Le terme de souveraineté numérique est employé pour décrire la capacité d’un État à compter sur ses propres ressources et outils numériques pour le fonctionnement de ses infrastructures et de ses services. Cela implique la mise en place de normes de sécurisation pour la protection des données, le contrôle des données, des infrastructures, des logiciels et des technologies. Il s'agit de limiter ainsi les risques de dépendance technologique vis-à-vis de pays tiers.
L’expression de souveraineté numérique est utilisée dès 2012 lors de la Conférence mondiale des télécommunications internationales, notamment par la Russie et la Chine qui revendiquent la restauration de leurs "droits souverains" sur la gestion du réseau et l’élaboration d’un traité international permettant de mieux partager les responsabilités. Toutefois, pour les États occidentaux, la situation change à la suite de l’affaire Snowden, en 2013. Les révélations relatives à l’espionnage généralisé au profit des intérêts politiques et économiques américains conduisent à une remise en cause profonde du système de gouvernance des espaces numériques, notamment lors de plusieurs sommets ou forums internationaux consacrés au sujet.
La souveraineté numérique est présentée aujourd'hui en France par l'État comme une "priorité stratégique" avec la création, en octobre 2019, d'une Direction interministérielle du numérique (Dinum) dont la mission est "de rendre l'État plus efficace, plus simple et plus souverain grâce au numérique".
Au niveau européen, la souveraineté numérique est axée sur la protection des données personnelles des citoyens avec le règlement général sur la protection des données (RGPD) en vigueur depuis 2018 et avec le Digital Services Act (DSA) depuis février 2024, dont l'objectif est de renforcer le contrôle démocratique et la surveillance des très grandes plateformes numériques pour atténuer les risques systémiques parmi lesquels la manipulation de l'information.
Au-delà de certains services de l'État pour lesquels il peut exister des alternatives numériques, un "embargo numérique" de la part des États-Unis pourrait poser un certain nombre de problèmes pour tous les pays de l'Union européenne (UE) :
- absence de chaînes de fabrication nationale ou européenne de smartphones ;
- manque de systèmes logiciels de téléphonie mobile indépendants des GAFAM (système Android ou iOS) ;
- services de communication aux mains des GAFAM (Whatsapp, Facebook, X...) ;
- nombreuses données européennes hébergées par AWS, filiale d'Amazon ou par Azure (filiale Microsoft) ;
- moyens de paiement détenus par Visa et Mastercard ;
- applications de navigation et de transport fondées sur des technologies américaines (GPS) ;
- nombreux usages d'intelligences artificielles d'origine américaine (Alexa, ChatGPT ou encore Gemini par exemple).
Publiées en octobre 2025, les observations de la Cour des comptes sur les enjeux de la souveraineté des systèmes d'information civils de l'État pointent aussi un certain nombre de faiblesses en matière de souveraineté numérique dont le manque de maitrise industrielle pour la fabrication des matériels (notamment la production de semi-conducteurs et de composants électroniques conçus et produits souvent hors UE) ou encore la domination du marché des clouds par les grandes entreprises américaines. Ces faiblesses passent également par :
- la résistance des utilisateurs à certaines pratiques (familiarisation aux outils existants tels que Teams ou Zoom qui empêchent d’envisager de recourir à d’autres logiciels, manque de perception des risques liés à la marchandisation des données privées) ;
- la complexité de l’intégration de plateformes souveraines dans l’écosystème existant dominé par les suites informatiques américaines (Microsoft, Google, Workspace…) ;
- le verrouillage par les fournisseurs (contrats à long terme, formats propriétaires, implémentation dans l’entreprise).
Au niveau national, c'est la Direction interministérielle du numérique (Dinum), placée sous l'autorité conjointe du Premier ministre et du ministre de l'action publique, de la fonction publique et de la simplification, qui a pour mission de coordonner les actions des administrations de l'État et celles des organismes placés sous sa tutelle en matière de numérique.
Ses moyens sont concentrés notamment autour de :
- l'open data (la mise en commun des données des services de l'État) ;
- les clouds (espaces informatiques en nuage pour le stockage et le partage des données) ;
- la sécurisation des systèmes d'information.
Elle pilote le développement de solutions logicielles telles que FranceConnect pour les citoyens, ou Tchap (messagerie instantanée), et LaSuite (solutions bureautiques alternatives aux applications des GAFAM) pour les administrations publiques.
Une circulaire de mai 2023 sur la doctrine d'utilisation de l'informatique en nuage par l'État indique qu'un système informatique traitant de données d'une sensibilité particulière doit respecter la qualification SecNumCloud dès lors que sa potentielle violation est susceptible "d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé et à la vie des personnes ou à la protection de la propriété intellectuelle". Les données d'une sensibilité particulière concernent les données qui relèvent de secrets protégés par la loi et les données nécessaires à l'accomplissement des missions essentielles de l'État.
Dans les secteurs spécifiques de la défense, la souveraineté numérique est confiée à l'Agence ministérielle pour l'intelligence artificielle de Défense (Amiad) et au Commissariat au numérique de Défense (CND).
Certains secteurs sensibles comme le ministère de l’intérieur ou le secteur bancaire disposent de clouds spécifiques (Nubo pour le ministère de l'intérieur et cloud Pi pour le secteur financier).
La souveraineté numérique peut passer par la mise en place de normes qui s'adressent aux hébergeurs de données prestataires de services cloud. La qualification SecNumCloud, élaborée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en 2016 se veut une réponse à la menace cybercriminelle et à l'application de lois extraterritoriales.
Pour ce qui est des communications gouvernementales, la résilience du dispositif est assurée par le réseau interministériel de l’État qui peut rester opérationnel même en cas de défaillance majeure d’internet.
Au niveau européen, le Digital Services Act (règlement européen sur les services numériques) encadre les activités des grands opérateurs en ligne. Cet encadrement concerne :
- les fournisseurs d’accès à internet (FAI) ;
- les services d’informatique en nuage (cloud) ;
- les boutiques en ligne (market places), les réseaux sociaux, les plateformes de partage de contenus... ;
- les grands moteurs de recherche utilisés par plus de 45 millions d'Européens par mois et désignés par la Commission européenne.
L’objectif est de veiller à ce que les opérateurs respectent les droits fondamentaux européens (protection des consommateurs et des enfants, liberté d’expression), les droits commerciaux, ainsi que les règles de non-ingérence démocratique.
Le DSA est gradué selon la taille des acteurs du numérique. Les très grandes plateformes doivent, par exemple, désigner un point de contact unique ou un représentant légal et coopérer avec les autorités nationales en cas d’injonction. Ces grandes plateformes ont une obligation de lutte contre les contenus illicites, de transparence en ligne sur les algorithmes utilisés, d’analyse des risques systémiques qu’elles génèrent…
Chaque pays de l’UE doit désigner un coordinateur national des services numériques. C'est l'Arcom, le régulateur de la communication audiovisuelle et numérique, ainsi que 20 autres services dont la Commission nationale de l'informatique et des libertés (CNIL), l’Autorité de la concurrence et l’Anssi qui assurent cette fonction en France.
Le DSA a des pouvoirs de sanction qui peuvent aller jusqu'à l'interdiction d'activité sur le marché européen.
D’autres instances européennes sont chargées de l'application de normes d’harmonisation des systèmes de cybersécurité selon les secteurs concernés.
Les risques liés à l'extraterritorialité du droit
L’extraterritorialité du droit est particulièrement développée aux États-Unis depuis la fin des années 1990. Elle peut concerner les secteurs du numérique de sorte que le droit américain s’applique pour les grandes entreprises comme Google, Apple, Amazon ou MIcrosoft qui opèrent hors du territoire des États-Unis. Par exemple, le Cloud Act américain peut autoriser l’Agence fédérale américaine à exiger des GAFAM qu’ils fournissent les données stockées sur leurs serveurs, quand bien même ces serveurs seraient situés sur le sol européen et qu'ils contiendraient des données nationales.
