![[Commission d’enquête sur la commande publique] La souveraineté numérique en France, un "avion sans pilote"](https://incyber.org//wp-content/uploads/2025/06/incyber-news-computers-cybersecurite-cybersecurity-2160x735.jpg)
Commission d’enquête sur la commande publique La souveraineté numérique en France, un « avion sans pilote »
Leurs auditions auront duré plus de quatre mois. Près d’une centaine de personnes ont été interrogées et écoutées avec, à la clé, la remise mercredi dernier d’un rapport franc et direct sur les errements de l’exécutif en matière de souveraineté numérique. « Les opérateurs français et européens que nous avons auditionnés nous ont tous dit et redit qu’ils étaient parfaitement prêts à proposer des alternatives, martèle Simon Uzenat, sénateur socialiste du Morbihan et président de la commission, et pourtant la France reste shootée aux GAFAM. » Si, aux États-Unis, AWS, la filiale d’Amazon, est devenue l’un des champions mondiaux du cloud, c’est au départ grâce à un contrat public à 600 millions de dollars avec la CIA en 2013. Tesla s’est aussi développé grâce à la commande publique. « Tous nos compétiteurs, sans exception, paient leur R&D comme cela, témoigne devant la commission Emmanuelle Ertel, directrice générale d’Innovation&trust, la digital factory du groupe Tessi, basée à Grenoble et spécialisée dans l’outsourcing. Nous, la R&D, on la finance nous-mêmes, alors que 80% de nos clients viennent du marché public. On ne peut pas grandir parce qu’on n’a pas d’argent. »
Lois extraterritoriales
« En France, il n’y a pas de pilote dans l’avion ! s’exclame Dany Wattebled, sénateur divers droite et rapporteur de la commission. Personne n’est responsable de rien. » L’élu du Nord propose notamment d’ajouter une clause dans les appels d’offres liés à la souveraineté numérique obligeant les sociétés qui soumissionnent à relever du SecNumCloud (le référentiel sécurité de l’Anssi) et à ne pas être soumises aux lois extraterritoriales américaines. Adopté aux États-Unis en 2018, le très controversé CLOUD Act permet en effet aux autorités US d’accéder à n’importe quelle donnée, même en dehors des États-Unis, si l’hébergeur a un quelconque lien avec le pays de l’Oncle Sam. « Le Danemark vient de migrer vers Linux et LibreOffice, pourquoi pas la France ? », interroge M. Wattebled.
Choix cacophoniques
Pour éviter des choix cacophoniques, le rapport suggère également que le pilotage de la commande publique en matière de cloud souverain ne relève plus uniquement de l’autorité de Matignon, auquel serait rattaché la DINUM et toutes les structures dans les différents ministères. « Quand on développe une expertise numérique sectorielle, détaille M. Uzenat, il convient de la partager immédiatement avec la DINUM. Les avancées de l’Agence du numérique en santé, par exemple, qui travaille sur la protection des données, doivent bénéficier à l’ensemble des autres secteurs de l’administration. » La commission propose ensuite de considérer l’ensemble des données publiques comme sensibles, avec des degrés différents selon leur nature.
Biberonnés à Windows
En matière de santé encore, l’élu cite aussi le cas de la plateforme Health Data Hub : « En 2019, par habitude et par fainéantise, Microsoft a été choisi alors que des solutions françaises existaient. Si on avait pris la peine de faire le nécessaire à ce moment-là, aujourd’hui, les données de santé des Français seraient hébergées sur des solutions souveraines et pas à mises à disposition des Américains. On a tous été biberonnés à Windows et on a fini par considérer que c’était un bien commun alors qu’il y a des intérêts capitalistiques derrière. » La CNIL n’a d’ailleurs jamais cessé d’alerter sur l’absence de garanties suffisantes apportées par Microsoft. « On ne donne pas la commande aux entrepreneurs français et européens, s’agace M. Wattebled, on leur saupoudre des aides pendant six mois ou un an, ils mettent sur le projet quatre ou cinq ingénieurs qui terminent à bout de souffle et finissent par se vendre aux Américains. Personne n’a le courage de dire « on arrête ça !»
Le pétrole de demain
Le rapport dénonce également des défaillances en cascade cumulées à une absence de volonté politique. « Quand on voit que les données de l’enseignement supérieur français sont hébergées chez Microsoft, dans les échanges entre profs et étudiants, il y a tout ce qu’il faut pour aller espionner et pirater nos innovations ou nos tendances, s’insurge M. Uzenat. Nous sommes entrés dans une vraie guerre économique, on n’est plus dans un monde pacifique où les États-Unis sont nos alliés. Les données, c’est le pétrole de demain, c’est ce qui nourrit et entraîne l’intelligence artificielle et on l’apporte sur un plateau aux Américains ! » Interrogé sous serment par la commission d’enquête, le patron de Microsoft Europe a d’ailleurs refusé de garantir que les données qu’il héberge ne seront pas un jour sorties de France sans que leur propriétaire en soit seulement informé. Les GAFAM possèdent également une force de frappe incomparable. Selon M. Uzenat, Google emploie 23 personnes dédiées au lobbying dans les affaires publiques en France là où l’association Hexatrust, qui regroupe les 150 champions français et européens du cloud, ne dispose que d’une seule déléguée générale !
Obsolescence programmée
Le rapport cite encore le cas kafkaïen de la police nationale, contrainte de dépenser des millions d’euros pour renouveler son parc d’ordinateurs, pourtant en parfait état de fonctionnement, à cause du passage obligé à Windows 11. La gendarmerie a, de son côté, migré depuis des années vers Linux, qui n’impose pas cette obsolescence programmée. « Et comme la maintenance des solutions open source repose sur une communauté de développeurs extrêmement réactive, la moindre brèche est réparée en quelques heures, assure M. Uzenat. C’est vertueux sur tous les plans : prix, impact carbone et sécurité ». Auditionnée par la commission en mai dernier, la start-up française Interstis propose ainsi Hexagone, une suite collaborative alternative à Microsoft 365. « Si la commande publique joue son rôle, on peut gagner cette bataille technologique pour les 50 prochaines années, s’enthousiasme Thomas Balladur, PDG d’Interstis. L’histoire nous le montre : en 1945, la France n’avait pas la bombe atomique. Quinze ans plus tard, c’était fait, grâce à une décision politique forte, la création du CEA (Commissariat à l’Energie Atomique). »
Propositions de loi
Lors de son audition devant la commission, Me Laurent Bidault, avocat en droit public des affaires au sein du cabinet Novlaw, a pointé le déficit de formation : « Aujourd’hui, par ignorance, des agents n’ont pas recours à certaines solutions ou à certains montages contractuels car ils ne sont pas sensibilisés à certains enjeux de la cybersécurité. On manque d’acculturation, surtout sur des sujets d’innovation. Pourtant, les outils existent. » Le travail de la commission d’enquête pourrait maintenant donner lieu à deux propositions de loi distinctes déposées à la rentrée : l’une, technique, sur l’assouplissement et la régulation de la commande publique, et l’autre davantage consacrée aux questions de souveraineté et de transition écologique.