Outils souverains DINUM : ce que les PME peuvent vraiment faire avant 2027

Outils souverains DINUM : ce que les PME peuvent vraiment faire avant 2027

Le catalogue d'outils numériques de la DINUM n'a pas été conçu pour les PME. Il a été pensé pour l'État, ses opérateurs, ses établissements publics. Pourtant, en 2026, de plus en plus de directions informatiques de PME et d'ETI s'y réfèrent — parfois par conviction souverainiste, souvent par pragmatisme face à des audits de conformité qui se durcissent, parfois simplement parce que leurs clients publics le leur demandent indirectement. La question n'est plus « faut-il s'y intéresser ? » mais « qu'est-ce qui est réellement utilisable, et comment on s'y prend concrètement ? »

Ce qu'est vraiment le catalogue DINUM — et ce qu'il n'est pas

Soyons clairs sur un point qui crée beaucoup de confusion : la DINUM ne distribue pas de logiciels. Elle recense, préconise, et dans certains cas opère des services pour l'administration française. Son catalogue Socle Interministériel des Logiciels Libres (SILL) est une liste de référence, pas un App Store avec bouton « installer ».

Ce que le SILL fait concrètement, c'est signaler quels logiciels libres sont utilisés et recommandés au sein des ministères, avec un niveau de maturité documenté. Pour un DSI de PME, c'est une forme de due diligence externalisée : si l'outil passe le filtre des contraintes de sécurité et de conformité de l'administration française, c'est un signal de solidité non négligeable.

Mais attention à l'effet de halo. Un outil référencé au SILL n'est pas automatiquement adapté à votre contexte. L'administration a des ressources humaines internes, des équipes dédiées à l'intégration, des contrats de support spécifiques. Une PME de cinquante personnes n'a pas le même rapport au risque d'adoption.

Pourquoi 2027 est une vraie échéance, pas un argument commercial

L'horizon 2027 n't est pas sorti de nulle part. Plusieurs dynamiques convergent réellement sur cette période.

D'abord, la directive NIS2, transposée en droit français, élargit le périmètre des entités soumises à des obligations de cybersécurité renforcées. Des PME qui n'avaient jamais eu à se préoccuper de conformité réglementaire se retrouvent désormais dans le champ, notamment celles qui sont sous-traitantes d'opérateurs d'importance vitale ou d'entités essentielles. La chaîne de responsabilité remonte.

Ensuite, le cadre européen sur les données — entre le Data Act entré en application et les discussions encore en cours autour de l'IA Act — crée une pression croissante sur la question de la localisation et du contrôle des données. Ce n'est pas une question idéologique : c'est une question contractuelle et juridique de plus en plus concrète, notamment pour les entreprises qui traitent des données de clients publics ou de secteurs régulés.

Enfin, plusieurs appels d'offres publics intègrent désormais des critères liés à la souveraineté des outils utilisés par les prestataires. Ce n'est pas systématique, mais c'est une tendance que plusieurs DSI d'ETI travaillant avec le secteur public ont commencé à observer dans les cahiers des charges.

Ce qui est réellement utilisable pour une PME, sans se raconter des histoires

Parlons des outils concrets. Le SILL recense des dizaines de solutions dans des catégories très larges. Toutes ne sont pas pertinentes pour une PME. Voici comment lire la liste avec un filtre réaliste.

Les briques de messagerie et bureautique sont souvent le premier terrain de réflexion. La suite LibreOffice est mature, stable, et son coût total de déploiement est désormais bien documenté par des organisations qui l'ont fait. Le vrai sujet n'est pas le logiciel lui-même — il fonctionne — mais la gestion du changement. Les formats de fichiers, les macros héritées, les habitudes de vos équipes : voilà où les projets déraillent. Un DSI qui lance une migration LibreOffice sans avoir audité ses dépendances aux macros Excel va droit dans le mur. Ce n'est pas un problème de souveraineté, c'est un problème de gestion de projet.

La messagerie collaborative est un terrain plus délicat. Tchap, la messagerie instantanée développée par l'État français sur la base de Matrix/Element, est accessible aux agents publics. Pour les PME, l'outil sous-jacent — Element, basé sur le protocole Matrix — est disponible et peut être auto-hébergé ou hébergé par des opérateurs européens. C'est une option crédible pour des équipes qui veulent sortir de Slack ou Teams sur un plan de contrôle des données. Mais soyons honnêtes : l'expérience utilisateur reste en retrait sur certains aspects, et l'écosystème d'intégrations est moins riche. Ce n'est pas rédhibitoire, c'est un arbitrage conscient.

La gestion documentaire et les outils collaboratifs constituent peut-être le segment le plus intéressant pour les PME en ce moment. Nextcloud, qui figure dans les recommandations de la DINUM et est utilisé dans plusieurs ministères européens, a atteint un niveau de maturité qui le rend déployable sans douleur excessive dans un contexte PME. Des hébergeurs comme Infomaniak — entreprise suisse — ou des acteurs français proposent des offres managées. Vous bénéficiez du contrôle des données sans avoir à gérer l'infrastructure vous-même.

La vraie question : héberger soi-même ou faire confiance à un tiers ?

C'est le nœud du débat pour beaucoup de DSI de PME. L'auto-hébergement, c'est le discours de la souveraineté absolue. C'est aussi, souvent, une illusion de maîtrise pour une équipe IT de deux personnes qui gère déjà l'infrastructure de production, le helpdesk et les sauvegardes.

La vraie souveraineté opérationnelle pour une PME, c'est rarement l'auto-hébergement. C'est le choix d'un hébergeur dont vous comprenez le modèle juridique, dont les serveurs sont dans une juridiction que vous contrôlez contractuellement, et dont vous pouvez récupérer vos données dans un format ouvert à tout moment. C'est la portabilité et la réversibilité qui comptent, pas le fait d'avoir les serveurs dans votre cave.

OVHcloud est l'acteur le plus visible sur ce segment en France, mais ce n'est pas le seul choix pertinent. Scaleway, filiale d'Iliad, s'est positionnée clairement sur le cloud souverain pour les entreprises. Infomaniak, depuis la Suisse, propose une alternative européenne crédible avec une politique de données documentée. Le critère de sélection devrait être : est-ce que je comprends précisément où sont mes données, qui y a accès, et comment je sors si je change d'avis ?

Comment passer à l'action sans se disperser

La première erreur que font les PME qui s'intéressent à ce sujet, c'est de vouloir tout faire en même temps. Migration bureautique, nouveau cloud, nouvelle messagerie, refonte de la politique de sécurité — tout en six mois. C'est la recette du projet qui s'arrête au bout de trois mois faute de ressources et d'adhésion interne.

L'approche qui fonctionne, d'après ce que remontent plusieurs DSI d'ETI ayant effectivement mené ces chantiers, c'est de commencer par une cartographie honnête de vos dépendances réelles aux outils non-européens. Pas pour les supprimer d'un coup, mais pour identifier où le risque de dépendance est le plus élevé et où la migration est la plus réaliste à court terme.

Deuxième principe : ne migrez pas sur un outil souverain sous-dimensionné pour le faire. Si votre équipe finance vit dans Excel avec des macros complexes depuis dix ans, commencer la migration souveraine par là est une garantie d'échec et de rejet de toute la démarche. Commencez par les usages les plus simples, les moins chargés en dépendances, et construisez la confiance en interne avant de vous attaquer aux cas difficiles.

Troisième principe, souvent négligé : documentez vos choix. Pas pour faire un audit, mais parce que dans deux ans, quand quelqu'un de votre équipe partira ou quand un client vous posera la question dans un appel d'offres, vous aurez besoin d'expliquer pourquoi vous avez fait ces choix. Une décision documentée vaut mieux qu'une migration parfaite non tracée.

Ce que la DINUM peut vous apporter indirectement

Il y a un usage moins évident du catalogue DINUM qui mérite d'être mentionné : la légitimité interne. Quand vous proposez à votre direction générale de migrer vers un outil libre, vous vous heurtez souvent à la question « mais est-ce que c'est sérieux ? ». Pouvoir dire que l'outil est utilisé et recommandé par les ministères français et plusieurs gouvernements européens, c'est un argument de crédibilité que vous n'avez pas à construire vous-même.

C'est trivial, mais dans la vraie vie des projets IT en PME, la politique interne compte autant que la technicité. Utilisez tous les leviers.

La question qui reste ouverte

La souveraineté numérique pour les PME, en 2026, est en train de passer du statut de conviction idéologique à celui de paramètre de gestion du risque. Ce n'est pas la même chose. Une conviction, on peut la partager ou non. Un paramètre de risque, il faut le gérer, qu'on y soit favorable ou pas.

La vraie question que les DSI et CTO de PME devraient se poser n'est pas « est-ce que je crois à la souveraineté numérique ? » mais « est-ce que je sais précisément ce qu'il m'en coûterait si demain l'un de mes fournisseurs logiciels clés changeait ses conditions, ses tarifs, ou disparaissait ? ». Si la réponse est floue, c'est là que le travail commence — avec ou sans le catalogue de la DINUM.