L’Etat français est-il toujours souverain, c’est la question que l’on peut se poser pour plusieurs raisons.

L’intégration de la France dans l’ensemble européen impose de renoncer à des compétences régaliennes. Le niveau de dette rend la politique française dépendante de ses créanciers. Mais le destin numérique de la France est-il bien protégé.

Un rapport récent de la cour des comptes nous éclaire sur ce sujet.

L’Etat français est-il toujours souverain

On imagine que l’État protège jalousement ses données les plus sensibles, les enfermant dans des forteresses numériques impénétrables. La souveraineté numérique est devenue un mot d’ordre politique, une promesse de contrôle et d’indépendance face aux géants technologiques étrangers. Ceux que l’on nomme les GAFAM.

Le paradoxe standard du marché ou souveraineté

Il faut garder en tête que les standard du marché sont américains et ensuite Chinois. L’Europe arrive ensuite en ordre dispersé.

Sur le plan analytique, il existe une tension concernant la politique numérique française : d’un côté, l’ambition affichée de souveraineté ; de l’autre, le besoin des administrations de disposer d’outils performants, modernes et à un coût maîtrisé. J’ajoute aussi que les agents de l’Etat veulent utiliser des outils qu’ils connaissent car ils ont été formés dessus avec ou en disposent chez eux.

Bien souvent, c’est le second impératif qui l’emporte. Le cas le plus notable est celui du nouveau système d’information de ressources humaines du ministère de l’Éducation nationale, Virtuo, pour lequel le ministère a choisi une solution cloud opérée par une entreprise américaine.

Ce choix a été fait en passant outre les recommandations initiales de la doctrine “Cloud au centre”, car aucune offre souveraine ne répondait aux exigences de performance et de coût. Le ministère estime a posteriori que sa décision est conforme à la version finale de la loi SREN, qui a restreint le champ d’application de l’obligation de souveraineté en exigeant non seulement que les données soient sensibles, mais aussi que leur violation présente un risque direct pour l’ordre public. Quand la loi se met elle même une balle dans le pied et fait de la vertu un vice.

Circulaire Cloud au centre

Revenons sur ce texte important, la circulaire cloud au centre.

La doctrine « Cloud au centre » est une orientation édictée par le Premier ministre pour que les administrations privilégient les infrastructures cloud (informatique en nuage) pour leurs nouveaux projets numériques. Le cloud est appelé à devenir l’environnement par défaut de tout nouveau projet informatique de l’État.

Cette doctrine est la déclinaison opérationnelle de la Stratégie nationale pour le cloud lancée en mai 2021, qui vise à encourager l’utilisation du cloud tout en assurant l’autonomie de l’État, la maîtrise de ses données et le respect des règles européennes en matière de protection des données à caractère personnel.

• Version de juillet 2021 : La première version de la circulaire, diffusée en juillet 2021, stipulait que toute application manipulant des données d’une sensibilité particulière, notamment les données personnelles des citoyens français, devait être hébergée sur une infrastructure souveraine. Voir mon article sur ce sujet ici
• Version de mai 2023 : La doctrine a été mise à jour en mai 2023 (circulaire n° 6404/SG). Cette version a restreint l’obligation de recourir à une offre souveraine, ne l’exigeant que lorsque deux critères sont cumulativement observés :
  1. Les données doivent relever de secrets protégés par la loi.
  2. Leur violation doit être susceptible « d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé et à la vie des personnes, ou à la protection de la propriété intellectuelle ». Voilà comment faire entrer le loup dans la bergerie.
• Loi SREN : Ces critères cumulatifs ont été élevés au niveau législatif par l’Article 31 de la loi du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (dite loi SREN). La restriction du champ d’application de cette obligation visait notamment à consolider la doctrine sur le plan juridique en limitant les risques de recours par des opérateurs étrangers au regard des règles du marché intérieur européen et du principe de non-discrimination de l’OMC.

Le Cloud de confiance et SecNumCloud

Le concept de « cloud de confiance » remplace la notion initiale de « cloud souverain ». Il repose sur deux solutions jugées équivalentes en termes de sécurité pour les données sensibles :

1. Les clouds internes de l’État (dits du 1er cercle), comme Nubo (opéré par la DGFiP) et Pi (opéré par le ministère de l’Intérieur).
2. Les offres commerciales qualifiées SecNumCloud.

La qualification SecNumCloud est un référentiel d’exigences techniques, opérationnelles et juridiques élaboré par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Il garantit le plus haut niveau de sécurité pour les services de l’État et les opérateurs d’importance vitale (OIV).

Un apport essentiel de ce référentiel est l’accent mis sur la souveraineté. Il garantit une immunité aux lois non européennes à portée extraterritoriale, telles que le Cloud Act ou le Foreign Intelligence Surveillance Act (Fisa) américain. Cela impose notamment que le siège social du prestataire soit situé dans l’Union européenne et qu’une entité non européenne ne détienne pas, à elle seule, plus de 24 % du capital et des droits de vote du prestataire.

Les limites de la mise en œuvre Cloud au centre

Malgré l’ambition politique affichée, la mise en œuvre de la doctrine « Cloud au centre » rencontre des difficultés.

Bien que la commande publique en services cloud soit passée de 1 M€ en 2020 à 52 M€ en 2024, atteignant 120 M€ au total sur cette période, cela reste très modeste par rapport aux dépenses informatiques annuelles de l’État, de l’ordre de 3 Md€.

De plus, le recours aux solutions qualifiées SecNumCloud induit un surcoût par rapport aux offres cloud non qualifiées, estimé entre +25 % et +40 %. Ce point est à challenger car, pour avoir fait le travail de passer tout une entreprise SECNUMCLOUD, cela à pu être fait à ISO cout en partant d’un système déjà Cloud. C’est sur que si on part de On premise, on a ce surcout. Mais on ne compare pas la même solution.

L’échec des clouds internes

Face à la domination des géants américains, l’État a tenté de construire ses propres solutions Cloud souverain.

Deux clouds interministériels ont ainsi vu le jour : Nubo, porté par le ministère des Finances, et Pi, porté par celui de l’Intérieur. L’ambition était de fournir une alternative sûre et maîtrisée pour les données les plus sensibles.

La réalité est cependant bien loin des ambitions affichées. Les chiffres sont sans appel : “la part d’interministériel pour les clouds Pi et Nubo plafonne à 5 %”. En clair, ces solutions sont très peu utilisées en dehors des ministères qui les ont créées.

La raison principale ? Un sous-investissement chronique. Le rapport note que Nubo a coûté 55 millions d’euros en neuf ans, une somme modeste au regard des dépenses numériques annuelles de l’État qui s’élèvent à environ 3 milliards d’euros. En conséquence, la gamme de services offerts reste limitée et la tarification est jugée inadaptée. Cet échec à attirer les utilisateurs empêche Nubo et Pi d’atteindre la “taille critique” nécessaire pour justifier de nouveaux investissements, créant ainsi un cercle vicieux de sous-performance et de sous-utilisation qui les rend non compétitifs.

Peut être aussi la stratégie n’est pas bonne de vouloir créer son propose cloud plutôt qu’externaliser cela à un hyperscaler souverain qui pourra mutualiser les couts.

La souveraineté SECNUMCLOUD un coût : jusqu’à 40 % plus cher

Qu’est-ce qu’une solution numérique “vraiment” souveraine ? En France, le plus haut standard est défini par la qualification SecNumCloud, délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ce label garantit non seulement un très haut niveau de sécurité technique, mais aussi une immunité juridique contre les lois extraterritoriales, comme le fameux Cloud Act américain. Cette loi qui permet aux autorités américaines de contraindre les fournisseurs de services américains à livrer des données, où qu’elles soient stockées dans le monde.

Cette garantie a un prix. Le rapport de la Cour des comptes met un chiffre précis sur ce coût, une donnée rarement rendue publique : le surcoût d’une infrastructure qualifiée SecNumCloud par rapport à une offre cloud traditionnelle est estimé “entre +25 et +40 %”. De nouveau, je pense que ce montant est un maximum et que en faisant appels à un hyperscaler et en optimisant, on peut le faire à iso cout.

Vos logiciels de bureautiques sont un enjeu stratégique majeur

D’un point de vue politique, le débat sur la souveraineté devient le plus tangible lorsqu’il touche aux outils quotidiens des agents publics. Exemple très concret des suites bureautiques pour illustrer ce défi.

La dépendance historique de l’administration française à la suite Microsoft Office est devenue un problème stratégique lorsque l’entreprise a commencé à pousser agressivement son offre cloud, Microsoft 365. Face à ce mouvement, la Direction interministérielle du numérique (DINUM) a demandé aux ministères de ne pas y souscrire, afin de protéger la souveraineté des communications électroniques.

La réponse de l’État a été pour le moins fragmentée. D’un côté, le ministère de l’Éducation nationale, le plus grand employeur de France, a entrepris de remplacer la suite Office par une solution basée sur un logiciel libre (Collabora Online). De l’autre, la DINUM, l’autorité numérique de l’État, développe sa propre alternative (“La Suite”) en coopération avec l’Allemagne et les Pays-Bas. Cette divergence entre le plus grand ministère et l’autorité interministérielle illustre un manque de stratégie unifiée, même sur un sujet aussi fondamental que l’outil de travail quotidien de ses agents.

La France, une voix isolée dans la bataille pour la souveraineté en Europe

Le combat pour la souveraineté numérique ne se joue pas seulement à l’échelle nationale. C’est au niveau européen que se dessinent les règles du jeu, et sur ce terrain, la France peine à imposer sa vision exigeante. Le cas du projet de certification européen des services cloud (EUCS) est emblématique. La France a plaidé pour y inclure un niveau de sécurité maximal, inspiré de son propre label SecNumCloud, afin de garantir une immunité totale face aux lois extraterritoriales.

La conclusion de la Cour des comptes est sans équivoque : “La démarche de la France est restée jusqu’à présent isolée au sein de l’UE.” Cet isolement n’est pas purement idéologique ; il est alimenté par de dures réalités économiques. Comme le note le rapport, la position de l’Allemagne s’est considérablement assouplie après l’annonce par Amazon Web Services d’un investissement de 7,8 milliards d’euros dans un cloud “souverain” sur son territoire, démontrant comment la puissance d’investissement des géants américains de la tech peut directement influencer la politique européenne.

La quête de souveraineté numérique de la France n’est pas une stratégie assez coordonnée. Comme souvent c’est une série de compromis tactiques où la performance prime sur le principe, où les solutions internes échouent à se déployer à l’échelle, et où l’ambition européenne est contrecarrée par la réalité économique.

Le parfait exercice des missions de service public peut être garanti sans nécessairement aligner les spécifications des systèmes d’information sur le plus haut niveau technologique dès lors qu’un degré trop élevé de performance à court terme peut constituer un double écueil : par la mise en cause de la souveraineté sur les données et par une dépendance de l’administration vis-à-vis de la politique commerciale d’un éditeur dominant.