La souveraineté numérique est devenue un mot-clé omniprésent dans les discours publics. Pourtant, derrière le terme, beaucoup de flou subsiste : s’agit-il d’hébergement ? de sécurité ? d’open source ? de géopolitique ?

En réalité, la souveraineté numérique française repose sur des fondations assez concrètes.

Cet article propose un éclairage, pour comprendre de quoi on parle :

1. Comprendre le cadre français réel : sur quoi peut-on s’appuyer aujourd’hui ?
2. Identifier les indicateurs concrets qui permettent d’objectiver le sujet
3. Synthétiser ces éléments dans une grille de lecture simple, utilisable pour évaluer un projet / un service

1. Comprendre le cadre français 

En France, la souveraineté numérique est parfois une posture. Mais il faut reconnaitre qu’elle s’appuie sur un ensemble cohérent d’acteurs, de doctrines et de cadres réglementaires qui structurent déjà les projets.

D’abord on a l’ANSSI

L’ANSSI est l’autorité centrale en matière de cybersécurité. Concrètement, elle définit les règles de sécurité, elle qualifie les prestataires et les offres (cloud, hébergement, services), elle encadre aussi les mécanismes de chiffrement. Et surtout elle fixe un niveau d’exigence élevé pour les services manipulant des données sensibles. En pratique, la qualification SecNumCloud, délivrée par l’ANSSI, est aujourd’hui l’un des repères les plus forts de souveraineté opérationnelle.

Ensuite la DINUM

La DINUM pilote la doctrine numérique de l’État. Son rôle n’est pas technique au sens strict, mais stratégique : définition de la politique « Cloud au centre », promotion de l’open source et des communs numériques, mutualisation des briques techniques entre administrations, cohérence des choix technologiques à l’échelle de l’État. C’est-à-dire que la DINUM ne dit pas seulement ce qui est autorisé, elle oriente ce qui est souhaitable !

Deux autres piliers structurants

La Direction générale des entreprises, qui intervient sur la dimension économique : compétitivité, dépendances industrielles, autonomie stratégique des filières numériques. La Commission européenne, qui fixe quant à elle le cadre juridique de référence : RGPD, DSA, DMA, AI Act. Ce qu’il faut comprendre c’est que la France s’inscrit dans ce cadre, mais va souvent plus loin dans l’opérationnalisation, notamment via ses exigences de sécurité et de cloud de confiance.

Ce que cela signifie concrètement

La souveraineté numérique française repose déjà sur plusieurs dimensions contractuelles claires :

• Juridique (droit applicable, extraterritorialité),
• Sécuritaire (qualification, audits, chiffrement),
• Technique (maîtrise des briques et des dépendances),
• Organisationnelle (capacité à exploiter et maintenir dans la durée).

2. Identifier des indicateurs concrets 

Une fois qu’on a compris le cadre, il est essentiel de mesurer concrètement les choses. Ici on peut objectiver à travers six piliers :

1) Localisation et juridiction des données

C’est souvent le premier réflexe, mais aussi la première confusion. Il faut distinguer trois niveaux, qui forment un entonnoir de souveraineté :

1. La localisation physique : les données sont hébergées dans l’Union européenne, idéalement en France.
2. La juridiction applicable : le droit applicable est clairement européen.
3. L’extraterritorialité : le service n’est pas soumis à des lois étrangères comme le Cloud Act américain.

Ces niveaux se recoupent partiellement, mais ne sont pas équivalents.
Un service peut être hébergé en France tout en restant juridiquement exposé à une autorité étrangère.

Les cadres de référence sont ici :

• Le label Cloud de confiance, qui vise à garantir que les services cloud utilisés par l’État combinent haute sécurité et absence de soumission à des législations extraterritoriales. 
• La qualification SecNumCloud de l’ANSSI, qui va encore plus loin : elle certifie non seulement la sécurité technique, mais aussi la gouvernance, l’exploitation et la résilience juridique du service. 

Note : De plus en plus de marchés publics exigent explicitement l’absence de soumission au Cloud Act.

2) Maîtrise de la sécurité 

Lorsqu’on parle de sécurité numérique, une confusion est très fréquente : on assimile souvent conformité et souveraineté. Or, les deux notions ne recouvrent pas la même réalité.

Un service conforme est un service qui respecte des normes, des règles et des standards imposés par des référentiels (RGPD, ISO, politiques de sécurité internes, etc.). Cela signifie qu’il fait ce qui est demandé sur le papier.

Un service souverain, lui, pose une question différente et plus exigeante : qui garde réellement le contrôle du service en situation critique ?

Pour objectiver cette maîtrise, plusieurs indicateurs concrets peuvent être observés.

D’abord, la qualification SecNumCloud délivrée par l’ANSSI qui ne se limite pas à vérifier des mesures de sécurité techniques, nous l’avons dit plus haut.

Ensuite, la question du chiffrement : Un service peut chiffrer les données, mais si les clés de chiffrement sont détenues par un acteur soumis à une législation étrangère, le contrôle réel échappe à l’administration. La souveraineté suppose donc que les clés restent sous le contrôle d’un acteur français ou européen, capable de refuser un accès extérieur.

Un autre indicateur important concerne la gestion des incidents. Il ne s’agit pas seulement d’avoir un plan écrit, mais de pouvoir démontrer des procédures auditables : qui décide, qui intervient, dans quels délais, avec quels moyens. En cas d’attaque ou de panne majeure, la chaîne de décision doit être claire et maîtrisée, c’est-à-dire ... Souveraine.

Enfin, un service souverain doit être capable d’être isolé, maintenu ou redémarré même en cas de crise grave : coupure de relations internationales, pression juridique étrangère, conflit géopolitique ou cyberattaque d’ampleur. La question n’est plus alors « le service est-il conforme ? », mais « peut-on encore l’exploiter seuls ? ».

3) Maîtrise technique

Dans de nombreux projets numériques, la question de la maîtrise technique pose la question du lien avec le prestataire ou l’éditeur. Le premier indicateur concerne alors l’accès au code source. Lorsque le code est ouvert (open source) ou fourni avec une licence réellement maîtrisée, l’administration conserve une capacité essentielle : comprendre comment le service fonctionne et intervenir si nécessaire. À l’inverse, un service entièrement fermé crée une dépendance immédiate à son fournisseur.

Vient ensuite la capacité d’exploitation autonome. Un service souverain ne suppose pas forcément que l’administration l’exploite seule au quotidien, mais qu’elle puisse le faire si la situation l’exige. Cela implique que les compétences, les outils et les procédures existent, soit en interne, soit chez des prestataires alternatifs identifiés.

La réversibilité est un autre point souvent mal compris. Elle ne se limite pas à une clause contractuelle indiquant que les données seront restituées en fin de contrat. Une réversibilité crédible signifie que les données, les configurations et les traitements peuvent être récupérés dans un format exploitable, et qu’un autre acteur est en mesure de reprendre le service sans reconstruction complète.

Enfin, la documentation technique joue un rôle clé. Sans documentation claire, à jour et transférable, même un service théoriquement ouvert devient, dans les faits, difficilement reprenable. La documentation conditionne la capacité à maintenir, faire évoluer ou auditer le service dans la durée.

C’est pour ces raisons que la souveraineté numérique repose souvent sur des solutions non verrouillées, appuyées sur de l’open source et des architectures permettant une véritable stratégie de sortie. Un service est techniquement souverain non pas parce qu’il est performant, mais parce qu’il reste gouvernable dans le temps, même en cas de rupture avec son fournisseur initial.

4) Dépendance technologique 

Lorsqu’on évalue un service numérique, on a souvent tendance à regarder le socle principal : l’hébergement, l’éditeur, l’outil visible. Mais la souveraineté se joue rarement à cet endroit-là.

Un service numérique moderne repose en réalité sur une chaîne de dépendances : une succession de briques techniques, parfois invisibles, mais indispensables à son fonctionnement. C’est cette chaîne qu’il faut analyser pour évaluer le niveau réel de souveraineté.

La première question à se poser pourrait alors être : Combien de composants critiques du service dépendent d’acteurs étrangers, en particulier non européens ?
Il ne s’agit pas uniquement du fournisseur principal, mais de toutes les briques sans lesquelles le service ne peut pas fonctionner normalement.

Ensuite, il faut s’intéresser aux dépendances invisibles, souvent intégrées par facilité ou par habitude : services d’authentification, outils de mesure d’audience, services de protection contre les robots, réseaux de diffusion de contenu, briques d’intelligence artificielle, bibliothèques externes appelées à chaque chargement de page. Ces éléments sont rarement perçus comme stratégiques, alors qu’ils peuvent, à eux seuls, rendre un service inutilisable.

Une question permet souvent de révéler ces dépendances : le service continuerait-il à fonctionner si l’un de ces acteurs coupait l’accès, volontairement ou non ? Si la réponse est non, alors la souveraineté est partielle, voire illusoire.

5) Alignement avec la doctrine numérique de l’État 

La souveraineté numérique ne se joue pas uniquement au niveau d’un projet pris isolément. Elle s’inscrit dans une stratégie Nationale.

En France, cette stratégie est formalisée à travers la doctrine numérique de l’État. Elle vise à garantir que les choix technologiques faits par chaque administration restent cohérents entre eux, compatibles dans le temps et soutenables à l’échelle nationale.

Un premier indicateur d’alignement concerne le respect de la doctrine dite « Cloud au centre ». Cette approche ne signifie pas « tout mettre dans le cloud à n’importe quel prix », mais organiser les projets numériques autour de services mutualisés, sécurisés et réversibles, plutôt que de multiplier des solutions isolées et difficilement maintenables.

L’alignement se mesure également à l’usage de briques recommandées ou mutualisées : services d’authentification, gestion des identités, API, solutions d’échange de données, outils collaboratifs ou socles techniques communs. En s’appuyant sur ces briques, les administrations réduisent les redondances, facilitent l’interopérabilité et renforcent la maîtrise collective.

Un autre point clé est la compatibilité avec les politiques de mutualisation de l’État. Un service souverain ne doit pas devenir un îlot technologique impossible à raccorder à d’autres systèmes publics. Il doit pouvoir s’inscrire dans des logiques de partage, d’évolution et de réutilisation, y compris par d’autres administrations.

Cette dimension est souvent sous-estimée, car elle n’est pas immédiatement visible à l’échelle d’un projet. Pourtant, elle conditionne la capacité de l’État à piloter son numérique sur le long terme, sans recréer de nouvelles dépendances ou rigidités.

La souveraineté est ici une responsabilité collective.

6) Capacité de maintien et d’évolution 

Un service numérique n’est jamais figé. Il doit être maintenu, corrigé, adapté, parfois en urgence. La souveraineté numérique se mesure donc aussi dans la durée, et pas uniquement au moment de la mise en production.

Là encore, posons nous les bonnes questions : qui est capable de maintenir ce service, ici et maintenant ? Si la réponse repose exclusivement sur une équipe étrangère, difficilement joignable ou externalisée hors d’Europe, la capacité de contrôle réel est faible, même si le service fonctionne parfaitement au quotidien.

Un indicateur clé concerne de fait la disponibilité des compétences en France. Un service souverain s’appuie sur des technologies pour lesquelles il existe un vivier de compétences nationales : développeurs, exploitants, experts sécurité, intégrateurs. Cela garantit qu’en cas de difficulté, plusieurs acteurs peuvent intervenir, et pas un seul prestataire incontournable.

Cette capacité repose également sur l’existence d’un écosystème d’intégrateurs nationaux. Plus un service peut être repris, audité ou faire l’objet d’une mise en concurrence réelle, plus il est robuste. À l’inverse, un service dépendant d’un acteur unique, sans alternative crédible, crée une situation de dépendance structurelle.

La question de l’externalisation critique est également centrale. Externaliser des tâches est courant et légitime. En revanche, externaliser l’ensemble de la connaissance du système, notamment hors d’Europe, fragilise la capacité d’action en cas de crise, de rupture contractuelle ou de tension géopolitique.

Enfin, un service souverain doit pouvoir évoluer rapidement, même dans un contexte dégradé : modification réglementaire urgente, faille de sécurité, changement de périmètre fonctionnel, nouvelle politique publique. Et cette agilité dépend directement de la proximité des équipes, et de la maîtrise du socle technique.

Un service souverain est ici un service que l’on peut faire évoluer ou réparer rapidement, avec des compétences accessibles sur le territoire national, sans dépendre d’un acteur lointain ou unique.

3. Une grille de lecture simple pour évaluer vos projets 

Alors, comment utiliser ces principes de manière concrète pour évaluer un projet ?

Ici l’objectif n’est pas de produire un verdict binaire — souverain ou non souverain — mais de disposer d’un outil de lecture partagé, permettant de structurer les discussions, d’objectiver les choix et d’anticiper les risques.

Cette grille peut être utilisée à différents moments : en phase de cadrage, lors d’un arbitrage, pendant un renouvellement de marché ou dans un comité de pilotage.

La grille en six questions clés

Pour chaque projet, il est utile de se poser successivement les questions suivantes :

1. Les données sont-elles juridiquement protégées ?
   Où sont-elles hébergées ? Quel droit s’applique ? Le service est-il exposé à une législation extraterritoriale ?
2. La sécurité est-elle réellement maîtrisée ?
   Au-delà des normes respectées, qui garde la main en cas d’incident grave ou de crise majeure ?
3. Le code et l’exploitation sont-ils sous contrôle ?
   Sommes-nous capables de comprendre, maintenir ou reprendre le service nous-même ? Si c’est impossible avons-nous des prestataires alternatifs ?
4. Les dépendances technologiques sont-elles identifiées ?
   Savons-nous précisément quelles briques externes sont critiques et ce qui se passe si l’une d’elles devient indisponible ?
5. Le projet est-il aligné avec la doctrine numérique de l’État ?
   S’inscrit-il dans une logique de cohérence, de mutualisation et d’interopérabilité avec les autres services publics ?
6. La capacité nationale de maintien et d’évolution est-elle assurée ?
   Les compétences nécessaires existent-elles en France et peuvent-elles être mobilisées rapidement ?

Comment interpréter les réponses

Un projet souverain n’est pas forcément un projet qui répond positivement à toutes les questions. En revanche, un projet devient risqué dès lors que plusieurs réponses restent floues ou négatives.

Cette grille permet surtout de rendre visibles des dépendances souvent implicites, et d’ouvrir un dialogue éclairé entre les équipes métiers, techniques, juridiques et achats.

C’est un outil d’aide à la décision.

Évaluer la souveraineté d’un projet, ce n’est pas juger ses intentions donc, c’est mesurer sa capacité à tenir dans le temps, y compris quand le contexte devient contraint. Et l’actualité nous montre que le monde se tend.

Il est donc urgent de nous poser les bonnes questions. Chacun, à notre niveau.