Cloud, logiciels, données, intelligence artificielle, infrastructures… Le rapport de la commission d’enquête sur les dépendances numériques de la France dresse un diagnostic sévère. Mais son principal enseignement n’est pas que nous utilisons trop de technologies étrangères. Il est que nous avons progressivement perdu la capacité de négocier, de migrer et parfois de continuer à fonctionner sans elles.
Le rapport de la commission d’enquête de l’Assemblée nationale sur « les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France » couvre un champ particulièrement large : logiciels de l’État, cloud, données, plateformes, intelligence artificielle, financement de la filière, open source ou encore data centers.
Pour les éditeurs, les ESN et les experts cybersécurité de Digital League, son intérêt dépasse largement la sphère publique. Il propose une grille de lecture utile pour toutes les organisations : une dépendance ne se mesure pas seulement à l’origine d’une solution, mais à la difficulté de s’en passer.
Le vrai sujet : l’absence de sortie de secours
Une entreprise peut utiliser une technologie étrangère sans être en situation de dépendance critique. Le risque apparaît lorsqu’elle ne peut plus raisonnablement :
- négocier les conditions commerciales ;
- récupérer ses données ;
- changer de fournisseur ;
- maintenir la solution ;
- ou continuer à fonctionner en cas d’interruption du service.
La souveraineté numérique ne consiste donc pas à tout produire et tout héberger soi-même. Aucun système d’information moderne ne fonctionne d’ailleurs en autarcie. L’enjeu est plus pragmatique : identifier les dépendances acceptables, celles qui doivent être réduites et celles qui pourraient arrêter l’activité. Le rapport fait ainsi passer la souveraineté du registre politique à celui de la gouvernance, de l’architecture et de la continuité d’activité.
Première surprise : la dépendance se cache dans les fondations
Les applications métiers des administrations sont encore largement développées en interne ou par des entreprises françaises et européennes. Néanmoins, la dépendance est beaucoup plus forte dans les couches supports : systèmes d’exploitation, bureautique, bases de données, virtualisation, cloud ou outils collaboratifs. Trois acteurs reviennent particulièrement dans le rapport : Microsoft, Oracle et VMware. Leurs technologies sont profondément intégrées aux systèmes d’information, parfois depuis plusieurs décennies.
La situation pourrait se résumer ainsi : nous savons encore aménager la maison, mais une partie des fondations, des serrures et du réseau électrique dépend de quelques fournisseurs. Ce constat concerne directement les éditeurs de DL. Un logiciel développé en France peut lui-même reposer sur un hyperscaler américain, une base de données propriétaire, un service d’identité étranger ou des composants difficiles à remplacer.
La nationalité de l’éditeur compte mais ne suffit pas. Il faut regarder l’ensemble de la chaîne de valeur.
La dépendance finit par apparaître sur la facture
Le rapport donne une traduction économique très concrète du verrouillage technologique. Il estime que les administrations publiques consacrent environ 1,5 milliard d’euros par an à des logiciels propriétaires extra-européens, dont une part importante pourrait être substituée par des solutions ouvertes. Ces estimations devront être affinées, mais elles illustrent un phénomène connu : plus une organisation s’enferme dans une technologie, plus le fournisseur récupère du pouvoir de négociation.
Le rapport cite notamment des hausses de prix importantes que l’on a connu chez VMware, alors que la migration vers une autre solution nécessiterait un effort considérable. Toute la mécanique du verrouillage tient dans cette équation : le prix augmente, mais sortir coûte encore plus cher.
Une solution numérique ne devrait donc plus être évaluée uniquement sur son coût d’acquisition ou d’abonnement mais aussi sur :
- la portabilité des données ;
- la disponibilité des compétences ;
- les interfaces propriétaires ;
- les coûts de migration ;
- la durée nécessaire pour changer ;
- et la capacité à maintenir un service pendant la transition.
Au coût total de possession doit désormais s’ajouter un coût total de sortie… !
Un data center en France ne rend pas automatiquement un service souverain
Autre enseignement important : la localisation ne doit pas être confondue avec la maîtrise. En effet, installer un data center en France apporte des bénéfices en matière de latence, d’emploi, d’infrastructures et parfois de protection juridique. Mais cela ne change pas automatiquement la nationalité de l’opérateur, le droit auquel il est soumis, la maîtrise de la technologie ou le contrôle des conditions contractuelles. Le rapport souligne ainsi qu’une grande partie des projets de data centers pourrait profiter aux hyperscalers. Le risque est donc que la France pourrait mobiliser son foncier, son réseau électrique et son énergie bas carbone pour héberger des infrastructures renforçant principalement des acteurs étrangers.
Une infrastructure physiquement française peut rester économiquement, techniquement et juridiquement dépendante. Pour les acheteurs, la bonne question n’est donc pas seulement : « Où sont mes données ? » mais aussi « Qui contrôle l’entreprise, la technologie, les accès, les contrats et la continuité du service ? ».
L’intelligence artificielle accélère l’empilement des dépendances
L’audition d’Arthur Mensch (déjà décryptée par Digital League), avait montré que l’IA ne repose pas uniquement sur un modèle. Elle dépend aussi des données, de la puissance de calcul, des composants, du cloud, de l’énergie, des talents, des capitaux et de l’accès au marché. Le rapport confirme cette lecture. Le développement de l’IA risque même de renforcer les acteurs qui contrôlent déjà le cloud et les principales couches logicielles.
Lorsqu’un éditeur intègre une fonction d’IA, il n’ajoute donc pas simplement une API. Il entre dans une nouvelle chaîne de dépendances :
- modèle utilisé ;
- prix des requêtes ;
- disponibilité du service ;
- localisation des traitements ;
- utilisation des données ;
- conditions contractuelles ;
- compatibilité future.
Avec l’IA agentique, le risque devient encore plus sensible. Un assistant qui génère un texte n’a pas le même impact qu’un agent capable d’accéder au système d’information, d’interagir avec plusieurs applications et d’exécuter des actions.
Pour les éditeurs, la performance du modèle ne peut donc pas être le seul critère. Il faut également vérifier si l’architecture permet de changer de fournisseur, d’utiliser une solution de repli et de conserver la maîtrise des données. C’était d’ailleurs le sujet traité lors de notre interclubs cyber x ia du 10 juillet dernier. Dans l’IA comme dans le cloud, la meilleure technologie du moment n’est pas toujours la meilleure architecture pour les cinq prochaines années.
L’open source : un levier, pas une solution automatique
Le rapport défend fortement le logiciel libre, les standards ouverts et les communs numériques. Il propose notamment d’utiliser davantage la commande publique pour soutenir ces solutions et accélérer leur diffusion. La direction est pertinente car un logiciel ouvert peut faciliter l’audit, l’interopérabilité, l’adaptation et la continuité au-delà de la vie commerciale d’un éditeur.
Mais l’open source ne résout pas tout à lui seul. Un code ouvert peut manquer de documentation, de contributeurs, de maintenance, de support ou de modèle économique. Il peut aussi être déployé sur un hyperscaler étranger ou dépendre de composants pilotés hors d’Europe.
Un dépôt de code n’est pas encore un service opérationnel. Pour passer à l’échelle, il faut des intégrateurs, des équipes de support, des compétences internes, une gouvernance et des financements durables. L’open source n’est donc pas une baguette magique mais une « capacité industrielle » à construire.
Les ESN ont un rôle décisif
Le rapport porte un regard critique sur les ESN, les cabinets de conseil, les distributeurs et les centrales d’achat, présentés comme des relais des technologies dominantes. La critique mérite d’être entendue car les certifications, les compétences disponibles, les accords commerciaux et les catalogues influencent fortement les choix technologiques.
Mais les ESN ne sont pas seulement un maillon du problème. Elles peuvent devenir l’un des principaux leviers de transformation. Elles peuvent :
- documenter plusieurs scénarios plutôt qu’une solution unique ;
- intégrer le coût de sortie dans les choix ;
- privilégier les standards ouverts ;
- organiser le transfert de compétences ;
- concevoir des architectures plus modulaires ;
- préparer des migrations progressives ;
- aider les éditeurs européens à industrialiser leurs solutions.
A l’heure où les ESN sont challengées sur leur propre transformation, leur business model, etc… il y à sans nul doute un levier ou un pivot à adopter.
La souveraineté ne se décrète donc pas dans un cahier des charges mais se construit dans les choix d’architecture, les contrats et la capacité à faire évoluer le système dans le temps.
La cybersécurité, un angle mort difficile à isoler
La commission a volontairement laissé la cybersécurité en dehors du cœur de ses travaux, considérant que d’autres textes et dispositifs traitaient déjà le sujet. Même si ce choix méthodologique est compréhensible, dans la pratique, dépendance numérique et cybersécurité sont difficiles à séparer.
Que se passe-t-il si un fournisseur :
- ne diffuse plus de correctif ;
- suspend un service ;
- change ses conditions d’accès ;
- rend une solution de sauvegarde indisponible ;
- bloque un outil d’identité ou de sécurité ?
Une dépendance technique peut devenir une vulnérabilité cyber. Et une crise cyber révèle souvent des dépendances que l’organisation n’avait jamais cartographiées.
Pour les responsables cybersécurité, la souveraineté ne doit donc pas être traitée comme un label mais comme un scénario de crise…un acte de résilience. C’est d’ailleurs le sens de nos actions « numérique responsable » mais aussi l’un des sujets de l’édition 2025 de Résil IT dont vous retrouverez le livre blanc dans notre blog.
Les limites du rapport
Le rapport apporte une vision macro particulièrement utile, mais plusieurs angles morts doivent être soulignés. Il reste d’abord très centré sur l’État et les grandes organisations publiques, alors que la majorité de la commande numérique est privée.
Les PME et ETI sont également peu analysées dans leurs contraintes concrètes : budget limité, absence de DSI, dépendance à un prestataire unique, difficulté à recruter et incapacité à financer des migrations longues.
Enfin, le rapport tend parfois à opposer trop directement les acteurs américains aux alternatives européennes.
Or une solution européenne peut, elle aussi, enfermer ses clients. À l’inverse, une technologie extra-européenne peut être intégrée dans une architecture maîtrisée, documentée et réversible.
La dépendance ne se lit pas uniquement sur un passeport. Elle se mesure dans les contrats, les architectures, les compétences et les scénarios de sortie.
Cinq actions à engager dès maintenant
Sans attendre une nouvelle réglementation, toute organisation peut commencer par cinq actions simples.
1. Cartographier les dépendances critiques : Quels services arrêteraient l’activité en moins de 24 heures ? Quels composants n’ont aucune alternative identifiée ?
2. Mesurer le coût de sortie : Combien de temps, de compétences et de budget nécessiterait une migration ?
3. Organiser la réversibilité : Les données sont-elles récupérables dans un format exploitable ? Les contrats et les architectures prévoient-ils une possibilité réelle de changement ?
4. Tester le mode dégradé : Que reste-t-il opérationnel si le principal fournisseur cloud, bureautique, d’identité ou de sécurité devient indisponible ?
5. Conserver les compétences essentielles : L’organisation dispose-t-elle encore des connaissances nécessaires pour comprendre, maintenir et faire évoluer son système d’information ?
Retrouver la capacité de choisir
Ce rapport est politique, parfois offensif, et certaines de ses propositions susciteront le débat, surtout à la veille des élections présidentielles, tant l’on voit déjà que les sujets souveraineté, IA et cyber ont le vent en poupe dans les interviews des candidats déclarés.
Mais son principal mérite est de déplacer la souveraineté numérique du terrain des intentions vers celui des dépendances concrètes. Pour notre filière régionale, l’enjeu est collectif. Éditeurs, ESN, intégrateurs, experts cyber, établissements de formation, laboratoires et acteurs publics disposent de briques complémentaires. Encore faut-il les articuler, faciliter leur intégration et leur donner accès au marché. C’est précisément le rôle que peut jouer Digital League : rapprocher ceux qui produisent, ceux qui intègrent, ceux qui sécurisent et ceux qui achètent.
L’indépendance totale est probablement inaccessible, mais la dépendance subie n’est pas une fatalité. Rappelons-nous que la souveraineté est une direction, l’autonomie est une capacité, et que cette capacité commence par une question simple : si nous devions changer demain, en serions-nous encore capables ?
Sources :
Rapport de la commission d’enquête : https://www.assemblee-nationale.fr/dyn/17/rapports/cenum/l17b3054-t1_rapport-enquete.pdf
Décryptage de l’audition d’Arthur MENSCH : https://www.digital-league.org/blog/dl-media-blog-12/audition-darthur-mensch-ce-que-le-debat-sur-lia-dit-vraiment-de-nos-dependances-numeriques-3305
La part du citoyen - Analyse des auditions et du rapport d'enquête : https://www.lapartducitoyen.fr/numerique-ia
Pour aller plus loin :
Compte rendu de l’interclubs « IA : comment concilier performance & souveraineté ? » : https://www.digital-league.org/blog/dl-media-blog-12/ia-comment-concilier-performance-et-souverainete-3333
Guide « Résil IT : mon entreprise résiliente » : https://www.digital-league.org/r/i51
Article "Que retenir de l’AI Safety Index et la note préoccupante de Mistral ?" : https://www.digital-league.org/blog/dl-media-blog-12/au-dela-du-classement-que-retenir-de-lai-safety-index-et-la-note-preoccupante-de-mistral-edition-ete-2026-3336