Mme Virginie Duby-Muller alerte Mme la ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargée de l'intelligence artificielle et du numérique, sur l'enjeu stratégique de la souveraineté numérique face au basculement croissant des administrations et des entreprises publiques vers des clouds extra-européens. Alors que la France dépend de plus en plus d'infrastructures numériques critiques, plusieurs opérateurs d'importance vitale engagent des programmes massifs de migration vers des plateformes cloud principalement américaines. Cette trajectoire soulève des risques majeurs en matière de sécurité des données, de continuité des services essentiels, d'exposition aux législations extraterritoriales étrangères et, plus largement, de perte de maîtrise technologique et industrielle. Pourtant, des solutions françaises et européennes existent, notamment avec des acteurs français comme OVHcloud ou Scaleway, qui pourraient garantir à la fois performance, sécurité et indépendance stratégique. Dans un contexte géopolitique incertain, où l'accès aux infrastructures numériques peut devenir un levier de pression politique, il apparaît indispensable que l'État définisse une doctrine claire imposant ou, à tout le moins, orientant fortement les administrations et entreprises publiques vers des solutions cloud souveraines européennes, assortie de mécanismes de contrôle et de plan de réversibilité. Elle lui demande donc quelles mesures le Gouvernement entend prendre pour garantir la souveraineté numérique des opérateurs publics et limiter leur dépendance aux fournisseurs extra-européens.

Depuis 2021, le gouvernement déploie une stratégie visant à saisir les opportunités offertes par les évolutions technologiques et à répondre aux enjeux posés par le recours à des services d'informatique en nuage de confiance pour les données les plus sensibles de l'État et de ses opérateurs à travers sa stratégie nationale cloud. Cette stratégie repose notamment sur le développement d'une offre de services cloud de confiance, et sur la qualification SecNumCloud délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui garantit un niveau de protection élevé des services cloud, y compris contre les accès non-autorisés aux données qu'ils hébergent et traitent, notamment par le biais des lois extraterritoriales non européennes. En outre, la qualification SecNumCloud prévoit que le prestataire de cloud inclut systématiquement dans le contrat de service une clause de réversibilité permettant au client de récupérer l'ensemble de ses données. Par ailleurs, dans le cadre de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (SREN), des dispositions législatives reprennent désormais, en les renforçant, les principes de la doctrine cloud au centre décrite dans la circulaire relative à la doctrine d'utilisation de l'informatique en nuage par l'État du 5 juillet 2021 [1] du Premier ministre, afin d'assurer une protection adéquate des données sensibles des administrations de l'État, ses opérateurs ou certains groupements d'intérêt public, comme la Plateforme de données de santé (dite Health Data Hub) contre les législations extraterritoriales extracommunautaires. Ainsi, toute offre d'informatique en nuage à laquelle les services et opérateurs de l'État choisissent de recourir en cas d'externalisation de l'hébergement et du traitement de leurs données particulièrement sensibles doit répondre aux critères de sécurité et de protection offerts par la certification SecNumCloud, y compris pour ce qui concerne la protection vis-à-vis des législations extraterritoriales des États tiers à l'Union européenne. En 2025, les achats publics de prestations de cloud opérés par l'Union des groupements d'achats publics (UGAP) ont atteint le montant de 84 millions d'euros (contre 52 millions en 2024), dont 69 % ont été orientés vers des opérateurs européens. Parmi les achats auprès de fournisseurs européens, les offres de de cloud qualifiées SecNumCloud par l'ANSSI ont atteint un montant de 22 millions d'euros (contre 20 millions d'euros en 2024). Par ailleurs, à l'échelle européenne, la France continue à promouvoir le développement d'un marché diversifié et concurrentiel du cloud de confiance. Pour la révision du règlement européen sur la cybersécurité, en cours de négociation, elle porte une position ambitieuse visant à garantir une protection efficace des données sensibles en particulier contre l'application de législations extraterritoriales des États tiers à l'UE. Les autorités françaises sont pleinement mobilisées pour contribuer à l'émergence d'un cadre harmonisé, fiable, compétitif et protecteur pour les données les plus sensibles de l'État. [1] actualisée par la circulaire du 31 mai 2023