M. Alexandre Loubet alerte Mme la ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargée de l'intelligence artificielle et du numérique, sur les risques liés à la dépendance numérique de la France envers de grands groupes étrangers. Aujourd'hui, 70 % du marché européen de l'hébergement des données (« cloud ») est dominé par Amazon, Google et Microsoft, des entreprises soumises au droit américain - et par extension à son extraterritorialité -, permettant à Washington de pouvoir accéder aux données qu'elles stockent, y compris les plus sensibles. Pourtant, la France a mis en place la certification SecNumCloud délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) pour garantir que les données de l'État et de ses agences soient hébergées par des acteurs réellement indépendants du droit américain. Cependant, l'application de cette doctrine reste incomplète : plusieurs ministères s'appuient encore sur des solutions américaines, à l'image du Health Data Hub. Une menace plus discrète mais tout aussi préoccupante vient des offres dites « hybrides », comme Bleu (Microsoft-Orange-Capgemini) ou S3NS (Google-Thalès). Derrière une apparence française, ces offres restent en réalité dépendantes de la technologie américaine, ce qui remet en cause notre-souveraineté-numérique. Si l'ANSSI leur accorde le label « cloud de confiance », cela risquerait de freiner la création d'un cloud réellement souverain. Les acteurs publics et privés se tourneraient alors vers ces solutions, tout en croyant qu'elles garantissent la sécurité des données, alors qu'elles renforceraient en réalité la dépendance française aux GAFAM. Dans ce contexte, il lui demande quelles mesures le Gouvernement entend mettre en œuvre pour éviter que des offres hybrides non pleinement souveraines soient reconnues comme des « clouds de confiance » ; quelles actions il prévoit afin de renforcer la souveraineté du cloud de confiance français avec l'appui d'entreprises françaises ; et enfin de quelle manière il compte défendre et consolider la souveraineté numérique du pays, en associant l'ensemble des acteurs privés et publics autour d'une stratégie d'accroissement de puissance dans ce domaine vital pour l'indépendance de la France.

Cette question s'inscrit dans la continuité du travail engagé depuis 2021 avec la stratégie nationale Cloud au centre qui vise à saisir les opportunités offertes par les évolutions technologiques tout en répondant aux enjeux de sécurité posés par le recours à des services d'informatique en nuage, en particulier ceux qui concernent la protection des données les plus sensibles, des administrations, des citoyens et des entreprises. Cette stratégie repose notamment sur les principes de la circulaire relative à la doctrine d'utilisation de l'informatique en nuage par l'État du 5 juillet 2021[1] du Premier ministre, et sur la qualification SecNumCloud délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui garantit un niveau de protection élevé des services cloud, y compris contre les accès non-autorisés des États tiers à l'Union européenne (UE). De plus, la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (SREN) reprend et renforce ces principes, afin d'assurer une protection adéquate des données particulièrement sensibles des administrations de l'État, ses opérateurs ou certains groupements d'intérêt public, tels que la Plateforme de données de santé (dite Health Data Hub). Ainsi, toute offre d'informatique en nuage à laquelle ces différents services de l'État choisissent de recourir en cas d'externalisation de l'hébergement et du traitement de leurs données les plus sensibles doit répondre aux critères de la certification SecNumCloud, garantissant notamment la protection des données contre tout accès par des autorités publiques d'États tiers non autorisé par le droit de l'UE ou de l'un de ses États membres. Face à l'intensification des menaces cyber, il devient impératif de disposer d'offres cloud de confiance, notamment pour les données les plus sensibles. Les solutions hybrides labellisées SecNumCloud offrent les mêmes garanties que les offres 100 % européennes. Pour cela, le prestataire doit être européen et garantir son étanchéité ainsi que son autonomie vis-à-vis de ses fournisseurs, afin d'éviter toute dépendance ou influence extérieure. Comme tout processus de qualification, les évaluations des offres sont menées en appliquant rigoureusement plus de 1 200 points de contrôle du référentiel de SecNumCloud, qui couvre des exigences techniques, opérationnelles et juridiques relatives au prestataire de service, à son personnel, ainsi qu'au déroulement des prestations. L'octroi par l'ANSSI de la qualification SecNumCloud impose aux fournisseurs de services cloud de faire la démonstration d'un haut niveau de cybersécurité et repose sur un processus rigoureux d'évaluation par les experts de l'ANSSI ainsi que par des centres d'évaluation agréés par l'Agence. Ainsi, S3NS a obtenu la qualification SecNumCloud en décembre 2025 et Bleu est dans le processus de qualification.  Quel que soit le prestataire concerné, l'attribution par cette agence de la qualification SecNumCloud garantit la robustesse de son offre face aux cyberattaques les plus courantes, mais aussi la rigueur et la formalisation de ses méthodes ainsi que la protection des données qu'il héberge et traite vis-à-vis du droit extraterritorial non européen.  SecNumCloud est avant tout un référentiel de cybersécurité, dont le processus de qualification est extrêmement exigeant et appliqué de manière uniforme à tous les acteurs. Il est important de souligner que tous les fournisseurs de cloud dépendent, à un degré ou un autre, de composants électroniques ou de logiciels extra-européens. La question des dépendances technologiques relève donc d'un enjeu de politique industrielle qui dépasse le cadre de SecNumCloud. Le plan France 2030, et en particulier le levier "Technologies numériques souveraines et sûres", réparti en plusieurs stratégies (cloud, IA, 5G et réseaux du futur, cybersécurité, etc.) permet de soutenir le développement d'une offre française et européenne compétitive afin de réduire ces dépendances. [1] actualisée par la circulaire du 31 mai 2023