La souveraineté numérique n’est plus un débat réservé aux experts. Elle s’invite dans la vie quotidienne, dès qu’un médecin saisit une information dans un logiciel, qu’un enfant rend un devoir sur Teams, ou qu’un agent public échange un document sensible par e-mail. Le 8 avril 2026, un chiffre a cristallisé ce malaise : 86 % des Français estiment que la France est trop dépendante des plateformes et acteurs numériques étrangers, selon un sondage EGE/Verian réalisé auprès de 1 003 personnes (29–31 mars 2026). Derrière ce pourcentage massif, il y a surtout une question très simple : qui contrôle vraiment nos données… et que se passe-t-il quand nos outils “du quotidien” dépendent d’une décision prise ailleurs ?

Pour comprendre ce que recouvre ce sentiment, il faut quitter les concepts abstraits et suivre trois scènes ordinaires : vos données de santé, l’école de vos enfants et votre messagerie professionnelle. Avec, en toile de fond, des règles juridiques américaines (Cloud Act, FISA 702) et des épisodes récents qui montrent que la question n’est pas théorique. Elle est déjà opérationnelle.

86 % d’inquiétude : un chiffre qui dépasse les clivages

Le sondage publié le 8 avril 2026 par l’École de Guerre Économique et Verian frappe par son amplitude : 86 % jugent la France trop dépendante des acteurs numériques étrangers. Dans le détail, le résultat est d’autant plus notable qu’il dépasse les clivages politiques habituels : la dépendance numérique est perçue comme un risque transversal, qui touche à la fois la sécurité, l’économie et la continuité des services.

Ce qui fait la force de ce chiffre, c’est qu’il repose sur des exemples concrets, déjà connus dans les cercles spécialisés, mais rarement racontés de façon simple. Un point de départ pour saisir cette dépendance consiste à regarder où vont les données les plus intimes : celles de la santé.

Pour le contexte complet du baromètre, l’article d’Acteurs publics détaille ce signal d’alarme et la façon dont il s’installe dans l’opinion : sondage sur les inquiétudes des Français concernant la souveraineté numérique.

Scène n°1 : vos données de santé… sur un cloud américain

Dans un cabinet médical, un rendez-vous se termine. Le médecin actualise un dossier, valide un traitement, enregistre un résultat. À l’écran, tout semble banal. Mais derrière, une question se pose : où vivent ces données ? Et sous quel droit ?

Le Health Data Hub, créé en 2019 pour faciliter l’usage des grandes bases de données de santé (recherche, épidémiologie, projets publics), est hébergé depuis l’origine sur Microsoft Azure. L’État s’est pourtant engagé dès 2020 vers une sortie progressive, en évoquant une trajectoire d’hébergement souverain. Six ans plus tard, le sujet reste brûlant. Un exemple cité de manière récurrente : les données concernant 10 millions de Français, dans le cadre du projet Darwin, liées à des usages de recherche pharmaco-épidémiologique.

À ce débat de souveraineté s’ajoute un débat d’efficacité : selon la Cour des comptes, le retour sur investissement du projet Azure pour le Health Data Hub aurait été révisé drastiquement, passant de 54 millions d’euros attendus à 500 000 euros réalisés. Autrement dit, le compromis « pragmatique » (choisir un grand acteur pour aller vite) n’a pas produit les bénéfices promis à la hauteur annoncée.

Début 2026, une migration vers un hébergement qualifié SecNumCloud a été relancée, avec un objectif affiché autour de 2027. Mais dans la perception citoyenne, ce calendrier ressemble à une éternité : en matière de santé, chaque année d’inertie pèse lourd, car elle normalise une dépendance.

Pour une mise en perspective précise de ce « cafouillage » et des annonces successives liées à la sortie d’Azure, cette enquête de L’Usine Digitale reste une base utile : comment l’État tente de sortir de l’impasse sur la souveraineté des données de santé.

Pourquoi ça change quelque chose, même si les serveurs sont “en France”

Une idée revient souvent : « si les données sont sur des serveurs situés en France, le risque disparaît ». En réalité, la question n’est pas seulement géographique. Elle est aussi juridique : une entreprise peut être soumise à un droit extraterritorial, même si elle opère localement.

C’est ici qu’arrivent deux acronymes qui font peur, mais qu’on peut expliquer simplement : le Cloud Act et le FISA 702.

Scène n°2 : votre enfant rend ses devoirs… dans l’écosystème Microsoft

Autre décor, autre quotidien : la salle de classe. Un professeur partage des documents, un élève dépose un fichier, une classe échange des messages pour préparer une présentation. Depuis la pandémie et l’accélération de la “continuité pédagogique”, de nombreux établissements ont basculé vers des suites collaboratives. Et, dans les faits, Microsoft 365 et Teams sont devenus des outils très présents.

En mars 2025, l’Éducation nationale a renouvelé un contrat-cadre avec Microsoft pour 152 millions d’euros, reconductible jusqu’en 2029, couvrant près d’un million de postes. Le chiffre, en lui-même, raconte une dépendance : un engagement lourd, pluriannuel, structurel, qui rend toute sortie compliquée.

La controverse est d’autant plus forte que l’État, par ailleurs, a multiplié les recommandations incitant les administrations à limiter le recours aux solutions américaines. Or l’école est précisément un lieu où l’on fabrique des habitudes : un enfant formé très tôt à un écosystème y reste souvent, ensuite, à l’université puis au travail.

Pour les détails sur ce renouvellement malgré les recommandations, L’Usine Digitale a documenté le dossier : l’Éducation nationale prolonge son contrat Microsoft pour quatre ans.

Des données “scolaires” qui ne sont pas anodines

On pourrait croire qu’il ne s’agit que de fichiers Word et de visioconférences. Mais, dans la réalité, une suite de travail scolaire agrège de multiples informations : identité, habitudes de connexion, contenus échangés, historiques, parfois des éléments liés à l’accompagnement pédagogique. Et, au minimum, elle installe une dépendance d’usage : si l’outil est central, sa disponibilité devient critique.

Plus un système est présent tôt, plus il devient invisible. Et plus il devient invisible, plus il devient difficile de poser la question de la souveraineté numérique sans passer pour “paranoïaque”. C’est pourtant exactement la question posée par les 86 % : une inquiétude de bon sens, liée à un sentiment de perte de contrôle.

Scène n°3 : votre messagerie pro… et la réalité de l’extraterritorialité

Troisième scène : le bureau. Un e-mail contenant un projet, un document juridique, des informations RH, un échange avec un client. Beaucoup d’entreprises françaises – et d’administrations – utilisent des solutions de messagerie et de collaboration liées à de grands éditeurs américains, parfois sans même savoir où se situe la frontière entre l’entité européenne et la maison-mère.

La dépendance est ici double :

• Technique : migration difficile, formats, interopérabilité, intégrations.
• Contractuelle : clauses, renouvellements, coûts, évolutions imposées.

Mais elle est aussi juridique. Et ce point, souvent mal compris, explique une part de l’angoisse citoyenne.

Cloud Act et FISA 702 : explication simple, sans jargon

Le Cloud Act (2018) : l’accès “au-delà des frontières”

Le Cloud Act est une loi américaine de 2018. Son principe : les autorités américaines peuvent exiger l’accès à des données détenues par une entreprise américaine, y compris si ces données sont stockées hors des États-Unis. Autrement dit, la localisation des serveurs ne suffit pas à elle seule à neutraliser le risque, si l’opérateur est soumis à la juridiction américaine.

Le FISA 702 : une collecte visant des non-Américains

La section 702 du FISA (Foreign Intelligence Surveillance Act) autorise des programmes de surveillance visant des non-Américains à l’étranger. Les débats portent sur l’ampleur potentielle de la collecte, les garde-fous, et la possibilité (ou non) pour un citoyen européen d’exercer un recours effectif au sens du droit européen.

Ces deux textes ne sont pas des “rumeurs”. Ils structurent un rapport de force : une entreprise peut être coincée entre des demandes d’un État et les obligations d’un autre. Et, dans ce choc, l’utilisateur – citoyen, élève, entreprise – est souvent le dernier informé.

Pour une lecture accessible mais documentée des renforcements et des enjeux autour du FISA, cet article du MagIT est une ressource utile : les États-Unis renforcent FISA, l’Europe réagira-t-elle ?

Le cas CPI (mai 2025) : quand un e-mail disparaît par décision externe

Il existe des exemples qui frappent parce qu’ils sortent du registre théorique. En mai 2025, Microsoft a supprimé le compte e-mail du procureur de la Cour pénale internationale (CPI), sous pression politique venant des États-Unis, selon les informations rendues publiques à l’époque. Ce fait a marqué les observateurs : ce n’était pas une fuite de données, ni un piratage. C’était un geste opérationnel : un compte effacé, donc un canal de travail neutralisé.

Pour un citoyen, c’est une scène facile à imaginer : si une institution internationale peut se voir couper l’accès à un outil, qu’en est-il d’une administration, d’un hôpital, d’une entreprise, ou d’un service public local ? La question n’est plus « est-ce que quelqu’un lit mes e-mails ? ». Elle devient : est-ce que mon service peut être stoppé, modifié, contraint par une décision externe ?

Une dépendance qui se mesure aussi en milliards d’euros

La souveraineté numérique, c’est aussi une histoire de budgets. Un ordre de grandeur revient souvent dans le débat : sur environ 4 milliards d’euros de dépenses IT annuelles de l’État, près de 2 milliards iraient à des acteurs comme Microsoft, SAP ou Oracle (chiffres souvent cités dans les échanges publics et les documents de place). À l’échelle européenne, le tableau est encore plus brutal : selon une estimation portée par le Cigref, 83 % des dépenses numériques européennes – environ 264 milliards d’euros par an – profiteraient à des acteurs non européens.

Ce prisme économique permet de comprendre pourquoi le sujet dépasse la confidentialité : il concerne aussi la capacité d’investissement en Europe, l’emploi, les écosystèmes industriels et la résilience des territoires.

Les alternatives : elles existent, mais demandent du courage et du temps

Dire “on n’a qu’à quitter Microsoft” n’est pas sérieux. Beaucoup de systèmes sont devenus complexes, interconnectés, et dépendants. En revanche, dire “il n’y a aucune alternative” n’est plus vrai. Plusieurs options se structurent.

SecNumCloud : une boussole, pas une baguette magique

La qualification SecNumCloud délivrée par l’ANSSI vise à garantir un niveau élevé d’exigences de sécurité et de contrôle, notamment pour les administrations et opérateurs sensibles. Neuf prestataires français sont qualifiés, dont OVHcloud et Cloud Temple. Cela ne règle pas tout (interopérabilité, outils, contrats, conduite du changement), mais cela donne un cadre lisible et exigeant.

La “Suite numérique” : l’État tente de reprendre la main

Côté services publics, l’État déploie progressivement La Suite numérique (dont Tchap pour la messagerie et des briques de communication et de collaboration open source) pour des centaines de milliers d’agents. La logique est claire : limiter les dépendances, maîtriser les conditions d’hébergement, et garantir la continuité de service.

L’IA : un nouveau champ de dépendance… ou de reconquête

Autre front : l’intelligence artificielle. L’émergence de Mistral AI, valorisée autour de 11,7 milliards d’euros dans les chiffres cités récemment, est devenue un symbole : un acteur français capable de compter. L’entreprise fournirait déjà un assistant IA utilisé par 10 000 fonctionnaires. Ici aussi, la question est simple : veut-on que les outils d’IA qui assistent la décision publique soient contrôlés, entraînés, hébergés et gouvernés hors d’Europe ?

Ce que chacun peut faire : gestes simples, effets réels

La souveraineté numérique ne se décide pas seulement à Paris ou à Bruxelles. Elle se joue aussi dans les choix du quotidien. Sans tomber dans le réflexe culpabilisant, quelques leviers existent.

À la maison (familles)

• Demander à l’établissement scolaire quelles solutions sont obligatoires et quelles alternatives existent (ENT, outils open source, modalités hors compte).
• Séparer autant que possible les usages : un compte scolaire dédié, des mots de passe robustes, une vigilance sur les autorisations.

Au travail (salariés, dirigeants, indépendants)

• Cartographier les dépendances : messagerie, stockage, visioconférence, CRM.
• Inclure des clauses de réversibilité et des tests de sortie dans les contrats.
• Évaluer des solutions européennes sur des périmètres progressifs (un service, une direction, un projet pilote) plutôt qu’un “big bang”.

Dans la sphère publique (citoyens, élus locaux)

• Demander de la transparence sur les choix d’hébergement et les prestataires, surtout pour les données sensibles.
• Favoriser, lors des achats publics, les exigences d’hébergement et de certification (ex. SecNumCloud) lorsqu’elles sont adaptées.

La question qui restera après le chiffre des 86 %

Le sondage EGE/Verian n’est pas seulement un signal d’opinion. C’est le reflet d’une intuition collective : le numérique est devenu une infrastructure vitale, au même titre que l’énergie ou les transports. Quand des données de santé restent sur un cloud américain, quand l’école organise ses usages autour d’un fournisseur unique, quand une messagerie peut être coupée sous pression politique, l’inquiétude n’est pas irrationnelle.

Ce qui se joue, au fond, n’est pas de “diaboliser” des entreprises étrangères. C’est de décider jusqu’où une démocratie accepte de déléguer la maîtrise de ses outils, de ses données et de ses services essentiels. Les alternatives existent. Le reste dépend d’un choix collectif : payer le prix de la dépendance… ou investir dans la capacité de sortir, progressivement, d’une vulnérabilité devenue visible.