La Cour des comptes alerte sur la faible maturité des clouds ministériels Nubo et Pi, peu utilisés, limités fonctionnellement et insuffisants pour répondre aux enjeux croissants de souveraineté numérique. Elle recommande une stratégie plus cohérente, une définition claire des données sensibles et une convergence des infrastructures souveraines d’État.
La Cour des comptes publie un constat préoccupant sur la capacité de l’État à garantir une véritable souveraineté numérique. Dans son rapport consacré aux « enjeux de souveraineté des systèmes d’information civils de l’État », l’institution met en lumière un décalage persistant entre l’ambition affichée par la doctrine publique et la réalité opérationnelle des infrastructures utilisées par les administrations.
La Cour rappelle d’abord un point central : la France comme l’Europe ont perdu la maîtrise industrielle des matériels et des logiciels structurants. À cela s’ajoutent les risques juridiques liés aux législations extraterritoriales telles que le Cloud Act ou la section 702 du FISA, qui introduisent une incertitude majeure sur la protection des données hébergées par des acteurs soumis au droit américain.
Dans ce contexte, la Cour identifie un axe essentiel pour reconstruire une forme d’indépendance : la maîtrise complète des données sensibles, incluant leur hébergement dans des infrastructures souveraines.
Le rapport revient sur les deux principaux clouds internes à l’État : Nubo (ministère de l’Économie et des Finances) et Pi (ministère de l’Intérieur). Leur développement est qualifié de « poussif ». Les deux plateformes demeurent faiblement utilisées, y compris par les administrations qui les ont créées.
La Cour détaille plusieurs limites majeures : une palette de services restreinte, une disponibilité perfectible, une expérience utilisateur jugée insuffisante et une tarification mal alignée sur les besoins réels. Les capacités liées à l’intelligence artificielle apparaissent également insuffisamment développées.
Autre point critique : l’absence de cadre clair et cohérent pour qualifier la sensibilité des données publiques. La Cour cite notamment le cas du SIRH Virtuo, opéré par une entreprise appartenant à un groupe américain, alors même qu’il traite des données RH de l’Éducation nationale.
Elle souligne également l’incohérence entre deux projets portés par Bercy : le portail de facturation électronique, hébergé dans un environnement souverain, et la plateforme d’achat public, qui ne bénéficie pas du même niveau d’exigence.
L’affaire emblématique du Health Data Hub, initialement hébergé sur Azure, illustre selon elle les difficultés récurrentes de l’État à aligner doctrine, choix techniques et souveraineté.
Pour renforcer la cohérence de l’action publique, la Cour formule cinq recommandations structurantes. Elle demande notamment à la Dinum de définir, avec l’ensemble des ministères, un calendrier opérationnel visant à déployer des outils de communication et de bureautique respectant les exigences de souveraineté des données à l’horizon 2026.
Elle recommande également d’accélérer la convergence des clouds ministériels vers une architecture mutualisée, et de rapprocher les exigences imposées aux hébergeurs de données de santé de la qualification SecNumCloud délivrée par l’Anssi.
L’Anssi est en outre invitée à cartographier l’ensemble des données sensibles afin d’identifier celles qui doivent impérativement être hébergées dans des environnements souverains. Cette démarche doit permettre de clarifier la doctrine, de renforcer la cohérence des décisions ministérielles et de consolider une véritable autonomie numérique de l’État.