Souveraineté numérique : définition, enjeux et réglementations

À l’heure où nos sociétés reposent de plus en plus sur le numérique, une question stratégique s’impose : qui maîtrise nos données, nos infrastructures et nos technologies ?

C’est le concept de la souveraineté numérique. Dans cet article, nous passons en revue les enjeux et les initiatives de l’Europe pour reprendre le contrôle de son espace numérique face aux grandes puissances étrangères.

La commission d'enquête du Sénat définit en 2019 la souveraineté numérique comme « la capacité de l’État à manœuvrer dans le cyberespace ». De manière plus large, elle désigne la capacité d’un État, d’une organisation, d’une institution ou d’un citoyen à contrôler son propre espace numérique. Cela inclut les données, les infrastructures informatiques, les logiciels et les flux d’information. 

Elle repose sur deux grands principes : 

• L’indépendance : pouvoir utiliser ses propres ressources technologiques sans dépendre de puissances étrangères.
• Le contrôle : garantir la maîtrise des données stratégiques et des infrastructures critiques.

Contrairement à la souveraineté classique, elle introduit des problématiques inédites, notamment liées à la sécurité des systèmes d’information, à la protection des informations privées et à la dépendance à des sociétés étrangères.

La souveraineté numérique ne peut pas être analysée sous un angle unique. Plusieurs approches sont nécessaires : géopolitique, économique, législative.

Sur le front juridique, la souveraineté numérique se décline de deux façons différentes : 

• Une approche libérale et préventive qui vise à sécuriser les droits des citoyens et ériger des barrières contre les pratiques abusives des géants du numérique ( exemple : le RGPD en Europe).
• Une approche plus autoritaire par laquelle l’État exerce une influence totale sur les plateformes digitales, avec des outils comme la censure (exemple : en Chine).

Sur le front économique et politique, la souveraineté numérique représente un outil stratégique qui permet aux États de rétablir un rapport de force face à des multinationales très puissantes dans les pays étrangers. Il s’agit d’éviter ou d’atténuer la dépendance, afin de maintenir son autorité sur son espace digital, sa capacité d’innovation et sa compétitivité.

Le concept a commencé à émerger avec l’essor fulgurant des GAFAM (Google, Apple, Facebook, Amazon, Microsoft), ainsi que de grands acteurs chinois BATX (Baidu, Alibaba, Tencent, Xiaomi). Toutes ces entreprises détiennent aujourd’hui une part écrasante des données mondiales, des clouds et des infrastructures en ligne. Face au pouvoir technologique colossal que cela représente, la question s’est alors posée : comment garantir la souveraineté numérique des États et la protection des citoyens dans un monde dominé par quelques entités privées et étrangères ?

Plusieurs facteurs rendent la souveraineté numérique cruciale : 

• Les risques géopolitiques

Une grande partie des moteurs de recherche, des clouds et des infrastructures de télécommunications sont contrôlés par des entreprises américaines (GAFAM) et chinoises (BATX). 

• La protection des données personnelles

Les citoyens doivent pouvoir avoir confiance en la gestion de leurs informations privées lorsqu’ils utilisent des applications et des sites web.

• La compétitivité économique

Contrôler les infrastructures digitales est la clé pour préserver l’innovation, la croissance et la compétitivité d’un pays.

• La sécurité nationale

Les technologies doivent être maîtrisées à l’échelle locale afin de préserver la sécurité des États. C’est d’autant plus important pour les secteurs stratégiques comme la santé, l’énergie ou encore la défense.

La souveraineté numérique occupe une place de choix dans les rivalités géopolitiques. En effet, lorsqu’une nation dépend d’infrastructures étrangères, son fonctionnement numérique devient vulnérable. Il y a des risques de pression politique, de restrictions commerciales, voire de sanctions technologiques. C’est pourquoi maîtriser son espace numérique est crucial, au même titre que son énergie.

Exemple concret : 

En 2019, les États-Unis ont interdit aux entreprises américaines de collaborer avec le géant chinois Huawei, à cause de risques d’espionnage pour le compte du gouvernement chinois. 

Pour se faire, le président américain Donald Trump a inscrit Huawei sur la “Entity List”. Cette décision a entraîné la suppression de la licence Android qui permettait l’accès aux prestations de Google (play store, Gmail, Google maps…), la rupture des relations avec des fournisseurs de puces (Intel, Qualcoom…), et la perte de la licence ARM qui était essentielle à Huawei pour fabriquer ses puces. Plusieurs pays européens ont ensuite été incités à limiter, voire interdire l’utilisation d’équipements Huawei dans leurs réseaux 5G.

Dans cet exemple, les États-Unis ont montré qu’ils pouvaient utiliser la dépendance technologique comme un pouvoir politique.

La maîtrise des infrastructures digitales et des technologies stratégiques conditionne aujourd’hui la compétitivité économique des États et des entreprises.

L’économie des données (datas)

Souvent qualifiées de “nouvel or noir”, les données sont devenues une ressource cruciale. Un problème économique notable se pose alors pour la Commission européenne, car elle nous informe que plus de 90% des datas occidentales sont stockées sur des serveurs contrôlés par des entités extérieures à l’UE. Elles sont en effet hébergées par des entreprises américaines ou chinoises. Les flux de datas génèrent des opportunités de croissance économique et d’innovation (IA, cloud, e-commerce…) qui échappent donc au contrôle des pays européens.

Par exemple, le cloud d’Amazon (AWS) possède près d’un tiers du marché mondial du cloud, selon Synergy Research Group 2024. 

Les infrastructures stratégiques

Sans maîtrise sur les infrastructures numériques, les entreprises européennes doivent acheter des services étrangers. Elles ne maîtrisent donc pas les coûts, et sont freinées dans leurs innovations.

Dépendance économique

Les GAFAM représentent l’écrasante majorité de la valeur de marché des grandes plateformes utilisées en Europe. Elles captent donc la plus grande partie des revenus issus du numérique. Pour l’Europe, l’impact économique est considérable et les PME européennes peinent à s’imposer face à la domination des géants étrangers.

La sécurité nationale

Les infrastructures digitales sont devenues aussi vitales que les routes, l’eau, ou encore l’électricité. Les administrations, les hôpitaux, l’armée, les entreprises : tous les secteurs cruciaux dépendent des réseaux de données, des clouds et de plusieurs logiciels pour fonctionner au quotidien. La souveraineté numérique répond à une problématique de sécurité, car si les datas sont contrôlées par des acteurs étrangers, les risques sont nombreux : piratage, vol, manipulation en cas de crise, espionnage…

Sans contrôle, l'État s’expose à des dangers comme des cyberattaques, des coupures d’accès, ou encore des fuites d’informations sensibles.

Selon l’étude de Yousign x Ipsos, 87% des répondants estiment que les menaces en cybersécurité sont plus importantes qu’avant. 78% des décideurs reconnaissent quant-à-eux la nécessité de choisir des solutions européennes.

Les innovations

La maîtrise des technologies numériques n’est pas seulement une question de sécurité, c’est aussi un facteur clé de compétitivité économique et géopolitique. Comme nous l’avons vu précédemment, les États entièrement dépendants de technologies étrangères perdent leur capacité à innover et à orienter leurs usages selon leurs propres valeurs. 

Les datas personnelles sont depuis plusieurs années une préoccupation majeure. Les clients et les utilisateurs de différentes plateformes en ligne ont à cœur de protéger leurs informations et souhaitent limiter leur utilisation par des tiers. Les entreprises doivent donc respecter des réglementations, afin de garantir la vie privée et la sécurité des données. C’est notamment la raison de la naissance du RGPD en 2018.

Quand les datas passent entre les mains d’acteurs non français ou non européens, elles peuvent être soumises à des lois étrangères qui n’ont pas les mêmes standards de sûreté. Des pratiques intrusives peuvent alors être appliquées, comme la surveillance, le profilage, ou encore la revente de datas à des fins politiques ou commerciales.

Toujours selon l’étude Yousign x Ispop 2025, 69% accordent de la valeur à l’éthique de leurs prestataires technologiques. Pour 33%, il s’agit d’un critère essentiel, et pour 36%, c’est un critère important parmi tant d’autres.

La souveraineté numérique est devenue une priorité stratégique pour l'Union européenne. Face à la domination technologique de puissances étrangères, l'Europe veut renforcer son autonomie numérique pour protéger ses citoyens, ses entreprises et ses infrastructures critiques. Depuis quelques années, l'UE multiplie les initiatives.

Le RGPD est entré en application en mai 2018. Il s’applique aujourd’hui à toute entreprise qui traite des informations appartenant à des citoyens de l’UE. Il garantit les droits fondamentaux suivants : 

• L’accès à ses données
• Le droit à l’oubli (effacement)
• La portabilité (transfert des informations d’un fournisseur à un autre)
• La transparence
• Le droit de s’opposer à certains traitements (profilage, marketing…)

Le DSA vise à créer un espace numérique européen plus sûr, en imposant des règles claires aux géants du web. Adopté en novembre 2022 et applicable depuis février 2024, le DSA entend moderniser les règles du numérique en protégeant les utilisateurs, l’ordre public et les droits fondamentaux. Ces règles s’appliquent à tous les intermédiaires numériques : 

• Fournisseurs d’accès à Internet
• Hébergeurs de contenu
• Plateformes en ligne (réseaux sociaux, moteurs de recherche, places de marché…)

Pour lutter contre le contenu illicite et préserver la sécurité de tous, le DSA impose que toutes les activités qui sont illégales dans la vie le soient également en ligne. Cela inclut donc l’incitation à la haine, le contenu pédopornographique, la commercialisation de produits illicites ou de substances dangereuses, le harcèlement, ou toute forme de violence.

Les grandes obligations sont les suivantes :

• Transparence des algorithmes
• Modération des contenus illicites
• Interdiction de certaines pratiques publicitaires
• Protection renforcée des mineurs

Les grandes plateformes comptant plus de 45 millions d’utilisateurs actifs par mois doivent respecter des règles plus strictes.

Le Digital Market Act est entré en application le 6 mars 2024. Il s’agit d’un règlement qui encadre les marchés numériques au sein de l’UE. La Commission Européenne définit certaines entreprises comme des “contrôleurs d’accès”et leur impose différentes obligations. Pour être considérée comme un contrôleur d’accès, une entreprise doit réunir les critères suivants : 

• Réaliser un chiffre d’affaires en Europe d’au moins 7,5 milliards d’euros au cours des trois derniers exercices et fournir des services essentiels dans au moins trois États membres.
• Avoir plus de 45 millions d’utilisateurs finaux actifs par mois et une moyenne de plus de 10 000 professionnels par an (dans l’UE).
• Avoir une position “solide et durable”, en cumulant les deux critères précédents pendant au moins trois ans.

Les entreprises concernées doivent se soumettre à plusieurs règles, telles que : 

• Permettre aux utilisateurs de changer facilement de fournisseur s’ils le souhaitent.
• Ne pas imposer de logiciel par défaut.
• Assurer l’interopérabilité des applications de messageries.
• Ne pas préinstaller des applications et des logiciels sur des appareils.
• Ne pas favoriser leur service et produit sur leur plateforme par rapport à des concurrents.
• Ne pas réutiliser les informations personnelles collectées pour d’autres prestations.

Le DSA est donc un puissant outil de régulation économique numérique pour l’Europe. En cas de non-respect du règlement, les géants du numérique s’exposent à des amendes allant jusqu’à 10% du chiffre d’affaires mondial, et 20% en cas de récidive.

Adoptée en novembre 2022, la directive NIS2 vient renforcer la première directive NIS de 2016, qui représentait le tout premier texte européen sur la cybersécurité. L’objectif est de renforcer les normes de sécurité des États membres pour faire face aux risques de cyber attaques. Elle impose des obligations strictes, notamment : 

• Des mesures techniques et organisationnelles de cybersécurité.
• Des notifications obligatoires des incidents.
• Une évaluation des menaces et une stratégie de gestion des risques.
• La responsabilité des dirigeants des organisations.
• Des sanctions en cas de non-respect des règles.

Plusieurs milliers d’organisations sont concernées : 

• Les entités essentielles : l’énergie, le transport, la santé, la finance, le numérique…
• Les entités importantes : télécommunication, gestion des déchets, agroalimentaires ou encore industrie manufacturière.

Grâce à l’amélioration de la cybersécurité, l’UE protège sa souveraineté numérique.

Le projet Gaia-X est né d’une initiative Franco-Allemande, avec le soutien de la Commission Européenne. Son objectif est de construire une infrastructure de cloud souverain à l’échelle européenne, afin de rivaliser avec les géants américains (AWS, Microsoft, Google Cloud…).

Pour ne plus dépendre des pays étrangers, GAIA-X se base sur trois grands principes : 

• La souveraineté des données : les utilisateurs gardent le contrôle sur leurs données (emplacement, accès, usage)
• L’interopérabilité et la portabilité : les services doivent être compatibles entre eux et ne pas dépendre du propriétaire.
• La transparence et la traçabilité : tous les clouds doivent respecter des normes claires.

Le projet est porté par une association basée à Bruxelles : la GAIA-X European Association for Data and Cloud AISBL. Elle coordonne plusieurs projets, comme : 

• Catena-X : écosystème cloud interopérable pour l’industrie automobile allemande.
• Structura-X : initiative regroupant plusieurs fournisseurs européens pour bâtir des infrastructures compatibles GAIA-X.
• Agdatahub : plateforme française de gestion souveraine des données agricoles.

Le projet GAIA-X participe activement à la volonté de l'UE de préserver sa souveraineté numérique, en créant une alternative crédible aux clouds dominants, avec un cadre juridique fort et sécurisé (RGPD, DSA, DMA). Il participe donc à l’indépendance stratégique de l'UE et à la capacité collective à innover.

L’European Chips Act sur les semi-conducteurs a pour objectif de favoriser la transition numérique et écologique, en renforçant la compétitivité de l’Europe dans les applications qui nécessitent des semi-conducteurs. Les semi-conducteurs sont des puces électroniques, indispensables dans de nombreux secteurs stratégiques (voitures automatisées, internet des objets, défense, supercalculateurs, informatique en nuage…).

On estime que 1000 milliards de puces électroniques ont été fabriquées dans le monde en 2020 et que l’UE détient seulement 10% du marché mondial. Dans une enquête, la Commission Européenne révèle que la demande pourrait doubler d’ici 2030. Il est donc crucial de s’imposer sur le marché, afin de répondre à la demande croissante et ne pas se faire écraser par les géants étranger.

Le règlement européen sur les semi-conducteurs vise donc à renforcer l’avance technologique en Europe, et ainsi contribuer à la souveraineté numérique. Pour cela, elle prévoit de : 

• Renforcer la capacité d’innovation dans la fabrication, le conditionnement et la conception des puces.
• Mieux comprendre les chaînes d'approvisionnement mondiales des puces.
• Instaurer un cadre afin de produire 20% des semi-conducteurs d’ici 2030.
• Lutter contre la pénurie de compétences et attirer de nouveaux talents.

Le Digital Decade 2030 est la feuille de route européenne pour la souveraineté numérique. Il s’agit d’un programme stratégique présenté par la Commission Européenne en mars 2021, puis adopté en septembre 2022, sous la forme du Digital Decade Policy Programme. Ce programme contient une liste d’actions concrètes autour de 4 piliers : 

Les compétences

• Former 20 millions de spécialistes du numérique, hommes comme femmes.
• Permettre à au moins 80% de la population de maîtriser les compétences de base.

Les infrastructures numériques sécurisées et durables

• 10 000 centres de données neutres en carbone.
• Couverture 5G complète dans toutes les zones habitées.
• Doubler la part de l’UE dans la production mondiale de semi-conducteurs de pointe.
• Premier ordinateur avec accélération quantique.

La transformation numérique des entreprises

• 75% des entreprises de l’UE doivent utiliser le cloud, le big data et l’IA d’ici 2030.
• Augmenter le nombre d’entreprises en expansion et doubler le nombre d’entreprises innovantes à forte intensité numérique.
• Plus de 90% des PME doivent atteindre un niveau élémentaire d’intensité numérique.

La numérisation des services publics

• 100% des services publics clés sont en ligne.
• 100% des citoyens peuvent accéder à leurs dossiers médicaux en ligne.
• 100% des citoyens possèdent une identité numérique.

Face à la dépendance croissante aux technologies étrangères, l’UE pose les bases d’un modèle numérique souverain, ouvert et respectueux des droits fondamentaux. Si les ambitions sont honorables, il reste toutefois du chemin à parcourir afin de concrétiser tous les objectifs dans les décennies à venir.