Souveraineté numérique : pas de pilote à la commande publique !
Submitted by egonnu on 1 septembre, 2025 - 11:00
in
Le 8 juillet 2025, une commission d'enquête sénatoriale a remis son rapport « sur les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d'entraînement sur l'économie française ».
Elle alerte sur le défaut de pilotage politique de la commande publique et appelle « à mieux exploiter le potentiel de la commande publique au service de la souveraineté économique et numérique européenne ». Un document assez accablant, qui conforte l'April dans sa conviction de l'urgente nécessité d'une politique publique globale et ambitieuse, coordonnée à un niveau interministériel, de priorité au logiciel libre.
Le rapport de 489 pages, et les 67 recommandations de la commission d'enquête présidée par M. Simon Uzenat, est le produit de quatre mois de travaux menés entre mars et juillet 2025. L'absence d'un véritable pilotage de la commande publique, en tant qu'objet politique à part entière, est rapidement devenue le fil rouge des plus de 50 auditions, notamment conduites par le rapporteur M. Dany Wattebeld, avec la contribution régulière de Mme Catherine Morin-Desailly. L'enjeu de la souveraineté numérique et de l'adhérence aux solutions Microsoft a été l'une des principales préoccupations de ces travaux.
La commande publique, un enjeu de « souveraineté numérique »
Le rapport fait le choix de ne pas poser de définition précise de cette notion. Comme souvent, celle-ci semble un peu floue entre les questions de territorialité, d'ordre juridique, de nationalité des acteurs en cause, de maîtrise technique ou d'adhérence technologique.
Posons ici que, pour l'April, la « souveraineté numérique » s'entend comme la détermination des conditions qui permettent l'expression et la maîtrise de ses activités ainsi que de l'exercice de ses libertés fondamentales sur les réseaux informatiques. Il s'agit ainsi d'un impératif de mission de service public pour l'État et les collectivités, mission qui passe nécessairement par un usage prioritaire des logiciels libres.
À ce sujet, un des principaux points discutés dans le rapport concerne la question de l'application dite extraterritoriale du droit américain, qui permet potentiellement au gouvernement des États-Unis d'accéder à l'ensemble des données stockées par des entreprises américaines, quel que soit le lieu où leurs serveurs se trouvent. C'est évidemment un enjeu de très grande importance, notamment mis en exergue par l'exemple de la plateforme des données de santé, anciennement Health Data Hub, qui stocke encore, pour le moment, des données de santé des Françaises et des Français sur les serveurs de la plateforme Microsoft Azure.
Une des citations les plus reprises dans les travaux de la commission d'enquête est celle de M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France qui, invité à garantir que ces données de santé hébergées par Microsoft ne seront jamais transmises à des autorités étrangères sans l’accord des autorités françaises, a répondu « Non, je ne peux pas le garantir ». Rappelons ici une caractéristique importante des commissions d'enquête : les auditions se font sous serment.
Pour autant, le rapport ne limite pas sa critique de l'usage des logiciels des « géants du numérique » à cette seule question. Il précise ainsi qu'« au-delà même de ces enjeux fondamentaux doit être pris en compte le risque d’accoutumance, voire de dépendance, à des solutions étrangères, qui fragilise gravement la souveraineté numérique européenne. »
Y-a-il un sens à parler de « confiance » pour un service cloud basé sur Microsoft, Google ou Amazon ?
Un des éléments régulièrement évoqué lors des auditions concernait le sujet du référentiel SecNumCloud – établi par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) – et des « clouds de confiance ». Ces offres de services d'informatique à distance doivent, pour être certifiées SecNumCloud, démontrer leur immunité à l'application extraterritoriale de droits étrangers. Parmi celles-ci, Blue et S3ns, en cours de certification et respectivement basées sur les technologies Microsoft et Google, sont régulièrement citées et souvent présentées comme des solutions de compromis.
Une des forces du rapport consiste à remettre en cause le recours à de telles solutions, fussent-elles conformes au droit.
« Le recours à des solutions étrangères opérées par des acteurs immunisés à l’égard du droit américain telles que le "cloud de confiance" Bleu, porté par Orange et Capgemini et en cours de qualification SecNumCloud, est souvent présenté comme une voie de compromis pour les acheteurs publics.
Il ne saurait toutefois constituer une solution viable, dans la mesure où il contribuerait à entretenir l’adhérence française aux solutions étrangères tout en nous exposant au risque d’interruption de l’accès à ces technologies par leurs fournisseurs américains. »
Pour cela, la commission s'appuie notamment sur la position exprimée par Guillaume Poupard, directeur général adjoint de Docaposte et ancien directeur général de l’ANSSI, résumée dans un encart « Bleu : un "cloud de confiance" ? » (page 248).
Une dépendance qui s'aggrave par une absence de pilotage politique
Comme sur le reste des sujets abordés par la commission d'enquête, l'absence de pilotage politique en matière de « souveraineté numérique » est au centre des critiques formulées dans le rapport, qui pointe un « décalage persistant entre les discours publics et les actes concrets ». Ainsi, « la commission d’enquête a relevé, dans l’ensemble, une grande ambivalence de l’État s’agissant des enjeux de souveraineté numérique et de protection de données sensibles dans le cadre de la commande publique. Malgré une doctrine de l’État s’étant étoffée ces dernières années, s’agissant notamment de l’hébergement souverain des données, de nombreux ministères et opérateurs persistent à s’en éloigner de peur de modifier des usages anciens ou au prétexte de l’absence de solutions équivalentes à celles proposées par des acteurs étrangers historiques. »
Le cas de la plateforme des données de santé est, à ce sujet, pris comme un exemple emblématique des « contradictions de l'État ».
La commission d’enquête a relevé une grande inertie de l’État s’agissant des enjeux de souveraineté numérique et de protection de données sensibles dans le cadre de la commande publique, qui s’illustre tristement par le cas du Health Data Hub, désormais intitulé plateforme des données de santé (PDS).
Au gré des auditions, le rapporteur Danny Watterbeld a exprimé à plusieurs reprises ce constat d'absence de stratégie politique par la formule rhétorique : « Y a-t-il un pilote dans l'avion ? »1 Face à la directrice générale de l'École polytechnique qui a récemment fait le choix de migrer vers Office 3652, le président de la commission résume ainsi la problématique : « Donnons-nous les moyens de travailler à une alternative, parce qu'avec les choix que vous opérez nous entretenons cette dépendance », ce qu'il qualifie comme un dysfonctionnement des services de l'État3. Le rapport qualifiera même cette dépendance de « persistante et dangereuse ».
C'est d'ailleurs une autre force du rapport de bien exprimer que la solution pour sortir de cette dépendance doit être politique. Sans cela, « par le biais d’un mécanisme auto-entretenu, l’adhérence française et européenne envers les solutions étrangères s’aggrave-t-elle progressivement, ce qui réduit continuellement notre capacité à donner corps au sursaut que la situation actuelle impose et à bâtir des alternatives crédibles. » Partant de ce constat, le rapport préconise, à raison, de « réaffirm[er] le rôle de pilote de la Direction interministérielle du numérique, sous l’autorité du Premier ministre ».
Recommandation n°29 : Rationaliser le pilotage de la politique numérique de l’État en réaffirmant le rôle de pilote de la direction interministérielle du numérique, sous l’autorité du Premier ministre, et en rappelant aux administrations de l’État le caractère obligatoire de la doctrine « cloud au centre ».
Le logiciel libre : pilier de la « souveraineté numérique »
Il n'y a pas de prise de position forte vis-à-vis du logiciel libre, notamment par voie de recommandation, pour autant le rapport n'ignore pas le sujet.
Il en est d'ailleurs question comme solution à la dépendance de Microsoft : « la gendarmerie nationale a, de longue date, décidé de migrer sur des solutions en open source, contrairement à la police nationale, qui doit supporter les coûts conséquents et cachés – plusieurs millions d’euros – induits par la migration vers Windows 11. » Le rapport précise plus loin que « de manière générale, cette dépendance à Microsoft a un coût, qui se fait par exemple sentir à chaque mise à jour de son système d’exploitation. Ainsi, selon des informations parues dans la presse, le passage de Windows 10, qui ne sera plus maintenu à compter du 14 octobre 2025, à Windows 11 devrait contraindre la police nationale à remplacer un quart de ses ordinateurs, ce qui devrait entraîner une dépense supplémentaire de 15 millions d’euros. » 4
Dans le même esprit, le rapport cite en exemple le fait que « certains États européens semblent toutefois commencer à prendre conscience des risques […]. Le gouvernement danois a, par exemple, annoncé récemment sa volonté de remplacer progressivement les offres Windows et Office 365 de Microsoft par Linux et LibreOffice. »
Il est également intéressant de noter que le rapport cite l'article 16 de la loi pour une République numérique – qui dispose notamment que les pouvoirs publics doivent « encourager à l’utilisation des logiciels libres et des formats ouverts lors du développement, de l’achat ou de l’utilisation de tout ou partie de ces systèmes d’information » – comme principe constitutif d'une plus grande souveraineté numérique. Si l'on peut regretter le manque de portée normative de cet article 16 par rapport à une priorité effective, cette mention contribue à ancrer les logiciels libres comme un élément de réponse.
En parallèle, lorsque le rapport prend en exemple le récent accord Open bar de l'Éducation nationale avec Microsoft5, il prend soin « de rappeler que le code [de l'éducation] dispose que, dans le cadre du service public du numérique éducatif, "la détermination du choix des ressources utilisées tient compte de l’offre de logiciels libres et de documents au format ouvert, si elle existe" et que "les logiciels libres sont utilisés en priorité" par le service public de l’enseignement supérieur ».
En revanche on pourrait regretter, puisqu'il est question de commande publique, que le rapport ne rappelle pas la jurisprudence du Conseil d'État qui, en 2011, a décidé qu'un appel d'offres pouvait porter sur un logiciel libre spécifique sans contrevenir au principe d'égalité de traitement, car les libertés du logiciel ne limitent pas la concurrence par la suite. 6
L'Ugap, une machine à entretenir les dépendances ?
L'Ugap, ou Union des groupements d'achats publics, est une centrale d'achat publique placée sous la double tutelle du ministre chargé du Budget et du ministre chargé de l'Éducation nationale. En somme, son rôle est de formaliser et de conclure des appels d'offres sur un ensemble de besoins, avec des prestataires, afin que les administrations, centrales ou territoriales, puissent directement contracter avec ces derniers, sur le périmètre défini, sans avoir besoin de passer par une procédure de mise en concurrence. Elle « représente à elle seule près de 3 % des marchés publics français, avec des commandes enregistrées d’un montant de 5,9 milliards d’euros en 2024. ». Le « domaine informatique », représente 2,5 milliards d'euros des commandes effectuées auprès de cette centrale d'achat. Son impact en termes de « souveraineté numérique » est donc déterminant.
Comme le constate le rapport, des centrales d'achat, comme l'Ugap, « se born[ent] à un rôle d’intermédiation entre l’offre et la demande de solutions étrangères ». C'est bien là un des nœuds du problème. En facilitant l'achat de solutions comme celles de Microsoft, sans s’embarrasser de détermination des besoins ou d'appels à concurrence, les grandes centrales d'achat agissent comme une puissante machine à entretenir les dépendances technologiques. On se souviendra qu'en 2021, l'Ugap est devenue la nouvelle tenancière de l'Open bar Microsoft du ministère des Armées.
D'ailleurs, sur le sujet de la dépendance des administrations aux solutions étrangères, la commission d'enquête ne s'y trompe pas. Elle considère que « ce phénomène est malheureusement entretenu par les grandes centrales d'achat, et en premier lieu par l'Ugap ».
En parallèle, l’Ugap a passé des marchés spécifiquement dédiés à deux grands éditeurs de logiciels, Microsoft et Oracle, qui ont représenté respectivement environ 230 millions et 100 millions d’euros de ventes en 2024. Au premier trimestre de 2025, sept des dix prestations de services les plus vendues par l’Ugap concernaient des produits Microsoft.
Un plus grand encadrement politique de l'Ugap, comme le recommande le rapport, inscrit dans une politique publique effective de « souveraineté numérique », pourrait faire de cette centrale un levier efficace de soutien au tissu économique du logiciel libre par exemple.
Conclusion : (comme toujours) il faut une priorité au logiciel libre
Le rapport de la commission d'enquête — et l'ensemble des auditions conduites — offre un éclairage nécessaire sur l'état de la commande publique et sur la puissance du levier politique qu'elle peut représenter, notamment sur les enjeux informatiques. Ce travail conforte l'April dans son appel à opérer une évaluation des dépenses logicielles de l'État.
Plus généralement, la conviction de l'April est renforcée. Ce n'est qu'en mettant en œuvre une politique publique globale et ambitieuse, passant par une priorité au logiciel libre et un soutien par l'investissement aux communautés et tissus économiques qui les font vivre, notamment via une politique de commande publique coordonnée, que l'on pourra répondre aux enjeux de « souveraineté numérique ».
De toute évidence, on est encore loin du compte. Espérons que ce rapport contribuera à mettre fin à l'inertie actuelle.
Sélection de recommandations du rapport en lien avec la « souveraineté numérique » :
- Recommandation n° 4 : Au vu des enjeux politiques et budgétaires et de l’inefficacité de sa gouvernance, confier au Premier ministre la responsabilité du pilotage, de la cohérence et de l’efficience de la politique nationale de commande publique.
- Recommandation n°16 : Transférer dans les meilleurs délais l’hébergement de la plateforme des données de santé, dite Health Data Hub, sur une solution souveraine, immune aux législations extraterritoriales, conformément à l’article 31 de la loi Sren.
- Recommandation n°22 : Publier au plus vite le décret d’application de l’article 31 de la loi Sren qui respecte pleinement la volonté du législateur et en assurer la mise en œuvre effective.
- Recommandation n°23 : Élargir le périmètre des données considérées comme sensibles à l’ensemble des données produites ou détenues par des personnes publiques.
- Recommandation n°24 : Rendre obligatoire l’insertion d’une clause de non-soumission aux lois extraterritoriales étrangères dans tous les marchés publics comportant des prestations d’hébergement et de traitement de données publiques en cloud.
- Recommandation n°25 : Faire respecter le recours obligatoire à des offres disposant de la qualification SecNumCloud pour l’hébergement des données publiques d’une sensibilité particulière.
- Recommandation n°26 Parmi les solutions qualifiées SecNumCloud, privilégier le recours à celles qui reposent sur des technologies intégralement souveraines
- Recommandation n°29 : Rationaliser le pilotage de la politique numérique de l’État en réaffirmant le rôle de pilote de la direction interministérielle du numérique, sous l’autorité du Premier ministre, et en rappelant aux administrations de l’État le caractère obligatoire de la doctrine « cloud au centre ».
- Recommandation n°30 : Remédier au défaut de pilotage politique de l’Ugap pour en faire un outil de souveraineté industrielle et numérique en confiant sa tutelle au seul ministère chargé de la souveraineté industrielle et numérique, en limitant à deux mandats successifs l’exercice des fonctions de membre du conseil d’administration et en y intégrant deux parlementaires.
- Recommandation n°31 : Assigner aux centrales d’achat nationales, et en particulier à l’Ugap, un objectif d’appui à la structuration des filières françaises et européennes, notamment dans le secteur du numérique, avec la diffusion de solutions souveraines en matière de logiciels et d’hébergement en nuage.
- Recommandation n°59 Créer un parcours de formation certifiant sur l'achat et la souveraineté numériques
- 1. . Par exemple, lors de l'audition de Clara Chappaz, ministre déléguée chargée de l'Intelligence artificielle et du Numérique, le rapporteur dira : « Notre sentiment, c'est qu'au début de nos travaux, nous nous sommes bien fait "balader", chaque fois que nous abordions la question de la souveraineté numérique : chacun, de la ministre aux services, se renvoyait la responsabilité - et démontrait qu'en fait, il n'y avait pas de pilote dans l'avion », ainsi que cela est noté au compte-rendu.
- 2. Lire le billet de l'April du 25 mars 2025: Nouvel Open bar Microsoft : le ministère de l'Éducation nationale va-t-il enfin commencer sa cure de désintox ?
- 3. Intervention lors de l'audition de la directrice générale de Polytechnique, Laura Chaubard, le 13 mai 2025, à partir de la minute 00:34:36.
- 4. La députée Cyrielle Chatelain a déposé, le 15 juillet 2025, une question écrite « sur les impacts de la migration des serveurs publics vers Windows 11
- 5. Lire le billet de l'April du 25 mars 2025: Nouvel Open bar Microsoft : le ministère de l'Éducation nationale va-t-il enfin commencer sa cure de désintox ?
- 6. Lire : Le Conseil d'État rappelle le droit des collectivités locales de choisir du logiciel libre
Printer-friendly version
Inscrivez-vous aujourd'hui à l'infolettre pour découvrir les enjeux du logiciel libre, des outils et des moyens d'actions. Prenez le contrôle de vos libertés informatiques. Suivez nos actions en cours et à venir.
