Selon les observations de la Cour des comptes publiées le 31 octobre 2025, des progrès restent à effectuer, en particulier dans la connaissance et la cartographie des données sensibles.
Pour la Cour des comptes, le coût de la souveraineté numérique n'est pas particulièrement élevé mais requiert une volonté de généraliser des normes d'hébergement plus strictes concernant les données sensibles. Le montant des dépenses de fonctionnement et d’investissement réalisées par la Direction interministérielle du numérique (Dinum), en charge de la transformation numérique de l’État, est évalué, sur la période 2014-2023, à 40 millions d’euros (M€) annuels. La Dinum consacre, entre autres, un budget de 5,5 M€ à FranceConnect (en 2024). Le réseau interministériel de l'État (RIE), géré par la Dinum représente un effort budgétaire de 10 M€ par an.
Les failles des systèmes d'information civils de l'État
Dans certains domaines, comme l’éducation ou la santé, des entreprises privées manient des données sensibles et effectuent des missions qui pourraient être considérées comme relevant du service public. Par exemple, les données du ministère de l’éducation nationale sont hébergées via le cloud (nuage) dans des data centers (centre d'hébergement des données numériques) privés et situés hors de France.
De manière comparable, s'agissant des données de santé publique, la plateforme "Health Data Hub", regroupant des données médicales pseudonymisées à des fins de recherche, est hébergée par l'entreprise américaine Microsoft. Cet exemple illustre certaines incohérences dans la politique de l'État. De surcroît, ces données peuvent potentiellement être consultées par les États qui accueillent les data centers.
La Cour reconnaît aussi la difficulté pour la France de respecter l'obligation d'appliquer les règles du marché intérieur européen. L'État ne peut pas imposer des règles de souveraineté qui excluraient de manière trop large des marchés publics une entreprise installée dans un autre État membre. Pour répondre à cette difficulté, la "stratégie nationale pour le cloud", lancée par le gouvernement en 2021, met l’accent sur la notion de "cloud de confiance", qui se substitue à la notion de "cloud souverain" et ne vise plus seulement une solution de cloud interne, mais une solution permettant d’assurer une protection des données, fondée sur le SecNumCloud, et permettant de sécuriser l'hébergement, même s'il est réalisé par des acteurs extra-européens.
Quelles solutions pour mieux garantir la souveraineté numérique ?
La Cour recommande de diffuser la certification "Hébergeur de données de santé", alignée sur les exigences de la qualification "SecNumCloud", élaborée par l’Agence nationale de la sécurité des systèmes d'information (Anssi) et qui propose un ensemble de règles de sécurité à suivre par les prestataires de cloud. Cette qualification s’impose aujourd'hui à l’État pour l’hébergement de ses données sensibles, au titre de la loi du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (loi SREN) mais pas aux entreprises.
La France a aussi créé des solutions d’hébergement des données pour les ministères. Deux infrastructures ont été développées, d’une part, par le ministère des finances (cloud Nubo) et, d’autre part, par le ministère de l’intérieur (cloud Pi). Ces deux clouds sont peu utilisés, non seulement par les services des ministères qui les ont créés, mais aussi par les autres administrations. Ils ont mobilisé 55 M€. Toutefois, ces solutions pourraient être davantage appropriées par les services de l'État d'autant plus qu'elles représentent un coût modéré au regard de l'ensemble des dépenses numériques totales de l’État, d’environ 3 milliards d'euros par an.
La Cour recommande en outre, dès 2026 :
- de mettre en place, avec les ministères un calendrier de déploiement d’outils de bureautique et de communication respectant la souveraineté des données ;
- de cartographier les données sensibles à héberger de manière souveraine dans tous les ministères.
