La souveraineté numérique en première ligne

La souveraineté numérique est au cœur des débats en France et en Europe. Dernièrement, la Cour des comptes a contribué à cette réflexion en publiant un rapport intitulé « Les enjeux de souveraineté des systèmes d’informations civils de l’Etat ». Les conclusions sont claires : la France, et plus largement l’Europe, ont perdu la bataille sur les matériels et logiciels. Le rapport soulève également des inquiétudes sur la transparence des lois extraterritoriales comme le Cloud Act et la section 702 du FISA.

Les données sensibles, clé de la souveraineté numérique

La Cour des comptes met en avant un axe crucial pour garantir une véritable souveraineté numérique : la maîtrise des données sensibles. Cela revêt une importance particulière avec le développement des offres cloud nationales. Bien que la doctrine cloud adoptée en juillet 2021 ait été saluée, le rapport pointe du doigt une réduction des exigences de protection des données.

Des clouds ministériels peu exploités

Concernant les services cloud, la Cour déplore l’absence de convergence entre les deux clouds ministériels existants, à savoir Nubo, géré par le ministère des Finances, et Pi, celui du ministère de l’Intérieur. Ces plateformes restent peu utilisées, tant par leurs ministères d’origine que par d’autres administrations. La gamme des services offerts est jugée limitée, tant en termes de disponibilité que d’expérience utilisateur. En outre, les tarifs sont considérés comme inadaptés.

Discordances à propos des données sensibles

La Cour des comptes met également en lumière des incohérences concernant la définition des données jugées comme étant sensibles. Par exemple, le SIRH Virtuo, administré par le ministère de l’Éducation nationale en mode cloud, a été déclaré non sensible, alors qu’il est opéré par une entreprise appartenant à un groupe américain. De plus, le portail public pour la facturation électronique est hébergé par une solution souveraine, en contraste avec la plateforme d’achat public, qui ne bénéficie pas encore de ce statut.

Le Health Data Hub : un cas emblématique

Un autre point préoccupant est le cas du Health Data Hub, qui gère des données médicales et qui a choisi Azure de Microsoft pour son hébergement. Ce choix soulève des questions sur la souveraineté des données de santé.

Vers une meilleure stratégie de souveraineté

Face à ces observations, la Cour des comptes propose cinq recommandations clés à l’État :

1. La Dinum (direction interministérielle du numérique) doit établir un calendrier de déploiement d’outils de bureautique et de communication garantissant la souveraineté des données d’ici 2026.

2. La Dinum doit également s’atteler à la convergence des clouds ministériels.

3. Assurer la souveraineté des hébergeurs de données de santé, en rapprochant leur certification à la qualification SecNumCloud de l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

4. L’ANSSI, en collaboration avec la Dinum, devra réaliser une cartographie des données sensibles à héberger de manière souveraine dans l’année.

Ces démarches visent à mettre en place une stratégie plus claire et efficiente pour garantir l’autonomie numérique de l’État.

Conclusion : vers une autonomisation numérique

Les recommandations de la Cour des comptes sont une réaction nécessaire face aux enjeux de souveraineté numérique. La France et l’Europe doivent urgemment repenser leur approche pour protéger efficacement leurs données sensibles. L’autonomie numérique de l’État ne peut être assurée qu’à travers une stratégie claire et des outils performants et sécurisés. Le chemin est encore long, mais il est essentiel pour l’avenir numérique du pays.