Souveraineté ou résilience ? Le Cigref recadre le vocabulaire numérique, et ça vise les DPO

9/6/26
👈 les autres actualités

Le Cigref vient de publier un appel à la « rigueur sémantique » qui peut paraître théorique, mais qui touche un nerf très concret pour les directions juridiques et les DPO : nous confondons souveraineté et résilience numériques, et cette confusion brouille la frontière entre ce qui relève de l'État et ce qui relève de l'entreprise. La formule de l'association résume tout : « la souveraineté numérique est une compétence qui s'exerce, la résilience numérique est une qualité qui se construit et se mesure ».

Ce qui s'est passé

Le Cigref, qui réunit les grandes entreprises et administrations publiques françaises autour du numérique, constate une « importation littérale » de la vision anglo-saxonne du concept de souveraineté. Or, rappelle l'association en convoquant Rousseau et l'économiste du XVIe siècle Jean Bodin, la tradition juridique continentale donne à la souveraineté « une tout autre épaisseur » : celle d'un pouvoir suprême, perpétuel et indivisible reconnu à l'État. Un concept politique transcendant, qu'on ne saurait « dissoudre dans des logiques de conformité » appliquées au secteur privé.

De cette distinction, le Cigref tire une répartition nette des rôles. À la puissance publique d'exercer la souveraineté numérique comme une politique structurée — et d'« assumer ses responsabilités dès lors que des intérêts privés les lui contestent ». Aux entreprises, en revanche, un mandat différent : la résilience numérique, au sens du règlement DORA, c'est-à-dire la capacité à construire et à maintenir dans la durée son intégrité opérationnelle. L'association s'appuie notamment sur l'article 3 de la Constitution pour ancrer la souveraineté du côté de l'État.

Pourquoi c'est important pour la conformité

Le débat n'est pas qu'académique. Depuis dix-huit mois, le vocabulaire de la « souveraineté » sature les appels d'offres, les labels cloud et les argumentaires commerciaux — souvent pour vendre des garanties que l'acheteur n'évalue jamais vraiment. Le récent paquet souveraineté technologique présenté par la Commission européenne et l'émergence d'échelles de souveraineté cloud à quatre niveaux montrent à quel point le terme est devenu un instrument de régulation à part entière.

Pour un DPO, la clarification du Cigref est utile parce qu'elle recentre la question sur ce qui est, lui, contraignant et mesurable. Le RGPD ne demande pas à une entreprise d'être « souveraine » : il lui demande, aux articles 28 et 32, d'encadrer ses sous-traitants et de garantir la sécurité des traitements. C'est exactement le terrain de la résilience. On l'a vu de façon spectaculaire avec le rapport montrant que 23 États européens sur 28 dépendent des géants américains pour des fonctions critiques de défense, malgré le label « cloud souverain » : la promesse marketing ne dit rien de la résistance réelle à une coupure extraterritoriale. Et le constat que seules 34 % des grandes entreprises françaises disposent d'un programme de gouvernance des données effectif rappelle que l'enjeu, pour le secteur privé, reste d'abord opérationnel.

Ce que ça change pour les organisations

Concrètement, cette grille de lecture invite les responsables conformité à trois réflexes. D'abord, traduire « souveraineté » en exigences vérifiables dans les questionnaires fournisseurs : localisation des données, gestion des clés de chiffrement, résistance au Cloud Act, préavis de réversibilité — plutôt que de se contenter d'un label. Ensuite, traiter la dépendance numérique comme un risque opérationnel au sens de DORA, en cartographiant les prestataires critiques et les scénarios de rupture, ce que les superviseurs européens ont commencé à documenter dans leur premier bilan des incidents ICT majeurs. Enfin, clarifier les responsabilités en interne : la résilience numérique n'est pas le seul problème de la DSI, elle engage le DPO et sa mission de conseil sur la conformité autant que le RSSI et la direction générale.

Le bénéfice est aussi rhétorique : un DPO qui sait distinguer ce qui relève de la politique publique de ce qui relève de son périmètre évite de promettre l'impossible à sa direction — et de se laisser vendre des garanties « souveraines » qui ne couvrent aucune obligation RGPD précise.

Ce que Leto pense de cette décision

Le Cigref a raison sur le fond : à force d'employer « souveraineté » comme un mot-valise, on a vidé la conformité de sa substance mesurable. Pour les entreprises, la bonne question n'est pas « suis-je souverain ? » mais « suis-je résilient, et puis-je le prouver ? ». C'est une exigence plus modeste, mais nettement plus exigeante — et c'est précisément celle que le RGPD, NIS 2 et DORA imposent déjà. La rigueur sémantique du Cigref n'est pas un débat de juristes : c'est un rappel que la conformité se construit avec des critères, pas avec des étiquettes.

Sources : Silicon.fr — « Souveraineté numérique : et si on recentrait le concept ? » ; Cigref.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026