Au XXIe siècle, un pays qui ne maîtrise pas ses données, carburant de l’IA, sort de l’Histoire
Le ministère de l’Éducation nationale a révélé, le 23 mars 2026, un incident de sécurité majeur affectant les données personnelles de certains de ses agents (enseignants stagiaires du premier et du second degrés). L’accès frauduleux au système d’information « Compas » a été réalisé le 15 mars dernier, à la suite de l’usurpation d’un compte externe.
Cette nouvelle fuite massive, après celle survenue chez France Travail en janvier dernier, met en avant le caractère stratégique de la protection de nos données pour notre pays. Dans un monde de plus en plus digitalisé, nos données, qui irriguent toute la vie de la Nation, constituent le nouveau carburant de ce siècle, alimentant des systèmes d’intelligence artificielle (IA) susceptibles de générer des gains de productivité colossaux. Si nous ne maîtrisons pas ce carburant, ces gains partiront sous la forme de licences et de factures vers les opérateurs dominants, les GAFAM américains ou les BATX chinois. Si nous ne disposions pas d’hydrocarbures au XXe siècle, la maîtrise de cette nouvelle ressource cardinale pour le pays ne dépend que de nous !
Deux enjeux : cybersécurité et souveraineté
Dans ce nouveau combat décisif pour la France, plus de 60 ans après l’édification d’une industrie de défense et d’un nucléaire souverains, l’enjeu est double : cybersécurité et souveraineté.
La cybersécurité désigne l’ensemble des techniques, pratiques et outils mis en œuvre pour protéger les systèmes informatiques, les réseaux, les données et les utilisateurs contre les cyberattaques, les accès non autorisés, les sorties de données ou toute forme de menace numérique. Il faut ici rappeler que la principale faille est humaine : 60 % des fuites et compromissions impliquent un comportement humain (erreurs, mauvaises manipulations, hameçonnage, etc.). Par conséquent, il est impératif de former et de sensibiliser massivement les actifs, tant lors des formations professionnelles initiales que continues, mais aussi et surtout nos enfants, en consacrant pleinement les cours de technologie à partir du collège à l’hygiène informatique : programmation, maîtrise de ses données personnelles, comportements sur les réseaux sociaux, ingénierie sociale numérique, etc.
Une cybersécurité robuste ne suffit pas
Pour autant, une cybersécurité robuste ne suffit pas. Nos données doivent non seulement être protégées des actes malveillants à des fins frauduleuses, mais aussi des ingérences étrangères, notamment américaines. Il ne suffit pas que les données soient entourées d’une sécurité informatique solide ; il faut également que leur accès soit étanche à l’extraterritorialité du droit. Or, 70 % du marché de l’hébergement (cloud) en France et en Europe est accaparé par les trois géants Amazon, Google et Microsoft qui sont soumis au Cloud Act, au Foreign Intelligence Surveillance Act (FISA) et à l’Executive Order 12 333. Cela signifie concrètement que Washington peut accéder aux données qu’ils hébergent, indépendamment de leur localisation, pour des motifs liés à des enquêtes judiciaires, en dehors des canaux de coopération habituels, ou pour des raisons de sécurité nationale. Si les données de l’administration, par exemple celles relatives à nos impôts, restent encore massivement hébergées en propre (« on-premise »), la tendance est à l’externalisation afin d’y appliquer des couches logicielles permettant de faire fonctionner l’IA.
Nos données de santé : un trésor national insuffisamment protégé
La gestion de nos données de santé illustre cette dualité entre cybersécurité et souveraineté. Les praticiens de ville et de l’hôpital n’ayant pas l’obligation de renseigner le dossier médical personnel « Mon espace santé » géré par l’Assurance maladie, ils peuvent héberger eux-mêmes les données de leurs patients. Si les prestataires doivent être certifiés « hébergeurs de données de santé » (HDS), cette certification, qui atteste de la robustesse de l’offre en matière de cybersécurité, ne comporte pas encore de critères de souveraineté. Résultat : parmi les près de 300 sociétés et institutions certifiées figurent les trois géants américains précités. Les enjeux sont considérables car, outre l’utilisation de nos données de santé sans notre consentement, celles-ci, massives et stockées de manière homogène dans le temps, constituent un véritable trésor pour entraîner des systèmes d’IA et proposer ensuite des logiciels de prévention à nos praticiens et établissements de santé, permettant de détecter de façon beaucoup plus fiable et précoce certaines maladies comme les cancers.
Une application inégale du cadre légal entourant la protection de nos données sensibles
Le danger est donc systémique. Cela revient à laisser nos informations les plus sensibles à la portée d’une puissance étrangère, à des fins politiques comme économiques. Face à cette menace, la France a esquissé une réponse avec la doctrine « cloud au centre » à partir de 2018. Celle-ci impose le recours à des prestataires étanches au droit extraterritorial pour héberger les données sensibles de l’État et de ses agences. Ce critère est actuellement garanti par la qualification SecNumCloud délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Hélas, l’application de cette doctrine reste inégale, avec des interprétations parfois variables de ce qu’est une donnée sensible. Plusieurs ministères, comme celui de l’Éducation nationale, et des entités publiques diverses continuent ainsi de recourir à des solutions américaines, à l’image de la plateforme de données de santé (PDS) à des fins de recherche, plus connue sous le nom de Health Data Hub.
Les chevaux de Troie numériques américains : Bleu et S3NS
Mais une menace plus insidieuse encore apparaît : la qualification SecNumCloud imposant que le prestataire ne détienne pas plus de 25 % de capital extra-européen, les hyperscalers américains contournent cet obstacle en s’associant avec des entreprises françaises au sein de sociétés mixtes, avec une part très faible du capital. Ce sont les offres dites « hybrides » Bleu (Microsoft–Orange–Capgemini) et S3NS (Google–Thales). Derrière une façade tricolore, ces offres restent technologiquement dépendantes des géants américains de la tech. Même en prétendant respecter nos lois, elles mettent en péril notre autonomie stratégique. L’ANSSI, qui a accordé la qualification à S3NS, est peut-être en train de compromettre le développement d’un écosystème numérique souverain français, et cela dans une relative indifférence. Les acteurs publics et privés, rassurés par ce sceau officiel, risquent de basculer massivement vers ces solutions. Ce serait ouvrir la porte à une colonisation numérique durable, où les GAFAM s’installeraient sous couvert de partenariats avec des acteurs français.
La Gendarmerie nationale démontre qu’il n’y a pas de fatalité à la colonisation numérique du pays
Il existe pourtant des alternatives. La Gendarmerie nationale, dotée de solutions libres (« open source ») sous son contrôle, montre qu’il est possible d’opérer un écosystème numérique souverain et efficace, avec en outre des gains financiers conséquents : 2 millions d’euros par rapport à la Police nationale ne serait-ce que pour les licences de logiciels de bureautique. Grâce à la doctrine « cloud au centre » et à une qualification SecNumCloud réservée à des acteurs nationaux, ces derniers commençaient enfin à résister à la domination des GAFAM, malgré leurs pratiques de dumping, notamment dans le monde de l’éducation où ils proposent leurs offres gratuitement, habituant les plus jeunes à leurs outils.
Il n’y a rien à attendre d’une Union européenne soumise à Washington
Dans ce contexte, la France doit aujourd’hui faire preuve de la même ambition que dans les années 1960 pour l’armement et le nucléaire. Il serait illusoire d’attendre une protection européenne : l’Union reste très majoritairement alignée sur Washington, comme l’a montré l’accord d’adéquation signé en 2023 avec les États-Unis, autorisant le transfert de données de citoyens européens en échange de simples promesses de respect du règlement général sur la protection des données (RGPD). Aujourd’hui encore, et en dépit de l’électrochoc qu’a constitué pour Bruxelles l’élection de Donald Trump, la Commission a retiré en janvier dernier tout critère de souveraineté au Cyber Security Act 2, entamant le détricotage de l’European Union Cybersecurity Certification Scheme (EUCS), équivalent du SecNumCloud.
Ce qu’il manque : une volonté politique claire et ferme d’émancipation
Pourtant, la colonisation numérique que subit aujourd’hui notre pays n’a rien d’inéluctable. La protection de nos données sensibles, clairement cartographiées et confiées à des acteurs souverains soutenus par une commande publique exigeante, doit devenir le socle d’une véritable reconquête de notre souveraineté digitale. En effet, la France dispose déjà des compétences nécessaires : hébergeurs, éditeurs, intégrateurs, fournisseurs d’infrastructures. Les technologies existent. Ce qu’il manque, c’est une volonté politique claire et ferme de les soutenir au nom des intérêts supérieurs du pays. Il en va de notre indépendance et du rang de la France comme il y a 60 ans. Voulons-nous subir ou décider au XXIe siècle ?
Patrice Huiban est haut-fonctionnaire et Président de Nouvel essor français.
Lien vers l’article sur le site du journal en date du 30 mars 2026 : Au XXIe siècle, un pays qui ne maîtrise pas ses données, carburant de l’IA, sort de l’Histoire | Atlantico.fr.