🔴 Comment l’État a confisqué le marché de la souveraineté numérique

Contexte

À la fin du premier quinquennat de Macron, trois crises — le Covid, la polarisation Trump I et l’émotion autour de l’hébergement du Health Data Hub chez Microsoft — ont servi de prétexte pour permettre à l’État de reprendre la main sur la « souveraineté », écartant les acteurs historiques.

C’est un plan machiavélique et brillant, construit sur une inversion sémantique, qui aura berné et laissé sur le bord du chemin quasiment tous les acteurs dits historiques de la souveraineté. Pour l’instant, s’il tient malgré les retards de son déploiement, il reste un gigantesque pari qui doit s’imposer avant la fin du second quinquennat.

Comme me l’expliquait un ancien militaire reconverti dans le privé, pour l’administration, la souveraineté, c’est l’État ; il n’est pas possible pour la technostructure de laisser ce secteur se développer sans contrôle.

Après l’État planificateur et l’État stratège, nous sommes les témoins de l’ère de l’État opérateur (comprendre : de la souveraineté numérique).

Avant d’entrer dans le détail de ce plan, il est important de rappeler qu’il a été rendu possible parce que les « leaders du cloud français » n’ont jamais réussi à s’entendre sur des interopérabilité technologiques ou même une vision commune viable, et ce malgré les tentatives répétées — et hélas infructueuses — de certains d’entre nous.

Dans cette séquence, ils ont tous, à un moment ou à un autre, accepté de jouer un rôle d’idiots utiles au service de la stratégie de l’État opérateur.

Encore aujourd’hui, le marché de la souveraineté numérique est divisé entre ceux qui ont compris, ceux qui paniquent car ils commencent à peine à le comprendre, et ceux qui, obnubilés par leur ego ou leurs illusions de grandeur, n’ont toujours rien vu venir.

Et il y a ceux, comme moi, qui, face à tant de gâchis, se sont détournés de ce secteur.

C’est pour cela que je préfère aujourd’hui parler de résilience et que je suis monté au niveau européen, où il y a beaucoup plus à construire.

Comment la vision originale de la souveraineté a été détournée

Pour saisir la stratégie « secrète » de souveraineté numérique de l’État français, il faut comprendre que la technostructure actuelle, aux commandes de la politique industrielle et numérique, n’a jamais cru en l’émergence spontanée d’une véritable industrie tech souveraine.

D’une extrême à l’autre : dans les années 1990, leurs prédécesseurs voulaient contrer l’Internet pour préserver le Minitel. Aujourd’hui, une génération de hauts fonctionnaires fascinée par la Silicon Valley considère qu’un compromis avec les GAFAM, en les associant à des acteurs de confiance comme Thales ou Orange, est la seule solution réaliste.

Timeline de la souveraineté numérique

• Pour moi, dès 2004, il s’agissait de promouvoir le savoir-faire européen et français en matière de logiciels — une forme de souveraineté logicielle (rapport sur le P2P pour l’ADAMI).
• Pour Laurent Sorbier et Bernard Benhamou (texte de 2006), il s’agissait d’une souveraineté des réseaux internet européens face à la domination de l’ICANN.
• Pour Pierre Bellanger, dans son livre La souveraineté numérique (2010), il s’agissait de faire d’Orange un super-champion national et de centraliser les services de l’État. Il faut rappeler que cela lui a servi de programme lorsqu’il en briguait la présidence.
• Pour Bernard Charlès (Dassault Systèmes), c’était l’idée d’un cloud souverain professionnel Andromède annoncé en 2011 (avec Orange et Thales) — initiant leur vision d’un cloud d’État sécurisé. Il se retira du projet pour intégrer et développer Outscale.

PS : le premier cloud souverain reste Jolicloud (2009/2015), il s’adressait certes au grand public mais était réalisé et hébergé en France (1,3 million d’utilisateurs à son apogée). Sans aucun soutien de l’État et du directeur de cabinet de Fleur Pellerin qui m’expliquait que cela ne servait à rien de se battre car, selon ses mots, Google ou Apple avaient déjà gagné.

Suite au désistement de Dassault Systèmes, Fleur Pellerin prend la décision de confier le cloud souverain (CloudWatt, Numergy) à deux opérateurs télécoms (Orange et SFR), une décision qui sera considérée comme un échec commercial, même s’il faut pondérer avec le fait que l’État n’a jamais pris d’engagement de commandes, ce qui n’a pas vraiment aidé.

• Scaleway (Online) et OVH ne croyaient pas au cloud à l’époque — ils dominaient le marché du serveur dédié bon marché.
• Outscale, fondée en 2010 par Laurent Seror, sera intégrée par Dassault en 2017 pour devenir la continuité industrielle de cette vision d’une « centrale numérique souveraine ».
• En 2013, Catherine Morin-Desailly publie un rapport au titre limpide : L’Union européenne, colonie du monde numérique.
• En 2019, je publie une tribune dans Le Point — Comment la France s’est vendue aux GAFAM — qui relance la question de la dépendance et de la déférence aux grandes plateformes américaines.

Mais c’est le Covid et l’affaire du Health Data Hub qui vont rendre le sujet de la souveraineté suffisamment central pour que Macron décide d’attribuer la mention souveraineté numérique au ministère de l’Économie et d’activer la stratégie de l’État opérateur.

Le glissement sémantique : souveraineté numérique → cloud de confiance

La première étape essentielle dans toute stratégie de captation est le changement de vocabulaire.

On est passé ainsi de la notion de « souveraineté numérique » à celle de « cloud de confiance ». Ce glissement, en apparence anodin, entraîne pourtant des conséquences significatives :

• Souveraineté numérique : dimension géopolitique.
• Cloud de confiance : dimension cybersécurité.

Ce changement terminologique a permis de transférer ce dossier à l’ANSSI, désormais compétente en la matière, ce qui neutralise de facto la dimension géopolitique. Or, celle-ci relève exclusivement du président de la République.

Le travail sur le cloud de confiance a donc été réparti entre plusieurs acteurs : l’ANSSI, le SGDSN, la DGE (Bercy), et la DINUM. Leur approche s’est limitée à une logique de normalisation, directement inspirée par leurs compétences historiques : la protection du secret et des organismes d’importance vitale.

Cependant, une stratégie réellement efficace ne peut pas se réduire à la seule normalisation ou à une logique strictement sécuritaire. Il faut aller plus loin : créer et structurer un nouveau secteur économique viable. La doctrine doit impérativement inclure des offres numériques souveraines crédibles, y compris pour les services jugés non-stratégiques.

Au-delà de la normalisation, une stratégie complémentaire pilotée conjointement par l’Élysée et Bercy doit voir le jour : la directive « Cloud au Centre », va encore plus loin et proposer une nouvelle vision de la souveraineté numérique.

Les architectes du cloud de confiance

Trois pôles ont donc façonné la doctrine actuelle, chacun selon ses intérêts :

• Les grands corps techniques (DGE, ANSSI) ont construit un cadre réglementaire extrêmement rigide, SecNumCloud, verrouillant l’accès au marché pour les acteurs non adoubés.
• Le ministère de l’Économie a suivi les recommandations des grands groupes du CAC 40 et du Cigref, qui réclamaient un Office 365 souverain, excluant ainsi les startups du collaboratif souverain.
• La présidence de la République souhaite continuer à soutenir une Startup Nation très dépendante des GAFAM, tout en affirmant qu’il existe un plan pour atteindre, à terme, une souveraineté numérique réelle.

Au moment du lancement de la directive « Cloud au Centre », de nouveaux acteurs commencent à émerger. Avec cynisme, on pourrait penser qu’ils ont été créés pour se partager le marché du cloud de confiance :

• S3NS (Thales + Google) entend dominer le cloud d’infrastructure.
• Bleu (Orange + Capgemini + Microsoft) vise l’ensemble des services liés à Office 365 et aux outils bureautiques.

À cette époque, tous leurs concurrents estimaient que ces services ne pourraient pas obtenir la qualification SecNumCloud, en raison de leurs liens étroits avec les GAFAM.

Personnellement, j’ai toujours pensé qu’ils y parviendraient, car ils ne représentaient pas simplement une option parmi d’autres dans l’esprit des dirigeants, mais bien le cloud souverain que l’État souhaitait imposer.

Il y aura également besoin d’un troisième acteur, capable de servir les éventuels trous dans la raquette des autres offres.

Ce sera le rôle que s’arrogera la DINUM qui, en quelques années, sous l’impulsion de Vincent Coudrin, est devenue un acteur clé dans la cloudification de l’État.

Cette dernière année, elle a montré qu’elle avait un appétit d’ogre et qu’elle espère s’arroger une place sur le marché de l’informatique de l’État : projets open source, Kubernetes, et même une suite bureautique — et ce même si des acteurs privés proposent les mêmes services.

Les limites juridiques volontaires du cloud de confiance

Le cloud de confiance, promu par l’État, vise officiellement à répondre à un impératif de sécurité : empêcher que les données sensibles des administrations ne soient soumises à l’extraterritorialité des lois étrangères.

Il s’agit donc avant tout d’une réponse juridique, et non technique.

En pratique, cette approche présente des limites structurelles. Le label de confiance ne protège en rien contre des lois comme le FISA (Foreign Intelligence Surveillance Act), qui, depuis 2024, ne concerne plus seulement l’accès aux logiciels, mais s’étend à la surveillance des infrastructures elles-mêmes.

Même si l’ANSSI explique lors d’une audition qu’elle disposerait d’une solution pour garantir l’immunité au FISA, elle n’en a jamais fait la démonstration publique.

Et de quel FISA parle-t-on ? Depuis 2024, la loi s’est élargie : elle ne concerne plus uniquement l’écoute des câbles, mais vise désormais tout logiciel connecté à un réseau, y compris lorsqu’il est déployé sur site.

Lors de débats publics, Cédric O semblait ignorer les implications réelles de ces lois extraterritoriales. Rapidement, il s’est toutefois approprié nos arguments pour demander aux agences sous sa tutelle (notamment l’ANSSI, pourtant rattachée au Premier ministre) de structurer la stratégie du cloud de confiance afin d’éviter toute rupture avec les États-Unis.

Il faut rappeler qu’à l’époque, nous étions sous administration Trump I.

La priorité du cloud de confiance est donc d’éliminer le risque lié au Cloud Act (intelligence économique), mais pas le risque lié au FISA (espionnage). Pour cela, il faut créer une structure indépendante, techniquement et juridiquement. De prestigieux cabinets d’avocats se sont saisis du sujet et accompagnent ces entreprises pour obtenir la qualification SecNumCloud.

Je suis curieux de voir si Bleu aura accès au code d’Office 365 et de Copilot. À ce jour, aucune information n’a filtré sur le sujet.

La montée en puissance des tribunes sur la souveraineté possible avec les partenariats GAFAM/grandes entreprises (notamment de Gilles Babinet, …) a commencé à inscrire dans la tête des décideurs qu’il fallait donner leur chance à ces solutions.

Mais pendant que Google se marie à S3NS et Microsoft à Bleu, il devient nécessaire de préparer la montée en puissance de ces deux offres — et surtout de structurer le marché pour rendre cette domination réglementaire.

Mais il reste un sujet : comment éliminer tous les irritants de la souveraineté numérique ?

C’est là que nous avons affaire à une véritable master class.

Capture réglementaire : une stratégie d’exclusion progressive

Cette stratégie repose sur trois étapes :

1. Élévation du niveau de sécurité

• La mise en place du label SecNumCloud vise à imposer des critères de sécurité extrêmement élevés, initialement conçus pour les infrastructures cloud, et non pour les logiciels.
• Dans la pratique, seuls les grands groupes ont la capacité de s’aligner.Coût estimé (en off) : plusieurs millions d’euros et en moyenne deux ans pour obtenir la qualification.
• Conséquence : les PME et startups du cloud se retrouvent exclues du marché, faute de pouvoir se qualifier.
• À l’approche de la présidentielle de 2022, et pour calmer la polémique, des budgets sont finalement prévus afin que les petites entreprises qui le souhaitent puissent financer une certification.
• En coulisses, tout le monde sait que soutenir SecNumCloud facilite l’accès aux aides publiques.
• Résultat : sur LinkedIn, de nombreux entrepreneurs vont subitement afficher leur enthousiasme pour SecNumCloud.

2. Extension hasardeuse aux SaaS

• À l’origine, le label ne concernait que l’infrastructure (IaaS, PaaS).
• Sous la pression de certains acteurs du SaaS (notamment Whaller), le périmètre a été étendu à ces solutions. L’idée était probablement que cette qualification offrirait un avantage sur un marché moins saturé.

Le SecNumCloud : une chance pour nos entreprises technologiques

Avoir la maîtrise de son système d’information, lui garantir d’être souverain, c’est d’abord savoir le sécuriser. Parce que la sécurité de nos systèmes d’information n’est pas négociable.

JDNThomas Fauré

• Un cadeau empoisonné qui divise encore l’écosystème : certains y voyaient un avantage compétitif, d’autres une complexité insurmontable et une exclusion de fait.
• Dans la réalité, si Bleu et S3NS décrochent la qualification SecNumCloud, cet avantage de marché disparaît aussitôt. Peu l’expriment publiquement à l’époque.

3. Neutralisation législative de SREN

Problème : la France doit transposer dans le droit français plusieurs grands règlements européens :

• DSA (Digital Services Act) — règlement sur les services numériques
• DMA (Digital Markets Act) — règlement sur les marchés numériques
• DGA (Data Governance Act) — règlement sur la gouvernance des données

Dans ce contexte, la loi SREN (Sécuriser et Réguler l’Espace Numérique) doit être votée. Beaucoup y voient une opportunité de réintroduire des exigences susceptibles de bloquer le choix de S3NS, de Bleu et de nombreuses startups travaillant sur les données de santé (Doctolib, Alan…).

Initialement, la loi SREN prévoyait des dispositions strictes, imposant que l’hébergement des données sensibles de l’État et des administrations soit réservé à des acteurs européens certifiés SecNumCloud — ce qui, en théorie, aurait pu exclure, voire fortement limiter, les clouds opérés sous technologie américaine.

Dans les faits, le texte a été assoupli au fil des débats parlementaires et des discussions en commission mixte, sous l’influence de l’État, des grandes entreprises utilisatrices et du lobby des « clouds de confiance ». Plusieurs articles et amendements, qui auraient pu interdire l’accès à S3NS et Bleu, ont été retirés, vidés de leur portée ou remplacés par des formulations ambiguës.

La notion de « cloud de confiance » a finalement été préférée à celle de « cloud souverain », ouvrant la porte à l’intégration de technologies américaines dès lors qu’un montage juridique spécifique (capital français, contrôle local, engagements de compliance…) est respecté.

Résultat : S3NS et Bleu peuvent décrocher la certification SecNumCloud malgré la présence d’une technologie américaine sous-jacente.

L’objectif est atteint : maintenir un flou juridique pour ne pas entraver l’arrivée de S3NS et Bleu, qui peuvent désormais se présenter comme « souverains » si l’on fait abstraction du risque FISA.

Détail révélateur : beaucoup de ceux qui avaient tout à perdre dans ce jeu ont défendu cette ambiguïté, laissant les loups S3NS et Bleu entrer dans la bergerie des acteurs français du numérique.

Si leurs offres s’avèrent compétitives, les acteurs français seront en difficulté.

Mais l’histoire ne s’arrête pas là. D’autres ont choisi de se détourner de ce segment et de cibler des marchés publics qui ne relèvent pas du cloud de confiance… pour y découvrir un nouveau concurrent.

La DINUM et les intrapreneurs de l'État

La DINUM occupe une position singulière : à la fois opérateur interne des solutions numériques de l’État et acteur institutionnel, elle échappe aux contraintes réglementaires imposées au secteur privé.

Elle peut déployer ses propres outils, recruter hors statut (en passant par des prestataires, notamment via des plateformes comme Malt), se positionner comme éditeur open source… sans jamais avoir à se soumettre aux certifications lourdes exigées des autres acteurs.

Cette asymétrie a fait émerger une nouvelle figure : le state entrepreneur.

Ces « entrepreneurs de l’État », souvent issus de l’administration ou de son écosystème proche, pilotent leurs projets comme des startups, mais sans supporter ni les risques ni les contraintes du privé.

Ils n’ont pas à prouver leur viabilité économique (clients, P&L), ce qui en fait une concurrence de plus en plus contestée par les startups, certaines allant jusqu’à envisager ou initier des recours contentieux contre l’État.

L’État opérateur, un pari risqué

Cette capture de la souveraineté au nez et à la barbe du secteur est pour l’instant un vrai succès dont le patron de la DGE, principal acteur aux commandes désormais, peut se targuer.

Lors de la Nuit de la souveraineté, avec la ministre Clara Chappaz, ils ont même réussi à faire venir l’écosystème de la souveraineté chanter leurs louanges, malgré tout ce dont nous avons parlé plus haut.

La France a tenté sans y réussir le même coup au niveau européen.

• L’Europe a lancé EUCS (EU Cloud Certification Scheme), un label commun de cybersécurité pour le cloud, construit par l’ENISA sous le Cybersecurity Act.
• La France a tenté d’imposer des critères stricts de souveraineté (localisation, contrôle européen, immunité Cloud Act/FISA), sur le modèle de SecNumCloud, mais il y a eu un refus des autres États membres. Les Pays-Bas, la Suède, l’Irlande et l’Allemagne, entre autres, ont rejeté la logique d’exclusion, jugée trop protectionniste.
• Bruxelles a retiré les exigences de souveraineté des textes finaux : aucun verrou « anti-Big Tech », ni priorité automatique aux acteurs français.
• SecNumCloud reste donc un label national.

Son avenir et ce partage du marché du cloud de confiance n’est pas aussi rose ni aussi simple qu’il n’y paraît. Cette stratégie a plusieurs failles et risques.

La suite est réservée à nos abonnés.