La souveraineté numérique de l’État : un défi stratégique pour les systèmes d’information

Un constat mitigé sur la souveraineté numérique

Malgré une ambition affichée depuis plusieurs années, la souveraineté numérique de l’État reste fragile. Plusieurs ministères continuent d’utiliser des solutions informatiques extra-européennes, y compris pour des données sensibles. Le cas emblématique est celui de la plateforme des données de santé, hébergée depuis plus de cinq ans chez un acteur américain, illustrant les limites du modèle actuel.

Cette situation pose un double problème : un contrôle limité sur les données (notamment sensibles) et une dépendance technique aux fournisseurs étrangers. Par ailleurs, certains opérateurs privés contribuent à des services publics sans être soumis aux mêmes obligations que les entités publiques, ce qui pose un risque supplémentaire.

Absence de cartographie des données sensibles

Un point saillant du rapport est l’absence d’une cartographie précise des données sensibles au sein des administrations. Ce référentiel serait pourtant indispensable pour hiérarchiser les priorités : quelles données doivent absolument relever de la souveraineté, et ainsi être hébergées et protégées dans un cadre souverain ?

Des clouds souverains encore peu adoptés

L’adoption de l’informatique en nuage souveraine, qui garantit le respect des critères stricts de sécurité et de localisation des données, reste limitée. Les clouds internes de l’État peinent à atteindre une masse critique suffisante et accusent un retard sur le plan des services offerts, de la performance, notamment dans l’intégration de l’intelligence artificielle, et sur la compétitivité tarifaire.

Une gouvernance éclatée mais des infrastructures prometteuses

La Direction interministérielle du numérique (DINUM) pilote deux infrastructures souveraines essentielles : le réseau interministériel de l’État (RIE) et le dispositif d’identité numérique FranceConnect. Ces initiatives rencontrent des succès mais doivent progresser sur leur résilience et leur adoption.
Au-delà de la maîtrise technique des données, la Cour des comptes insiste sur la nécessité d’établir un « niveau de confiance suffisant », ce qui passe par la commande publique, la mutualisation des achats et la certification par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Recommandations clés pour renforcer la souveraineté

La Cour recommande à la DINUM, en collaboration avec tous les ministères :

• De réaliser dès 2026 une cartographie complète des données sensibles devant relever du cloud souverain.
• De bâtir un calendrier de déploiement d’outils bureautiques et de communication respectant la souveraineté numérique.
• De poursuivre la convergence des différents clouds ministériels pour atteindre une taille critique et améliorer l’attractivité des offres souveraines.
• De renforcer la certification des hébergeurs de données sensibles, notamment en rapprochant leurs qualifications de la norme SecNumCloud.

Enjeux spécifiques

Ce rapport souligne un impératif : privilégier les solutions souveraines dans la gestion électronique des données de santé, afin de garantir leur confidentialité, leur intégrité et leur disponibilité. Cela implique aussi une meilleure coordination inter-établissements et inter-administrations, une vigilance accrue sur les contrats de prestations et hébergements, ainsi qu’une implication renforcée dans les processus de certification et de gouvernance.

Conclusion

Le rapport de la Cour des comptes met en lumière un défi majeur pour les systèmes d’information hospitaliers : concilier souveraineté numérique et performance opérationnelle. Les recommandations qui en découlent invitent à une stratégie plus ambitieuse, organisée et mesurable, pour que le numérique reste un levier de confiance et d’autonomie pour la santé publique.

Source : https://www.ccomptes.fr/fr/publications/les-enjeux-de-souverainete-des-systemes-dinformation-civils-de-letat