La souveraineté numérique fais partie des tendances importantes de nos DSI en cette année 2026, comme l’expose le Gartner dans son Top Strategic Technology Trends for 2026 | Gartner (Geopatriation). Voici un premier article d’une mini-série sur le sujet.
Le mot « souveraineté » est devenu un mot-valise où l’on mélange bien des concepts : la sécurité, la robustesse, la conformité juridique et un certain anti-américanisme de posture, plus souvent lié à l’actuel locataire de la maison blanche qu’à une vraie analyse de la politique internationale américaine.
Il me semble intéressant de déconstruire ce terme et de distinguer les briques qui le composent :
- La Sécurité (La forteresse technique) : Protéger l’accès aux données sensibles est souvent le moteur d’un rapatriement de nos SI en France ou en Europe. Mais attention, lorsqu’on parle de sécurité, c’est avant tout la robustesse technique face aux attaques qui doit être considérée. Un serveur n’est pas plus sûr parce qu’il est en France sur un cloud privé. Paradoxalement, les GAFAM investissent des milliards en cybersécurité, offrant souvent un bouclier technique supérieur aux acteurs locaux. Il existe des normes de sécurité, comme la famille ISO/IEC-27000.
- La Conformité (La règle du jeu) : Il s’agit de respecter les lois (RGPD, CNIL, traçabilité). Les pouvoirs publics définissent des certifications comme HDS (Hébergement de Données de Santé) qui peuvent s’appliquer dans certains secteur. La nuance est cruciale : on peut être parfaitement certifié HDS en étant hébergé chez Azure, GCP ou AWS. La conformité n’est pas la souveraineté.
- La Protection Juridique (Le vrai sujet du Cloud Act) : C’est ici qu’intervient le fameux Cloud Act. Pour se protéger de l’extra-territorialité du droit américain, il convient d’exclure les opérateurs américain de sa liste de fournisseurs. En effet, sur requête de la justice américaine, ces derniers sont tenus de fournir les données demandées quelques soit le lieux d’hébergement. Il s’agit donc d’une protection vis à vis de la justice américaine, pas contre un hacker.
- Le Vendor Lock-in (L’indépendance économique) : C’est le risque d’enfermement propriétaire (Vendor Lock-in). Nombreux fournisseurs profitent de leur monopoles pour appliquer des politiques d’augmentation tarifaire injustifié pour nos entreprises. Être souverain, ce n’est pas refuser un fournisseur américain, c’est avoir le pouvoir de le quitter en 24h. La vraie protection ici, est l’interopérabilité, la réversibilité et l’Open Source. Ce sujet n’est pas nouveau, mais amplifié par le monopole des hyperscalers américain.
- La stratégie (La politique) : Il existe aussi des secteurs stratégique, comme la défense ou le nucléaire où une indépendance vis-à-vis d’acteurs étrangers est vitale pour les intérêt du pays.
- La communication (L’image) : la monté d’un discours anti-américain en Europe depuis la réélection de M Trump et ces nombreuses « Trumperie » force nos politiques et nos entreprises à afficher une prise de distance par rapport aux USA et à affirmer le besoin d’une indépendance technologique européenne. Difficile de tenir ce discours lorsque son IT est supportée en grande partie par les GAFAM.
Selon l’objectif recherché (se protéger d’un juge, d’un hacker ou d’une hausse de prix), la solution, son coût et ses contreparties ne sont pas les mêmes. Vouloir tout traiter avec un seul marteau nommé « Souveraineté Numérique », c’est à coup sûr prendre l’enclume pour écraser une mouche.
A suivre : de quoi nous protège vraiment la souveraineté ?