Cybersécurité Données personnelles E-santé IT

Souveraineté des systèmes d’information de l’État

4 novembre 2025
Fred
1 Notion de souveraineté numérique
2 Cadre européen
3 Souveraineté orientée cybersécurité
4 Dépendances
5 Cloud en quête de souveraineté
6 Difficulté de concilier souveraineté et performance
6.1 Articles similaires

Le dernier rapport de la Cour des comptes sur la souveraineté des systèmes d’information civils de l’État met en lumière un décalage persistant entre l’ambition affichée par la France en matière de souveraineté numérique et la réalité de sa mise en œuvre face à la prédominance des géants technologiques américains, à des lois extraterritoriales contraignantes et à un cadre européen où sa voix est souvent isolée.

Si une souveraineté totale sur les matériels et composants est illusoire, l’État s’efforce d’atteindre un haut niveau de confiance via la commande publique et les certifications de l’ANSSI. Des réussites notables comme le Réseau Interministériel de l’État (RIE) et le service d’identité numérique FranceConnect démontrent une capacité à construire des infrastructures souveraines. Cependant, la dépendance vis-à-vis des éditeurs de logiciels, notamment pour les suites bureautiques, reste forte et les stratégies pour s’en affranchir manquent de convergence interministérielle. L’adoption des offres de cloud souverain, qualifiées SecNumCloud, demeure limitée et les clouds internes de l’État (Nubo et Pi) souffrent d’un sous-investissement chronique et d’une utilisation interministérielle quasi inexistante, les ministères préférant conserver leurs propres infrastructures. Cette situation engendre une tension constante entre les exigences de souveraineté et les impératifs de performance. Des cas emblématiques, comme le choix d’une solution américaine pour le SIRH du Ministère de l’Éducation nationale ou les difficultés de la plateforme des données de santé, illustrent comment la recherche de performance à court terme peut compromettre la souveraineté. L’absence d’une cartographie claire et partagée des données sensibles à protéger prioritairement accentue cette difficulté d’arbitrage.

 

Notion de souveraineté numérique

La notion de souveraineté numérique a émergé dans les années 2010 avec les révélations d’Edward Snowden en 2013 sur la surveillance de masse opérée par les États-Unis. Elle se définit comme la capacité d’un État à conserver une autonomie d’appréciation, de décision et d’action dans le cyberespace. Cette capacité est menacée par deux facteurs principaux :

  • La prédominance des entreprises américaines : Les géants du numérique (Google, Amazon, Microsoft, etc.) dominent l’écosystème technologique, y compris le marché stratégique du cloud;
  • Les lois extraterritoriales américaines : Plusieurs textes permettent aux autorités américaines d’accéder à des données stockées hors de leurs frontières, dès lors qu’elles sont gérées par des entreprises soumises à leur juridiction. Les principaux textes sont :
    • Executive Order 12333 (1981) : Autorise la collecte massive de renseignements étrangers;
    • Foreign Intelligence Surveillance Act (FISA), Section 702 (2008) : Permet la surveillance ciblée des communications de non-Américains à l’étranger pour des raisons de sécurité nationale;
    • Cloud Act (2018) : Contraint les fournisseurs américains à communiquer des données stockées à l’étranger dans le cadre d’enquêtes criminelles.

Cadre européen

La France peine à imposer sa vision exigeante de la souveraineté au sein de l’Union européenne, où la priorité est donnée à la libre circulation des services et à la protection des données personnelles via le RGPD.

  • Les “décisions d’adéquation” : Pour encadrer les transferts de données personnelles vers les États-Unis, la Commission européenne a adopté plusieurs cadres. Les deux premiers (Safe Harbour en 2000, Privacy Shield en 2016) ont été invalidés par la Cour de justice de l’Union européenne (CJUE) pour protection insuffisante. Le cadre actuel, Data Privacy Framework (juillet 2023), est en vigueur mais ne constitue pas un rempart contre les lois extraterritoriales pour les données non personnelles;
  • La certification européenne des services cloud (EUCS) : La France a plaidé pour l’intégration d’un niveau de sécurité maximal (“high+”), inspiré de sa qualification nationale SecNumCloud, qui garantirait une immunité aux lois extraterritoriales. Cette position, un temps partagée par l’Allemagne et l’Italie, est aujourd’hui isolée. La version de travail actuelle du schéma de certification a supprimé ce niveau d’exigence, laissant la qualification française sans reconnaissance européenne formelle;
  • La loi SREN (2024) : L’article 31 de cette loi ancre dans la législation l’obligation pour l’État d’héberger ses données les plus sensibles sur des clouds protégés des accès non autorisés par des autorités étrangères. La définition des données concernées a été restreinte à des critères cumulatifs (données relevant d’un secret légal et dont la violation causerait une atteinte grave) afin d’éviter un blocage par la Commission européenne pour entrave au marché intérieur.

 

Souveraineté orientée cybersécurité

La gouvernance des SI de l’État reste principalement orientée vers la cybersécurité, un prérequis mais non un synonyme de la souveraineté :

  • Un cadre réglementaire centré sur la sécurité : Les textes structurants (circulaire PSSIE de 2014, décret de 2019 sur la gouvernance du SICE) se concentrent sur la protection contre les cyberattaques et la résilience des systèmes, sous l’égide de l’ANSSI. Les enjeux de souveraineté, comme la dépendance technologique ou la réversibilité, y sont peu abordés;
  • Des instances de pilotage opérationnelles : L’examen des comptes-rendus des comités interministériels (CINUM, COSINUM) entre 2021 et 2024 révèle que les discussions portent majoritairement sur les ressources humaines, la dématérialisation ou des sujets techniques. La souveraineté n’y apparaît que ponctuellement;
  • Une stratégie de souveraineté encore embryonnaire : Bien que la DINUM ait intégré la souveraineté dans ses feuilles de route successives (TECH.GOUV, feuille de route 2023), celle-ci prend la forme d’orientations générales et non d’une stratégie interministérielle contraignante et chiffrée, opposable aux ministères.

 

Dépendances

La quête d’autonomie se heurte à des dépendances marquées sur l’ensemble de la chaîne de valeur numérique, des composants matériels aux applications logicielles :

  • Dépendance matérielle : La France et l’Europe sont fortement dépendantes des États-Unis et de l’Asie pour les composants critiques (semi-conducteurs, processeurs) et les équipements (serveurs, ordinateurs, smartphones). Les initiatives comme le “Chips Act” européen et le plan France 2030 visent à réduire cette dépendance, mais l’objectif de doubler la part de marché européenne d’ici 2030 semble difficilement atteignable;
  • Achat public comme levier de maîtrise : Faute de pouvoir imposer une origine nationale, l’État utilise la commande publique pour limiter les risques. La mutualisation des achats (via la DAE et l’UGAP) et l’imposition de critères de sécurité et de certifications validées par l’ANSSI permettent d’écarter les fournisseurs les moins fiables;
  • Le Réseau Interministériel de l’État (RIE) : Lancé en 2015, le RIE est une réussite. Il unifie la communication des services de l’État, garantit la continuité de l’action gouvernementale et génère des économies (19 M€ par an). Toutefois, la Cour des comptes souligne la nécessité de formaliser un plan de continuité et de reprise d’activité (PCA) pour renforcer sa résilience;
  • FranceConnect : Créé en 2014 pour offrir une alternative souveraine aux solutions d’identification des GAFAM (Google ID, Facebook ID), FranceConnect est un succès massif avec 43 millions d’utilisateurs. Cependant, l’équipe projet est majoritairement composée de sous-traitants, ce qui crée des risques de confidentialité et une perte de maîtrise. La sécurité du dispositif, initialement de niveau “faible”, a permis des fraudes massives (notamment sur “Mon Compte Formation”). Le déploiement de FranceConnect+, avec un niveau d’authentification supérieur, n’a été mis en place que tardivement pour contrer ce phénomène;
  • Suites bureautiques : La dépendance à Microsoft est quasi-générale. La stratégie de l’éditeur de basculer son offre sur le cloud (Microsoft 365) a contraint l’État à réagir, la DINUM ayant proscrit son usage pour des raisons de souveraineté. Deux approches divergentes coexistent :
    • Le Ministère de l’Éducation Nationale (1,2 million d’agents) migre vers une solution basée sur le logiciel libre Collabora Online;
    • La DINUM développe sa propre alternative, “La Suite”, en coopération avec l’Allemagne et les Pays-Bas. Cette absence de convergence illustre les difficultés de pilotage interministériel.
  • Messageries instantanées : L’usage répandu d’outils non souverains (WhatsApp, Telegram) par les agents publics, y compris au plus haut niveau, constitue une faille de sécurité. Après une tentative infructueuse d’imposer l’application Olvid, l’État promeut désormais sa solution souveraine Tchap, qui atteint 300 000 utilisateurs actifs;
  • Applications métier : L’État oscille entre deux modèles aux risques symétriques :
    • Développement interne : Permet une maîtrise totale mais expose à des dérapages de coûts et de délais, comme l’illustre le projet Cyclades du MEN (coût final de 73,3 M€ contre 26 M€ prévus).
    • Recours au marché : Offre des solutions éprouvées mais crée une forte dépendance. Le SIRH Chorus, basé sur SAP, est un exemple où changer d’éditeur serait extrêmement coûteux (coût de migration estimé à +110-160%). Le cas du logiciel VMware, dont le nouveau propriétaire a radicalement changé le modèle commercial, montre la vulnérabilité de l’État face aux stratégies des éditeurs.

 

Cloud en quête de souveraineté

La doctrine “Cloud au centre”, initiée en 2021, fait du cloud l’hébergement par défaut pour tout nouveau projet et impose le recours à une solution souveraine pour les données sensibles. Cependant, si la version de 2021 définissait largement les données sensibles,  la version de 2023 (reprise dans la loi SREN) a restreint cette obligation en introduisant un critère cumulatif : les données doivent être à la fois sensibles (secret légal) et leur violation doit présenter un risque grave pour l’ordre public, la sécurité ou la vie des personnes.

Développée par l’ANSSI, la qualification SecNumCloud garantit un très haut niveau de sécurité technique et une immunité juridique contre les lois extra-européennes. Cependant, l’offre est limitée (seulement 9 entreprises pour 16 services qualifiés en juillet 2025) et le coût est significativement plus élevé (+25 % à +40 %).

Enfin, si la commande publique en services cloud a augmenté, atteignant 52 M€ en 2024, elle reste marginale par rapport aux dépenses informatiques globales de l’État (environ 3 Md€ par an). La majorité des applications existantes restent sur des infrastructures on-premise.

Pour héberger ses données les plus critiques, l’État dispose de deux clouds internes : Nubo (Ministère des Finances) et Pi (Ministère de l’Intérieur) :

  • Des investissements modérés : Nubo a coûté 55 M€ en neuf ans, un montant faible au regard des enjeux et des investissements du secteur privé;
  • Une utilisation interministérielle marginale : Moins de 5 % de leur usage provient d’autres ministères;
  • Des freins structurels :
    • Les ministères préfèrent développer leurs propres solutions (ex: plateforme Cloé à l’Éducation Nationale);
    • La tarification interne est jugée dissuasive et décorrélée des coûts réels;
    • L’offre de services est limitée (principalement de l’IaaS, peu de services managés ou de capacités pour l’IA) et moins agile que les solutions du marché.

 

Difficulté de concilier souveraineté et performance

 

Cas d’étude Données concernées Problématique Constat
SIRH Virtuo (Éducation Nationale) Données RH de 1,2 million d’agents (personnelles, évaluations, etc.) Le ministère a choisi une solution SaaS d’un éditeur américain pour sa performance et son coût, après avoir jugé les offres souveraines non satisfaisantes ou trop chères. Le ministère justifie son choix en arguant que les données, bien que sensibles, ne remplissent pas le critère cumulatif de risque grave pour l’ordre public inscrit dans la loi SREN.
Plateforme des Données de Santé (PDS) Données médicales pseudonymisées de toute la population française. Le choix initial de l’hébergeur Microsoft Azure a été fait en 2019 pour des raisons de rapidité et de performance. Ce choix a suscité une forte méfiance des acteurs de la santé et des recours juridiques, bloquant le transfert des données et retardant la mise en service effective de la plateforme. Une migration vers une solution souveraine est prévue fin 2026.
Plateforme d’achats PLACE (Finances) Données commerciales sensibles des entreprises répondant aux marchés publics. La maintenance applicative a été confiée à la filiale d’un groupe canadien, suscitant des inquiétudes parlementaires. L’hébergement n’est pas qualifié SecNumCloud. Une migration vers un hébergement SecNumCloud, bien que techniquement justifiée par la sensibilité des données, n’est pas fermement programmée et est simplement mise à l’étude.
Données gérées par des acteurs privés Données de vie scolaire (Pronote), données de santé (Doctolib). Des opérateurs privés gèrent des données très sensibles dans le cadre de services quasi-publics, sans être soumis aux mêmes obligations de souveraineté que l’État. Docaposte (propriétaire de Pronote) a fait le choix volontaire d’un hébergement SecNumCloud. En revanche, la certification “Hébergeur de Données de Santé” (HDS) n’intègre pas encore d’exigences de souveraineté équivalentes à SecNumCloud.

Face à ces constats, la Cour des comptes recommande que chaque ministère réalise une cartographie de ses données sensibles afin d’établir un référentiel clair pour l’application des exigences de souveraineté.

Télécharger (PDF, 1.47Mo)

Télécharger (PDF, 1.62Mo)