200 millions pour s'affranchir : quand l'État français choisit enfin de payer le prix de sa liberté numérique

# 200 millions pour s'affranchir : quand l'État français choisit enfin de payer le prix de sa liberté numérique

Il y a quelque chose de presque symbolique dans ce chiffre. 200 millions d'euros. C'est à la fois beaucoup — pour un État qui a longtemps hésité à financer sérieusement ses alternatives numériques — et très peu, quand on mesure l'ampleur de la dépendance accumulée depuis quinze ans. Mais ce n'est pas le montant qui compte vraiment. C'est ce qu'il signale.

En 2026, l'État français accélère son programme d'autonomie numérique. Des contrats publics réorientés, des briques logicielles souveraines financées, une doctrine achat qui évolue enfin dans le bon sens. Je ne vais pas faire semblant de trouver ça anodin. Parce que ça ne l'est pas.

Ce que ce choix dit de la prise de conscience

Pendant des années, la commande publique française — comme celle de la plupart des États européens — a fonctionné selon une logique de confort. On choisissait l'acteur dominant américain parce que c'était plus simple, parce que tout le monde le faisait, parce que les équipes informatiques connaissaient ces outils. On externalisait des pans entiers du système d'information vers des infrastructures dont on ne maîtrisait ni la localisation réelle des données, ni les conditions d'accès par des tiers.

Le Cloud Act américain, entré en vigueur en 2018, n'a pas changé cette logique du jour au lendemain. Il a fallu des années de contentieux, de prises de conscience progressives, d'affaires embarrassantes pour que la question de l'extraterritorialité du droit américain commence à être traitée comme ce qu'elle est : un risque structurel, pas une hypothèse théorique de juriste.

Ce risque, nos lecteurs — DSI, RSSI, CTO de PME et d'ETI européennes — le connaissent mieux que quiconque. Ils savent ce que signifie concrètement héberger ses données de santé, ses données RH, ses données contractuelles sur une infrastructure soumise à une juridiction étrangère. Ils savent que les garanties contractuelles d'un fournisseur américain, aussi solides qu'elles paraissent sur le papier, ne valent pas grand-chose face à une injonction d'un tribunal fédéral de Washington.

NIS2, DORA, RGPD : le cadre réglementaire pousse dans le même sens

Il faut dire une chose clairement : la décision française ne tombe pas dans un vide réglementaire. Elle s'inscrit dans un mouvement plus large, structurant, que l'Union européenne a mis plusieurs années à construire.

NIS2 impose désormais aux entités essentielles et importantes de démontrer leur résilience, de cartographier leurs dépendances critiques, de documenter leurs chaînes de sous-traitance numérique. DORA, qui s'applique au secteur financier, va encore plus loin en exigeant une traçabilité fine des risques liés aux tiers technologiques. Et le RGPD, dont on oublie parfois qu'il n'est pas qu'un texte sur les cookies, impose une localisation et une souveraineté réelles sur les données personnelles — pas une promesse marketing.

Dans ce contexte, un État qui oriente 200 millions d'euros vers des solutions numériques domestiques ou européennes ne fait pas que de la politique industrielle. Il crée un signal de marché. Il dit aux acheteurs publics et privés que le choix souverain est un choix crédible, bankable, pérenne. Et ça, pour les DSI qui se battent en interne pour justifier la migration vers une solution moins connue mais conforme, c'est une ressource argumentaire précieuse.

Le vrai test : la cohérence dans la durée

Je vais être honnête, parce que c'est le rôle d'une tribune de ne pas se contenter d'applaudir. Ce type d'annonce a déjà une histoire en France. On se souvient des plans de soutien aux logiciels libres qui s'essoufflaient après l'effet d'annonce, des "clouds souverains" labellisés à la hâte et dont certains s'avéraient n'être que des filiales indirectes d'acteurs américains rebaptisées pour l'occasion.

La question n'est donc pas : est-ce que 200 millions, c'est une bonne décision ? La question est : est-ce que cette décision s'accompagne d'une doctrine d'achat lisible, d'une exigence de conformité réelle, et d'un suivi qui ne s'évapore pas au prochain remaniement ?

Pour que cet investissement change quelque chose en profondeur, il faut que les appels d'offres qui en découlent intègrent des critères de souveraineté mesurables — et pas seulement déclaratifs. Il faut que le label SecNumCloud, ou son équivalent européen au titre de l'EUCS, devienne une condition et non un bonus. Il faut que les acteurs retenus soient auditables sur leur chaîne de dépendance technique : un éditeur européen qui tourne entièrement sur infrastructure américaine ne résout pas le problème, il le déplace.

Ce que les entreprises privées devraient en retenir

Pour les DSI et RSSI d'ETI qui lisent ces lignes, ce mouvement de l'État a une implication directe : il crée un écosystème de fournisseurs européens mieux financés, mieux structurés, avec des références publiques crédibles. C'est le moment d'aller regarder ces acteurs de plus près, pas dans un an.

Je pense aussi que la pression réglementaire va continuer à monter. Les textes européens ne vont pas se desserrer. La jurisprudence sur les transferts de données hors UE ne va pas s'assouplir. Et les grandes entreprises américaines, quoi qu'elles promettent dans leurs slides commerciales, restent soumises à leur droit national. Ce n'est pas une question d'idéologie anti-américaine. C'est une question de gestion du risque juridique et opérationnel.

Dans ce contexte, attendre que votre comité de direction vous demande un "plan de sortie" sous pression réglementaire, c'est déjà être en retard. L'investissement de l'État français crée une fenêtre : des solutions matures, financées, avec un cadre de conformité documenté. La question n'est plus de savoir si la migration vers des alternatives souveraines est possible. Elle est de savoir quand vous commencez.

Un signal européen, pas seulement français

Enfin, je veux insister sur un point que les commentateurs franco-français tendent à négliger. Ce mouvement ne doit pas rester franco-français. Sa force, sa crédibilité, son impact sur les fournisseurs technologiques américains — qui observent très attentivement ces évolutions — dépendent de sa capacité à s'inscrire dans une dynamique européenne.

Un État qui investit 200 millions seul, c'est un signal. Plusieurs États membres qui coordonnent leurs achats, leurs standards, leurs exigences de conformité, c'est un levier de négociation. C'est aussi la condition pour que l'écosystème technologique européen atteigne la masse critique nécessaire pour tenir dans la durée face à des acteurs dont les moyens sont sans commune mesure.

Alors oui, 200 millions pour l'autonomie numérique française, c'est une bonne nouvelle. Mais la vraie bonne nouvelle, ce serait que ce soit le début d'une convergence européenne. Pas une exception nationale de plus.