Qu’est-ce que la souveraineté numérique ?

Aux Etats-Unis, les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) et en Chine les BATX (Baidu, Alibaba, Tencent et Xiaomi) dominent l’internet mondial sur lequel ils exercent une profonde influence. La dépendance des utilisateurs, qu’ils soient des particuliers, des organisations privées, publiques ou des Etats, ne cesse d’augmenter. Cet état de fait d’une « monoculture » des outils numériques soulève des enjeux stratégiques, économiques, politiques et éthiques, notamment à propos de l’utilisation des données personnelles fournies par les utilisateurs. C’est là que prend place le concept de souveraineté numérique : il vise à redonner l’indépendance numérique et le contrôle des données aux gouvernements, aux entreprises et aux particuliers.
 

Qu’est-ce que la souveraineté numérique ?

 
Selon la définition du dictionnaire Larousse pour la langue française un État souverain est un État indépendant, « reconnu dans ses frontières par la communauté internationale » et qui exerce « un pouvoir d’administration et de juridiction » sur sa population.

Néanmoins, dans l’univers numérique, cette notion n’est pas aussi claire. Si la souveraineté numérique renvoie généralement au fait qu’un État (gouvernement) ou une organisation doit établir son autorité pour exercer ses pouvoirs dans le cyberespace, elle englobe aussi des questions plus concrètes, telles que la dépendance technologique ou le contrôle des données personnelles des utilisateurs.

En effet, le mouvement défendant la souveraineté numérique vise à reconquérir une part du pouvoir exercé au sein d’un espace numérique. Aux débuts d’Internet, ses promoteurs cherchaient à développer un pouvoir affranchi des gouvernements. Publiée en 1996, « La Déclaration d’indépendance du cyberespace » est un texte célèbre rédigé à Davos, en Suisse, par John Perry Barlow, écrivain et militant politique libertaire. Elle précise que les gouvernements n’ont aucune autorité dans cet écosystème.

Or, la souveraineté des gouvernements a été très rapidement remise en cause par le développement du numérique. Ce dernier ignorant les frontières et les lois, il permet aux acteurs influents du web d’établir leurs propres règles, voire d’être considérés comme des « nations entièrement numérisées ». En témoigne la nomination par le Danemark, en 2017, d’un ambassadeur auprès des GAFAM.

En France, l’expression a été introduite dans le domaine public dans les années 2000 par Pierre Bellanger, président de la radio Skyrock, puis définie quelques années plus tard dans un essai intitulé La Souveraineté numérique. Depuis, le terme a été repris par des personnalités politiques. En 2013, l’affaire Snowden (la révélation d’écoutes massives par la NSA, Agence nationale de la sécurité, un organisme gouvernemental du département de la Défense des États-Unis) a mis en lumière les risques liés à la gouvernance des espaces numériques. Puis, en 2015, le scandale Cambridge Analytica impliquant Facebook, a mis en lumière l’utilisation frauduleuse des données personnelles des utilisateurs par des sociétés privées.

L’indépendance numérique est une notion désormais bien ancrée. Elle se traduit par des décisions concrètes prises au niveau de l’Union européenne, avec l’objectif de développer des solutions cloud souveraines (comme OVHcloud, Outscale ou Scaleway) et des alternatives européennes aux grandes plateformes américaines. Ces initiatives incitent les entreprises et les administrations européennes à rechercher leur indépendance vis-à-vis des GAFAM au profit de solutions nationales ou européennes — un mouvement qui concerne désormais aussi bien les DSI des grandes entreprises que les collectivités territoriales. C’est particulièrement vrai pour l’utilisation des données sensibles par les organisations : c’est là que réside la question fondamentale de la souveraineté numérique d’un point de vue organisationnel.
 

Les enjeux de la souveraineté numérique

 
On peut distinguer deux enjeux majeurs : l’un stratégique et l’autre éthique.

Alors que la pandémie de Covid a accru la dépendance des entreprises vis-à-vis des solutions cloud transnationales opérées par des acteurs américains, celles-ci doivent plus que jamais développer leur autonomie numérique afin de maîtriser leurs données (les leurs et celles de leurs clients). En effet, ces acteurs majeurs du web sont soumis à des réglementations qui peuvent aller à l’encontre des intérêts stratégiques des organisations qui les utilisent.

Par exemple, les GAFAM doivent respecter des règles d’extraterritorialité, comme le Cloud Act. Ce dernier autorise le gouvernement américain à accéder aux données hébergées par des entreprises nationales, même si leurs serveurs sont situés en dehors des États-Unis. En conséquence, la confidentialité de ces données n’est en aucun cas garantie — une réalité qu’illustrent des affaires concrètes comme le choix d’AWS par EDF pour héberger des données sensibles, qui a suscité d’importants débats en France. Les ordres de grandeur publiés en 2020 par le cabinet Oliver Wyman estimaient que près de 92 % des données produites en Occident étaient alors hébergées aux États-Unis ; même si les chiffres ont légèrement évolué avec la montée en puissance du cloud européen, la domination américaine reste massive en 2026 et ces lois continuent de menacer les intérêts commerciaux européens.

Les tensions géopolitiques autour de l’application TikTok — dont le propriétaire a dû prouver son indépendance vis-à-vis du pouvoir chinois devant le Congrès américain — illustrent par l’absurde la même logique : chaque grande puissance cherche à contrôler les flux de données transitant par « ses » acteurs numériques.

Par ailleurs, la question ne concerne pas seulement les règles d’extraterritorialité, elle interroge aussi les individus, en mettant l’accent sur la préservation du droit à la vie privée. En effet, dès que les organisations collectent des données, elles ont la possibilité de les revendre à des annonceurs ou à des institutions politiques. Ce fut le cas dans le scandale évoqué plus haut de Cambridge Analytica où les données personnelles des électeurs ont été utilisées pour influencer les intentions de vote. C’est aussi le cas lorsque les données confiées aux opérateurs sont sensibles, notamment les coordonnées bancaires, les informations de santé, les données financières, etc.
 

Le cadre européen 2024-2026 : DSA, DMA, NIS2, DORA et EU Data Act

 
Depuis la rédaction initiale de cet article en 2023, le paysage réglementaire européen s’est considérablement étoffé. L’Union européenne est passée d’une logique d’annonces à une logique de mise en œuvre, avec cinq textes majeurs désormais opposables :

• Digital Services Act (DSA) et Digital Markets Act (DMA) — pleinement applicables depuis 2024, ils encadrent les plateformes structurantes (« contrôleurs d’accès ») et imposent des obligations de transparence, de modération et d’interopérabilité.
• NIS2 — la directive sur la sécurité des réseaux et systèmes d’information a été transposée en droit français en 2024-2025. Elle élargit massivement le périmètre des entités concernées (entreprises de taille intermédiaire, collectivités, sous-traitants critiques) et relève le niveau d’exigence en matière de gestion des risques cyber, de notification d’incidents et de responsabilité des dirigeants.
• DORA (Digital Operational Resilience Act) — applicable depuis janvier 2025, il impose au secteur financier européen un cadre harmonisé de résilience opérationnelle numérique, incluant le contrôle des prestataires critiques de services TIC (dont les grands fournisseurs cloud).
• EU Data Act — applicable depuis septembre 2025, il rééquilibre l’accès aux données générées par les objets connectés et les services cloud, et facilite notamment la portabilité entre fournisseurs (un levier direct de souveraineté).

En parallèle, la qualification SecNumCloud de l’ANSSI continue de monter en maturité — comme en témoignent des initiatives telles que Whaller DONJON, et la mise en place de référentiels de Diffusion Restreinte pour les données les plus sensibles des administrations et des opérateurs d’importance vitale.

Pour les entreprises, ces textes transforment la souveraineté numérique d’un débat philosophique en une obligation de conformité mesurable, avec des sanctions financières et pénales à la clé.
 

Pourquoi les entreprises devraient-elles prioriser la souveraineté de leurs données ?

 
Tout d’abord, pour protéger leurs données. Cela est particulièrement vrai pour les entreprises traitant des données sensibles, dans des secteurs tels que la défense, la santé, la sécurité, la banque et l’assurance, l’industrie, etc. Cependant, toutes les données personnelles sont en danger si elles sont volées, altérées ou détournées. À l’inverse, les données hébergées en Europe sont protégées par les lois continentales, notamment le Règlement général sur la protection des données (RGPD), auquel s’ajoutent désormais NIS2, DORA et l’EU Data Act cités plus haut.

Deuxièmement, pour fournir des assurances aux utilisateurs. Les Français sont parfaitement conscients des enjeux liés au traitement de leurs données. Dans toutes les études d’opinion, ils souhaitent désormais que leurs données personnelles soient stockées par des acteurs européens. Ils se disent même prêts à renoncer à un service numérique s’ils ont un doute sur l’utilisation et le stockage de leurs données.

Troisièmement, réduire la dépendance vis-à-vis des solutions étrangères et les changements qui en résultent. En retour, le choix de travailler avec des acteurs locaux offre des avantages tels que la proximité, l’écoute, la réactivité et la sécurité — et facilite la conformité aux exigences de NIS2 et DORA, qui imposent un contrôle renforcé de la chaîne de sous-traitance numérique.

En conclusion, l’Union européenne, avec plus de 512 millions de citoyens-internautes éduqués et dotés d’un haut pouvoir d’achat, est l’un des tout premiers marchés économiques mondiaux, vital pour les GAFAM. Quand l’Union européenne édicte des standards, ils sont souvent repris largement par le reste du monde : le RGPD a essaimé bien au-delà de l’Europe, et le DSA/DMA est désormais observé de près comme matrice possible pour d’autres juridictions. Quant à la Chine, gardons en mémoire qu’elle a purement et simplement banni les GAFAM de son espace.

Il n’est pas trop tard pour que les Européens récupèrent leur souveraineté numérique — au contraire, 2024-2026 marquent une bascule : les outils juridiques existent, les alternatives techniques existent, il reste à passer à l’échelle. Nous ne sommes pas David contre Goliath. C’est une affaire de volonté et de convictions. Mais il n’y a « point de milieu » à la souveraineté comme l’écrivait Jean-Jacques Rousseau. Elle est ou elle n’est pas. À l’Europe d’agir désormais souverainement. Pour cela, elle peut compter sur le soutien total des entrepreneurs européens.