À partir de la note doctrinale publiée par le Cigref en juin 2026, cet article propose de revenir sur une confusion devenue centrale dans le débat numérique : que désigne réellement la « souveraineté numérique » lorsqu’elle est appliquée à un État, à l’Union européenne, à une entreprise, à un fournisseur ou à un simple outil technique ? En distinguant souveraineté, autonomie stratégique, résilience, indépendance technique et maîtrise des dépendances, l’enjeu n’est pas de jouer sur les mots, mais de mieux comprendre les responsabilités de chacun : l’État et l’Europe lorsqu’il s’agit de décider, réguler, investir et protéger ; les organisations lorsqu’elles doivent assurer leur continuité d’activité ; les citoyens et les acteurs économiques lorsqu’ils cherchent à reprendre prise sur leurs choix numériques. Cette clarification permet aussi d’interroger un paradoxe : comment parler de souveraineté numérique européenne dans une Union composée d’États aux intérêts parfois divergents ?
Avant-propos
Avant d’entrer dans la note publiée par le Cigref, un détour par les mots paraît nécessaire. Non par goût de la nuance abstraite, mais parce que le vocabulaire employé dans le débat engage déjà une manière de penser l’action publique, les responsabilités des entreprises et la place des citoyens. Souveraineté numérique, autonomie stratégique, résilience, indépendance technique, maîtrise des dépendances, autonomie numérique : ces termes circulent parfois comme s’ils étaient interchangeables. Ils ne le sont pas tout à fait.
Le mot « souverain » vient de l’ancien français soverain ou suverain. Les dictionnaires le rattachent généralement à un latin populaire ou bas latin superanus (oui je sais…), dérivé de super, « au-dessus ». Le CNRTL signale toutefois une nuance étymologique : une forme voisine, supranus, dérivée de supra, est également évoquée, et le latin médiéval superanus pourrait être ce qu’on appelle une relatinisation.
Le terme apparaît dès le XIᵉ siècle. Son sens initial est très concret : ce qui se situe au degré le plus élevé, ce qui domine, ce qui occupe le sommet d’un ordre. On comprend alors pourquoi le mot a pu conserver plusieurs usages : un remède souverain désigne un remède d’une efficacité supérieure ; un État souverain désigne un État qui ne dépend pas juridiquement d’une autorité supérieure ; le souverain, dans l’ordre politique, désigne celui qui détient le pouvoir suprême.
Le mot « souveraineté », formé à partir de « souverain » avec le suffixe « -eté », apparaît quant à lui au XIIᵉ siècle. Il désigne d’abord ce qui est le plus élevé, le sommet, avant de prendre, à partir du XIIIᵉ siècle, un sens plus nettement politique : l’autorité suprême, le pouvoir suprême du souverain. Cette évolution est importante. La souveraineté ne désigne pas simplement la capacité de se débrouiller seul, de limiter ses dépendances ou d’agir avec une certaine autonomie. Elle renvoie à une autorité ultime, placée au sommet d’un ordre politique ou juridique.
Cette précision est nécessaire pour éclaircir directement le débat sur la souveraineté numérique. Si souverain signifie « au-dessus », et si souveraineté renvoie à l’autorité suprême, alors le mot se prête mal à certains usages devenus courants dans le numérique : cloud souverain, IA souveraine, datacenter souverain, logiciel souverain, offre souveraine. Ces expressions peuvent avoir une utilité commerciale ou pédagogique, mais elles brouillent souvent les pistes. Un outil n’est pas souverain par nature. Un fournisseur ne devient pas souverain parce qu’il est européen. Une infrastructure technique peut contribuer à une politique de souveraineté, ou renforcer la résilience d’une organisation, mais elle ne détient aucune volonté politique, aucune légitimité démocratique, aucune capacité d’arbitrage suprême.
La nuance est donc décisive. La souveraineté relève du pouvoir politique et de la capacité d’arbitrer :
- L’autonomie désigne la capacité à agir par soi-même.
- La résilience désigne la capacité à tenir malgré les chocs.
- L’indépendance technique désigne la capacité à limiter ou maîtriser ses dépendances.
- La réversibilité désigne la capacité à changer d’outil, de fournisseur ou d’infrastructure sans se retrouver prisonnier d’un choix antérieur.
Ces notions sont proches, mais elles ne disent pas la même chose.
La question n’est pas seulement lexicale. Elle est devenue politique. D’après mes recherches, l’une des premières occurrences structurées connues de l’expression « souveraineté numérique » apparaît en 2006 dans l’article « Souveraineté et réseaux numériques », rédigé par Bernard Benhamou et Laurent Sorbier dans la revue Politique étrangère.
Vingt ans plus tard, le malaise demeure. L’expression s’est imposée, mais son sens continue de glisser. Elle peut désigner une politique industrielle, une exigence de protection des données, un refus des dépendances technologiques, une volonté de relocalisation, un projet européen, une stratégie d’État, une promesse de fournisseur ou un simple argument de marque.
En général, je commence toujours par un petit laïus sur ce qu’est la souveraineté. C’est un très, très, très mauvais mot. La souveraineté, ça parle d’un suzerain, et c’est exactement l’état dans lequel on est dans la « tech », on a des gens qui nous dominent et, en fait, ce qu’on cherche, ce n’est pas vraiment la souveraineté. C’est l’autonomie. Autonomie numérique …
C’est pour ça, et moins souvent, je parle donc d’autonomie numérique, parce que l’important, c’est d’être capable de sortir, mais c’est aussi parce que, dans la tech, on a fait un truc complètement débile où on est fier de n’avoir qu’un seul fournisseur.
Et toi, tu te souviens, les 01net… : « J’ai fait mon move intégral sur microsoft, … ». Et en fait, quand tu vas, si, tu vas avec n’importe quel pote qui bosse chez Airbus, chez Renault, chez n’importe quel industriel, tu dis : « J’ai qu’un seul fournisseur. » Il te regarde, il te dit : « Mais vous êtes complètement fou », parce qu’en fait, tu veux plusieurs fournisseurs. Pour avoir différentes sources.
Et ça arrive très souvent, d’ailleurs, dans l’agglomération toulousaine, par exemple, où il y a quelques sociétés qui sont devenues très, très dépendantes d’Airbus et, en fait, c’est un problème pour Airbus. Et parfois pour Airbus, soit ils rachètent la société, soit, avec Bouygues, Dassault et Safran, ils forment un consortium pour acheter des boîtes qui sont les fournisseurs.
Mais, en informatique : « whaouu ou je suis trop content, je fais que du microsoft ».
Et évidemment, il y a une bonne raison pour ça, on n’est pas juste idiot, c’est qu’en fait, ça te permet de simplifier ton SI, d’avoir une conformité, d’avoir la sécurité et de réduire tes coûts. Mais quand même, c’est quand même très bizarre. Et donc, en fait, c’est arrivé. Et là, en fait, on se rend compte qu’on est vraiment très dépendant, très peu autonome.
Et c’est surtout sur la partie logicielle, parce que, par exemple, je l’ai vu chez Scaleway et plein d’autres avec tout ce qui est Open Compute Project (OCP), en fait, que t’achètes du SuperMicro, du Dell, Gigabyte, du Lenovo, c’est plus ou moins interopérable. C’est toujours « rackable », de la même façon, tu peux mettre électricité…
Et c’est d’ailleurs très, très étonnant. C’est que sur la partie cloud : les clouds souverains européens sont beaucoup plus alignés avec meta que les autres d’ailleurs, parce qu’eux, ne font pas de cloud. Mais bref …
Extrait de l’émission A la French : La vérité sans tabous sur la souveraineté numérique française, avec Jean-Baptiste Kempf, CEO de Kyber et président de VideoLAN / VLC
Ce flottement explique une partie des crispations. Le mot « souveraineté » n’est pas, historiquement, un mot d’extrême droite. Il appartient d’abord au vocabulaire républicain. La Déclaration des droits de l’homme et du citoyen de 1789 affirme que le principe de toute souveraineté réside essentiellement dans la Nation. La Constitution de 1958 reprend cette idée en disposant que la souveraineté nationale appartient au peuple, qui l’exerce par ses représentants et par la voie du référendum. Sur le fond, la souveraineté est donc une notion républicaine, démocratique et populaire. Elle signifie que le pouvoir ne vient ni du roi, ni d’une caste, ni d’un empire, ni d’un marché, mais du peuple constitué politiquement.
Pourtant, dans le débat public, le mot n’est pas assumé par tout le monde. Une partie de la gauche s’en méfie, non parce que la souveraineté serait par essence réactionnaire, mais parce qu’elle a souvent été captée par des discours où elle ne signifie plus seulement le pouvoir du peuple, mais aussi le repli national, la méfiance envers l’Europe, la fermeture migratoire, la priorité nationale ou la défense d’une identité culturelle figée. Le malaise vient moins du mot « souveraineté » que du glissement vers le « souverainisme », devenu beaucoup plus chargé politiquement.
La distinction est essentielle. La souveraineté peut être républicaine, démocratique, sociale, européenne, populaire. Le souverainisme, dans une partie de ses usages, renvoie davantage à une opposition frontale entre la Nation et l’Europe, entre les nationaux et les étrangers, entre le peuple et les élites, entre les frontières et la mondialisation. C’est de là, je suppose, que naît la crainte : celle de voir une souveraineté populaire se transformer en souveraineté identitaire.
Dans une souveraineté populaire, le peuple décide de ses lois. Dans une souveraineté identitaire, la première question est plutôt de savoir qui est vraiment « ce peuple ». Le basculement n’est pas anodin. Pour une partie de la gauche, la République doit rester un cadre d’égalité : droits sociaux, services publics, libertés publiques, justice fiscale, protection des travailleurs, accès aux biens communs. Lorsque la souveraineté sert à hiérarchiser les appartenances, à trier les droits ou à réserver la solidarité nationale selon des critères d’identité, elle change de nature. Elle ne parle plus seulement de démocratie, elle devient un instrument d’exclusion.
Cette inquiétude est renforcée par une bataille de perception. Dans plusieurs enquêtes consacrées à la souveraineté européenne, le terme apparaît comme politiquement ambigu. Beaucoup de citoyens ne l’associent ni clairement à la droite ni clairement à la gauche, mais lorsqu’une couleur politique lui est attribuée, elle penche plus souvent vers la droite. D’autres travaux montrent que la souveraineté réactive le clivage gauche-droite, tandis que la souveraineté européenne fait plutôt apparaître un clivage entre pro-européens et anti-européens. Cela explique pourquoi certains militants, décideurs, intellectuels ou responsables politiques de gauche avancent avec prudence : ils savent que le mot transporte déjà des connotations de puissance, de frontière, de nation, parfois de nostalgie.
Abandonner le mot serait pourtant une erreur. Le laisser entièrement à l’extrême droite reviendrait à renoncer à une partie du vocabulaire démocratique. Il existe une souveraineté républicaine parfaitement compatible avec une lecture sociale, européenne et ouverte du numérique : celle qui parle de contrôle démocratique, de services publics, de capacité industrielle, de maîtrise des infrastructures, de refus des monopoles privés, de communs numériques, d’interopérabilité, de transparence, d’open source et d’indépendance face aux grandes plateformes. Dans cette perspective, la souveraineté numérique ne désigne pas une fermeture au monde. Elle désigne la capacité collective de choisir et de rester libre.
Autre aspect : Parler de souveraineté numérique ne devrait pas signifier rejeter l’Amérique, ni construire un nationalisme technologique, ni de rêver d’une autarcie numérique (qui serait d’ailleurs impossible). Il s’agit plutôt de refuser les dépendances subies, les verrouillages invisibles, les chaînes techniques non maîtrisées et les asymétries de puissance qui privent progressivement les États, les organisations et les citoyens de véritables marges de décision. La souveraineté numérique, dans cette lecture, n’est pas une promesse de pureté. Elle devient une exigence de lucidité.
Et cette exigence suppose de distinguer plusieurs niveaux. La souveraineté numérique relève du politique : elle concerne l’État, l’Europe, la loi, la commande publique, la politique industrielle, les infrastructures critiques, la capacité normative. La résilience numérique relève des organisations : entreprises, administrations, collectivités, associations, qui doivent garantir la continuité de leurs services, sécuriser leurs données, diversifier leurs fournisseurs, documenter leurs dépendances et préparer leur capacité de migration. L’autonomie numérique relève davantage des citoyens, des petites structures et des usages concrets : choix d’outils, auto-hébergement, logiciels libres, sauvegardes, compréhension des services utilisés, capacité à quitter une plateforme.
Cette distinction permet aussi d’aborder une autre difficulté : que signifie exactement la « souveraineté numérique européenne » ? À première vue, l’expression semble entrer en tension avec une lecture stricte de la souveraineté. Si la souveraineté est une prérogative d’État, comment l’Union européenne pourrait-elle être souveraine alors qu’elle n’est pas un État fédéral complet et que ses membres conservent des intérêts industriels, diplomatiques, fiscaux et stratégiques parfois divergents ?
La contradiction n’est pas totale, mais elle existe dès que le mot est employé sans précision. L’Union européenne n’a pas une souveraineté originelle comparable à celle d’un État. Elle agit dans les domaines où les États membres lui ont transféré ou partagé des compétences. Il serait donc plus rigoureux de dire que les États européens exercent ensemble certaines compétences numériques au niveau de l’Union. Dire que « l’Union européenne est souveraine numériquement » est plus simple politiquement, mais plus fragile juridiquement.
Lorsque la Commission européenne parle de souveraineté technologique ou de souveraineté numérique européenne, elle semble employer le mot dans un sens stratégique et géopolitique. Il s’agit moins d’une souveraineté constitutionnelle que d’une capacité d’action : réduire les dépendances structurelles, développer des technologies critiques, sécuriser les infrastructures, renforcer la base industrielle européenne, soutenir l’open source, maîtriser les données et élargir les choix technologiques disponibles pour les entreprises, les administrations et les citoyens. Autrement dit, la Commission parle souvent de souveraineté là où l’on pourrait aussi parler d’autonomie stratégique, de capacité industrielle, de résilience technologique, de puissance normative ou de maîtrise collective des dépendances.
La vraie difficulté tient à l’absence d’un intérêt européen unique. La France peut défendre une politique industrielle plus affirmée. L’Allemagne peut arbitrer différemment selon ses intérêts exportateurs, ses dépendances industrielles ou sa relation aux États-Unis. Les pays baltes et la Pologne peuvent privilégier une lecture plus atlantiste, marquée par la menace russe. L’Irlande, les Pays-Bas ou le Luxembourg peuvent avoir des intérêts fiscaux et économiques qui ne se confondent pas avec ceux d’autres États membres. Certains pays privilégient la concurrence, d’autres la protection industrielle, d’autres encore la sécurité ou l’innovation de marché.
La souveraineté numérique européenne n’existe donc réellement que lorsqu’un compromis politique transforme ces intérêts divergents en action commune. L’Union européenne sait produire des normes : RGPD, DSA, DMA, AI Act, NIS2, DORA, politiques de cybersécurité, programmes de financement. Elle se montre souvent plus hésitante lorsqu’il s’agit de bâtir des capacités industrielles communes, de choisir des champions, d’assumer une préférence européenne ou de coordonner durablement des investissements lourds.
La formule la plus juste serait peut-être celle d’une souveraineté mutualisée, ou d’une souveraineté exercée en commun. Les États ne disparaissent pas. Ils reconnaissent simplement que certains enjeux sont trop vastes pour être traités seuls. Aucun État européen, même parmi les plus puissants, ne peut (pour l’instant) à lui seul peser durablement face aux hyperscalers américains, aux chaînes de semi-conducteurs asiatiques, aux plateformes globales ou aux normes technologiques imposées par d’autres blocs. L’échelle européenne devient nécessaire. Elle ne devient toutefois souveraine que si les États acceptent de coordonner leurs choix, leurs budgets, leurs marchés publics, leurs normes et leurs priorités industrielles.
La note du Cigref permet justement de clarifier ce point. Elle rappelle que la souveraineté n’est pas une qualité que l’on colle à un produit, à un fournisseur, à un cloud ou à une infrastructure. Dans les débats, on parle aussi de sovereign washing. Pour le Cigref, la souveraineté est une compétence qui s’exerce. Elle appartient à l’ordre politique. Elle suppose une puissance publique capable de décider, réguler, investir, protéger et arbitrer. Les entreprises, elles, ne sont pas souveraines : elles construisent leur résilience. Les citoyens et les petites structures, eux, peuvent développer leur autonomie numérique. Cette distinction ne ferme pas le débat, elle permet surtout d’éviter que chaque acteur soit renvoyé à une responsabilité qui ne serait pas la sienne.
Résumé de la note d’information du Cigref
Le Cigref part d’un constat : la souveraineté numérique est devenue omniprésente dans le débat public, mais son usage s’est brouillé. Le terme est désormais employé pour désigner des produits, des fournisseurs, des infrastructures, parfois avec une forte dimension marketing. Pour le Cigref, l’utilisation de l’expression « souveraineté numérique » pose problème, car elle mélange des réalités très différentes : nationalité d’un fournisseur, localisation des données, maîtrise technique, exposition aux lois extraterritoriales, réversibilité, indépendance stratégique, etc.
La thèse du Cigref tient dans une distinction claire : la souveraineté numérique ne se décrète pas par l’origine d’un fournisseur, la localisation d’une infrastructure ou la nature d’une technologie. Elle relève d’une compétence politique, exercée par la puissance publique, à travers la loi, la régulation, la capacité normative et les choix industriels. Une entreprise, un cloud, un centre de données ou un logiciel peuvent contribuer à une stratégie de souveraineté, mais ils ne sont pas souverains en eux-mêmes.
La notion que le Cigref veut mettre en avant pour les entreprises est plutôt celle de résilience numérique. Une entreprise ne serait pas souveraine; elle serait plus ou moins résiliente. Cela signifie qu’elle doit être capable de continuer à fonctionner malgré une cyberattaque, une défaillance de fournisseur, une rupture géopolitique, une hausse brutale des prix, un verrouillage propriétaire ou une loi extraterritoriale.
Le rapport critique aussi l’illusion d’une « pureté souveraine ». Pour le Cigref, une entreprise européenne peut très bien dépendre de marchés américains, de technologies non européennes ou de contraintes économiques mondiales. À l’inverse, un fournisseur européen peut lui aussi créer du verrouillage, pratiquer des hausses tarifaires abusives ou exploiter une dépendance client. Autrement dit : la nationalité européenne d’un fournisseur ne suffit pas à garantir une relation saine, réversible ou protectrice.
La conclusion de cette note : l’État exerce la souveraineté, les entreprises construisent leur résilience. La souveraineté suppose une politique publique de long terme : commande publique, politique industrielle, régulation, infrastructures critiques, capacité normative, coordination européenne. La résilience, elle, se mesure dans les choix opérationnels : continuité de service, maîtrise des dépendances, réversibilité, sécurité, capacité de migration, gouvernance des risques.
Comparaison avec la ligne éditoriale défendue ici
Globalement, la note ne contredit pas ce que je tente de défendre ici. Elle déplace et renforce l’usage du terme « souveraineté numérique » sur le plan sémantique.
Dans le manifeste que je propose, la souveraineté numérique est déjà indiquée comme une démarche politique, économique et culturelle liée à la maîtrise des outils, des données, des infrastructures et à la capacité de décider par soi-même. J’insiste aussi sur le fait qu’elle ne doit pas être pensée comme un slogan, un absolu ou une rupture totale, mais comme une construction progressive, lucide et concrète. C’est très proche de l’esprit du Cigref.
Mes articles vont aussi dans le sens d’une souveraineté par la réduction des dépendances : alternatives aux GAFAM, open source européen, auto-hébergement, LaSuite numérique, la solution grommunio, Proton, Actalis, réversibilité, standards ouverts, capacité de migration. L’objectif reste toujours le même : tester des outils, expliquer les dépendances, rendre le sujet accessible et relier les choix techniques à des enjeux politiques et citoyens.
Ma principale nuance avec le Cigref : il est vrai que j’utilise souvent le terme « souveraineté » dans un sens pratique et pédagogique, là où le Cigref veut le réserver à l’État. Par exemple, quand je parle d’une solution, d’un service ou d’une suite « souveraine », le Cigref dirait probablement : ce n’est pas la solution qui est souveraine, elle peut seulement contribuer à une stratégie de souveraineté publique ou renforcer la résilience d’une organisation.
C’est particulièrement visible dans l’article sur le rapport du CIANum. La souveraineté numérique y est décrite comme la capacité à choisir ses outils, changer de prestataire, récupérer ses données, comprendre ses dépendances et éviter l’enfermement propriétaire. Cette définition est cohérente avec mon approche, mais le Cigref la qualifierait plutôt de résilience, d’autonomie opérationnelle ou de maîtrise des dépendances, pas de souveraineté au sens strict.
Les points de divergence
Le premier point de divergence concerne les indices et scores de souveraineté. Le Cigref se méfie des indices qui prétendraient mesurer une « pureté souveraine ». Or, j’expérimente justement des méthodes d’évaluation : dépendances des sites, fournisseurs DNS, hébergement, certificats, prestataires, outils tiers. Ce n’est pas forcément incompatible, mais d’après le Cigref, il faudrait peut-être renommer ou recadrer ces tests. Le Cigref serait plus à l’aise avec des expressions comme score de dépendance numérique, indice de résilience, analyse d’exposition, cartographie des dépendances ou capacité de réversibilité. L’analyse sur les partis politiques parle déjà de souveraineté comme capacité d’action, de résilience et de maîtrise des données, ce qui pourrait facilement être rapproché de la doctrine Cigref.
Le deuxième point concerne les solutions européennes. J’essaye souvent de valoriser les alternatives européennes ou françaises lorsqu’elles réduisent une dépendance : LaSuite numérique, Proton, grommunio, Actalis, OVHcloud, open source européen. Le Cigref ne rejette pas cela, mais il ajoute une précaution importante : européen ne veut pas automatiquement dire réversible, loyal, robuste ou protecteur. Un fournisseur européen peut lui aussi enfermer ses clients. Cette nuance pourrait peut-être à l’avenir enrichir mes réflexions et articles, surtout ceux qui comparent des prestataires.
Le troisième point concerne l’open source. Je reconnais que je lui donne une place très importante, avec une vision optimiste : transparence, auditabilité, communs numériques, mutualisation, alternatives aux grands acteurs propriétaires. Le Cigref ne s’y oppose pas, mais sa note est moins militante sur l’open source : elle insiste davantage sur la responsabilité de l’État, la politique industrielle, la coordination et la résilience opérationnelle. En résumé : l’open source est souvent considéré ici comme un levier central de souveraineté. Pour le Cigref, il serait plutôt un instrument possible au service d’une politique publique ou d’une stratégie de résilience.
Le quatrième point est le rôle de l’individu et de l’auto-hébergement. Je pars souvent d’une expérience concrète : quitter Gmail, installer YunoHost, tester LaSuite, reprendre la main sur ses usages, documenter les erreurs. Le Cigref parle depuis le point de vue des grandes entreprises et administrations. Il ne nie pas l’intérêt de ces pratiques, mais son cadre est plus institutionnel : directions générales, conseils d’administration, État, Europe, politiques publiques, continuité des services critiques.
Conclusion
La note du Cigref ne dit pas que mon approche est fausse. Elle dit plutôt : attention à ne pas appeler « souveraineté » ce qui relève parfois de la résilience, de l’autonomie, de la réversibilité ou de la réduction des dépendances.
L’approche défendue ici se situe volontairement ailleurs : davantage du côté de la pédagogie, des essais concrets et des retours d’expérience accessibles au grand public. Le Cigref adopte une lecture plus doctrinale, juridique et institutionnelle. Ces deux approches ne s’opposent pas nécessairement. Là où je pars du terrain, des usages et des dépendances visibles au quotidien, la note du Cigref rappelle le cadre conceptuel et politique dans lequel ces pratiques doivent être replacées.
Vingt ans après l’article de Bernard Benhamou et Laurent Sorbier, la souveraineté numérique s’est imposée dans le débat public. Mais le terme ne fait pas encore consensus : son importance est largement reconnue, sans que son périmètre, ses responsabilités et ses implications soient compris de la même manière par l’État, l’Union européenne, les entreprises, les fournisseurs et les citoyens. L’expression a permis de nommer des dépendances longtemps invisibles, mais elle a aussi servi d’étiquette commode à des offres, des labels ou des discours parfois contradictoires. La note du Cigref intervient dans ce contexte : non pour disqualifier la souveraineté numérique, mais pour rappeler que le mot engage une responsabilité politique.
La meilleure évolution serait peut-être d’assumer cette formule : la souveraineté numérique appartient au politique, mais elle se prépare aussi dans des choix techniques, économiques et culturels qui renforcent notre résilience collective.
Laisser un commentaire