De nombreux décideurs politiques reconnaissent désormais que la souveraineté numérique est devenue une condition préalable à l’autonomie démocratique au XXIe siècle. Le problème est que la plupart des pays s’appuient sur des infrastructures cloud et des plateformes logicielles détenues par une poignée de puissantes entreprises technologiques, principalement basées aux États-Unis, ce qui laisse les gouvernements à la merci de géants privés étrangers.
Un exemple frappant de cette dépendance s’est produit après que la Russie eut gravement endommagé les infrastructures de télécommunications de l’Ukraine en 2022, forçant le pays à utiliser Starlink, le système d’Internet mobile par satellite exploité par SpaceX, la société d’Elon Musk, à des fins de défense. Mais des informations parues par la suite ont révélé les risques inhérents au fait de confier des fonctions étatiques sensibles à des milliardaires de la tech: Musk a rejeté une demande visant à étendre la connectivité à la Crimée.
Cela ne concerne pas seulement la défense. Le rôle de plus en plus dominant des géants de la tech dans la fourniture de services publics essentiels s’étend des soins de santé et de l’éducation à la supervision bancaire et à l’administration fiscale. Ces entreprises contrôlent non seulement les serveurs, mais aussi la pile logicielle, la couche d’identité et les clés de chiffrement. Et en vertu du CLOUD Act de 2018, les autorités américaines peuvent contraindre les entreprises américaines à leur remettre les données qu’elles détiennent, quel que soit leur emplacement.
Pour remédier à cette vulnérabilité, l’Union européenne, l’Inde, les pays du Golfe, la Chine et d’autres gouvernements ont tenté de développer leurs propres industries et infrastructures numériques, bien que seule la Chine ait réussi à s’affranchir des technologies américaines. L’UE a également tenté de réglementer la sphère numérique. Après que la Cour de justice de l'Union européenne a estimé, dans son arrêt Schrems II de 2020, que les citoyens de l'UE ne disposaient d'aucun recours judiciaire efficace contre la surveillance américaine, l'UE a adopté la loi sur les données (Data Act) dans le but de bloquer ce type d'accès.
Pourtant, la dépendance s’accentue. Les fuites de données et les interruptions de service récurrentes aggravent les coûts de la domination persistante des géants de la tech: les processus démocratiques peuvent être influencés, des données sensibles peuvent être exposées et des services essentiels peuvent être perturbés.
Compte tenu de tout cela, l’accord conclu récemment par la Commission européenne avec OpenAI pour accéder à son modèle de pointe dans le but de détecter les vulnérabilités des infrastructures critiques est déconcertant. Cet accord remet en effet entre les mains d’un important sous-traitant américain du secteur de la défense une cartographie systématique des points faibles des hôpitaux, des universités, des réseaux énergétiques et des systèmes de transport européens – précisément le type d’informations que la loi sur les données, le règlement général sur la protection des données et la directive NIS2 ont été promulgués pour protéger.
Certes, l’IA a facilité la détection et l’exploitation des failles de sécurité, l’indice X-Force Threat Intelligence 2026 d’IBM faisant état d’ une hausse de 44% d’une année sur l’autre des attaques visant des applications accessibles au public. Mais une cartographie des vulnérabilités générée par un système unique soumis au CLOUD Act ne réduit pas cette surface d’attaque; elle concentre l’exposition en un seul point légalement accessible.
La même dynamique se produit ailleurs. Les ministères d’Amérique latine signent des contrats de cloud computing dont ils ne peuvent se dégager. Les systèmes de santé africains fonctionnent sur des plateformes étrangères dont les accords de niveau de service sont régis par des lois sur lesquelles ils n’ont aucun contrôle. Les autorités de surveillance financière d’Asie du Sud-Est dépendent de tableaux de bord développés à l’étranger pour surveiller leurs propres marchés. Et une fois qu’un tel système est construit autour d’un fournisseur particulier, la migration vers un concurrent est extrêmement difficile et coûteuse.
Les responsables gouvernementaux doivent faire face à la réalité de leur dépendance technologique et, en acceptant le fait que peu de pays hébergeront un jour un hyperscaler, déterminer le type de relation qu’ils souhaitent entretenir avec ceux qui existent déjà. Pour commencer, cela implique de dresser un tableau clair des services utilisés et des infrastructures sur lesquelles ils reposent, ainsi que de la législation et de la juridiction applicables, et des options de repli éventuelles. La plupart des gouvernements ne sont pas en mesure de répondre à ces questions simples concernant leurs propres systèmes. Tant qu’ils n’y parviendront pas, la souveraineté numérique restera un slogan.
Deuxièmement, les décideurs politiques doivent revoir en profondeur la manière dont ils négocient les contrats avec les entreprises technologiques. Actuellement, la plupart des gouvernements utilisent des modèles de contrats fournis par les fournisseurs, légèrement adaptés. Ils devraient plutôt considérer les contrats comme des instruments de droit public qui précisent la localisation des données en termes exécutoires, interdisent le transfert ultérieur, exigent la continuité opérationnelle en cas de sanctions ou de différends politiques, imposent une sortie portable et prévoient des sanctions significatives en cas de violation de ces conditions. Un contrat qui ne peut être opposé à une loi extraterritoriale n’est pas un contrat; c’est de l’optimisme.
Les marchés publics constituent un autre instrument sous-utilisé de la politique numérique. Les gouvernements achètent d’énormes quantités de services numériques. Chaque euro, real, roupie ou peso dépensé devrait être subordonné à des conditions d’interopérabilité, de normes ouvertes, de dépôt du code source pour les systèmes critiques, de droits d’audit et à l’obligation d’héberger certaines catégories de données dans les juridictions choisies par l’acheteur.
Quatrièmement, les responsables doivent mener des investissements à grande échelle dans les capacités nationales et régionales. Tous les pays n’ont pas besoin d’un cloud souverain, mais chaque région devrait en disposer. Le Land de Schleswig-Holstein, dans le nord de l’Allemagne, a démontré que la migration des charges de travail gouvernementales hors des plateformes étrangères est opérationnellement faisable. L’initiative «EuroStack», la campagne en faveur du cloud souverain menée par l’Inde, le cadre de politique des données de l’Union africaine et les accords transfrontaliers de l’Association des nations de l’Asie du Sud-Est vont tous dans le même sens. Le coût de la mise en place de telles capacités semble élevé, mais avec tant de services et de fonctions essentiels menacés, le coût potentiel de l’inaction est bien plus élevé.
Enfin, la formation de coalitions – blocs régionaux, groupes de démocraties de taille moyenne, voire clubs d’achat ad hoc – peut réduire l’asymétrie du pouvoir de négociation entre les gouvernements individuels et les hyperscalers. Les normes techniques partagées, les régimes d’audit conjoints et les lignes rouges communes ne sont pas très glamour, mais c’est ainsi que le pouvoir est rééquilibré. Si 20 pays exigent les mêmes clauses exécutoires, ces clauses deviennent la norme du marché.
La souveraineté numérique devenant une priorité pour les gouvernements, nous devons passer du «quoi» au «comment». Si les entreprises technologiques américaines ne sont pas près de disparaître, les décideurs politiques ont des moyens de riposter, notamment par le biais des clauses contractuelles. Ayant pris part à ces décisions, nous avons vu la rapidité l’emporter sur la diligence requise, simplement parce que l’outil est performant, que le fournisseur est sympathique ou que le délai est court. Mais les responsables disposent d’un levier; pour l’utiliser, il faut prêter attention aux clauses en petits caractères.
Copyright: Project Syndicate, 2026.