Featured image of post A propos de la souveraineté numérique
Souveraineté Numérique

A propos de la souveraineté numérique

Cela fait un moment que j’envisage de publier une série d’articles sur la qualification SecNumcloud, également appelé “label Cloud de Confiance”. J’entends de nombreuses personnes l’associer à la question de la souveraineté numérique; certains vont même jusqu’à la considérer comme un guide d’implémentation du “cloud souverain”. J’ai donc pensé qu’il était nécessaire d’adresser le sujet en guise de préambule. Dans cet article, nous établirons le lien entre la souveraineté d’un état et son environnement numérique. Nous proposerons une définition de la souveraineté numérique, et tenterons d’expliquer ces enjeux et pourquoi elle a pris une place importante dans les débats publics ces dernières années.

Ayez un cachet de paracétamol sous la main au besoin, et entrons dans le vif du sujet!

Dépendance au numérique

Je pense ne trahir aucun secret si je vous dis qu’aujourd’hui le numérique est présent partout dans notre quotidien. Notre smartphone (ou ordiphone pour les opposants aux anglicismes) est devenu le prolongement de notre main. Une partie de nos achats, de nos prises de rdv, de nos divertissements, et même de nos interactions sociales passent par l’outil numérique. Les entreprises l’ont également adoptés, que ce soit pour la relation avec leurs clients, leur gestion, leur processus internes, leur communication, …

L’état a lui aussi recours à des services numériques. Certains outils, processus dematérialisés ou encore bases de données lui sont devenus critique pour assurer la maitrise de son territoire au quotidien. Citons comme exemples les fichiers de police judiciaire (e.g. fichier des personnes recherchées, traitement des antécédents judiciaire, …), le fichier des titres électroniques sécurisés ou encore le système d’alerte et d’information des populations (SAIP).

Par ailleurs, mêmes si elles n’appartiennent pas à l’état, certaines infrastructures privées sont vitales pour le pays. Elles sont aujourd’hui pilotées par des systèmes numériques, qui deviennent de facto tout aussi critiques. Imaginez les conséquences d’une panne informatique qui couperait l’approvisionnement en electricité, ou rendrait injoignable les numéros d’urgences sur l’ensemble du territoire.

On peut donc légitimement s’interroger: si un état était en capacité d’interférer dans les services numériques vitaux d’un autre état, ne serait-il pas en capacité s’immiscer dans la manière dont celui-ci gère son territoire ? Possiblement. De même, on peut remplacer “état” par “entreprise”. En effet, une entreprise dont les données/processus stratégiques deviendraient accessible à une entreprise concurrente (ou un état étranger où sont établies des entreprises concurrentes) pourrait avoir des conséquences importantes pour celle-ci. Par exemple, la perte d’un avantage concurentiel lors d’un appel d’offre.

A présent, vous commencez à sentir le lien entre la souveraineté et les outils numériques. Essayons maintenant de préciser ce que l’on entends par souveraineté numérique.

Tentative de définition

Dans souveraineté numérique il y a souveraineté. Le dictionnaire de l’académie française nous donne les éléments suivants:

spécialement – Ce qui définit l’exclusivité de la puissance détenue par un État sur l’étendue de son territoire, et l’indépendance dont jouit cet État sur le plan international. […]

Deux termes me semble essentiel. Premièrement la notion d’exclusivité qui implique que l’état est le seul à disposer d’un pouvoir d’action sur son territoire. Ensuite, l’indépendance, qui renvoie selon moi au fait que les actions prises par l’état sur son sol et ses prises de position se font en autonomie, sans influence ni ingérance d’autres états. En d’autres termes, le fait d’être le seul à pouvoir prendre la décision ne suffit pas dès lors que la décision peut être imposée par quelqu’un qui pointerait un revolver sur votre tempe.

Tentons maintenant d’appliquer ces deux notions au domaine numérique. La souveraineté numérique peut se définir comme la capacité d’un état à excercer un contrôle total, exclusif et indépendant sur les infrastructures, les services et les données numériques qu’il considère comme vitale à l’exercice de sa souveraineté, ou à sa survie.

A nouveau, il est possible substituer le mot état par entreprise. Dans ce contexte, il s’agira des infrastructures, services et données numériques considérées comme stratégique pour l’entreprise.

Bien que la révolution numérique commence à avoir quelques cheveux blancs, la question de la souveraineté numérique, quant à elle, n’a jamais occupé une place aussi prépondérante que ces dernières années. Tentons de comprendre pourquoi

L’ère du cloud et les lois à porté extra-territoriale

Vers la fin des années 2000, le cloud computing prends un essor significatif. Une grande partie des parts de marché du cloud computing se concentre rapidement en un nombre restreint d’acteurs. Selon Une étude du Synergy research group, durant le T2 2024, trois acteurs détenaient 67% du marché mondial: AWS (32%), Microsoft (23%) et Google (12%). Une autre étude du même cabinet montre que dans le même temps, les fournisseurs cloud européens perdent des parts de marché au profit de ces trois grands acteurs.

Ces trois géants du cloud sont tous américains. Ils sont donc soumis à des lois qui autorisent le gouvernement américain à accéder aux données hébergées, sans le consentement du client, tout en inderdisant le fournisseur cloud de l’en informer. De plus, les données peuvent se trouver n’importe ou dans le monde dès lors que le fournisseur cloud est une société de droit américain. On parle de lois à porté extra-territoriale. L’une d’entre-elles avait fait grand bruit lors de son adoption en 2018: le Cloud act, qui visent les données personnelles relatives aux citoyens américain. Il existe cependant une autre loi, la plupart du temps oubliée, le Fisa Amendments Act qui cible spécifiquement la collecte des données d’étrangers à l’étranger. Ces lois sont irréconciliables avec les lois européennes de par leurs fondements opposés. Alors que les lois américaines autorisent une collecte massive des données par les autorités, que ce soit sur leur territoire ou à l’étranger, les lois européennes protègent les données par leur localisation géographique, et imposent un cadre strict sur leur accès par les autorités.

On comprends donc qu’un composant vital pour un état/entreprise qui serait hébergé sur l’une de ces plateformes ne pourrait répondre aux notions de contrôle totale, exclusif et indépendant de la définition formulée à la section précédente.

Une situation géopolitique tendue

Certains diront “Oui mais faut pas être parano” ou encore “je ne les voie pas faire ça” (phrases réellements entendues). Je les invite simplement à prendre connaissance des révélations de Edward Snowden en 2013. Celles-ci ont montré que non seulement ce type de lois était utilisée , mais aussi que les états pouvaient aller encore plus loin que le cadre législatif qu’ils avaient établi.

Ces dernières années, le climat géopolitique n’a cessé de se tendre. Les conflits se sont multipliés, et les outils numériques ont servi à plusieurs reprises de moyen de pression, autrement qu’à travers des cyberattaques. En exemple récent (mai 2025) le gouvernement américain a contraint Microsoft à suspendre ses services mails auprès de membres du bureau du procureur de la cours pénale internationale en guise de sanction suite au lancement d’enquêtes sur des haut dirigeants Israélien. Cette exemple est d’autant plus intéréssant que quelques semaines avant, le président de Microsoft avait affirmé lors d’une visite à Bruxelles que sont entreprise défendait les intérêts et les données européennes, et notamment vis à vis du gouvernement. Echec que les services de communication tenteront de rattraper maladroitement en indiquant qu’il n’y a pas eu de coupure de la part de Microsoft mais qu’ils ont discuté avec la CPI pour “trouver une solution”. En gros “on a pas coupé on leur a juste demandé de partir”.

Maintenant que nous voyons qu’un cloud permettant de répondre aux besoins de souveraineté se justifie, posons-nous une question: est-ce réalisable ?

Un cloud souverain ça existe vraiment ?

mmmhhh… question épineuse…

Premièrement, il faut savoir que le terme “cloud souverain” n’est pas un terme encadré par un quelconque standard ou norme reconnue (ISO, RFQ, etc). En d’autres termes, n’importe qui peut proclamer son offre cloud comme étant un “cloud souverain”. Par exemple une société de droit américain pourrait installer une infrastructure dédiée en France, et se présenter comme étant une offre de cloud souverain à l’échelle nationale ou européenne. Pour autant, les lois évoquées à la section précédente restent applicable, le rendant très peu compatible avec la notion de souveraineté numérique.

Ensuite, pour construire un cloud, il faut des ressources matériels (Carte mère, processeur, …), logiciels, ou encore humaines (équipe d’administration, de support, …). Pour qu’il puisse répondre aux critères de souveraineté, il faut que l’ensemble de ces ressources y soit conforme. C’est là que ça coince. A titre d’exemple, nous de diposons pas de fondeurs de processeur européen (on ne s’attardera pas ici sur l’European Processor Initiative encore dans une phase précose et qui repose pour l’instant sur l’architecture ARM et une fabrication par TSMC à Taiwan). Nous sommmes donc dépendant de technologies étrangères que leurs gouvernements pourraient exploiter pour influencer nos décisions (e.g restreindre l’accès aux processeur suite à l’adoption d’une loi qui ne leurs convient pas). C’est triste à dire mais un cloud 100% souverain n’est pas en phase avec la réalité technologique actuelle.

Alors que faire ? Dans l’attente des résultats d’initiatives au long cours (comme l’European Processor Initiative cité plus haut), il convient de maintenir les risques à un niveau le plus bas possible. Un paliatif qui ne pourra durer et qui passe essentiellement par des normes et des contraintes légales. Par exemple, l’état français définit la notion de Système d’information d’intérêt Vitale (SIIV) à laquelle il associe un ensemble de contraintes techniques et organisationnelles. Celles-ci visent à diminuer le risque d’indisponiblité, de violation en intégrité et confidentialité, ainsi que de limiter les ingérances possibles pour un état étranger.

Conclusion

LA souveraineté numérique peut se définir comme la capacité pour un état ou une entreprise d’avoir le controle totale sur infrastructures, services et données numérique qu’il considère comme stratégique. Cela inclut non seulement une composante technologique, mais aussi législative et géopolitique. L’avènement du cloud, la concentration de son marché en un nombre réduit d’acteurs soumis à des lois à porté extra-territoriale, ainsi que l’accroissement de l’instabilité géopolitique ont rendus le sujet de la souveraineté numérique encore plus critique et urgent. Un cloud 100% souverain n’est pas compatible avec la réalité technologique actuelle. Si des initatives se lancent pour par exemple réduire nos dépendances technologiques sur le long terme, seules les approches législatives et normatives permettent aujourd’hui de contrôler et limiter les risques sur les SI les plus critiques, sans jamais les supprimer complètement.

© 2025 Cloaked In Cloud - Tous droits réservés
Généré avec Hugo
Thème Stack conçu par Jimmy