Panne d'Hélios : la mission flash pointe un déficit de communication et d'investissement
Le député Jacques Oberti a détaillé le 29 avril 2025 devant la commission des finances de l'Assemblée nationale ses conclusions sur la panne de l'application Hélios, survenue en février 2026. Si le pire a été évité, le rapport met en lumière l'absence criante de plan de continuité, un déficit de communication et la fragilité structurelle d'un système dont dépendent toutes les collectivités territoriales.
© Capture vidéo Assemblée nationale/ Jacques Oberti, rapporteur de la mission flash sur les dysfonctionnements du logiciel Hélios
Vingt jours d'interruption. C'est le temps qu'il aura fallu entre l'apparition de la défaillance de l'application Hélios, le 5 février 2026, et la reprise officielle d'activité annoncée par la direction générale des finances publiques (DGFIP), le 25 février. Et certaines opérations étaient encore impossibles la première semaine de mars. En cause : le dysfonctionnement d'un module de déduplication sur une baie de stockage Hitachi, installée depuis seulement deux ans sur l'un des deux sites hébergeant les flux comptables des collectivités. Une panne matérielle qualifiée "d'exceptionnelle" par le fabricant mais dont les conséquences ont révélé une vulnérabilité systémique dans la chaine comptable locale. Les collectivités, hôpitaux et établissements publics sont en effet étroitement dépendant d'Hélios pour payer les salaires des agents, leurs fournisseurs, gérer leur dette et leur trésorerie.
Des collectivités fortement impactées
Selon les données et auditions recueillies par la mission de Jacques Oberti (PS), la moitié des utilisateurs d'Hélios ont été dans l'incapacité de transmettre leurs titres et mandats. Plusieurs communes n'ont pu extraire leur compte financier unique (CFU qui clôture un exercice comptable) pour délibérer avant les élections municipales. D'autres ont supporté des intérêts moratoires sur des factures impayées (non évalués précisément par la mission) non réglées dans les délais légaux et plusieurs entreprises ont déposé des recours. Certaines communes se sont retrouvées exposées à des risques juridiques pour n'avoir pas transmis leurs documents dans les délais administratifs légaux. Des départements ont dû prévenir leurs usagers d'un risque de retard dans le versement de prestations sociales. La CAF, qui facture des intérêts moratoires lorsqu'elle n'est pas réglée par les départements, s'est cependant finalement engagée à effacer l'ardoise pour cette période.
Par chance, le pire a cependant été évité. "Si la panne avait eu lieu aux alentours du 20, cela aurait conduit à une situation très critique avec plusieurs milliards d'euros de salaires non versés par la voie habituelle. La DGFiP aurait alors dû recourir à des procédures dégradées qui n'auraient pas été si simples à mettre en œuvre" relève le député.
Une gestion de crise défaillante
La mission pointe par ailleurs des défaillances dans la communication. La DGFiP a considéré que son rôle national s'arrêtait à l'échelon départemental, à charge pour chaque trésorerie départementale de relayer l'information aux ordonnateurs. Résultat : une grande hétérogénéité dans les approches, source d'anxiété et de décisions contradictoires. Certains ordonnateurs ont transmis un maximum de mandats pour éviter d'être tenus de régler d'éventuels intérêts moratoires, s'exposant à des écarts de flux complexes à pointer lors de la reprise. D'autres ont préféré tout suspendre, sans concertation ni consigne.
Quant à la note ministérielle autorisant les comptables publics à procéder aux paiements sans effectuer l'ensemble de leurs contrôles habituels, elle n'a été transmise que le 19 février, soit quatorze jours après le début de la panne. "Entre le 15 et le 19, des agents ont pris des décisions dans un vide juridique complet", a déploré la députée Christine Arrighi (Ecol.) lors des échanges en commission. Les grandes collectivités et les hôpitaux ont bénéficié d'un suivi direct de la DGFiP. Les milliers de petites communes, elles, ont largement navigué à vue.
Investissements et redondances indispensables
Sur le fond, la recommandation centrale du rapport relève du B-A Ba de la sécurité informatique : doter Hélios d'un serveur de secours, c'est-à-dire un site passif de puissance équivalente, activable en cas d'incident. Ce serveur de secours devrait s'articuler avec le chantier Hélios 2, actuellement en préparation par la DGFiP. La mission recommande également l'organisation régulière d'exercices de continuité d'activité, avec un partage des enseignements avec toute la chaine comptable.
Le rapporteur estime qu'il faudrait 50 millions supplémentaires annuels – actuellement la DGFiP investit chaque année environ 60 à 70 millions d'euros - pour créer un site de secours fonctionnel comparable aux deux sites existants. Un investissement jugé nécessaire à la fois pour faire face à un éventuel bug technique mais aussi à de potentielles cyberattaques.
Sur la communication, la mission préconise l'élaboration d'un plan formalisé de gestion de crise incluant un référencement des incidents, des retours d'expérience en temps réel remontant jusqu'aux ordonnateurs eux-mêmes, et une garantie explicite que les éventuels intérêts moratoires ne seront pas mis à la charge des collectivités.
La question de l'hyper centralisation des traitements a enfin été abordée sans que la mission apporte une réponse tranchée. La dépendance de l'État à des solutions étrangères a également été déplorée par plusieurs députés.
