Souveraineté numérique : 29 propositions parlementaires pour sortir de la dépendance américaine
Une commission d'enquête parlementaire vient de chiffrer, avec une précision inédite, l'ampleur de la dépendance numérique française aux acteurs américains : 264 milliards d'euros par an pour les seules entreprises privées, et 1,5 milliard d'euros de commande publique. Remis le 8 juillet à l'Assemblée nationale, le rapport formule 29 propositions pour reprendre la main — de l'open source obligatoire dans les marchés publics à un moratoire sur les data centers non souverains. Pour les DPO et RSSI, ce texte est un signal clair : la conformité RGPD ne peut plus se penser sans une lecture géopolitique de la chaîne de sous-traitance.
Ce qui s'est passé
La commission d'enquête « sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l'indépendance de la France », présidée par le député Philippe Latombe, a mené six mois d'auditions avant de remettre son rapport à la présidence de l'Assemblée nationale. Le diagnostic n'est pas nouveau — il prolonge le rapport Longuet de 2019 et celui de Latombe lui-même en 2021 — mais le contexte change tout : le second mandat de Donald Trump, entamé en janvier 2025, et une stratégie de sécurité nationale américaine qui désigne désormais l'Union européenne comme un obstacle aux intérêts des États-Unis.
Le rapport chiffre la dépendance : selon l'Ugap, les acteurs américains représentent près de 80 % des achats logiciels des cinquante plus gros fournisseurs de l'administration française, concentrés autour de Microsoft, VMware et Oracle. Il documente aussi un fait resté peu commenté : au second semestre 2025, le gouvernement américain a adressé plus de 5 500 demandes de divulgation de données à Microsoft et plus de 60 000 à Google, qui y a donné une suite favorable dans 89 % des cas.
Pourquoi c'est important pour les DPO
Ce rapport parlementaire s'inscrit dans une dynamique déjà largement documentée par la veille Leto. La Commission européenne avait présenté en juin son paquet souveraineté technologique, avec son Cloud and AI Development Act et une échelle de souveraineté à quatre niveaux pour le secteur public. Le rapport FOTI d'avril, lui, montrait que 23 États européens sur 28 dépendent encore de Microsoft, Google et Oracle pour des fonctions critiques — y compris de défense.
Le point commun de tous ces textes, c'est qu'ils rappellent aux DPO que les garanties juridiques classiques (clauses contractuelles types, Data Privacy Framework) ne suffisent plus face au risque d'extraterritorialité du droit américain. Le cadre RGPD des transferts hors UE reste la brique juridique de base, mais l'analyse d'impact des transferts (TIA) doit désormais intégrer un scénario de rupture géopolitique, pas seulement une évaluation de la loi étrangère. C'est exactement ce que pointait déjà le référentiel allemand C3A du BSI, qui structure l'évaluation des prestataires cloud autour de la localisation des données et de la gestion externe des clés de chiffrement.
Ce que ça change concrètement pour les organisations
Plusieurs des 29 propositions, si elles sont reprises dans les textes annoncés pour l'automne, auront un impact direct sur les pratiques de conformité :
- Open source obligatoire dans les marchés publics dès 2030, avec une fondation dédiée (Flos) et un fonds de financement (Logic) — un enjeu de continuité de service autant que de conformité fournisseur.
- Généralisation des clauses d'entiercement et création d'une « clause de souveraineté finale » imposant, pour les fournisseurs structurants, la rétrocession des éléments techniques en cas de défaillance ou de revente.
- Une procédure de recours collectif au titre du RGPD, qui renforcerait le levier contentieux déjà utilisé pour les transferts vers des pays non adéquats.
- Un moratoire sur les data centers ne répondant pas à un impératif de souveraineté — pertinent alors que RTE a réservé 15 GW de capacité électrique pour ces projets, contre 1,4 GW pour des opérateurs strictement européens.
Pour un DPO ou un RSSI, la priorité immédiate n'est pas d'attendre l'échéance 2030 : c'est d'auditer dès maintenant la chaîne d'hébergement réelle de ses prestataires critiques, de documenter les scénarios de coupure dans le registre des risques, et d'intégrer ces éléments dans le questionnaire fournisseur et le TIA.
Ce que Leto pense de cette décision
Ce rapport a le mérite de chiffrer ce que beaucoup de DPO constatent déjà sur le terrain : la dépendance n'est plus un risque théorique, c'est une ligne budgétaire et un facteur de risque opérationnel. Mais l'échéance 2030 pour l'open source obligatoire, ou le renvoi des textes législatifs à l'automne et à l'hiver, laissent beaucoup de temps aux administrations pour ne rien changer. Notre conviction chez Leto : les organisations n'ont pas besoin d'attendre la loi pour agir — auditer sa chaîne de sous-traitance et mettre à jour ses TIA relève déjà des obligations RGPD existantes, indépendamment du calendrier politique.
Sources : Silicon.fr, Rapport de la commission d'enquête, Assemblée nationale

