Le concept de souveraineté numérique a émergé au fil des ans  dans le débat public, jusqu’à prendre  une place  d'importance dans l’élaboration de la stratégie numérique de l’État. Contrôler les données et les technologies numériques afin de protéger les informations sensibles des citoyens, des entreprises et des agents est à l'évidence un sujet majeur au regard de l'évolution rapide et la place prise par les nouvelles   technologies dans les organisations de tous les secteurs. Le sujet avait déjà été évoqué par la cour en Avril dernier...elle vient de rendre public son rapport définitif.

Plusieurs constats, parmi lesquels :

• Certains ministères utilisent des solutions informatiques extra-européennes, parfois pour des données sensibles, au détriment de la souveraineté numérique. La plateforme des données de santé, hébergée depuis plus de cinq ans par une entreprise américaine, en illustre les limites. Par ailleurs, des opérateurs privés proposent des applications de service public sans être soumis aux mêmes obligations que l’État.
• Il n’existe pas de cartographie des données sensibles par administration, qui constituerait un référentiel permettant d’identifier celles dont la souveraineté doit être prioritairement préservée.
• L’adoption de l’informatique en nuage souveraine par les administrations reste limitée, les clouds internes de l’État peinent à atteindre une échelle suffisante et la conciliation entre les exigences de souveraineté et les impératifs de performance s’avère complexe.
• La DINUM pilote deux infrastructures souveraines que sont le réseau interministériel de l’Etat (RIE) et le dispositif d’identité numérique (FranceConnect). Ce sont des réussites mais des progrès sont encore nécessaires, notamment en matière de résilience.
• Au-delà de la maîtrise des données sensibles, l’État ne cherche pas la souveraineté totale, mais à établir un niveau de confiance suffisamment élevé en utilisant la commande publique, la mutualisation des achats et la validation par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour limiter les risques.

Les principales recommandations de la Cour de Comptes:

= A l'attention de la Direction interministérielle du numérique :

- Mettre en place en 2026 avec les ministères un calendrier de déploiement d’outils de bureautique et de communication respectant la souveraineté des données.

- À l’occasion de la révision de la feuille de route de la Dinum, intégrer une stratégie de souveraineté numérique qui définisse, notamment, les modalités de développement et d’exploitation des applications informatiques de l’État, et procéder à son chiffrage.

= A l'attention de la  Direction interministérielle du numérique , de  Direction générale des finances publiques, et du Secrétariat général du ministère de l’intérieur :

-Définir la trajectoire de convergence des clouds interministériels pour les rendre plus performants et augmenter significativement leur utilisation mutualisée par l’ensemble des ministères civils.

=A l'attention de la Direction interministérielle du numérique et  de l'Agence nationale de la sécurité des systèmes d’information :

- Veiller à ce que chaque ministère cartographie en 2026 l’ensemble de ses données sensibles à héberger de manière souveraine.

= A l'attention de la Délégation au numérique en santé :

- Assurer la souveraineté de l’hébergement des données de santé en alignant la certification « Hébergeur de données de santé » sur les exigences de la qualification SecNumCloud en matière de protection vis-à-vis du droit extra-européen.