Souveraineté numérique : la Cour des comptes dénonce l'absence de stratégie

Dans un rapport publié le vendredi 31 octobre 2025, la Cour des comptes s'est penchée sur la souveraineté numérique, concept désormais omniprésent dans le débat politique français visant à réduire la dépendance du pays aux technologies extra-européennes, ce qui englobe matériels, logiciels et données. Une préoccupation renforcée par le regain de tensions géopolitiques, les législations extraterritoriales comme le Cloud Act et l'arrivée de l'IA. 

Une doctrine franco-française 

Si la Cour regrette que la souveraineté numérique ne fasse pas l'objet d'une stratégie formalisée, elle apparaît en filigrane de la feuille de route Tech.gouv et surtout de la circulaire "Cloud au centre". Formalisée par la direction interministérielle du numérique (Dinum) en 2021 et mise à jour en 2023 (voir notre article du 5 juin 2023), cette dernière impose le recours à des infrastructures souveraines pour héberger les données les plus sensibles des administrations publiques. 

La loi SREN de mai 2024 a même inscrit cette exigence dans le marbre législatif : toute donnée relevant d'un secret protégé par la loi et dont la violation pourrait porter atteinte à l'ordre public doit être hébergée de manière souveraine, avec la qualification SecNumCloud de l'Anssi. Si Bruxelles n'a pas fait barrage à cette norme, la France n'a pas réussi à imposer ses critères de souveraineté dans la certification européenne des services de cloud (EUCS), toujours en discussion. 

Des ministères qui font cavalier seul

L'enquête menée par les magistrats de la Cour des comptes montre cependant que "l'ambition affichée par la France en matière de souveraineté numérique peine à être satisfaite". 

La Cour admet une tension entre les enjeux de souveraineté et de performance des administrations. Mais ce principe d'efficacité est mis à mal par le cas emblématique de la plateforme d'hébergement des données de santé. Le choix de Microsoft a permis un déploiement rapide – l'argument phare des promoteurs du Health Data Hub - mais a "suscité la méfiance des fournisseurs de données" entravant son usage. La Cour estime qu'une solution moins performante mais souveraine aurait été préférable.

Le cas du ministère de l'Éducation nationale (MEN) est aussi cité. Son système d'information des ressources humaines, Virtuo, qui gère les données d'un million d'agents, est opéré par une entreprise appartenant à un groupe américain. Le ministère estime qu'il n'est pas contraint de recourir à une solution souveraine, une interprétation contestable de la loi dont la Cour s'étonne qu'elle n'ait pas fait réagir la Dinum. 

Sur la question des suites bureautiques, la Cour déplore un manque de coordination. Le MEN remplace Microsoft Office par des logiciels libres, tandis que la Dinum développe sa propre suite (La Suite numérique) en partenariat avec l'Allemagne et les Pays-Bas. La Cour juge "regrettable qu'il n'y ait pas convergence" entre le plus gros ministère de l'État et la direction censée piloter la stratégie numérique.

L'échec des clouds interministériels

Deux infrastructures cloud ont par ailleurs été développées par l'État : Nubo (ministère des Finances / DGFIP) et Pi (ministère de l'Intérieur / Dinum). Deux infrastructures qui se révèlent coûteuse - 55 millions d'euros investis en neuf ans – pour une utilisation "beaucoup trop faible", y compris par les ministères qui les ont créés.

Les magistrats ajoutent que la gamme de services offerts par ces solutions reste limitée, notamment sur l'IA. Elle déplore qu'aucune convergence entre les deux clouds ne soit programmée. 

Des dépendances multiples et mal cartographiées

Au-delà des géants américains du numérique, l'État s'avère dépendant d'acteurs privés dans des domaines sensibles qui mériteraient selon la Cour d'être soumis à des exigences de souveraineté dépassant les enjeux de cybersécurité. Elle juge ainsi la certification "hébergeur de données de santé" de Doctolib insuffisante alors que cette société gère des données de très nombreux Français. Le cas de la dépendance à l'éditeur de Pronote, utilisé par une grande majorité des établissements du second degré, est aussi cité, même si les données des élèves sont sur un hébergement SecNumCloud.

La plateforme d'achat public Place fait quant à elle pour partie appel à une entreprise d'un groupe canadien, sans calendrier ferme de migration vers un environnement souverain comme s'en est inquiétée récemment la mission "achat public" du Sénat (voir notre article du 9 juillet 2025).

Plus largement, aucun ministère ne dispose d'une cartographie complète de ses données sensibles nécessitant une approche souveraine. 

Un pilotage stratégique défaillant

Un manque que la Cour impute à l'absence de stratégie de souveraineté véritablement "opposable" aux ministères. 

Chacun dispose de ses propres budgets, sans coordination transversale, et aucun chiffrage d'ensemble des investissements nécessaires n'a été réalisé. Et si la Cour concède que le surcoût d'une infrastructure SecNumCloud se situe "entre 25 et 40%", elle juge l'investissement acceptable face aux risques, la souveraineté devant être selon elle privilégiée sur la performance.

Les magistrats de la rue Cambon formulent cinq recommandations opérationnelles : 
- élaborer une stratégie chiffrée de souveraineté numérique sous la houlette de la Dinum ;
- cartographier l'ensemble des données sensibles de chaque ministère ; 
- déployer dès 2026 des outils bureautiques souverains ;
- fusionner les clouds Nubo et Pi ;
- aligner la certification des hébergeurs de données de santé sur les exigences SecNumCloud.