Souveraineté numérique : la France face à ses dépendances (2026)

Le 8 avril 2026, la DINUM a officialisé la sortie de l'État français de Windows. Derrière l'annonce technique, une réalité juridique que peu d'analyses posent clairement : les outils américains exposent les données françaises à un droit extraterritorial que le RGPD ne neutralise pas.

La souveraineté numérique n'est pas une question technique

Le 8 avril 2026, la Direction interministérielle du numérique (DINUM) a officialisé, lors d'un séminaire interministériel réunissant ministères, opérateurs publics et acteurs privés, l'abandon progressif de Windows au profit de Linux pour l'ensemble de l'administration française.

Le ministre David Amiel l'a formulé sans ambiguïté : « L'État ne peut plus se contenter de constater sa dépendance, il doit en sortir. Nous ne pouvons plus accepter que nos données, nos infrastructures et nos décisions stratégiques dépendent de solutions dont nous ne maîtrisons ni les règles, ni les tarifs, ni les risques. »

C'est l'une des déclarations les plus directes jamais produites par un gouvernement français sur la souveraineté numérique, et elle dit exactement ce que le débat public évite de nommer : il s'agit d'un problème de droit, pas d'un problème de logiciel.

La souveraineté numérique désigne la capacité d'un État ou d'une organisation à maîtriser ses données, ses outils et ses infrastructures sans être soumis à une juridiction étrangère. Cette définition, en apparence simple, recouvre une réalité juridique complexe que les discours sur la « transition numérique souveraine » tendent à escamoter.

Trois dimensions la structurent : l'immunité au droit extraterritorial, la capacité de substitution technologique, et la maîtrise effective des acteurs critiques de la chaîne informatique. Ce triptyque est aujourd'hui au cœur de la politique numérique de l'État français, et il concerne bien au-delà des administrations.

La souveraineté numérique face au Cloud Act : ce que le RGPD ne peut pas faire

La confusion la plus répandue sur la souveraineté numérique consiste à croire que le Règlement général sur la protection des données (RGPD) protège les données françaises contre les injonctions américaines.

C'est faux, et cette confusion expose chaque jour des milliers d'organisations françaises à un risque juridique réel qu'elles ne mesurent pas. Le RGPD régit les relations entre responsables de traitement et personnes concernées au sein de l'Union européenne. Il ne constitue pas une norme de droit international opposable aux autorités étrangères.

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act), adopté aux États-Unis le 23 mars 2018, autorise les autorités américaines à exiger l'accès aux données détenues par des entreprises américaines, quel que soit le pays dans lequel ces données sont physiquement hébergées.

La règle est simple et sans exception : si votre prestataire cloud est de droit américain, Microsoft, Amazon Web Services, Google, ses données sont accessibles aux autorités fédérales américaines, y compris lorsque les serveurs sont localisés en France.

La souveraineté numérique face au Cloud Act

L'hébergement géographique ne garantit rien. Seul le statut juridique de l'opérateur compte. À cette vulnérabilité s'ajoute la section 702 du Foreign Intelligence Surveillance Act (FISA), prolongée jusqu'en avril 2026, qui permet une surveillance large des communications transitant par des infrastructures américaines au nom de la sécurité nationale.

Des pressions documentées ont été exercées sur des membres d'organisations internationales via des services Outlook. En 2025-2026, une commission d'enquête sénatoriale a confirmé sans détour que le droit américain prévaut même lorsque les données sont hébergées physiquement sur le territoire français. C'est le nœud juridique que la migration DINUM tente, entre autres, de dénouer.

La souveraineté numérique exige donc une immunité au droit extraterritorial que le RGPD n'est pas conçu pour fournir. Les deux régimes ont des objets distincts. Le RGPD protège les individus contre les traitements abusifs de leurs données personnelles par des acteurs privés ou publics. Le Cloud Act et le FISA créent des obligations directement opposables aux opérateurs, indépendamment de toute relation contractuelle avec les personnes concernées.

Aucun DPA, aucune clause contractuelle standard, aucune certification nationale ne peut neutraliser une injonction fédérale américaine visant un opérateur soumis à la juridiction des États-Unis.

Ce que la migration DINUM révèle sur la souveraineté numérique en pratique

L'annonce du 8 avril 2026 ne part pas de rien. La Gendarmerie nationale gère plus de 100 000 postes sous sa propre distribution Linux, GendBuntu, depuis 2008, avec des économies estimées à 40 % sur le coût total de possession par rapport aux licences propriétaires.

La Direction générale des Finances publiques (DGFiP) fonctionne sans aucune licence Microsoft depuis plus de vingt ans, avec 800 applications internes et son infrastructure cloud souverain Nubo. Ces deux précédents ont démontré la faisabilité technique d'une migration à grande échelle dans le secteur public français, et ils servent de références directes à la directive DINUM.

Le plan interministériel du 8 avril couvre sept domaines prioritaires de la souveraineté numérique : les systèmes d'exploitation (Windows vers Linux), les outils collaboratifs, le cloud, l'intelligence artificielle, les bases de données, la virtualisation et les équipements réseau.

Chaque ministère, opérateurs publics inclus, doit déposer son plan de migration avant l'automne 2026. La DINUM, avec ses 250 agents, servira elle-même de site pilote. L'objectif final concerne 2,5 millions de fonctionnaires d'État.

Plusieurs migrations sont déjà en cours. La Caisse nationale d'Assurance maladie bascule 80 000 agents vers la Suite Numérique, Tchap pour la messagerie, Visio pour les réunions en ligne, FranceTransfert pour l'échange sécurisé de fichiers. La plateforme nationale des données de santé, le Health Data Hub, initialement hébergée sur Microsoft Azure, doit migrer vers une infrastructure souveraine hébergée en Europe avant fin 2026.

Les données de santé, parmi les plus sensibles au regard de l'article 8 de la Convention européenne des droits de l'homme garantissant le droit à la vie privée, ne peuvent être exposées à une injonction de divulgation fondée sur le droit américain sans violation caractérisée de ce cadre protecteur.

Les contradictions demeurent, et elles sont révélatrices. L'Éducation nationale a prolongé son contrat Microsoft de 152 millions d'euros jusqu'en 2029, en contradiction directe avec la politique interministérielle.

75 % des grandes organisations publiques françaises restent aujourd'hui équipées de solutions Microsoft. La souveraineté numérique ne se décrète pas par communiqué : elle suppose un chantier d'urbanisation logicielle complet, depuis l'OS du poste de travail jusqu'aux couches d'IA et de gestion des données.

schéma ‍75 % des grandes organisations publiques françaises restent aujourd'hui équipées de solutions Microsoft.

SecNumCloud et souveraineté numérique : le label, ses conditions, ses limites

Au centre du dispositif français figure la qualification SecNumCloud, délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Créée pour garantir un haut niveau de sécurité aux services cloud opérant en France, elle constitue depuis plusieurs années le standard de référence pour les données sensibles des administrations.

Les décrets du 24 mars et du 14 avril 2026 ont traduit les orientations politiques en obligations concrètes, en imposant aux administrations de rapatrier leurs données vers des infrastructures qualifiées SecNumCloud.

SecNumCloud ne garantit la souveraineté numérique qu'à une condition : que l'opérateur certifié ne soit pas soumis à une juridiction étrangère.

C'est sa condition sine qua non, et c'est là que réside l'essentiel du débat. Un cloud hébergé en France mais opéré par une filiale d'un groupe américain n'offre aucune protection réelle contre une injonction Cloud Act, quand bien même il bénéficierait d'une certification nationale. La souveraineté numérique exige que l'ensemble de la chaîne, infrastructure, opérateur, capital, soit immunisée contre le droit extraterritorial américain.

Plusieurs offres commerciales labellisées « souveraines » ne satisfont pas pleinement ce critère dans la pratique.

C'est précisément la raison pour laquelle le plan interministériel DINUM va au-delà du seul SecNumCloud pour couvrir les sept domaines cités. La qualification certifie le niveau de sécurité d'un service ; elle ne suffit pas à garantir que le prestataire ne sera jamais soumis à une injonction d'une juridiction étrangère. Ce sont deux périmètres distincts, et leur confusion dans le débat public fragilise la portée réelle des politiques de souveraineté numérique engagées.

Souveraineté numérique et secret professionnel : l'angle mort des cabinets d'avocats

Si le débat se concentre sur l'État, la souveraineté numérique engage directement les professionnels du droit, et c'est l'angle mort le plus préoccupant. Un cabinet d'avocats qui héberge ses dossiers clients sur Microsoft 365, stocke ses pièces sur OneDrive ou communique via Outlook, expose structurellement le secret professionnel à une injonction fondée sur le Cloud Act.

Le secret des correspondances entre avocats et clients, protégé par l'article 66-5 de la loi du 31 décembre 1971 portant réforme de certaines professions judiciaires et juridiques, n'est pas opposable à une injonction du Department of Justice américain visant l'opérateur.

La cartographie des risques liés à la souveraineté numérique pour un professionnel du droit couvre trois niveaux.

La cartographie des risques liés à la souveraineté numérique pour un professionnel du droit couvre trois niveaux.

Le risque de divulgation forcée fondé sur le Cloud Act et le FISA constitue la menace la plus directe : il est réel dès lors qu'un opérateur américain intervient dans la chaîne de traitement, quelle que soit la localisation physique des données.

Le Cloud Act (23 mars 2018) : Son nom complet - Clarifying Lawful Overseas Use of Data Act, dit l'essentiel : il clarifie que la localisation physique des données est sans pertinence juridique pour les autorités américaines.

Le texte modifie le Stored Communications Act de 1986 pour permettre au DOJ, au FBI ou à toute agence fédérale habilitée d'adresser une injonction (warrant ou subpoena) directement à un opérateur américain, Microsoft, Google, Amazon, pour obtenir des données hébergées n'importe où dans le monde.

L'opérateur est légalement contraint de s'exécuter, sans pouvoir opposer le droit du pays d'hébergement. Il peut contester l'injonction devant un juge américain si elle crée un "conflit substantiel" avec le droit étranger, mais cette procédure est longue, coûteuse, et rarement aboutie.

Le FISA § 702 (Foreign Intelligence Surveillance Act, section 702). C'est un régime distinct et plus opaque. Il autorise la NSA à collecter, sans mandat individuel, les communications de ressortissants étrangers localisés hors des États-Unis, dès lors que ces communications transitent par des infrastructures ou des prestataires américains.

Contrairement au Cloud Act qui vise des données stockées et suppose une procédure contradictoire, le FISA § 702 permet une surveillance en flux, en amont, sans que la cible en soit informée ni qu'elle puisse s'y opposer.

C'est ce mécanisme que la CJUE avait identifié dans Schrems II comme rendant les garanties contractuelles (CCT) inopérantes en pratique.

La différence clé entre les deux. Le Cloud Act est un outil de réquisition judiciaire : une autorité demande des données précises à un opérateur identifié, dans le cadre d'une enquête.

Le FISA § 702 est un outil de surveillance préventive : il permet une collecte massive et continue, sans procédure individualisée, sur des flux de communication. Les deux se cumulent, et c'est leur combinaison qui rend la dépendance aux opérateurs américains structurellement incompatible avec une souveraineté numérique réelle.

schéma cloud act vs fisa 702

Pourquoi le droit français ne peut pas s'y opposer ? Le principe de souveraineté territoriale voudrait qu'une injonction américaine ne soit pas exécutoire sur le territoire français. Mais l'injonction ne vise pas l'État français, elle vise l'opérateur américain, qui est soumis à la juridiction fédérale américaine partout où il opère. Microsoft France ou AWS France sont des filiales dont la maison mère est américaine : elles ne peuvent pas désobéir à une injonction fédérale sans exposer le groupe à des sanctions pénales aux États-Unis.

Le droit français de blocage, la loi du 26 juillet 1968, dite "loi de blocage", interdit en théorie à une personne physique ou morale de communiquer des informations à des autorités étrangères en dehors des voies diplomatiques, mais son application aux filiales françaises de groupes américains reste très incertaine et n'a jamais véritablement été testée face au Cloud Act.

Le risque de rupture de service en cas de crise géopolitique ou de sanctions commerciales transatlantiques est devenu, en 2026, un scénario explicitement documenté par des responsables gouvernementaux français.

Avant :

Le risque de rupture de service en cas de crise géopolitique ou de sanctions commerciales transatlantiques est devenu, en 2026, un scénario explicitement documenté par des responsables gouvernementaux français.

Après :

Le risque de rupture de service en cas de crise géopolitique ou de sanctions commerciales transatlantiques est devenu un scénario crédible : le 30 avril 2026, le directeur général de l'ANSSI qualifiait devant l'Assemblée nationale la situation française d'"intenable" si les États-Unis venaient à couper l'accès à leurs technologies, et le précédent des sanctions contre Huawei en 2019 montre qu'un décret présidentiel américain peut suffire.

Enfin, le risque de non-conformité RGPD aggravé s'applique lorsqu'un sous-traitant américain traite des données personnelles sans garanties suffisantes au sens de l'article 46 du RGPD, une situation fréquente et largement sous-documentée dans les cabinets et legaltech de taille intermédiaire.

Le principe : Par défaut, transférer des données personnelles vers un pays tiers est interdit, sauf si le responsable de traitement ou le sous-traitant apporte des "garanties appropriées" permettant d'assurer un niveau de protection équivalent à celui garanti dans l'UE.

L'article 46 liste ces garanties acceptables : clauses contractuelles types (CCT) adoptées par la Commission européenne, règles d'entreprise contraignantes (BCR), codes de conduite approuvés, ou mécanismes de certification.

Application aux sous-traitants américains : Quand un cabinet d'avocats ou une legaltech utilise un prestataire américain, Microsoft 365, AWS, Salesforce, etc. Pour traiter des données personnelles de clients ou de salariés, il s'agit d'un transfert vers un pays tiers soumis à l'article 46.

En pratique, ces prestataires s'appuient quasi-systématiquement sur les clauses contractuelles types pour justifier leur conformité.

Le problème structurel : Depuis l'arrêt Schrems II (CJUE, 16 juillet 2020), la Cour de justice a invalidé le Privacy Shield et posé une exigence supplémentaire : les CCT ne suffisent pas si le droit du pays tiers, notamment le Cloud Act et le FISA § 702, rend ces garanties inopérantes en pratique.

Le responsable de traitement doit réaliser un Transfer Impact Assessment (TIA) pour évaluer si le droit américain neutralise concrètement les protections contractuelles. Si c'est le cas, le transfert est illicite, même avec des CCT en place.

Concrètement : Un cabinet qui héberge ses dossiers sur un cloud américain sans avoir réalisé ce TIA, ou dont le TIA conclut à une exposition au Cloud Act sans mesures compensatoires, est en violation caractérisée de l'article 46, exposé à une sanction CNIL pouvant atteindre 20 M€ ou 4 % du chiffre d'affaires mondial. C'est précisément la situation que la CNIL cible dans ses contrôles 2025-2026 sur les prestataires cloud.

schéma article 46 rgpd

L'utilisation de solutions qualifiées SecNumCloud, opérées par des acteurs de droit français ou européen non soumis à une juridiction américaine, constitue aujourd'hui la réponse juridiquement la plus robuste.

C'est précisément la situation que la CNIL cible dans ses contrôles 2025-2026 sur les prestataires cloud, comme elle l'avait démontré en sanctionnant France Travail à 5 millions d'euros pour manquement à l'article 32 du RGPD.

Elle ne relève plus d'un choix de confort technologique. Dans un contexte où la déontologie professionnelle des avocats impose la protection du secret des correspondances, le choix d'un opérateur cloud américain pour héberger des dossiers clients pourrait, demain, être contesté comme un manquement à cette obligation. La souveraineté numérique est en train de devenir une question de responsabilité professionnelle, et les textes sont déjà là pour l'étayer.

FAQ - Souveraineté numérique 2026

Qu'est-ce que la souveraineté numérique en droit ?

La souveraineté numérique désigne la capacité d'un État ou d'une organisation à maîtriser ses données, ses outils et ses infrastructures sans être soumis à une juridiction étrangère. Elle repose sur trois piliers : l'immunité au droit extraterritorial (Cloud Act, FISA), la capacité de substitution technologique, et la maîtrise des acteurs critiques de la chaîne informatique. Elle n'est pas définie par un texte législatif unique mais irrigue le RGPD, la directive NIS2 et les réglementations SecNumCloud.

Pourquoi le RGPD ne garantit-il pas la souveraineté numérique ?

Le RGPD encadre les traitements de données personnelles au sein de l'UE mais n'est pas opposable aux injonctions étrangères. Le Cloud Act américain de 2018 permet aux autorités fédérales américaines d'accéder aux données détenues par des opérateurs américains, quel que soit le pays d'hébergement. Une donnée stockée à Paris sur un serveur Microsoft reste accessible au FBI. RGPD et Cloud Act ont des objets distincts : ils ne se neutralisent pas.

Qu'est-ce que le Cloud Act et quel risque pose-t-il pour la souveraineté numérique française ?

Le Cloud Act (23 mars 2018) autorise les autorités américaines à exiger l'accès aux données détenues par tout opérateur de droit américain, indépendamment du lieu de stockage. Pour les organisations françaises utilisant Azure, AWS ou Google Cloud, ce texte crée une exposition directe : leurs données peuvent faire l'objet d'une injonction de divulgation sans recours effectif en droit français. L'hébergement géographique en France ne suffit pas si l'opérateur est américain.

Que change concrètement la migration DINUM pour la souveraineté numérique de l'État ?

Le 8 avril 2026, la DINUM a acté la migration de l'administration française de Windows vers Linux et imposé à chaque ministère un plan de réduction des dépendances technologiques américaines avant l'automne 2026. Le plan couvre sept domaines : OS, outils collaboratifs, cloud, IA, bases de données, virtualisation, équipements réseau, pour 2,5 millions d'agents à terme. La Gendarmerie (100 000 postes Linux depuis 2008) et la DGFiP (zéro licence Microsoft depuis 20 ans) servent de références.

La souveraineté numérique concerne-t-elle les cabinets d'avocats ?

Oui, directement. Un cabinet qui héberge ses dossiers sur Microsoft 365 ou un cloud américain expose le secret professionnel à une injonction Cloud Act. L'article 66-5 de la loi du 31 décembre 1971 protège le secret des correspondances avocat-client, mais cette protection n'est pas opposable à une injonction fédérale américaine visant l'opérateur. Par ailleurs, l'utilisation d'un sous-traitant américain sans Transfer Impact Assessment expose à une violation de l'article 46 du RGPD, comme la CNIL l'a démontré en sanctionnant France Travail à 5 millions d'euros pour manquement à ses obligations de sécurité.

Rédaction CTRLZed.

Le 8 avril 2026, la DINUM a officialisé la sortie de l'État français de Windows. Derrière l'annonce technique, une réalité juridique que peu d'analyses posent clairement : les outils américains exposent les données françaises à un droit extraterritorial que le RGPD ne neutralise pas.

La souveraineté numérique n'est pas une question technique

Le 8 avril 2026, la Direction interministérielle du numérique (DINUM) a officialisé, lors d'un séminaire interministériel réunissant ministères, opérateurs publics et acteurs privés, l'abandon progressif de Windows au profit de Linux pour l'ensemble de l'administration française.

Le ministre David Amiel l'a formulé sans ambiguïté : « L'État ne peut plus se contenter de constater sa dépendance, il doit en sortir. Nous ne pouvons plus accepter que nos données, nos infrastructures et nos décisions stratégiques dépendent de solutions dont nous ne maîtrisons ni les règles, ni les tarifs, ni les risques. »

C'est l'une des déclarations les plus directes jamais produites par un gouvernement français sur la souveraineté numérique, et elle dit exactement ce que le débat public évite de nommer : il s'agit d'un problème de droit, pas d'un problème de logiciel.

La souveraineté numérique désigne la capacité d'un État ou d'une organisation à maîtriser ses données, ses outils et ses infrastructures sans être soumis à une juridiction étrangère. Cette définition, en apparence simple, recouvre une réalité juridique complexe que les discours sur la « transition numérique souveraine » tendent à escamoter.

Trois dimensions la structurent : l'immunité au droit extraterritorial, la capacité de substitution technologique, et la maîtrise effective des acteurs critiques de la chaîne informatique. Ce triptyque est aujourd'hui au cœur de la politique numérique de l'État français, et il concerne bien au-delà des administrations.

La souveraineté numérique face au Cloud Act : ce que le RGPD ne peut pas faire

La confusion la plus répandue sur la souveraineté numérique consiste à croire que le Règlement général sur la protection des données (RGPD) protège les données françaises contre les injonctions américaines.

C'est faux, et cette confusion expose chaque jour des milliers d'organisations françaises à un risque juridique réel qu'elles ne mesurent pas. Le RGPD régit les relations entre responsables de traitement et personnes concernées au sein de l'Union européenne. Il ne constitue pas une norme de droit international opposable aux autorités étrangères.

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act), adopté aux États-Unis le 23 mars 2018, autorise les autorités américaines à exiger l'accès aux données détenues par des entreprises américaines, quel que soit le pays dans lequel ces données sont physiquement hébergées.

La règle est simple et sans exception : si votre prestataire cloud est de droit américain, Microsoft, Amazon Web Services, Google, ses données sont accessibles aux autorités fédérales américaines, y compris lorsque les serveurs sont localisés en France.

La souveraineté numérique face au Cloud Act

L'hébergement géographique ne garantit rien. Seul le statut juridique de l'opérateur compte. À cette vulnérabilité s'ajoute la section 702 du Foreign Intelligence Surveillance Act (FISA), prolongée jusqu'en avril 2026, qui permet une surveillance large des communications transitant par des infrastructures américaines au nom de la sécurité nationale.

Des pressions documentées ont été exercées sur des membres d'organisations internationales via des services Outlook. En 2025-2026, une commission d'enquête sénatoriale a confirmé sans détour que le droit américain prévaut même lorsque les données sont hébergées physiquement sur le territoire français. C'est le nœud juridique que la migration DINUM tente, entre autres, de dénouer.

La souveraineté numérique exige donc une immunité au droit extraterritorial que le RGPD n'est pas conçu pour fournir. Les deux régimes ont des objets distincts. Le RGPD protège les individus contre les traitements abusifs de leurs données personnelles par des acteurs privés ou publics. Le Cloud Act et le FISA créent des obligations directement opposables aux opérateurs, indépendamment de toute relation contractuelle avec les personnes concernées.

Aucun DPA, aucune clause contractuelle standard, aucune certification nationale ne peut neutraliser une injonction fédérale américaine visant un opérateur soumis à la juridiction des États-Unis.

Ce que la migration DINUM révèle sur la souveraineté numérique en pratique

L'annonce du 8 avril 2026 ne part pas de rien. La Gendarmerie nationale gère plus de 100 000 postes sous sa propre distribution Linux, GendBuntu, depuis 2008, avec des économies estimées à 40 % sur le coût total de possession par rapport aux licences propriétaires.

La Direction générale des Finances publiques (DGFiP) fonctionne sans aucune licence Microsoft depuis plus de vingt ans, avec 800 applications internes et son infrastructure cloud souverain Nubo. Ces deux précédents ont démontré la faisabilité technique d'une migration à grande échelle dans le secteur public français, et ils servent de références directes à la directive DINUM.

Le plan interministériel du 8 avril couvre sept domaines prioritaires de la souveraineté numérique : les systèmes d'exploitation (Windows vers Linux), les outils collaboratifs, le cloud, l'intelligence artificielle, les bases de données, la virtualisation et les équipements réseau.

Chaque ministère, opérateurs publics inclus, doit déposer son plan de migration avant l'automne 2026. La DINUM, avec ses 250 agents, servira elle-même de site pilote. L'objectif final concerne 2,5 millions de fonctionnaires d'État.

Plusieurs migrations sont déjà en cours. La Caisse nationale d'Assurance maladie bascule 80 000 agents vers la Suite Numérique, Tchap pour la messagerie, Visio pour les réunions en ligne, FranceTransfert pour l'échange sécurisé de fichiers. La plateforme nationale des données de santé, le Health Data Hub, initialement hébergée sur Microsoft Azure, doit migrer vers une infrastructure souveraine hébergée en Europe avant fin 2026.

Les données de santé, parmi les plus sensibles au regard de l'article 8 de la Convention européenne des droits de l'homme garantissant le droit à la vie privée, ne peuvent être exposées à une injonction de divulgation fondée sur le droit américain sans violation caractérisée de ce cadre protecteur.

Les contradictions demeurent, et elles sont révélatrices. L'Éducation nationale a prolongé son contrat Microsoft de 152 millions d'euros jusqu'en 2029, en contradiction directe avec la politique interministérielle.

75 % des grandes organisations publiques françaises restent aujourd'hui équipées de solutions Microsoft. La souveraineté numérique ne se décrète pas par communiqué : elle suppose un chantier d'urbanisation logicielle complet, depuis l'OS du poste de travail jusqu'aux couches d'IA et de gestion des données.

schéma ‍75 % des grandes organisations publiques françaises restent aujourd'hui équipées de solutions Microsoft.

SecNumCloud et souveraineté numérique : le label, ses conditions, ses limites

Au centre du dispositif français figure la qualification SecNumCloud, délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Créée pour garantir un haut niveau de sécurité aux services cloud opérant en France, elle constitue depuis plusieurs années le standard de référence pour les données sensibles des administrations.

Les décrets du 24 mars et du 14 avril 2026 ont traduit les orientations politiques en obligations concrètes, en imposant aux administrations de rapatrier leurs données vers des infrastructures qualifiées SecNumCloud.

SecNumCloud ne garantit la souveraineté numérique qu'à une condition : que l'opérateur certifié ne soit pas soumis à une juridiction étrangère.

C'est sa condition sine qua non, et c'est là que réside l'essentiel du débat. Un cloud hébergé en France mais opéré par une filiale d'un groupe américain n'offre aucune protection réelle contre une injonction Cloud Act, quand bien même il bénéficierait d'une certification nationale. La souveraineté numérique exige que l'ensemble de la chaîne, infrastructure, opérateur, capital, soit immunisée contre le droit extraterritorial américain.

Plusieurs offres commerciales labellisées « souveraines » ne satisfont pas pleinement ce critère dans la pratique.

C'est précisément la raison pour laquelle le plan interministériel DINUM va au-delà du seul SecNumCloud pour couvrir les sept domaines cités. La qualification certifie le niveau de sécurité d'un service ; elle ne suffit pas à garantir que le prestataire ne sera jamais soumis à une injonction d'une juridiction étrangère. Ce sont deux périmètres distincts, et leur confusion dans le débat public fragilise la portée réelle des politiques de souveraineté numérique engagées.

Souveraineté numérique et secret professionnel : l'angle mort des cabinets d'avocats

Si le débat se concentre sur l'État, la souveraineté numérique engage directement les professionnels du droit, et c'est l'angle mort le plus préoccupant. Un cabinet d'avocats qui héberge ses dossiers clients sur Microsoft 365, stocke ses pièces sur OneDrive ou communique via Outlook, expose structurellement le secret professionnel à une injonction fondée sur le Cloud Act.

Le secret des correspondances entre avocats et clients, protégé par l'article 66-5 de la loi du 31 décembre 1971 portant réforme de certaines professions judiciaires et juridiques, n'est pas opposable à une injonction du Department of Justice américain visant l'opérateur.

La cartographie des risques liés à la souveraineté numérique pour un professionnel du droit couvre trois niveaux.

La cartographie des risques liés à la souveraineté numérique pour un professionnel du droit couvre trois niveaux.

Le risque de divulgation forcée fondé sur le Cloud Act et le FISA constitue la menace la plus directe : il est réel dès lors qu'un opérateur américain intervient dans la chaîne de traitement, quelle que soit la localisation physique des données.

Le Cloud Act (23 mars 2018) : Son nom complet - Clarifying Lawful Overseas Use of Data Act, dit l'essentiel : il clarifie que la localisation physique des données est sans pertinence juridique pour les autorités américaines.

Le texte modifie le Stored Communications Act de 1986 pour permettre au DOJ, au FBI ou à toute agence fédérale habilitée d'adresser une injonction (warrant ou subpoena) directement à un opérateur américain, Microsoft, Google, Amazon, pour obtenir des données hébergées n'importe où dans le monde.

L'opérateur est légalement contraint de s'exécuter, sans pouvoir opposer le droit du pays d'hébergement. Il peut contester l'injonction devant un juge américain si elle crée un "conflit substantiel" avec le droit étranger, mais cette procédure est longue, coûteuse, et rarement aboutie.

Le FISA § 702 (Foreign Intelligence Surveillance Act, section 702). C'est un régime distinct et plus opaque. Il autorise la NSA à collecter, sans mandat individuel, les communications de ressortissants étrangers localisés hors des États-Unis, dès lors que ces communications transitent par des infrastructures ou des prestataires américains.

Contrairement au Cloud Act qui vise des données stockées et suppose une procédure contradictoire, le FISA § 702 permet une surveillance en flux, en amont, sans que la cible en soit informée ni qu'elle puisse s'y opposer.

C'est ce mécanisme que la CJUE avait identifié dans Schrems II comme rendant les garanties contractuelles (CCT) inopérantes en pratique.

La différence clé entre les deux. Le Cloud Act est un outil de réquisition judiciaire : une autorité demande des données précises à un opérateur identifié, dans le cadre d'une enquête.

Le FISA § 702 est un outil de surveillance préventive : il permet une collecte massive et continue, sans procédure individualisée, sur des flux de communication. Les deux se cumulent, et c'est leur combinaison qui rend la dépendance aux opérateurs américains structurellement incompatible avec une souveraineté numérique réelle.

schéma cloud act vs fisa 702

Pourquoi le droit français ne peut pas s'y opposer ? Le principe de souveraineté territoriale voudrait qu'une injonction américaine ne soit pas exécutoire sur le territoire français. Mais l'injonction ne vise pas l'État français, elle vise l'opérateur américain, qui est soumis à la juridiction fédérale américaine partout où il opère. Microsoft France ou AWS France sont des filiales dont la maison mère est américaine : elles ne peuvent pas désobéir à une injonction fédérale sans exposer le groupe à des sanctions pénales aux États-Unis.

Le droit français de blocage, la loi du 26 juillet 1968, dite "loi de blocage", interdit en théorie à une personne physique ou morale de communiquer des informations à des autorités étrangères en dehors des voies diplomatiques, mais son application aux filiales françaises de groupes américains reste très incertaine et n'a jamais véritablement été testée face au Cloud Act.

Le risque de rupture de service en cas de crise géopolitique ou de sanctions commerciales transatlantiques est devenu, en 2026, un scénario explicitement documenté par des responsables gouvernementaux français.

Avant :

Le risque de rupture de service en cas de crise géopolitique ou de sanctions commerciales transatlantiques est devenu, en 2026, un scénario explicitement documenté par des responsables gouvernementaux français.

Après :

Le risque de rupture de service en cas de crise géopolitique ou de sanctions commerciales transatlantiques est devenu un scénario crédible : le 30 avril 2026, le directeur général de l'ANSSI qualifiait devant l'Assemblée nationale la situation française d'"intenable" si les États-Unis venaient à couper l'accès à leurs technologies, et le précédent des sanctions contre Huawei en 2019 montre qu'un décret présidentiel américain peut suffire.

Enfin, le risque de non-conformité RGPD aggravé s'applique lorsqu'un sous-traitant américain traite des données personnelles sans garanties suffisantes au sens de l'article 46 du RGPD, une situation fréquente et largement sous-documentée dans les cabinets et legaltech de taille intermédiaire.

Le principe : Par défaut, transférer des données personnelles vers un pays tiers est interdit, sauf si le responsable de traitement ou le sous-traitant apporte des "garanties appropriées" permettant d'assurer un niveau de protection équivalent à celui garanti dans l'UE.

L'article 46 liste ces garanties acceptables : clauses contractuelles types (CCT) adoptées par la Commission européenne, règles d'entreprise contraignantes (BCR), codes de conduite approuvés, ou mécanismes de certification.

Application aux sous-traitants américains : Quand un cabinet d'avocats ou une legaltech utilise un prestataire américain, Microsoft 365, AWS, Salesforce, etc. Pour traiter des données personnelles de clients ou de salariés, il s'agit d'un transfert vers un pays tiers soumis à l'article 46.

En pratique, ces prestataires s'appuient quasi-systématiquement sur les clauses contractuelles types pour justifier leur conformité.

Le problème structurel : Depuis l'arrêt Schrems II (CJUE, 16 juillet 2020), la Cour de justice a invalidé le Privacy Shield et posé une exigence supplémentaire : les CCT ne suffisent pas si le droit du pays tiers, notamment le Cloud Act et le FISA § 702, rend ces garanties inopérantes en pratique.

Le responsable de traitement doit réaliser un Transfer Impact Assessment (TIA) pour évaluer si le droit américain neutralise concrètement les protections contractuelles. Si c'est le cas, le transfert est illicite, même avec des CCT en place.

Concrètement : Un cabinet qui héberge ses dossiers sur un cloud américain sans avoir réalisé ce TIA, ou dont le TIA conclut à une exposition au Cloud Act sans mesures compensatoires, est en violation caractérisée de l'article 46, exposé à une sanction CNIL pouvant atteindre 20 M€ ou 4 % du chiffre d'affaires mondial. C'est précisément la situation que la CNIL cible dans ses contrôles 2025-2026 sur les prestataires cloud.

schéma article 46 rgpd

L'utilisation de solutions qualifiées SecNumCloud, opérées par des acteurs de droit français ou européen non soumis à une juridiction américaine, constitue aujourd'hui la réponse juridiquement la plus robuste.

C'est précisément la situation que la CNIL cible dans ses contrôles 2025-2026 sur les prestataires cloud, comme elle l'avait démontré en sanctionnant France Travail à 5 millions d'euros pour manquement à l'article 32 du RGPD.

Elle ne relève plus d'un choix de confort technologique. Dans un contexte où la déontologie professionnelle des avocats impose la protection du secret des correspondances, le choix d'un opérateur cloud américain pour héberger des dossiers clients pourrait, demain, être contesté comme un manquement à cette obligation. La souveraineté numérique est en train de devenir une question de responsabilité professionnelle, et les textes sont déjà là pour l'étayer.

FAQ - Souveraineté numérique 2026

Qu'est-ce que la souveraineté numérique en droit ?

La souveraineté numérique désigne la capacité d'un État ou d'une organisation à maîtriser ses données, ses outils et ses infrastructures sans être soumis à une juridiction étrangère. Elle repose sur trois piliers : l'immunité au droit extraterritorial (Cloud Act, FISA), la capacité de substitution technologique, et la maîtrise des acteurs critiques de la chaîne informatique. Elle n'est pas définie par un texte législatif unique mais irrigue le RGPD, la directive NIS2 et les réglementations SecNumCloud.

Pourquoi le RGPD ne garantit-il pas la souveraineté numérique ?

Le RGPD encadre les traitements de données personnelles au sein de l'UE mais n'est pas opposable aux injonctions étrangères. Le Cloud Act américain de 2018 permet aux autorités fédérales américaines d'accéder aux données détenues par des opérateurs américains, quel que soit le pays d'hébergement. Une donnée stockée à Paris sur un serveur Microsoft reste accessible au FBI. RGPD et Cloud Act ont des objets distincts : ils ne se neutralisent pas.

Qu'est-ce que le Cloud Act et quel risque pose-t-il pour la souveraineté numérique française ?

Le Cloud Act (23 mars 2018) autorise les autorités américaines à exiger l'accès aux données détenues par tout opérateur de droit américain, indépendamment du lieu de stockage. Pour les organisations françaises utilisant Azure, AWS ou Google Cloud, ce texte crée une exposition directe : leurs données peuvent faire l'objet d'une injonction de divulgation sans recours effectif en droit français. L'hébergement géographique en France ne suffit pas si l'opérateur est américain.

Que change concrètement la migration DINUM pour la souveraineté numérique de l'État ?

Le 8 avril 2026, la DINUM a acté la migration de l'administration française de Windows vers Linux et imposé à chaque ministère un plan de réduction des dépendances technologiques américaines avant l'automne 2026. Le plan couvre sept domaines : OS, outils collaboratifs, cloud, IA, bases de données, virtualisation, équipements réseau, pour 2,5 millions d'agents à terme. La Gendarmerie (100 000 postes Linux depuis 2008) et la DGFiP (zéro licence Microsoft depuis 20 ans) servent de références.

La souveraineté numérique concerne-t-elle les cabinets d'avocats ?

Oui, directement. Un cabinet qui héberge ses dossiers sur Microsoft 365 ou un cloud américain expose le secret professionnel à une injonction Cloud Act. L'article 66-5 de la loi du 31 décembre 1971 protège le secret des correspondances avocat-client, mais cette protection n'est pas opposable à une injonction fédérale américaine visant l'opérateur. Par ailleurs, l'utilisation d'un sous-traitant américain sans Transfer Impact Assessment expose à une violation de l'article 46 du RGPD, comme la CNIL l'a démontré en sanctionnant France Travail à 5 millions d'euros pour manquement à ses obligations de sécurité.

Rédaction CTRLZed.