La souveraineté numérique est un sujet sensible en Europe. Le constat actuel ne fait guère débat : l’Europe est très dépendante des technologies et infrastructures américaines, dépendance qui inquiète davantage aujourd’hui compte tenu de la volonté de vassalisation de l’Europe par les États-Unis. Près de 80 % des infrastructures et technologies numériques utilisées en Europe sont étrangères et, s’agissant du marché des services du cloud, trois entreprises américaines représentent 70 % du marché.

 Le sommet européen de novembre sur la souveraineté numérique n’a pas été avare de déclarations et résolutions pour améliorer la situation et réduire cette dépendance.

La parution, le 31 octobre dernier, d’un rapport de la Cour des comptes sur « Les enjeux de souveraineté des systèmes d’information civils de l’État » met de fait un projecteur cru sur la manière dont les administrations comprennent les enjeux de souveraineté et dont l’État pilote leur action. La Cour reconnaît que la souveraineté ne peut être assurée aujourd’hui dans le domaine des matériels et des composants. Mais elle pourrait l’être dans le domaine de « l’identité numérique » (soit la capacité de différentes administrations à reconnaître l’identité d’une personne, en France grâce à FranceConnect), dans le domaine des logiciels et dans le choix des hébergeurs de données.

S’agissant de l’identité numérique, la Cour adresse à FranceConnect des critiques qui portent sur le passé récent, contrôle insuffisant des sous-traitants et renforcement jugé trop tardif de la sécurité, problèmes qui semblent aujourd’hui mieux dominés. Elle est plus critique sur le caractère dispersé du choix des logiciels utilisés selon les ministères. Certains ont recours à des logiciels libres, d’autres développent des applications propres, d’autres ont recours à des logiciels de marché, jugés plus performants mais qui les mettent dans la dépendance des politiques techniques et commerciales d’entreprises étrangères. La Cour regrette sur ce point l’absence d’une stratégie commune. En réalité, c’est surtout la gestion des données sensibles qui inspire à la Cour ses principales critiques.

L’État en ce domaine s’est doté de règles, avec une directive « cloud » de 2021 et une disposition de la loi du 21 mai 2024 visant à sécuriser et réguler l’espace numérique : lorsque les données obéissent à certains critères de « sensibilité particulière », elles doivent être hébergées par une infrastructure souveraine, pour éviter toute communication à un autre État, sachant que les règles américaines soumettent les opérateurs américains à l’obligation de les transmettre aux autorités publiques si elles en font la demande.  Or, si le ministère des finances et celui de l’Intérieur ont développé des infrastructures cloud, celles-ci sont peu utilisées, même par les ministères qui en sont à l’origine, car jugées peu performantes. L’Agence nationale de sécurité des systèmes d’information a également développé un produit, cher et moins performant que les offres étrangères.

La Cour dresse alors le panorama des choix divers des ministères. Les données du système d’information RH de l’Éducation nationale sont gérées par une entreprise américaine, au motif qu’elles ne répondraient pas aux critères de « sensibilité particulière ». Les données relevant des achats publics sont, au ministère des finances, confiées à un groupe canadien. La plate-forme des données de santé a été confiée à Microsoft, ce qui a altéré la confiance et entravé son développement. Dans d’autres cas, ce sont des entreprises privées qui manipulent des données personnelles sensibles, comme Doctolib.

Le regret est que l’Europe ne puisse offrir les services d’un hébergeur de données performant et en même temps soumis à des règles protectrices. Dans cette attente, la Cour demande que la Direction interministérielle du numérique s’attelle à définir une stratégie pour fournir aux administrations un hébergement souverain qui protège leurs données.

Au-delà, il faudra faire le bilan du sommet européen de novembre qui s’engage sur des actions et des financements mais dont une des principales demandes est de simplifier les réglementations de protection des données pour mieux développer l’IA… Les contradictions sont partout.