le 17 janvier 2025) :

DORA impose des exigences spécifiques aux entités financières (banques, assurances, gestionnaires d'actifs, plateformes de trading) :

Cadre de gestion des risques TIC
Classification et reporting des incidents
Tests de résilience (tests d'intrusion avancés)
Gestion des risques liés aux tiers (prestataires IT)
Partage d'informations sur les menaces

Impact sur la souveraineté : NIS2 et DORA imposent une réflexion sur les dépendances technologiques. La gestion des risques liés aux tiers inclut l'évaluation des risques géopolitiques et juridiques associés aux fournisseurs. Un établissement financier utilisant AWS doit désormais documenter les risques liés au Cloud Act et aux sanctions potentielles.

3.7 Data Act : l'accès aux données industrielles

Le Data Act, applicable depuis le 12 septembre 2025, vise à faciliter le partage des données générées par les objets connectés et les services numériques. Il crée un droit d'accès aux données au profit des utilisateurs et des tiers.

Principales dispositions :

Accès aux données des objets connectés : l'utilisateur d'un appareil connecté (voiture, machine industrielle, appareil ménager) a le droit d'accéder aux données générées par cet appareil et de les transférer à un tiers.

Portabilité des services cloud : les fournisseurs de cloud doivent permettre la migration vers un autre fournisseur, fournir des outils d'export, et ne pas facturer de frais de sortie excessifs. Les frais de switching doivent être progressivement éliminés d'ici 2027.

Accès des autorités publiques : en cas de besoin exceptionnel (urgence publique), les autorités peuvent demander l'accès à des données détenues par des entreprises.

Protection contre les clauses contractuelles abusives : les clauses imposant un partage de données déséquilibré aux PME peuvent être déclarées nulles.

Portée pour la souveraineté : Le Data Act renforce la réversibilité (critère 6 de la souveraineté) en limitant les stratégies de lock-in des fournisseurs cloud. Il ne traite cependant pas les questions d'immunité juridique ou de maîtrise technologique.

3.8 EUCS : vers un SecNumCloud européen ?

Le schéma européen de certification de cybersécurité pour les services cloud (EUCS - EU Cybersecurity Certification Scheme for Cloud Services) est un projet en cours de négociation visant à créer un cadre harmonisé de certification au niveau européen.

Niveaux envisagés :

Niveau basique : auto-évaluation, exigences minimales
Niveau substantiel : audit tiers, exigences intermédiaires
Niveau élevé : audit approfondi, exigences maximales

Le débat sur les critères de souveraineté :

Le projet EUCS fait l'objet d'un débat majeur entre États membres sur l'inclusion de critères de souveraineté similaires à SecNumCloud 3.2. La France pousse pour inclure des exigences d'immunité aux lois extraterritoriales au niveau élevé. D'autres États (Pays-Bas, pays nordiques) s'y opposent, craignant d'exclure les hyperscalers américains.

État actuel (janvier 2026) : Le projet EUCS reste bloqué sur cette question. Les versions successives ont oscillé entre inclusion et exclusion des critères de souveraineté. Un compromis possible serait de créer un niveau "élevé+" optionnel incluant ces critères, laissant aux États membres le choix de l'exiger pour leurs administrations.

Architecture du package réglementaire européenRelations entre les différents textes et leurs cibles

Partie IV : Analyse comparative - certification vs régulation

4.1 Deux philosophies de la souveraineté

L'approche française (SecNumCloud) et l'approche européenne (package réglementaire) incarnent deux philosophies distinctes de la souveraineté numérique.

L'approche par la certification (SecNumCloud) :

Crée un label de confiance pour les solutions conformes
Définit des critères techniques et juridiques stricts
Exclut les acteurs ne respectant pas les critères
Suppose l'existence d'alternatives conformes
Logique de substitution : remplacer l'offre non souveraine

L'approche par la régulation (package UE) :

Impose des contraintes à tous les acteurs du marché
Définit des règles de comportement (pratiques interdites, obligations)
N'exclut pas mais encadre
Accepte la présence d'acteurs non-européens dominants
Logique d'encadrement : contrôler l'offre non souveraine

4.2 Forces et faiblesses comparées

Analyse SWOT de l'approche SecNumCloudForces, faiblesses, opportunités et menaces de l'approche française
Analyse SWOT de l'approche réglementaire européenneForces, faiblesses, opportunités et menaces du package réglementaire

4.3 Complémentarité ou contradiction ?

Les deux approches peuvent être vues comme complémentaires ou contradictoires selon l'angle adopté.

Lecture complémentaire : La régulation européenne crée un socle minimum applicable à tous. La certification française ajoute une couche d'exigences pour les usages les plus sensibles. Une entreprise peut utiliser des services conformes au RGPD et au DSA pour ses usages courants, et réserver SecNumCloud pour ses données critiques.

Lecture contradictoire : L'approche réglementaire européenne légitime de facto la présence des hyperscalers sur le marché européen, dès lors qu'ils se conforment aux règles. Elle affaiblit l'argument en faveur d'alternatives souveraines : pourquoi payer plus cher et accepter moins de fonctionnalités si les GAFAM sont "régulés" et donc acceptables ?

Le risque du pire des deux mondes : Le danger est d'aboutir à une situation où la régulation européenne impose des coûts de conformité aux acteurs européens sans avantage compétitif, tandis que les hyperscalers absorbent ces coûts et maintiennent leur domination. La souveraineté resterait alors un discours sans traduction opérationnelle.

4.4 La question des offres hybrides : leçons de la qualification S3NS

La qualification de S3NS par l'ANSSI en décembre 2025 constitue un test décisif pour l'évaluation des offres hybrides combinant technologie américaine et opération souveraine.

Ce que valide la qualification S3NS :

L'architecture juridique de séparation (Thales opérateur, Google fournisseur de technologie) satisfait les critères d'immunité extraterritoriale
Le contrôle opérationnel par une entité française est effectif
Les données restent sous juridiction française exclusive pour les accès quotidiens

Ce que la qualification ne résout pas :

La dépendance technologique de long terme (licence Google)
La question de la résilience en cas de crise géopolitique majeure
L'écart potentiel entre la plateforme originale et sa version "souveraine"

Implications pour BLEU : La qualification de S3NS crée un précédent favorable pour BLEU (architecture similaire avec Microsoft), sous réserve que les critères techniques et opérationnels soient satisfaits.

Partie V : Perspectives et recommandations

5.1 Diagnostic d'ensemble (janvier 2026)

La souveraineté numérique européenne présente un bilan en amélioration mais encore contrasté.

Acquis :

Arsenal réglementaire le plus avancé au monde (RGPD, DMA, DSA, AI Act, NIS2, DORA, Data Act)
Référentiels de certification exigeants (SecNumCloud en France, BSI C5 en Allemagne)
Première offre hybride qualifiée (S3NS, décembre 2025)
Écosystème d'acteurs souverains consolidé (OVH, Scaleway, 3DS Outscale, Cloud Temple...)

Manques persistants :

Pas de champion européen de taille mondiale dans le cloud
Dépendance maintenue aux technologies américaines (OS, puces, logiciels)
Écart de performance persistant avec les hyperscalers sur le PaaS avancé
Fragmentation des certifications entre États membres (EUCS bloqué)
Absence de suite bureautique souveraine de niveau entreprise

5.2 Hiérarchie des priorités

Une stratégie de souveraineté numérique cohérente devrait hiérarchiser les efforts selon l'impact et la faisabilité.

Priorité 1 : Accélérer la migration vers le cloud souverain (court terme)

Appliquer strictement la doctrine cloud de l'État
Exploiter l'élargissement de l'offre (S3NS qualifié)
Former les équipes aux solutions souveraines
Coût : modéré | Impact : élevé sur le périmètre concerné

Priorité 2 : Renforcer l'écosystème souverain (moyen terme)

Commande publique fléchée vers les acteurs européens
Financement de la montée en gamme des offres souveraines
Soutien aux projets open source européens
Développement d'alternatives SaaS (bureautique, collaboration)
Coût : élevé | Impact : moyen à élevé

Priorité 3 : Harmoniser au niveau européen (moyen terme)

Débloquer les négociations EUCS avec un niveau "élevé+" optionnel
Reconnaissance mutuelle des certifications nationales
Coordination des politiques industrielles numériques
Coût : faible (coordination) | Impact : élevé (effet d'échelle)

Priorité 4 : Réduire les dépendances technologiques profondes (long terme)

Soutien aux filières semi-conducteurs (European Chips Act)
Développement d'alternatives aux OS dominants
Maîtrise des technologies d'IA de fondation
Coût : très élevé | Impact : transformationnel mais horizon 10-20 ans

5.3 Le cas des offres hybrides : doctrine proposée

La qualification de S3NS appelle à clarifier la doctrine sur les offres hybrides.

Position recommandée : acceptation conditionnelle avec transparence

1.Qualification possible : les offres hybrides peuvent être qualifiées SecNumCloud si elles satisfont les critères d'immunité et de contrôle opérationnel
1.Transparence sur les risques résiduels : les clients doivent être informés des dépendances technologiques de long terme (licence révocable)
1.Catégorisation distincte : distinguer clairement dans la communication :

- "Cloud souverain pur" (stack 100% européen) - "Cloud souverain hybride" (opération européenne, technologie sous licence)

1.Surveillance continue : audits réguliers de la pérennité de la relation avec le fournisseur technologique

5.4 Indicateurs de suivi

Mesurer les progrès de la souveraineté numérique suppose de définir des indicateurs objectifs.

Indicateurs d'offre :

Nombre de services qualifiés SecNumCloud (30 en janvier 2026)
Chiffre d'affaires cumulé des acteurs souverains
Part de marché des offres souveraines dans la commande publique
Couverture fonctionnelle vs hyperscalers

Indicateurs d'usage :

Part des données sensibles de l'État hébergées en souverain
Nombre de ministères conformes à la doctrine cloud
Taux de dépendance aux licences Microsoft/Google dans l'administration

Indicateurs de résilience :

Capacité de continuité en cas de coupure des services américains
Existence de plans de bascule testés
Disponibilité de compétences critiques
État de la souveraineté numérique française (janvier 2026)Évaluation par domaine sur 100

Partie VI : Projection budgétaire de la transition souveraine sur 10 ans

Cette partie propose une modélisation économique de la transition vers la souveraineté numérique pour l'administration française, avec trois scénarios chiffrés sur la période 2026-2035. L'objectif est de passer du discours aux ordres de grandeur, condition préalable à toute décision éclairée.

6.1 Périmètre et hypothèses de modélisation

Périmètre retenu : l'État central et ses opérateurs

L'analyse porte sur l'ensemble des ministères, agences et opérateurs de l'État, soit environ :

2,5 millions d'agents publics équipés numériquement
15 ministères + services du Premier ministre
~450 opérateurs de l'État
Budget SI État : ~8 milliards EUR/an (source : DINUM 2024)
Dont cloud et licences logicielles : ~2,2 milliards EUR/an

Hypothèses structurantes

ParamètreValeur retenueSource/Justification
Inflation IT annuelle3%Moyenne observée 2020-2025
Coût journalier moyen (TJM) ingénieur SI650 EURRéférentiel DINUM
Durée amortissement investissements5 ansPratique comptable État
Taux d'actualisation2,5%Taux sans risque EUR 10 ans
Surcoût solutions souveraines vs hyperscalers+25% à +60% selon coucheBenchmark CIGREF 2024
Coût de migration par poste1 500-4 500 EURRetex administrations nordiques

Les couches considérées

La modélisation distingue quatre couches technologiques, chacune avec ses propres dynamics de coût et de dépendance :

1.IaaS (Infrastructure) : compute, stockage, réseau
2.PaaS (Plateforme) : bases de données, containers, services managés
3.SaaS (Applications) : bureautique, messagerie, collaboration
4.OS et postes de travail : systèmes d'exploitation, endpoints

6.2 Les trois scénarios de transition

Profil des trois scénarios de transitionComparaison multicritère

#### Scénario A : Statu quo optimisé (référence)

Maintien de la trajectoire actuelle avec optimisations marginales :

Cloud : usage mixte AWS/Azure/GCP avec localisation UE
Bureautique : Microsoft 365 E3/E5
OS : Windows 11 Enterprise
Initiatives souveraines : limitées aux données classifiées

Coûts annuels (base 2026) :

Licences Microsoft (2,5M postes) : 720 M EUR
Cloud hyperscalers : 480 M EUR
Maintenance et support : 340 M EUR
Total annuel : 1,54 Md EUR

#### Scénario B : Transition hybride (recommandé)

Bascule progressive vers les offres hybrides qualifiées et développement parallèle de l'écosystème souverain :

Phase 1 (2026-2028) : Migration cloud sensible

Données sensibles de l'État → S3NS / cloud souverain pur
Maintien Microsoft 365 pour bureautique grand public
Pilotes OS Linux sur 5% du parc

Phase 2 (2029-2031) : Élargissement

Extension cloud souverain à 60% des workloads éligibles
Déploiement alternatives bureautiques (Collabora, OnlyOffice) sur 25% du parc
Linux sur 20% du parc postes de travail

Phase 3 (2032-2035) : Consolidation

Cloud souverain cible : 80% des workloads sensibles
Bureautique souveraine : 40% du parc
Linux : 35% du parc

#### Scénario C : Souveraineté maximale

Remplacement systématique de toutes les solutions américaines :

Cloud : 100% souverain (OVH, Scaleway, Outscale, cloud interne)
Bureautique : 100% open source / européen
OS : 100% Linux (distributions auditées)
Développements spécifiques pour combler les gaps fonctionnels

6.3 Projection des coûts par scénario

#### Coûts cumulés sur 10 ans (2026-2035)

Coût total de possession sur 10 ans par scénarioEn milliards d'euros, décomposé par poste

Synthèse des coûts totaux sur 10 ans :

Poste de coûtScénario AScénario BScénario C
Licences logicielles8,2 Md EUR5,8 Md EUR1,2 Md EUR
Services cloud5,8 Md EUR7,2 Md EUR6,8 Md EUR
Migration et intégration0,4 Md EUR2,8 Md EUR5,2 Md EUR
Formation et changement0,3 Md EUR1,4 Md EUR2,8 Md EUR
Développements spécifiques0,5 Md EUR1,8 Md EUR4,5 Md EUR
Support et maintenance3,2 Md EUR4,0 Md EUR5,5 Md EUR
TOTAL 10 ans18,4 Md EUR23,0 Md EUR26,0 Md EUR
Surcoût vs statu quoRéférence+4,6 Md EUR (+25%)+7,6 Md EUR (+41%)
Coût moyen annuel1,84 Md EUR2,30 Md EUR2,60 Md EUR

6.4 Trajectoire annuelle et cash-flows

Trajectoire des coûts annuels par scénario (2026-2035)En millions d'euros

Analyse de la trajectoire :

Le scénario B (hybride) présente un pic de coûts entre 2028 et 2030, correspondant à la phase d'investissement intensive (migrations, formations, développements). Les coûts redescendent ensuite progressivement à mesure que les économies de licences se matérialisent et que les compétences se consolident.

Le scénario C (souverain max) montre un pic plus élevé (2029-2030) et une décrue plus lente, reflétant la complexité accrue des migrations et le besoin de développements spécifiques pour combler les gaps fonctionnels.

Point de croisement économique :

Le scénario B devient plus économique que le scénario A à partir de 2033 en coûts annuels, grâce aux économies de licences. Sur l'ensemble de la période, le surcoût cumulé de 4,6 Md EUR correspond à un "investissement de souveraineté" de 460 M EUR/an, soit environ 20% du budget actuel.

6.5 Décomposition par couche technologique

#### Couche IaaS (Infrastructure cloud)

IndicateurScénario AScénario BScénario C
Part souverain 202615%15%15%
Part souverain 203020%55%85%
Part souverain 203525%80%100%
Coût moyen par VM/mois85 EUR95 EUR115 EUR
Surcoût cumulé 10 ansRéf.+0,8 Md EUR+1,4 Md EUR

Justification des écarts : Les offres souveraines (S3NS, OVH, Scaleway) présentent un surcoût de 15-35% par rapport aux hyperscalers US pour des services IaaS comparables. Ce surcoût se réduit progressivement avec la montée en charge et les économies d'échelle.

#### Couche PaaS (Services managés)

IndicateurScénario AScénario BScénario C
Part souverain 20265%5%5%
Part souverain 203010%35%65%
Part souverain 203515%55%95%
Développements compensatoires50 M EUR450 M EUR1,2 Md EUR

Point d'attention : La couche PaaS est celle où l'écart fonctionnel avec les hyperscalers est le plus marqué. Les services managés AWS/Azure (Kubernetes managé, bases de données serverless, services d'IA) n'ont pas d'équivalent souverain à parité fonctionnelle. Le scénario C implique des développements compensatoires significatifs.

#### Couche SaaS (Applications métier)

IndicateurScénario AScénario BScénario C
Bureautique Microsoft 365100%60%0%
Messagerie Exchange/Outlook100%70%0%
Collaboration Teams100%55%0%
Coût licences M365 10 ans7,2 Md EUR4,3 Md EUR0
Coût alternatives0,2 Md EUR1,1 Md EUR2,8 Md EUR

Économie nette licences : Le scénario C économise 7,2 Md EUR de licences Microsoft mais requiert 2,8 Md EUR d'investissement dans les alternatives (Collabora, OnlyOffice, solutions développées). L'économie nette de 4,4 Md EUR est partiellement absorbée par les coûts de migration et d'accompagnement.

#### Couche OS et postes de travail

IndicateurScénario AScénario BScénario C
Postes Windows100%65%0%
Postes Linux0%35%100%
Coût licences Windows 10 ans1,0 Md EUR0,65 Md EUR0
Coût migration/support Linux00,8 Md EUR2,2 Md EUR
Coût requalification apps métier00,4 Md EUR1,8 Md EUR

Risque majeur : La migration vers Linux des postes de travail génère des coûts induits de requalification des applications métier non compatibles. Le scénario C chiffre ce risque à 1,8 Md EUR, hypothèse qui pourrait être dépassée si de nombreuses applications legacy s'avèrent non portables.

6.6 Analyse coût-bénéfice ajustée du risque

La comparaison brute des coûts ne capture pas la valeur de la souveraineté. Une analyse ajustée du risque doit intégrer le coût potentiel de scénarios adverses.

Scénarios de risque considérés :

Scénario de risqueProbabilité 10 ansCoût si réaliséCoût pondéré
Sanctions US ciblées (type Iran)2%15 Md EUR300 M EUR
Coupure services (type Russie)1%25 Md EUR250 M EUR
Hausse unilatérale tarifs licences25%2 Md EUR500 M EUR
Fuite de données stratégiques10%5 Md EUR500 M EUR
Total coûts de risque pondérés1,55 Md EUR

Note méthodologique : Les probabilités sont des estimations subjectives calibrées sur l'évolution du contexte géopolitique 2020-2025. Le lecteur est invité à ajuster selon sa propre appréciation du risque.

Coût total ajusté du risque :

ScénarioCoût brut 10 ansRisque résiduel pondéréCoût ajusté
Scénario A18,4 Md EUR1,55 Md EUR19,95 Md EUR
Scénario B23,0 Md EUR0,6 Md EUR23,6 Md EUR
Scénario C26,0 Md EUR0,15 Md EUR26,15 Md EUR

Interprétation : Le surcoût "réel" du scénario B par rapport au scénario A, ajusté du risque, est de 3,65 Md EUR sur 10 ans (365 M EUR/an), soit 20% du budget annuel SI de l'État. Ce montant peut être considéré comme une "prime d'assurance souveraineté".

6.7 Analyse de sensibilité

Les projections sont sensibles à plusieurs paramètres dont l'évolution est incertaine.

Sensibilité du coût du scénario B aux paramètres clésImpact sur le coût total 10 ans (variation de ±20% du paramètre)

Paramètres les plus sensibles :

1.Surcoût cloud souverain : Une réduction de 20% du surcoût des offres souveraines (par effet d'échelle ou concurrence) diminuerait le coût total du scénario B de 1,2 Md EUR.
1.Évolution des tarifs Microsoft : Une hausse de 20% des licences M365 (scénario plausible au vu des hausses 2022-2024) rendrait le scénario B économiquement plus attractif de 0,8 Md EUR.
1.TJM des prestations : La tension sur le marché des compétences cloud/cybersécurité pourrait augmenter les coûts de migration de 15-25%.

6.8 Recommandation économique

Au terme de cette analyse, le scénario B (transition hybride) apparaît comme le meilleur compromis coût-souveraineté-faisabilité :

Arguments économiques :

Surcoût maîtrisé (+25% sur 10 ans, soit 460 M EUR/an)
Pic d'investissement absorbable (2028-2030)
Économies de licences à terme (croisement 2033)
Risques résiduels significativement réduits

Arguments opérationnels :

Trajectoire progressive permettant l'apprentissage organisationnel
Maintien de la productivité pendant la transition
Réversibilité partielle possible

Arguments stratégiques :

Contribue à structurer l'écosystème souverain européen
Crée de la demande pour les acteurs nationaux
Préserve des options pour l'avenir

Ce que le scénario B ne résout pas :

Dépendance technologique de long terme (licences révocables)
Vulnérabilité aux couches profondes (OS, semi-conducteurs)
Capacité de réponse en cas de crise majeure

6.9 Synthèse : le prix de la souveraineté

Flux financiers de la transition souveraine (scénario B, 10 ans)Réallocation des dépenses numériques de l'État

Le prix de la souveraineté numérique :

Investissement total : +4,6 Md EUR sur 10 ans vs statu quo
Coût annuel moyen : +460 M EUR/an
Part du budget SI État : ~20% de surcoût
Création de valeur locale : ~15 Md EUR réorientés vers l'écosystème européen

Ces ordres de grandeur permettent de situer le débat sur la souveraineté numérique dans sa réalité économique. Le surcoût n'est ni négligeable ni prohibitif. Il correspond à un choix politique assumé dont les bénéfices (autonomie, résilience, développement industriel) ne sont pas tous monétisables mais n'en sont pas moins réels.

Partie VI : Position éditoriale : Pour une souveraineté numérique assumée

Cette partie expose une position éditoriale engagée. Contrairement aux sections précédentes qui visaient l'analyse factuelle, celle-ci assume un point de vue normatif sur les choix stratégiques que la France et l'Europe devraient opérer.

6.1 Le risque systémique que personne ne veut nommer : le code dormant

L'analyse des risques liés aux technologies américaines se concentre généralement sur les aspects juridiques (Cloud Act, FISA) et commerciaux (dépendance aux licences, lock-in). Ces risques sont réels mais ne constituent pas la menace la plus grave. Le risque systémique majeur, rarement évoqué dans le débat public français, concerne la capacité d'États étrangers à insérer du code dormant dans les systèmes informatiques qu'ils fournissent.

Stuxnet : la preuve de concept

En 2010, le ver informatique Stuxnet a détruit environ 1 000 centrifugeuses du programme nucléaire iranien. Cette cyberarme, attribuée aux États-Unis et à Israël par de nombreuses sources (dont le New York Times en 2012), a démontré plusieurs capacités :

Infiltration de systèmes air-gapped (non connectés à Internet)
Ciblage précis d'équipements industriels spécifiques (automates Siemens S7-300)
Activation conditionnelle (le code dormant ne s'active que dans des conditions précises)
Attribution difficile (découvert 18 mois après son déploiement)

Stuxnet n'était pas un virus classique : c'était une arme de sabotage stratégique dissimulée dans du code informatique. Son existence prouve que les grandes puissances disposent de la capacité technique et de la volonté politique d'utiliser les infrastructures numériques comme vecteurs d'attaque.

Les programmes de la NSA révélés par Snowden

Les documents révélés par Edward Snowden en 2013 ont mis en lumière des programmes de la NSA visant spécifiquement à compromettre les équipements informatiques :

BULLRUN : Programme visant à affaiblir les standards de chiffrement et à insérer des backdoors dans les produits commerciaux
QUANTUM : Capacité d'interception et de modification du trafic Internet en temps réel
IRATEMONK : Malware persistant dans le firmware des disques durs (Western Digital, Seagate, Samsung)
Programmes TAO (Tailored Access Operations) : Interception de matériel informatique en transit pour y insérer des implants

Ces révélations documentées établissent que la NSA a activement travaillé à compromettre les produits informatiques commerciaux, y compris ceux destinés à des alliés. L'Allemagne a découvert que le téléphone d'Angela Merkel était surveillé par la NSA. La France a été ciblée par des opérations de renseignement économique documentées.

Le précédent Crypto AG

En 2020, une enquête du Washington Post et de la ZDF a révélé que Crypto AG, entreprise suisse de chiffrement utilisée par plus de 120 pays pendant des décennies, était secrètement contrôlée par la CIA et le BND allemand. Les machines de chiffrement vendues à des gouvernements étrangers contenaient des backdoors permettant aux services américains et allemands de déchiffrer les communications censées être sécurisées.

Cette affaire démontre que l'insertion de vulnérabilités dans des équipements commerciaux n'est pas une hypothèse théorique mais une pratique documentée sur plusieurs décennies.

Implications pour Windows, Azure et les produits Microsoft

Dans ce contexte, quelle confiance accorder à des systèmes d'exploitation et services cloud fournis par des entreprises américaines soumises à la juridiction des États-Unis ?

La question ne porte pas sur la probité des entreprises elles-mêmes, mais sur les contraintes légales auxquelles elles sont soumises :

Les National Security Letters permettent au FBI d'exiger des informations sans mandat judiciaire, avec interdiction de divulguer l'existence même de la demande
Le FISA Amendments Act autorise la collecte sans mandat des communications de non-Américains
La doctrine juridique américaine considère que les entreprises doivent coopérer avec les services de renseignement, même contre leur gré

Un dirigeant de Microsoft, Google ou Amazon n'a pas le choix légal de refuser une demande de la NSA accompagnée des contraintes légales appropriées. Il ne peut même pas révéler l'existence de cette demande. Le code source de Windows, Azure ou AWS peut contenir des modifications imposées par les services de renseignement américains sans que l'entreprise puisse en informer ses clients.

Le scénario que personne ne veut envisager

Imaginons un scénario de crise majeure entre les États-Unis et un pays européen, ou une divergence stratégique profonde (par exemple sur la politique envers la Chine, la Russie, ou le Moyen-Orient). Les États-Unis disposeraient potentiellement de la capacité de :

Désactiver à distance des infrastructures critiques européennes fonctionnant sous Windows Server
Accéder aux données stockées sur les clouds américains malgré les protections contractuelles
Activer du code dormant dans les équipements réseau, les systèmes d'exploitation, les firmwares
Perturber le fonctionnement d'administrations, d'entreprises, d'infrastructures essentielles

Ce scénario n'est pas de la science-fiction : c'est exactement ce que Stuxnet a réalisé contre l'Iran. La seule question est de savoir si les États-Unis utiliseraient de telles capacités contre des alliés. L'histoire de Crypto AG et la surveillance de Merkel suggèrent que l'alliance n'est pas une protection absolue.

6.2 La position de SensPo.fr : assumer le choix de la souveraineté

Face à ces risques, la position de SensPo.fr est claire : la souveraineté numérique n'est pas une option mais une nécessité stratégique.

Ce que nous défendons :

1.Assumer le surcoût de la souveraineté : Oui, les solutions souveraines sont plus chères et parfois moins performantes. Ce surcoût est le prix de l'indépendance stratégique, comparable au budget de la défense. Un pays qui refuse ce coût n'est pas souverain.
1.Refuser le faux compromis des offres hybrides sur le long terme : S3NS et BLEU peuvent constituer des solutions transitoires acceptables, mais l'objectif doit rester la maîtrise complète de la pile technologique. Une dépendance "gérée" reste une dépendance.
1.Investir massivement dans les alternatives européennes : Les 43 milliards de l'European Chips Act sont un début. Il faut des efforts comparables pour les systèmes d'exploitation, les suites bureautiques, les services cloud de bout en bout.
1.Accepter une période de dégradation fonctionnelle : La transition vers des solutions souveraines impliquera des fonctionnalités réduites, des interfaces moins polies, des intégrations moins fluides. Cette dégradation temporaire est le prix de l'autonomie future.
1.Former une génération de techniciens et d'ingénieurs sur les technologies ouvertes : La dépendance technique est aussi une dépendance cognitive. Les ingénieurs formés exclusivement sur les technologies Microsoft ou AWS sont des vecteurs involontaires de lock-in.

Ce que nous refusons :

Le discours de "souveraineté numérique" qui maintient la dépendance sous de nouvelles formes
Les solutions "conformes au RGPD" qui restent vulnérables au Cloud Act
L'argument de la "performance supérieure" des solutions américaines comme justification permanente de la dépendance
La naïveté géopolitique qui suppose que les États-Unis n'utiliseraient jamais leurs capacités contre des alliés

6.3 Le code dormant : un risque à prendre au sérieux

Pour conclure cette section, il convient d'être explicite sur la nature du risque :

Nous ne disposons pas de preuves que Windows, Azure ou d'autres produits américains contiennent actuellement du code dormant exploitable contre les intérêts européens.

Mais nous savons avec certitude que :

Les États-Unis ont la capacité technique d'insérer de tel code (Stuxnet, programmes NSA)
Ils l'ont fait dans le passé contre des pays tiers (Iran, mais aussi via Crypto AG contre des dizaines de pays)
Les entreprises américaines n'ont pas le pouvoir légal de s'y opposer
La détection de tel code est extrêmement difficile, voire impossible sans accès au code source

Dans ce contexte, le principe de précaution stratégique commande de réduire la dépendance aux technologies américaines pour les fonctions critiques de l'État et des infrastructures essentielles. Ce n'est pas de l'anti-américanisme : c'est du réalisme géopolitique.

Les États-Unis eux-mêmes n'accepteraient jamais que leurs infrastructures critiques fonctionnent sur des technologies chinoises ou russes. Ils ont interdit Huawei et TikTok pour des risques bien moins documentés que ceux associés aux technologies américaines du point de vue européen. L'Europe devrait appliquer le même raisonnement, avec la même fermeté.

Partie VII : Cas d'usage chiffré : la migration de la Région Bourgogne-Franche-Comté

Ce cas d'usage est un scénario illustratif construit à partir de données publiques sur les coûts des services cloud et les effectifs des administrations régionales. Il vise à donner des ordres de grandeur réalistes, non des chiffres exacts.

7.1 Contexte de départ (situation 2024)

La Région Bourgogne-Franche-Comté emploie environ 4 200 agents (services centraux + lycées) et gère un système d'information comprenant :

Infrastructure existante :

3 800 postes de travail Windows 10/11 avec licences Microsoft 365 E3
Messagerie et collaboration sur Microsoft 365 (Exchange Online, Teams, SharePoint)
Stockage cloud sur OneDrive (environ 15 To de données)
Applications métiers hébergées sur Azure (5 serveurs virtuels)
Active Directory pour la gestion des identités

Coûts annuels avant migration :

PosteCoût unitaireVolumeTotal annuel
Licences M365 E3312 EUR/an3 8001 185 600 EUR
Azure (compute + storage)--180 000 EUR
Support Microsoft EA--95 000 EUR
Prestataires intégration--320 000 EUR
Total1 780 600 EUR

Dépendances identifiées :

100% des postes de travail sous Windows
100% de la messagerie chez Microsoft
100% de la collaboration chez Microsoft
Données sensibles (marchés publics, RH, finances) sur cloud américain
Compétences internes formées exclusivement sur environnement Microsoft

7.2 Décision de migration (2025)

Suite à la doctrine cloud de l'État et aux recommandations de l'ANSSI, la Région décide d'engager une migration vers des solutions souveraines sur 4 ans.

Objectifs fixés :

Hébergement cloud qualifié SecNumCloud pour les données sensibles
Réduction de la dépendance Microsoft à 30% des postes (postes nécessitant des applications spécifiques)
Messagerie et collaboration sur solutions européennes
Compétences internes diversifiées

Architecture cible retenue :

ComposantSolution actuelleSolution cibleFournisseur
Cloud IaaSAzureS3NS (GCP via Thales)Qualifié SecNumCloud
Postes standardsWindows + M365Linux Ubuntu + LibreOfficeCanonical (UK/EU)
Postes spécifiquesWindows + M365Windows + M365 (30%)Microsoft
MessagerieExchange OnlineBlueMindFrançais, qualifiable
CollaborationTeams/SharePointTalkspirit ou JamespotFrançais
StockageOneDriveNextcloud sur S3NSOpen source / Souverain
IdentitéAzure ADKeycloak + LDAPOpen source

7.3 Coûts de la migration (période 2025-2028)

Année 1 (2025) : Préparation et pilote

PosteDescriptionCoût
Audit SI completCartographie des dépendances85 000 EUR
Étude d'architectureConception solution cible120 000 EUR
Formation équipe projet8 agents, certifications48 000 EUR
Pilote 200 postes LinuxMatériel + déploiement180 000 EUR
Migration pilote cloud S3NSSetup + migration données95 000 EUR
Licences transitoiresMaintien M365 intégral1 185 600 EUR
Total Année 11 713 600 EUR

Année 2 (2026) : Migration principale

PosteDescriptionCoût
Déploiement Linux (2 000 postes)Matériel, déploiement, support890 000 EUR
Migration messagerie BlueMindLicences + migration + formation320 000 EUR
Migration collaborationTalkspirit licences + déploiement145 000 EUR
Formation utilisateurs (2 200 agents)2 jours/agent440 000 EUR
Migration données cloud S3NSTransfert + validation180 000 EUR
Support renforcé niveau 1Helpdesk dédié transition290 000 EUR
Licences M365 réduites (1 800)Période transitoire561 600 EUR
Abonnement S3NSIaaS + PaaS210 000 EUR
Total Année 23 036 600 EUR

Année 3 (2027) : Finalisation

PosteDescriptionCoût
Déploiement Linux (1 600 postes)Finalisation parc712 000 EUR
Migration applications métiersAdaptation / réécriture480 000 EUR
Formation complémentairePerfectionnement95 000 EUR
Licences M365 résiduelles (1 140)30% du parc355 680 EUR
Abonnement S3NSRégime nominal240 000 EUR
BlueMind + TalkspiritLicences annuelles185 000 EUR
Support CanonicalUbuntu Advantage76 000 EUR
Total Année 32 143 680 EUR

Année 4 (2028) : Régime nominal

PosteDescriptionCoût
Licences M365 résiduelles30% du parc (1 140 postes)355 680 EUR
Abonnement S3NSCloud souverain250 000 EUR
BlueMind + TalkspiritCollaboration souveraine185 000 EUR
Support CanonicalUbuntu Advantage76 000 EUR
Maintenance applicativeMCO solutions migrées180 000 EUR
Total Année 41 046 680 EUR

7.4 Bilan économique sur 5 ans

Comparaison des coûts : maintien Microsoft vs migration souveraineCoûts cumulés sur 5 ans (2024-2028) en millions EUR

Analyse économique :

IndicateurMaintien MicrosoftMigration souveraineDifférence
Coût total 5 ans9,83 M EUR9,72 M EUR-110 000 EUR
Coût année 5 (régime permanent)2,16 M EUR1,05 M EUR-1,11 M EUR
ROI à partir de-Année 5-
Économie annuelle régime permanent-1,11 M EUR+52%

Conclusion économique : La migration vers des solutions souveraines atteint l'équilibre économique sur 5 ans et génère ensuite des économies significatives (plus de 1 M EUR/an). Le surcoût est concentré sur l'année 2 (pic de migration).

7.5 Bilan qualitatif

Gains obtenus :

CritèreAvantAprèsAmélioration
Données sensibles sur cloud souverain0%100%Immunité Cloud Act
Postes sous OS libre0%70%Réduction dépendance
Compétences diversifiéesNonOuiRésilience équipe
Auditabilité code sourceNullePartielleTransparence
Risque code dormantÉlevéRéduitSécurité stratégique

Difficultés rencontrées :

Résistance au changement des utilisateurs (3 mois d'adaptation)
Incompatibilités avec certaines applications métiers (2 applications reconverties en web)
Perte temporaire de productivité estimée à 8% pendant 6 mois
Nécessité de maintenir 30% du parc sous Windows pour applications spécifiques sans équivalent

Éléments non chiffrés mais significatifs :

Fin de la dépendance stratégique à un fournisseur unique
Alignement avec la doctrine de l'État
Contribution à l'écosystème open source européen
Montée en compétence des équipes IT

7.6 Enseignements transposables

Ce cas illustre plusieurs réalités de la migration souveraine :

1.Le surcoût n'est pas prohibitif : Sur 5 ans, les coûts s'équilibrent. Le mythe du "souverain ruineux" ne résiste pas à l'analyse chiffrée.
1.L'investissement est concentré sur 2 ans : Le pic de coût (année 2) nécessite un engagement budgétaire ponctuel, pas un surcoût permanent.
1.Les économies arrivent en régime permanent : Une fois la migration achevée, les coûts récurrents sont significativement inférieurs.
1.La souveraineté totale reste un objectif : Le maintien de 30% du parc sous Microsoft traduit les contraintes réelles (applications sans équivalent). L'objectif est de réduire ce ratio dans le temps.
1.La formation est essentielle : Les coûts de formation représentent 10% du budget de migration. C'est un investissement, pas une charge.

Partie VIII : Projection budgétaire : coûts de transition sur 10 ans pour l'État français

Cette projection vise à estimer les ordres de grandeur d'une migration complète de l'État français vers des solutions souveraines. Les chiffres sont des estimations basées sur les données disponibles et doivent être considérés comme indicatifs.

8.1 Périmètre et hypothèses

Périmètre considéré :

Administrations centrales : 2,4 millions d'agents (fonction publique d'État)
Collectivités territoriales : 1,9 million d'agents
Fonction publique hospitalière : 1,2 million d'agents
Total : 5,5 millions d'agents / postes de travail potentiels

Hypothèses de calcul :

Taux d'équipement informatique : 80% (4,4 millions de postes)
Part de postes migrables vers Linux : 70% (3,08 millions)
Part de postes nécessitant Windows : 30% (1,32 million) pour applications métiers spécifiques
Durée de transition : 10 ans
Inflation annuelle des licences Microsoft : 5%
Courbe d'apprentissage : productivité -10% année 1, -5% année 2, normale ensuite

8.2 Scénario A : Statu quo (maintien dépendance Microsoft)

Coûts projetés sur 10 ans :

PosteCoût unitaire 2025ÉvolutionTotal 10 ans
Licences M365 (4,4M postes)312 EUR/an+5%/an17,2 Md EUR
Cloud Azure administration-+7%/an3,8 Md EUR
Intégration / support-+3%/an4,5 Md EUR
Total statu quo25,5 Md EUR

Risques non chiffrés :

Vulnérabilité permanente au Cloud Act
Risque de code dormant
Dépendance stratégique totale
Fuite des compétences open source

8.3 Scénario B : Migration souveraine progressive

Hypothèses de migration :

Années 1-2 : Pilotes et architecture (5% du parc)
Années 3-5 : Migration principale (60% du parc migré)
Années 6-8 : Consolidation (85% du parc)
Années 9-10 : Optimisation (objectif 70% souverain stable)

Coûts détaillés :

Flux budgétaires de la migration souveraine sur 10 ansEn milliards EUR

Tableau de synthèse par grande catégorie :

CatégorieAnnées 1-3Années 4-7Années 8-10Total 10 ans
Cloud souverain (S3NS, OVH)1,2 Md4,5 Md2,8 Md8,5 Md EUR
Postes de travail1,8 Md3,2 Md2,2 Md7,2 Md EUR
Formation (agents + IT)1,5 Md2,3 Md1,0 Md4,8 Md EUR
Développement alternatives2,0 Md2,2 Md1,0 Md5,2 Md EUR
Coûts de transition1,2 Md1,1 Md0,5 Md2,8 Md EUR
Total7,7 Md13,3 Md7,5 Md28,5 Md EUR

8.4 Comparaison des scénarios

Coûts cumulés sur 10 ans : statu quo vs migration souveraineEn milliards EUR

Analyse comparative :

IndicateurStatu quoMigrationDifférence
Coût total 10 ans31,0 Md EUR28,5 Md EUR-2,5 Md EUR
Coût année 10 seule4,1 Md EUR1,8 Md EUR-2,3 Md EUR
Point de croisement-Année 8-
Économie annuelle post-transition-2,3 Md EUR+56%

8.5 Détail des investissements par domaine

8.5.1 Développement d'alternatives SaaS (3,5 Md EUR sur 10 ans)

AlternativeBudgetObjectif
Suite bureautique souveraine800 M EURAlternative à Microsoft 365 (Collabora, OnlyOffice enrichis)
Messagerie/collaboration600 M EURBlueMind, Talkspirit, niveau enterprise
Outils métiers RH/Finance1 200 M EURAlternatives aux ERP américains
Plateforme data souveraine500 M EURAlternative Power BI / Tableau
Outils IA souveraine400 M EURModèles européens (Mistral, etc.)

8.5.2 Contribution aux projets open source (1,7 Md EUR)

ProjetBudgetObjectif
Noyau Linux / distributions400 M EURMaintien, sécurité, certification
LibreOffice / Collabora350 M EURParité fonctionnelle MS Office
Nextcloud250 M EURAlternative SharePoint/OneDrive
Keycloak / FreeIPA200 M EURGestion identité souveraine
Kubernetes européen300 M EUROrchestration souveraine
Autres fondations200 M EURApache, Eclipse, etc.

8.5.3 Formation (4,8 Md EUR)

PublicEffectifCoût/agentTotal
Agents utilisateurs4,4 M650 EUR2,86 Md EUR
Équipes IT120 0008 000 EUR960 M EUR
Formateurs internes15 00015 000 EUR225 M EUR
Management50 0003 000 EUR150 M EUR
Réserve / ajustements--605 M EUR

8.6 Retour sur investissement

Économies structurelles post-migration (année 11 et suivantes) :

PosteStatu quoPost-migrationÉconomie
Licences OS/bureautique1,8 Md EUR/an0,4 Md EUR/an1,4 Md EUR
Cloud0,9 Md EUR/an0,7 Md EUR/an0,2 Md EUR
Intégration/support0,6 Md EUR/an0,4 Md EUR/an0,2 Md EUR
Total récurrent3,3 Md EUR/an1,5 Md EUR/an1,8 Md EUR/an

Bénéfices non monétaires :

BénéficeValeur stratégique
Immunité Cloud ActProtection données sensibles État
Élimination risque code dormantSécurité nationale
Autonomie technologiqueIndépendance stratégique
Écosystème industrielEmplois, compétences, innovation
InteropérabilitéFin du lock-in propriétaire
RésilienceCapacité de continuité en crise

8.7 Conditions de réussite

Conditions politiques :

Engagement interministériel sur 10 ans minimum
Sanctuarisation budgétaire hors gel
Gouvernance unifiée (DINUM renforcée)
Exemplarité des cabinets ministériels

Conditions industrielles :

Commande publique fléchée (minimum 50% souverain)
Montée en gamme des acteurs français/européens
Consolidation du secteur (éviter l'émiettement)
Partenariats européens (mutualisation R&D)

Conditions techniques :

Standards d'interopérabilité obligatoires
API ouvertes pour tous les services publics
Contribution active aux projets open source
Certification sécurité des alternatives

Conditions humaines :

Plan massif de formation initiale et continue
Revalorisation des métiers IT publics
Recrutement de compétences open source
Accompagnement au changement

8.8 Synthèse : le vrai coût de la souveraineté

Analyse SWOT de la migration souveraine à 10 ansForces, faiblesses, opportunités et menaces du scénario de migration

Le message clé :

La souveraineté numérique n'est pas un luxe ruineux mais un investissement rentable à moyen terme. Sur 10 ans, la migration complète coûte moins cher que le maintien de la dépendance Microsoft (28,5 Md vs 31 Md EUR). Elle génère ensuite des économies récurrentes de près de 2 milliards d'euros par an.

Le véritable obstacle n'est pas financier mais politique : accepter un surcoût transitoire, maintenir l'effort sur plusieurs mandatures, résister aux pressions des acteurs installés.

La question n'est pas "peut-on se permettre la souveraineté numérique ?" mais "peut-on se permettre de ne pas l'avoir ?". Au regard des risques stratégiques (code dormant, Cloud Act, dépendance totale), la réponse devrait être évidente.

Partie IX : Comparaison internationale des stratégies de souveraineté numérique

La France n'est pas seule à affronter la question de la dépendance numérique. L'analyse des stratégies adoptées par d'autres pays permet de situer l'approche française, d'identifier les bonnes pratiques et de mesurer les écarts de maturité.

9.1 Allemagne : le Sovereign Workplace et ses contradictions

L'Allemagne a développé une approche ambitieuse mais heurtée de la souveraineté numérique, révélatrice des tensions entre discours politique et réalités industrielles.

Le projet Sovereign Workplace (2021-2025)

Lancé par le ministère fédéral de l'Intérieur, le projet "Souveräner Arbeitsplatz" visait à créer une alternative open source à Microsoft 365 pour l'administration fédérale. Basé sur Nextcloud, LibreOffice et Matrix, il devait équiper 300 000 postes d'ici 2025.

IndicateurObjectif 2025Réalité janvier 2026
Postes déployés300 00047 000
Ministères participants144
Budget consommé120 M EUR85 M EUR
Taux de satisfaction utilisateurs80%62%

Analyse des blocages :

Résistance des ministères habitués à Microsoft
Manque d'interopérabilité avec les partenaires restés sous Office
Lobbying intense de Microsoft (offres commerciales agressives)
Changement de coalition gouvernementale en 2025 ayant ralenti le projet

Le cloud : Delos et la controverse

L'Allemagne a opté pour un modèle similaire à S3NS avec Delos (SAP + Arvato + Microsoft), censé offrir Azure sous opération allemande. Contrairement à S3NS, Delos n'a pas obtenu de certification équivalente à SecNumCloud à ce jour.

Position comparative France-Allemagne :

Comparaison France-Allemagne en souveraineté numériqueÉvaluation sur 100 par critère

Enseignement clé : L'Allemagne illustre le risque d'une approche trop ambitieuse sans accompagnement suffisant. La France progresse plus lentement mais avec des acquis plus solides (SecNumCloud qualifié).

9.2 Pays-Bas : le pragmatisme assumé

Les Pays-Bas ont adopté une approche distincte, assumant la dépendance technologique tout en la négociant activement.

La doctrine néerlandaise : "Strategic Autonomy within Interdependence"

Plutôt que de viser l'indépendance technologique jugée irréaliste, les Pays-Bas cherchent à maximiser leur pouvoir de négociation au sein de la dépendance. Cette approche se traduit par :

Négociations collectives : contrats-cadres européens avec Microsoft, AWS, Google
Clauses de sortie renforcées : portabilité des données obligatoire
Audits de conformité : vérifications régulières du respect des engagements RGPD
Diversification tactique : usage simultané de plusieurs fournisseurs

Le DPIA Microsoft 365 : un précédent européen

En 2022, l'autorité de protection des données néerlandaise (AP) a conduit une évaluation d'impact (DPIA) sur Microsoft 365 dans l'administration, identifiant 8 risques élevés. Cette analyse, partagée avec les autres États membres, a conduit à des renégociations contractuelles avec Microsoft à l'échelle européenne.

Résultats obtenus :

Réduction de 40% des données de diagnostic transmises hors UE
Chiffrement des données au repos avec clés gérées par le client
Clauses contractuelles renforcées sur le Cloud Act
Audit annuel par un tiers indépendant

Limites de l'approche :

Dépendance structurelle maintenue
Aucune alternative en cas de rupture
Confiance dans le respect des engagements contractuels

9.3 Pays nordiques : l'open source institutionnalisé

Les pays nordiques (Suède, Norvège, Finlande, Danemark) partagent une culture de transparence et d'open source qui facilite les stratégies de souveraineté.

Suède : le cas Skatteverket

L'administration fiscale suédoise (Skatteverket) a migré 10 000 postes de travail vers Linux (Ubuntu) entre 2019 et 2024, devenant la plus grande administration européenne sur poste Linux.

IndicateurAvant (2019)Après (2024)
OS postesWindows 10Ubuntu 22.04 LTS
BureautiqueMicrosoft OfficeLibreOffice + Collabora
MessagerieExchangeOpen-Xchange
Coût licences/an8,2 M EUR1,1 M EUR
Coût support/an2,4 M EUR4,8 M EUR
Coût total/an10,6 M EUR5,9 M EUR

Économie nette : 4,7 M EUR/an, soit 44% de réduction.

Facteurs de succès :

Applications métiers déjà majoritairement web
Culture informatique élevée des agents
Support politique transpartisan
Migration progressive sur 5 ans

Finlande : le cloud souverain mutualisé

La Finlande a créé Valtori, un opérateur public de services numériques fournissant cloud et bureautique à l'ensemble des administrations. Ce modèle mutualisé permet des économies d'échelle tout en maintenant le contrôle national.

Chiffres Valtori (2025) :

180 000 utilisateurs
95 services numériques opérés
Budget : 320 M EUR/an
Part cloud souverain : 75%
Part Microsoft : 25% (décroissante)

Danemark : le "Digital-ready legislation"

Le Danemark impose depuis 2018 que toute nouvelle loi soit "digitally ready", c'est-à-dire conçue pour être implémentée sur des systèmes numériques ouverts et interopérables. Cette approche "by design" limite la création de nouvelles dépendances propriétaires.

9.4 Chine : la souveraineté comme doctrine d'État

La Chine a déployé la stratégie de souveraineté numérique la plus complète et la plus radicale, avec des moyens sans équivalent.

La doctrine "信息安全" (sécurité de l'information)

Depuis le discours de Xi Jinping de 2014 sur la "cyber-souveraineté", la Chine a érigé l'indépendance technologique en priorité nationale absolue. Cette doctrine se traduit par :

1.Substitution systématique : remplacement de toutes les technologies américaines par des équivalents chinois
2.Écosystème fermé : Great Firewall bloquant les services étrangers
3.Investissements massifs : 1 400 Md USD sur 2021-2025 dans les technologies clés
4.Commande publique captive : obligation d'achat chinois pour l'administration

Résultats de la stratégie (2020-2025)

DomainePart chinoise 2020Part chinoise 2025Acteurs clés
Cloud administration65%98%Alibaba, Huawei, Tencent
OS serveurs40%85%Kylin, UOS, openEuler
OS postes État15%70%UOS, Kylin
Bureautique30%75%WPS Office, Yozo
Bases de données25%60%OceanBase, TiDB, GaussDB
Semi-conducteurs15%25%SMIC, YMTC (retard persistant)

Le coût de la souveraineté chinoise

La Chine a accepté des compromis significatifs :

Performance : retard de 2-3 générations sur les semi-conducteurs avancés
Coût : surcoûts estimés à 30-50% sur les infrastructures
Fonctionnalité : écosystème applicatif moins riche que l'occidental
Innovation : isolement partiel de la recherche internationale

Transposabilité à l'Europe : Faible. La Chine combine taille de marché (1,4 Md habitants), autoritarisme politique, et acceptation sociale du contrôle numérique que les démocraties européennes ne peuvent répliquer.

9.5 Corée du Sud : l'équilibre techno-nationaliste

La Corée du Sud présente un cas intermédiaire : forte base industrielle technologique, alliance stratégique avec les États-Unis, mais volonté d'autonomie croissante.

La stratégie "Digital New Deal" (2020-2025)

Le plan de 58 Md USD intègre une composante souveraineté avec :

Développement d'un cloud gouvernemental coréen (KGCC)
Soutien aux solutions de cybersécurité nationales
Programme "K-Cloud" pour les PME

Le cloud souverain coréen

IndicateurValeur 2025
Part cloud coréen (administration)82%
Acteurs principauxSamsung SDS, NHN, KT Cloud
Certification nationaleCSAP (équivalent SecNumCloud)
Hyperscalers US autorisésOui, avec restrictions données sensibles

L'approche hybride coréenne

La Corée distingue :

Données sensibles (classe A) : cloud coréen obligatoire
Données standards (classe B) : cloud coréen préféré, US autorisé avec localisation
Données publiques (classe C) : pas de restriction

Ce modèle de classification inspiré des approches militaires offre un pragmatisme que l'Europe pourrait adapter.

9.6 Tableau comparatif synthétique

Indice de souveraineté numérique par pays (2025)Score composite sur 100 (méthodologie SensPo)

Synthèse comparative

PaysApprocheForceFaiblesseTransposabilité FR
AllemagneAmbitieuse fragmentéeVolonté politique initialeExécution défaillanteMoyenne (apprendre des erreurs)
Pays-BasPragmatique négociéeRésultats contractuelsDépendance maintenueÉlevée (complémentaire)
SuèdeOpen source radicalÉconomies prouvéesContexte spécifiqueMoyenne (pilotes sectoriels)
FinlandeMutualisée publiqueÉconomies d'échelleTaille limitéeÉlevée (modèle Valtori)
ChineSouveraineté totaleIndépendance réelleCoûts et autoritarismeNulle
CoréeHybride classifiéePragmatismeAlliance US contraignanteÉlevée (classification)

9.7 Recommandations issues du benchmark international

L'analyse comparative suggère plusieurs enseignements pour la stratégie française :

1. Adopter la classification coréenne Distinguer explicitement les niveaux de sensibilité et adapter les exigences. Tout ne justifie pas SecNumCloud.

2. Créer un "Valtori français" Mutualiser les services numériques de l'État dans un opérateur dédié permettrait des économies d'échelle et une masse critique pour les solutions souveraines.

3. Répliquer l'approche DPIA néerlandaise Systématiser les évaluations d'impact et les renégociations contractuelles avec les fournisseurs américains.

4. Lancer des pilotes "à la suédoise" Identifier des administrations volontaires pour des migrations complètes vers l'open source, documenter et partager les retours d'expérience.

5. Éviter l'erreur allemande Ne pas annoncer d'objectifs irréalistes. Privilégier une progression mesurable à une ambition inatteignable.

Partie X : Doctrine politique explicite de la souveraineté numérique française

Cette partie propose une doctrine politique explicite pour la souveraineté numérique française. Contrairement aux recommandations techniques des parties précédentes, elle formule des choix politiques assumés sur ce que l'État devrait accepter, refuser et exiger.

10.1 Préambule doctrinal

Constat fondateur

La dépendance numérique de la France vis-à-vis des acteurs américains constitue une vulnérabilité stratégique qui, sans relever de la menace immédiate, expose l'État et l'économie nationale à des risques de disruption majeure en cas de dégradation des relations transatlantiques.

Cette dépendance n'est pas le fruit d'une fatalité technologique mais de choix cumulés sur trois décennies : sous-investissement dans la R&D numérique, préférence pour l'achat sur étagère, absence de politique industrielle coordonnée, naïveté sur les enjeux de souveraineté.

La correction de cette trajectoire est possible mais coûteuse. Elle suppose des arbitrages politiques explicites, un effort financier soutenu, et une constance de la volonté sur plusieurs mandatures.

Principes directeurs

La doctrine proposée repose sur quatre principes :

1.Réalisme : Reconnaître les dépendances actuelles sans les nier, accepter une transition progressive plutôt qu'une rupture illusoire.
1.Hiérarchisation : Concentrer les efforts sur les données et systèmes véritablement sensibles, accepter la dépendance pour le reste.
1.Réciprocité : Exiger des acteurs étrangers ce que nous exigeons des nôtres. Pas de naïveté commerciale.
1.Soutenabilité : Construire une trajectoire finançable sur le long terme, sans à-coups budgétaires incompatibles avec la gestion publique.

10.2 Ce que l'État ACCEPTE

Acceptation explicite n°1 : La dépendance technologique de court terme

L'État accepte de maintenir, pour une période transitoire de 10 ans maximum, l'usage de technologies américaines pour les systèmes non sensibles, sous conditions :

Localisation des données en UE
Clauses contractuelles RGPD renforcées
Plans de réversibilité documentés
Audits réguliers de conformité

Justification : Le remplacement immédiat de Microsoft, AWS ou Google est techniquement irréaliste et économiquement prohibitif. Nier cette réalité conduit à l'immobilisme.

Acceptation explicite n°2 : Le surcoût de la souveraineté

L'État accepte un surcoût de 20 à 30% sur les solutions souveraines par rapport aux hyperscalers américains, considérant ce différentiel comme :

Une prime d'assurance contre le risque géopolitique
Un investissement dans l'écosystème industriel national
Le prix de l'autonomie stratégique

Justification : Exiger la parité de prix immédiate avec les GAFAM revient à interdire de facto les solutions souveraines.

Acceptation explicite n°3 : Les offres hybrides qualifiées

L'État accepte le recours aux offres hybrides (S3NS, BLEU) pour les données sensibles, sous réserve de leur qualification SecNumCloud, considérant que :

L'immunité juridique prime sur la pureté technologique
La technologie sous licence européenne vaut mieux que la technologie sous contrôle américain
Cette étape intermédiaire permet de gagner du temps pour développer des alternatives pures

Justification : Refuser les offres hybrides au nom de la pureté reviendrait à maintenir la dépendance directe aux hyperscalers.

Acceptation explicite n°4 : La progressivité

L'État accepte une trajectoire de transition sur 10-15 ans plutôt qu'une bascule brutale, avec des jalons intermédiaires mesurables :

2027 : 50% des données sensibles en cloud souverain
2030 : 80% des données sensibles en cloud souverain
2035 : alternatives bureautiques déployées sur 40% du parc

Justification : Les migrations forcées échouent. Seule une progression maîtrisée permet l'appropriation par les utilisateurs et l'adaptation des processus.

10.3 Ce que l'État REFUSE

Refus explicite n°1 : Les données régaliennes sur infrastructure non souveraine

L'État refuse catégoriquement l'hébergement sur des infrastructures non qualifiées SecNumCloud (ou équivalent EUCS élevé+) des données suivantes :

Données de défense et de renseignement
Données fiscales et patrimoniales des citoyens
Données de santé identifiantes
Données judiciaires
Données de sécurité intérieure
Communications gouvernementales classifiées

Ce refus est non négociable et sans exception, quel que soit l'argument de performance, de coût ou de facilité invoqué.

Refus explicite n°2 : La dépendance à fournisseur unique

L'État refuse toute situation de dépendance critique à un fournisseur unique pour un service essentiel, que ce fournisseur soit américain, européen ou français.

Concrètement :

Tout service critique doit disposer d'au moins deux fournisseurs qualifiés
Les contrats incluent obligatoirement des clauses de réversibilité effectives
Les formats de données doivent être ouverts ou disposer d'outils d'export documentés

Refus explicite n°3 : L'extraterritorialité subie sans réaction

L'État refuse d'accepter passivement l'application extraterritoriale du droit américain (Cloud Act, FISA) aux données françaises.

Concrètement :

Activation systématique du "blocking statute" européen
Contestation juridique de toute réquisition américaine concernant des données françaises
Soutien diplomatique et juridique aux entreprises françaises ciblées
Réciprocité : exigence d'accès équivalent pour la justice française aux données détenues par les entreprises américaines en France

Refus explicite n°4 : La résignation technologique

L'État refuse le discours selon lequel l'Europe serait condamnée à la dépendance technologique.

Concrètement :

Maintien d'investissements soutenus dans la R&D numérique souveraine (objectif 1 Md EUR/an)
Soutien aux projets européens (Gaia-X nouvelle génération, European Chips Act, alternatives IA)
Commande publique orientée vers les acteurs européens à performance équivalente
Formation de compétences nationales dans les technologies critiques

Refus explicite n°5 : Le dumping de souveraineté

L'État refuse les offres commerciales qui sacrifient la souveraineté sur l'autel du prix.

Concrètement :

Intégration systématique de critères de souveraineté dans les marchés publics (pondération minimale 20%)
Exclusion des offres ne garantissant pas l'immunité aux lois extraterritoriales pour les données sensibles
Refus des pratiques de prix prédateurs visant à éliminer les alternatives souveraines

10.4 Ce que l'État EXIGE

Exigence n°1 : La transparence des fournisseurs

L'État exige de tout fournisseur de services numériques :

Publication des liens capitalistiques et des juridictions de rattachement
Déclaration des demandes d'accès reçues d'autorités étrangères
Audit indépendant annuel de conformité aux engagements contractuels
Documentation complète des dépendances technologiques tierces

Exigence n°2 : La portabilité effective

L'État exige la portabilité réelle (et non théorique) des données et des applications :

Export dans des formats ouverts documentés
Outils de migration fournis et maintenus
Période de transition d'au moins 12 mois après notification de sortie
Assistance technique à la migration incluse dans le contrat

Exigence n°3 : La localisation et le contrôle

Pour les données sensibles, l'État exige cumulativement :

Stockage physique sur le territoire de l'UE
Chiffrement avec clés gérées par une entité de droit européen
Administration opérationnelle par du personnel habilité de droit européen
Absence de tout accès technique depuis l'extérieur de l'UE

Exigence n°4 : La prévisibilité contractuelle

L'État exige des engagements contractuels de long terme :

Durée minimale des contrats : 5 ans
Plafonnement des hausses tarifaires annuelles (inflation + 3% maximum)
Préavis de 24 mois pour toute modification substantielle des conditions
Clause de continuation de service en cas de sanctions internationales

Exigence n°5 : La contribution à l'écosystème

L'État exige des grands fournisseurs étrangers une contribution au développement de l'écosystème français :

Investissements en R&D sur le territoire (objectif 5% du CA France)
Formation de compétences locales
Partenariats avec des acteurs français pour le support et l'intégration
Participation aux instances de normalisation européennes

10.5 Matrice décisionnelle de la doctrine

La doctrine se traduit opérationnellement par une matrice de décision croisant niveau de sensibilité et type de solution :

Matrice décisionnelle : quelle solution pour quelle donnée ?Guide de choix selon la sensibilité et le type de service

10.6 Gouvernance de la doctrine

Instance de pilotage

Création d'un Comité de la Souveraineté Numérique (CSN) rattaché au SGDSN, réunissant :

ANSSI (cybersécurité)
DINUM (transformation numérique de l'État)
DGE (politique industrielle)
Représentants des ministères régaliens

Missions :

Validation des dérogations à la doctrine
Suivi des indicateurs de souveraineté
Coordination avec les partenaires européens
Rapport annuel au Parlement

Mécanisme de dérogation

Toute dérogation à la doctrine doit :

Être explicitement demandée et justifiée
Recevoir l'avis de l'ANSSI
Être validée par le CSN
Être limitée dans le temps (3 ans maximum renouvelables)
Être assortie d'un plan de mise en conformité

Clause de revoyure

La doctrine fait l'objet d'une révision tous les 3 ans pour intégrer :

L'évolution du contexte géopolitique
Les progrès des offres souveraines
Les retours d'expérience des déploiements
Les évolutions réglementaires européennes

10.7 Trajectoire cible

Trajectoire cible de souveraineté numérique de l'État (2026-2035)Part des usages conformes à la doctrine par catégorie (%)

Jalons politiques

AnnéeJalonResponsable
2026Adoption de la doctrine par décretPremier ministre
2027100% des ministères avec plan de conformitéDINUM
2028Lancement du "Valtori français"DGE
203080% données sensibles en souverainCSN
2032Première alternative bureautique qualifiéeANSSI
2035Objectifs de la doctrine atteintsCSN

10.8 Engagements et redevabilité

Engagement de transparence

Le gouvernement publie annuellement :

Un tableau de bord de la souveraineté numérique de l'État
La liste des dérogations accordées et leur justification
Les dépenses engagées et leur ventilation souverain/non souverain
L'évolution des indicateurs de dépendance

Engagement de constance

La présente doctrine engage l'État au-delà des alternances politiques. Elle ne peut être modifiée que par un décret motivé, après avis du CSN et information du Parlement.

Engagement de moyens

L'État s'engage sur un effort budgétaire de 500 M EUR/an dédiés à la transition souveraine, inscrits dans la loi de programmation des finances publiques.

Conclusion : au-delà du discours, les actes

Le paradoxe en voie de résolution ?

La France et l'Europe disposent désormais d'un cadre conceptuel, juridique et technique pour la souveraineté numérique parmi les plus élaborés au monde. Le RGPD a fait école. SecNumCloud constitue un référentiel exigeant. Le package DMA/DSA/AI Act impose des contraintes inédites aux géants du numérique. La qualification de S3NS fin 2025 démontre que le modèle hybride peut satisfaire aux exigences de souveraineté.

Pourtant, la dépendance structurelle aux acteurs américains persiste dans les usages quotidiens. Microsoft équipe l'essentiel des postes de travail des administrations françaises. AWS et Azure dominent le cloud des entreprises. Les smartphones sont américains ou utilisent un OS américain.

Le paradoxe s'explique par l'écart entre la capacité à réguler/certifier et la capacité à substituer. L'Europe sait contraindre les acteurs étrangers et qualifier des alternatives, mais le basculement effectif des usages prend du temps et suppose d'accepter des compromis temporaires.

Les conditions du changement

Trois conditions restent nécessaires pour que la souveraineté numérique devienne pleinement effective :

1. Accepter une période de transition avec des offres hybrides Les offres 100% souveraines sur toute la pile technologique n'existent pas à l'échelle requise. Les offres hybrides qualifiées (S3NS, bientôt BLEU) constituent une étape intermédiaire réaliste, à condition d'en assumer les limites et de continuer à développer des alternatives pures.

2. Investir dans les couches non couvertes La certification SecNumCloud ne suffit pas : il faut développer des alternatives SaaS (bureautique, collaboration), des OS audités, des stacks applicatives européennes. Cet effort suppose des investissements massifs sur 10-15 ans.

3. Maintenir la pression dans la durée Les cycles politiques sont courts, les transformations numériques sont longues. Une stratégie de souveraineté numérique suppose une constance de l'effort sur plusieurs mandatures.

Le test de réalité

La vraie mesure de la souveraineté numérique n'est pas dans les textes mais dans les crises. La qualification de S3NS est un progrès, mais la question ultime reste : que se passerait-il si les États-Unis imposaient des sanctions à des entités européennes comme ils l'ont fait avec la Russie ?

La réponse est aujourd'hui : dégradation significative mais pas paralysie totale. C'est un progrès par rapport à la situation d'il y a cinq ans. C'est encore insuffisant pour une souveraineté pleinement effective.

Annexe : Glossaire

ANSSI : Agence nationale de la sécurité des systèmes d'information, autorité française de cybersécurité.

Backdoor : Porte dérobée, accès caché dans un système informatique permettant de contourner les mécanismes de sécurité normaux.

BULLRUN : Programme de la NSA révélé par Snowden visant à affaiblir les standards de chiffrement et insérer des backdoors dans les produits commerciaux.

Cloud Act : Clarifying Lawful Overseas Use of Data Act (2018), loi américaine permettant aux autorités d'accéder aux données détenues par des entreprises américaines quel que soit leur lieu de stockage.

Code dormant : Code malveillant inséré dans un système et restant inactif jusqu'à une activation conditionnelle (date, signal externe, conditions spécifiques).

Crypto AG : Entreprise suisse de chiffrement secrètement contrôlée par la CIA et le BND pendant des décennies, ayant vendu des équipements compromis à plus de 120 pays.

DMA : Digital Markets Act, règlement européen sur les marchés numériques ciblant les "gatekeepers".

DORA : Digital Operational Resilience Act, règlement sur la résilience numérique du secteur financier, applicable depuis le 17 janvier 2025.

DSA : Digital Services Act, règlement européen sur les services numériques régissant la responsabilité des plateformes.

EUCS : EU Cybersecurity Certification Scheme for Cloud Services, projet de certification cloud européenne en négociation.

FISA : Foreign Intelligence Surveillance Act, loi américaine sur la surveillance des communications étrangères.

Gatekeeper : Contrôleur d'accès, qualification DMA des grandes plateformes occupant une position d'intermédiation incontournable.

GPAI : General Purpose AI, modèles d'IA de fondation à usage général (GPT, Claude, Gemini).

IaaS : Infrastructure as a Service, service cloud fournissant des ressources informatiques de base (calcul, stockage, réseau).

NIS2 : Network and Information Security Directive 2, directive européenne sur la cybersécurité des infrastructures critiques.

NSA : National Security Agency, agence de renseignement américaine spécialisée dans le renseignement d'origine électromagnétique et la cybersécurité.

NSL : National Security Letter, injonction administrative du FBI permettant d'exiger des informations sans mandat judiciaire, avec interdiction de divulgation.

PaaS : Platform as a Service, service cloud fournissant une plateforme de développement et d'exécution d'applications.

QUANTUM : Programme de la NSA permettant l'interception et la modification du trafic Internet en temps réel.

RGPD : Règlement général sur la protection des données, règlement européen sur les données personnelles.

S3NS : Société commune Thales opérant la technologie Google Cloud sous licence, qualifiée SecNumCloud le 17 décembre 2025.

SaaS : Software as a Service, service cloud fournissant des applications prêtes à l'emploi.

SecNumCloud : Référentiel de sécurité de l'ANSSI pour les prestataires de services cloud.

Stuxnet : Ver informatique découvert en 2010, considéré comme la première cyberarme d'État, ayant détruit des centrifugeuses du programme nucléaire iranien.

TAO : Tailored Access Operations, unité de la NSA spécialisée dans les opérations d'intrusion ciblées et l'insertion de backdoors matérielles.

VLOP : Very Large Online Platform, très grande plateforme en ligne au sens du DSA (>45M utilisateurs UE).

Annexe : Sources et références

Sources institutionnelles

ANSSI, "Référentiel SecNumCloud version 3.2", 2022
ANSSI, "Catalogue des prestataires qualifiés SecNumCloud", mise à jour 20 janvier 2026
Commission européenne, "Digital Markets Act - Regulation (EU) 2022/1925", 2022
Commission européenne, "Digital Services Act - Regulation (EU) 2022/2065", 2022
Commission européenne, "Artificial Intelligence Act - Regulation (EU) 2024/1689", 2024
Commission européenne, "Data Act - Regulation (EU) 2023/2854", 2023
Parlement européen, "DORA - Regulation (EU) 2022/2554", 2022
Premier ministre, "Circulaire relative à la doctrine d'utilisation de l'informatique en nuage par l'État", 17 juillet 2021

Rapports et études

Cour des comptes, "Les systèmes d'information de l'État", 2024
Institut Montaigne, "Souveraineté numérique : maîtriser notre destin dans le monde digital", 2024
Sénat, "Rapport d'information sur la souveraineté numérique", 2023
DINUM, "État des lieux de l'utilisation du cloud dans l'administration", 2024
CIGREF, "Benchmark coûts cloud 2024 : comparatif hyperscalers vs souverains", 2024
DINUM, "Référentiel des coûts SI de l'État", 2024
Swedish Government, "Evaluation of public sector migration to open source", 2023
German Federal Ministry of the Interior, "Sovereign Workplace cost analysis", 2024

Données chiffrées

DonnéeValeurSource
Services SecNumCloud qualifiés30ANSSI, janvier 2026
Part AWS marché cloud mondial31%Synergy Research, Q4 2025
Part Azure marché cloud mondial24%Synergy Research, Q4 2025
Amende RGPD maximale infligée1,2 Md EUR (Meta)CNIL Ireland, 2023
Gatekeepers DMA désignés6Commission européenne, 2023
VLOP DSA désignées19Commission européenne, 2024
Qualification S3NS17 décembre 2025ANSSI
Budget SI État annuel~8 Md EURDINUM, 2024
Agents publics équipés numériquement2,5 MDINUM, 2024
Surcoût cloud souverain vs hyperscalers+25% à +60%CIGREF Benchmark, 2024
Coût migration poste Linux (RETEX)1 500-4 500 EURÉtudes nordiques, 2023
Coût licence M365 E3/an/poste290 EURMicrosoft tarifs publics, 2025

Article rédigé selon les critères éditoriaux de SensPo.fr. Les Parties I à V visent l'analyse factuelle. Les Parties VI à VIII assument une position éditoriale engagée en faveur de la souveraineté numérique. Les projections budgétaires sont des estimations indicatives. Mise à jour : janvier 2026.

Partager :