Après plusieurs mois d'auditions, la commission d'enquête parlementaire sur les vulnérabilités numériques de la France a rendu son verdict mercredi. Elle déplore la dépendance massive aux géants américains et fait des propositions fortes pour bâtir une véritable souveraineté numérique.

La France reste encore très dépendante des géants américains du numérique. © Babaoui / Shutterstock
La France reste encore très dépendante des géants américains du numérique. © Babaoui / Shutterstock

La commission d'enquête sur les vulnérabilités numériques de la France a dévoilé ce mercredi 15 juillet un rapport sans concession sur la souveraineté numérique du pays. Elle a constaté que des administrations achètent toujours et encore leurs logiciels chez Microsoft, que trop de données sont stockées sur des clouds américains (et des serveurs distants qui hébergent parmi nos informations les plus sensibles), et que l'usage de l'intelligence artificielle est largement dominée par ChatGPT. Un diagnostic sévère fait par les députés, qui tracent aussi une feuille de route vers l'open source, pour reprendre la main.

Microsoft, VMware, Oracle, une dépendance française chiffrée en milliards

Sur les cinquante principaux fournisseurs de logiciels de l'Ugap, la centrale d'achat public, près de 80 % des achats profitent à des entreprises américaines. Microsoft, VMware et Oracle trustent la quasi-totalité de ces marchés. Au total, les administrations dépenseraient chaque année au moins 1,5 milliard d'euros dans des logiciels extra-européens, dont un milliard, selon les calculs des députés, pourrait basculer vers l'open source dès aujourd'hui, sans attendre le grand soir législatif. En face, la contribution des GAFAM à l'économie française reste dérisoire au regard de leur activité. Leur valeur ajoutée réalisée sur le territoire ne dépasserait pas 9 à 28 % de leur chiffre d'affaires, contre 42 % en moyenne dans le secteur des plateformes et du cloud, et 49 % dans celui des logiciels. Avec un impôt sur les sociétés jugé très faible au regard de leur activité, la taxe sur les services numériques chère à Bruno Le Maire, qui a généré 542 millions d'euros en 2025, apparaît aux yeux des rapporteurs comme une source de recettes désormais incontournable pour la collectivité.

Côté stockage, le constat fait par les députés de la commission présidée par Philippe Latombe n'est pas bien reluisant non plus. Malgré la doctrine officielle du « cloud au centre », censée protéger les données sensibles, certains ministères sociaux, la CNAF ou France Travail continueraient d'héberger des informations personnelles chez des géants américains. Les entreprises publiques ne sont pas en reste avec EDF, Enedis ou encore SNCF Réseau qui recourent massivement à AWS, Google Cloud ou Microsoft Azure pour leurs propres systèmes, alors même que certaines assurent des missions de service public critiques.

Les élus évoquent aussi longuement le sujet de l'intelligence artificielle, qui n'échappe évidemment pas à la règle. ChatGPT serait utilisé par 79 % des Français adeptes de l'IA, contre 14 % seulement pour le Chat de Mistral (devenu Vibe), pourtant tricolore. Un déséquilibre d'autant plus préoccupant que les lois américaines permettent aux autorités d'exiger l'accès aux données hébergées outre-Atlantique. Microsoft aurait ainsi reçu plus de 5 500 demandes de ce type au second semestre 2025, honorées à 75 %, quand Google en aurait reçu 60 000, honorées à 89 %. Plus inquiétant encore, les députés pointent un risque de, kill switch, où par de simples mesures de contrôle à l'export, Washington serait en mesure de couper l'accès à ses services numériques en Europe, comme on a pu le voir avec Fable 5 et Mythos 5. Une arme déjà mobilisée, selon eux, pour isoler numériquement le juge de la Cour pénale internationale Nicolas Guillou, et qui pourrait demain viser des parlementaires ou des responsables européens.

Pourquoi le RGPD n'effraie plus vraiment les GAFAM

Comment expliquer un tel enracinement ? D'abord par une régulation qui peine à se faire respecter. Le RGPD, censé protéger nos données personnelles, doit être appliqué par l'autorité du pays où l'entreprise a son siège européen. Or, la plupart des GAFAM ont installé le leur en Irlande. Voilà comment, sur les 3,5 milliards d'euros d'amendes prononcées par l'autorité irlandaise entre 2020 et 2024, à peine 0,6 % auraient été réellement payés par les entreprises sanctionnées, le reste demeurant, pour l'instant, lettre morte. Même constat au sujet du droit de la concurrence, qui doit en théorie sanctionner les abus de position dominante. Les 17 milliards d'euros d'amendes infligées aux GAFAM, dont 12 pour le seul Google, arrivent souvent trop tard pour freiner leur expansion. En France, la CNIL se montre plus mordante sur le terrain des cookies, ces petits fichiers qui traquent notre navigation en ligne, puisque sur les 953 millions d'euros d'amendes prononcées depuis 2019 pour protéger notre vie privée en ligne, 903 millions visaient déjà des plateformes extra-européennes.

Ajoutez à cela un lobbying efficace. Selon le rapport, les GAFAM auraient dépensé 35 millions d'euros en 2025 rien qu'en actions d'influence, en mobilisant plus de 200 représentants à Bruxelles pour décrocher près de 265 rendez-vous avec la Commission européenne, soit plus d'un par jour ouvré. Un travail de sape qui porterait ses fruits : dernier exemple en date, l'« omnibus numérique », un texte européen censé simplifier plusieurs réglementations existantes, mais que les rapporteurs accusent de créer de nouvelles brèches dans le RGPD au profit de ces mêmes géants extra-européens. Ses modifications s'inspireraient d'ailleurs très directement, selon le rapport, des contributions envoyées par les géants eux-mêmes lors des consultations publiques.

© Koshiro K / Shutterstock
© Koshiro K / Shutterstock

S'ajoute enfin une stratégie de verrouillage bien rodée, entre offres de crédits cloud pour appâter les entreprises et pénétration précoce dans les établissements scolaires (en sachant que l'Éducation nationale vient d'ailleurs, une nouvelle fois, de reconduire un contrat avec Microsoft) en passant par un réseau de prestataires informatiques que le rapport surnomme les « passeurs de technologie », chargés de convaincre leurs clients qu'aucune alternative européenne crédible n'existe. Même les data centers, présentés comme un symbole de souveraineté retrouvée, échapperaient largement à l'écosystème français. Sur les 15 gigawatts de capacités électriques déjà réservées, seuls 1,4 gigawatt profitent à des acteurs européens, l'essentiel du reste étant appelé à revenir en priorité aux hyperscalers.

L'open source, l'une des pistes évoquées par les députés pour reprendre la main

Quelles sont les solutions proposées par la commission ? Pour elle, place à l'open source et les logiciels libres dont le code informatique est rendu public, modifiable et réutilisable par tous, à l'inverse des solutions propriétaires comme celles de Microsoft. Elle propose que 100 % des achats de logiciels de l'État (donc les marchés publics) basculent vers le libre à partir de 2030. Elle appelle aussi à la création d'un crédit d'impôt dédié pour les PME, ainsi que d'une fondation « France Libre Open Source » chargée d'entretenir sur le long terme les outils numériques stratégiques développés par la puissance publique. Le rapport prend l'exemple où, dès le début des années 2000, la gendarmerie nationale a fait le pari de migrer ses ordinateurs vers Linux, un système d'exploitation libre et gratuit, en lieu et place de Windows. Un choix qui lui aurait permis d'économiser 534 millions d'euros depuis 2004, au point que seuls 1 054 postes sur les 80 000 qu'elle exploite tournent encore sous le logiciel de Microsoft.

Une autre piste serait de doter la France d'un véritable arsenal de souveraineté, avec des actions spécifiques de l'État dans des start-up qui ont le vent en poupe comme Mistral AI ou ChapsVision, une clause de souveraineté intégrée aux marchés publics, et le remboursement des aides publiques en cas de rachat par un acteur non européen. Les députés ont évidemment en tête l'exemple des modèles Mythos et Fable 5 d'Anthropic, dont nous parlions plus haut, temporairement bloqués cet été par l'administration Trump, pour illustrer ce risque bien réel de dépendance à des outils détenus par des acteurs extra-européens.

Enfin, la commission réclame un moratoire immédiat sur les projets de data centers qui profitent aux acteurs extra-européens, la fin des logiciels Microsoft dans les écoles au profit du libre, ainsi que la création d'un ministère du Numérique de plein exercice et d'une délégation parlementaire dédiée. De quoi, espèrent Philippe Latombe et Cyrielle Chatelain, transformer un diagnostic de leur point de vue très alarmant en véritable politique industrielle pour les années à venir.