Notre avenir en dépend…

« L’ambition affichée par la France peine à être satisfaite du fait de la position prééminente des entreprises américaines et de la législation qui leur est applicable« . C’est le constat dressé par la Cour des comptes dans un rapport sur « Les enjeux de souveraineté des systèmes d’information civils de l’Etat« , repéré par le média Acteurs publics.

Pour rappel, c’est la Direction interministérielle du numérique (Dinum) qui pilote la transformation numérique de l’Etat. Parmi ses principales missions, se trouvent l’élaboration des stratégies interministérielles en matière de cloud ou de données, la coordination de la mise en œuvre des grands projets transversaux ainsi que la définition des standards techniques et des doctrines.

Aucun pilotage ni chiffrage des investissements !!!

Or, pour la Cour des comptes, la Dinum n’assume pas pleinement son rôle de stratège. Malgré une feuille de route, elle ne dispose d’aucun pilotage transversal et d’aucun chiffrage des investissements. Chaque ministère agit en silo, souvent sous pression des coûts et de la performance, au détriment de la cohérence d’ensemble ???

Le rapport prend l’exemple de la doctrine « Cloud au centre », conçue initialement pour réserver les données sensibles à des infrastructures dites « souveraines », sous-entendues françaises ou européennes. Mais la version 2023 de la circulaire a réduit drastiquement le périmètre de la souveraineté, ne la rendant obligatoire que pour certains types de données (secret protégé par la loi dont la divulgation menacerait l’ordre public ou la sécurité nationale).

Les données sensibles hébergées dans des clouds américains

Le résultat est le suivant : de nombreuses données, comme celles du ministère de l’Education nationale, sont hébergées par des prestataires américains sans que la Dinum ne s’y oppose. Même paradoxe du côté du Health Data Hub, cette immense base de données qui regroupe les informations de santé des Français.

La Cour dénonce un choix certes opérationnel mais qui a freiné le déploiement de la plateforme.

La Cour prend également l’exemple de deux cloud internes de l’Etat : Nubo pour le ministère des finances et Pi pour le ministère de l’Intérieur. Ils ont mobilisé 55 millions d’euros en 9 ans mais restent quasi inutilisés par les administrations. Faute de convergence et d’attractivité, ils ne rivalisent ni en performance ni en services avec les hyperscalers américains, jugent la Cour.

Une gouvernance en silos

Plus généralement, les Sages fustigent une gouvernance éclatée sans véritable pilotage. Les arbitrages entre performance et dépendance sont laissés aux ministères, sans doctrine interministérielle claire. L’Etat reste ainsi incapable de garantir une maîtrise cohérente de ses données les plus sensibles. Hébergées par les fournisseurs de cloud américains, celles-ci restent exposées aux lois extraterritoriales américaines, telles que le CLOUD Act et le FISA.

Face à cette situation, les magistrats formulent des recommandations, parmi lesquelles la mise en place d’ici 2026 d’un calendrier de déploiement d’outils bureautiques et de communication souverains, l’intégration d’une stratégie claire de souveraineté numérique dans la feuille de route de la Dinum, assortie d’un chiffrage, ainsi que la création d’une cartographie de l’ensemble des données sensibles à héberger de manière souveraine.