Décideurs it

La Cour des Comptes s’inquiète de la souveraineté des SI d’Etat

Le rapport « Les enjeux de souveraineté des systèmes d’information civils de l’État » vient d’être publié par la Cour des Comptes.

La Cour des Comptes a publié un rapport critique sur la stratégie IT de l’Etat. - © B.L.
La Cour des Comptes a publié un rapport critique sur la stratégie IT de l’Etat. - © B.L.

La Cour des Comptes publie régulièrement des rapports étudiant tel ou tel aspect de la gestion publique. Les entités concernées sont systématiquement auditées avant que le rapport ne soit voté et publié. Le 11 septembre dernier, la Cour des Comptes a ainsi délibéré sur un rapport concernant « Les enjeux de souveraineté des systèmes d’information civils de l’État », rapport qui vient d’être publié. Ce rapport n’est que le dernier en date d’une longue série autour de l’IT d’Etat. Par exemples, le 21 janvier 2025, la Cour des Comptes a publié un rapport critique sur les gains de productivité de l’État issus du numérique et, en juillet 2024, un autre intitulé « Le pilotage de la transformation numérique de l’État par la direction interministérielle du numérique ».

« L’ambition affichée par la France en matière de souveraineté numérique peine à être satisfaite du fait notamment de la position prééminente des entreprises américaines et de la législation qui leur est applicable, mais aussi d’un environnement européen qui encadre la latitude dont la France dispose en la matière » constate la Cour. Les réglementations de type FISA ou Cloud Act mettent en péril la souveraineté nationale et la confidentialité des données des entreprises. La souveraineté IT se traduit par « la maîtrise des matériels, celle des logiciels, et désormais le sujet majeur de la maîtrise des données sensibles. » La plus grande difficulté réside dans le matériel. Face aux préoccupations concernant les données et la gestion des identités, la France a fait des choix forts, notamment avec la doctrine « Cloud au centre » ou la certification SecNumCloud. La question d’une coordination européenne est soulevée par la Cour, son avis ayant été rendu avant la publication du « Cloud Sovereignty Framework ». Mais ces choix amènent aujourd’hui des coûts et des contraintes supplémentaires. Comme l’indique la Cour, « une tension se fait jour entre les enjeux de souveraineté et de performance des administrations. » Un Cloud SecNumCloud coûte entre 25 et 40 % de plus qu’un cloud ordinaire sans avoir la profondeur de l’offre d’un hyperscaler.

Appel à mieux coordonner les initiatives

En particulier, développer des logiciels ou même les intégrer entraîne des coûts supérieurs à l’usage de solutions sur étagère. Comme le rappelle la Cour, de nombreux développements propres ont d’ailleurs entraîné des dérives budgétaires considérables, objets de rapports antérieurs dédiés. L’approche réalisée, malheureusement en ordre dispersé, en faveur du logiciel libre est une alternative qui démontre que la mainmise américaine n’est cependant pas une fatalité. La Cour regrette ainsi que les initiatives de la DINUM et du Ministère de l’Education Nationale ne soient pas davantage synchronisées.

De même, la Cour regrette que les clouds à vocation interministérielle (Nubo à Bercy, Pi au Ministère de l’Intérieur) ne soient pas davantage utilisés. Elle suggère un rapprochement afin de rendre cette offre plus attractive pour chaque ministère. Les magistrats de la rue Cambon aimeraient rééditer le succès du RIE (Réseau Interministériel de l’État) où l’investissement avait été modéré mais l’effet très puissant. Un dernier point gène la Cour : des prestataires privés (elle cite Doctolib) sont soumis à des réglementations particulières, comme la certification HDS (Hébergeur de Données de Santé), mais cette certification n’intègre aucune disposition en matière de souveraineté.

Un suivisme inadéquat

Les administrations ont tendance à suivre les besoins exprimés par le secteur privé. Or cela n’est pas toujours adapté. Elle note ainsi : « tant que l’Europe ne dispose pas d’opérateurs capables de rivaliser avec les hyperscalers, les administrations publiques devraient viser une performance des systèmes d’information plus strictement adaptée à leurs besoins. Le parfait exercice des missions de service public peut être garanti sans nécessairement aligner les spécifications des systèmes d’information sur le plus haut niveau technologique dès lors qu’un degré trop élevé de performance à court terme peut constituer un double écueil : par la mise en cause de la souveraineté sur les données et par une dépendance de l’administration vis-à-vis de la politique commerciale d’un éditeur dominant. »

Cinq recommandations sont ensuite formulées, les quatre premières concernant la DINUM, la dernière la Délégation au numérique en santé. La première est de définir en 2026 un calendrier de déploiement effectif d’une bureautique collaborative souveraine. Il s’agira ensuite, à l’occasion de la révision de la feuille de route de la DINUM, d’étudier une stratégie de souveraineté numérique et d’en chiffrer le contenu. Une trajectoire de convergence des clouds à vocation interministérielle est à définir. En convergence avec l’ANSSI, la DINUM est invitée à veiller à ce que chaque ministère cartographie ses données et leur degré de sensibilité les amenant à n’utiliser que des hébergements souverains. Enfin, la Cour désire que la certification « Hébergeur de données de santé » soit alignée sur les exigences de la qualification SecNumCloud en matière de protection vis-à-vis du droit extra-européen.

En savoir plus

- Sur le site de la Cour des Comptes : « Les enjeux de souveraineté des systèmes d’information civils de l’État »

- Les Assises des Souverainetés ouvriront le Disruptiv’Summit, les 9 et 10 décembre 2025 à Deauville.