Souveraineté numérique : ce que la stratégie française implique concrètement pour votre SI

Souveraineté numérique : ce que la stratégie française implique concrètement pour votre SI

On entend parler de souveraineté numérique depuis au moins dix ans. Mais depuis quelques mois, le discours a changé de registre : il ne s'agit plus seulement d'un débat de politique publique réservé aux grands comptes et aux administrations. Les ETI et PME commencent à recevoir des signaux concrets — appels d'offres reformulés, conditions d'assurance cyber plus strictes, pression de leurs donneurs d'ordre — qui indiquent que la question atterrit dans leur quotidien. Ignorer ce mouvement, c'est risquer d'être pris de court au mauvais moment.

Ce qui s'est passé, et pourquoi maintenant

Le gouvernement français a réaffirmé en 2026 sa trajectoire de réduction des dépendances numériques critiques, en s'appuyant sur plusieurs leviers déjà en place : la doctrine « Cloud au centre » de la DINUM pour le secteur public, les qualifications SecNumCloud de l'ANSSI, et le cadre européen qui continue de se structurer autour du Data Act, du Cyber Resilience Act et du RGPD.

Ce n'est pas une rupture : c'est une accélération. Et elle intervient dans un contexte géopolitique qui a profondément changé la perception du risque. Les tensions commerciales transatlantiques, les débats autour du CLOUD Act américain, et plusieurs incidents cyber très médiatisés ont rendu beaucoup plus concret ce qui relevait jusqu'ici de l'abstraction juridique. Quand une entreprise découvre que ses données hébergées chez un opérateur américain peuvent théoriquement être accessibles à des agences fédérales américaines sans qu'elle en soit informée — et sans recours effectif depuis l'Europe —, la question souveraineté devient moins philosophique.

Pour les ETI et PME, le signal le plus tangible reste la pression par le haut. Les grands groupes et les acteurs publics imposent de plus en plus souvent des exigences à leurs sous-traitants : hébergement des données dans des infrastructures qualifiées, traçabilité des accès, garanties contractuelles sur la localisation des données. Ce n'est plus une option dans certains secteurs — défense, santé, infrastructures critiques — et ça se diffuse progressivement vers des activités moins réglementées.

Ce que ça change réellement pour un DSI d'ETI

Soyons directs : pour la grande majorité des PME et ETI, une migration massive vers des solutions souveraines du jour au lendemain n'est ni réaliste ni nécessairement souhaitable. La souveraineté numérique n'est pas un état binaire. C'est un curseur, et la question concrète pour un DSI est : où placer ce curseur en fonction de mon exposition réelle au risque ?

Il y a plusieurs dimensions à distinguer.

La localisation des données, d'abord. Héberger des données en France ou en Europe ne garantit pas la souveraineté si l'opérateur est soumis à un droit extraterritorial. C'est le nœud du problème avec les hyperscalers américains, même quand ils opèrent depuis des datacenters situés en France. La qualification SecNumCloud de l'ANSSI, qui interdit notamment les liens de subordination capitalistique avec des entités soumises à des législations extraterritoriales, est précisément conçue pour adresser ce point. Mais elle concerne aujourd'hui principalement les acteurs qui traitent des données sensibles de l'État. Les ETI ne sont pas directement visées — sauf si elles travaillent pour ces acteurs.

La dépendance contractuelle et technique, ensuite. Un DSI devrait se poser la question autrement que par le prisme souveraineté : si mon fournisseur principal change ses conditions tarifaires de 40 % demain, ou décide de mettre fin à une offre, quelle est ma capacité à réagir ? C'est une question de résilience opérationnelle autant que de souveraineté. L'hyperdépendance à un écosystème unique — qu'il soit américain, chinois ou autre — est un risque de gestion, pas seulement un risque politique.

La conformité réglementaire, enfin. Le Cyber Resilience Act et le Data Act vont imposer des obligations nouvelles, y compris aux éditeurs de logiciels qui adressent le marché européen. Pour les DSI, cela signifie que certains de leurs fournisseurs actuels devront se mettre en conformité — et que ceux qui ne le feront pas disparaîtront ou se mettront hors marché. Anticiper ces évolutions, c'est éviter de devoir gérer une migration forcée dans l'urgence.

La réalité du terrain : entre injonction et pragmatisme

Il faut avoir l'honnêteté de dire ce que la souveraineté numérique ne règle pas.

D'abord, les alternatives européennes ne couvrent pas tous les cas d'usage avec le même niveau de maturité. Sur des segments comme la collaboration en ligne, la bureautique, ou certains outils de CRM et d'ERP, des acteurs européens proposent des solutions solides. Mais sur d'autres — la BI avancée, certaines briques d'IA générative en production, des plateformes de développement très spécialisées —, l'écart fonctionnel avec les leaders américains reste réel. Le nier serait malhonnête.

Ensuite, la souveraineté a un coût de transition. Pas nécessairement un coût supérieur à terme, mais un coût de bascule : migration de données, reformatage des processus, formation des équipes, gestion du changement. Pour une ETI de taille intermédiaire avec un SI hétérogène et une équipe IT réduite, ce n'est pas trivial.

Enfin — et c'est peut-être le point le plus sous-estimé — la souveraineté numérique ne protège pas contre tous les risques cyber. Une infrastructure hébergée chez un opérateur français souverain peut tout à fait être compromise si les pratiques de sécurité internes sont défaillantes. La souveraineté de l'hébergement n'est pas un substitut à une politique de sécurité rigoureuse.

Pistes de réflexion pour passer de l'intention à l'action

Plutôt qu'une liste de solutions, voici quelques questions structurantes qu'un DSI ou CTO d'ETI gagnerait à poser avant de prendre des décisions.

Cartographier avant de migrer. Avez-vous une vision claire de où résident vos données les plus sensibles aujourd'hui ? Et sous quelle juridiction opèrent les fournisseurs qui les hébergent ? Beaucoup d'ETI n'ont pas cette cartographie à jour. C'est le point de départ indispensable, avant toute décision sur les outils.

Identifier les périmètres critiques. Toutes vos données n'ont pas la même valeur ni la même exposition. Les données RH, les informations financières, la propriété intellectuelle, les données clients — ce sont souvent les périmètres où la question de la souveraineté se pose avec le plus d'acuité. Commencer par là, plutôt que de vouloir tout migrer d'un coup, est une approche réaliste.

Intégrer la question dans les renouvellements de contrat. La prochaine fois que vous renouvelez un contrat avec un éditeur ou un hébergeur, posez explicitement les questions : localisation des données, sous-traitance éventuelle, droits d'audit, obligations en cas de réquisition par une autorité étrangère. Les réponses sont souvent révélatrices. Et elles vous permettent de négocier des clauses contractuelles plus protectrices.

Ne pas confondre open source et souveraineté. L'open source est une condition parfois nécessaire mais jamais suffisante. Un logiciel open source hébergé sur des serveurs soumis au CLOUD Act n'est pas plus souverain qu'un SaaS propriétaire dans les mêmes conditions. La distinction pertinente, c'est celle entre la licence du logiciel, l'hébergement, et la juridiction applicable.

S'appuyer sur les qualifications existantes. L'ANSSI publie et met à jour la liste des prestataires qualifiés — hébergeurs, intégrateurs, prestataires de détection d'incidents (PDIS). Pour les ETI qui travaillent avec des donneurs d'ordre publics ou des secteurs réglementés, ces référentiels sont devenus incontournables. Pour les autres, ils constituent au minimum un signal de qualité et de sérieux.

Sur le terrain, des acteurs comme Scaleway — filiale du groupe Iliad, opérateur cloud européen — ou Oodrive sur le segment du partage de fichiers sensibles sont des exemples de fournisseurs qui ont fait de la conformité aux exigences européennes un axe central de leur positionnement. Ils ne répondent pas à tous les cas d'usage, mais ils illustrent que des alternatives crédibles existent sur des segments précis, sans qu'on soit obligé de sacrifier la fonctionnalité sur l'autel de la souveraineté.

Une stratégie, pas une idéologie

La souveraineté numérique reste un sujet où il est facile de tomber dans deux excès symétriques : le discours incantatoire qui en fait une finalité en soi, ou le scepticisme paresseux qui balaie le sujet d'un revers de main en invoquant la supériorité fonctionnelle des Big Tech.

La réalité utile pour un DSI d'ETI est ailleurs : il s'agit de gérer un risque de dépendance, comme on gère n'importe quel autre risque. Avec méthode, par ordre de priorité, en tenant compte des contraintes réelles de son organisation. La stratégie française — et européenne — crée un cadre qui, même imparfait, donne des repères et des leviers. En ignorer les signaux serait une erreur de gestion.

La vraie question n'est pas « faut-il être souverain ? » mais « dans quels domaines est-ce que je ne peux pas me permettre de ne pas l'être ? » C'est une question de gouvernance du SI, pas de politique.

Et c'est peut-être là que le débat mérite d'être porté : non pas dans les grandes déclarations, mais dans les comités de direction, autour des plans de continuité d'activité et des revues de contrats fournisseurs. Là où les décisions se prennent vraiment.