Souveraineté numérique : la CNIL au cœur des enjeux européens et citoyens 

Vie des Entreprises

Dossier : Vie des entreprises | Magazine N°810 Décembre 2025

Souveraineté numérique, dépendance aux géants du cloud, enjeux éthiques : Marie-Laure Denis, présidente de la CNIL, décrypte les défis majeurs de la régulation et de la protection des données à l’ère du numérique, entre exigences nationales et impératifs européens.

Comment définissez-vous aujourd’hui la souveraineté numérique à l’échelle nationale ? Quels en sont les enjeux fondamentaux pour la France ?

Sans me risquer à redéfinir la notion de souveraineté, qui, d’Aristote à Louis Le Fur, a connu bien des développements philosophiques ou juridiques, je note qu’elle interroge le décalage qui peut être perçu entre la volonté politique de la nation et le pouvoir réel d’exercer cette volonté. Cette question s’est posée à de nombreuses reprises dans l’histoire, entre le pouvoir séculier et les institutions religieuses ; elle s’est posée hier face à la mondialisation et aux marchés financiers avec les crises de 2008 et 2012 ; elle se posera peut-être demain face aux crises environnementales ou face à l’omniprésence des systèmes d’intelligence artificielle.

Je note, en outre, la résurgence du terme dans le débat public sous des déclinaisons diverses : économique, financière, industrielle, énergétique, sanitaire, alimentaire et, bien sûr, numérique. Cette actualité de la souveraineté s’explique entre autres par les multiples défis qui se sont fait jour durant la crise sanitaire de 2020 et la période géopolitique troublée que nous connaissons.

Pour ce qui concerne le numérique, le premier obstacle à la souveraineté procède du constat d’une dépendance excessive aux grands acteurs extra-européens. Or cette dépendance ne fait que s’accentuer avec le recours croissant à l’informatique en nuage, où les acteurs américains détiennent 80 % du marché européen, et l’émergence des technologies d’intelligence artificielle. Elle soumet déjà les acteurs européens à des risques tangibles, tels que la perte de contrôle sur leurs données, les possibilités d’espionnage par des États tiers, voire l’éventualité effrayante d’une coupure de l’accès aux services numériques.

Les positions de l’administration américaine et des grandes plateformes numériques face aux textes européens visant à réguler l’espace numérique, tels que le Digital Service Act (DSA – règlement européen sur les services numériques), le Digital Market Act (DMA – règlement européen sur les marchés numériques), l’AI Act (règlement européen sur l’intelligence artificielle) ou même le règlement général sur la protection des données (RGPD), sont le signe évident d’un rapport de force qui repose sur cette relation de dépendance. Quand l’Union européenne veut définir des règles conformes à son modèle démocratique, elle s’expose, dans le contexte des tensions actuelles, à un conflit commercial.

Le second obstacle tient à la nature même de l’espace numérique qui, depuis 1983 et la « naissance » d’Internet, est international en plus d’être virtuel. En d’autres termes, le territoire sur lequel la souveraineté est supposée s’exercer ne peut être contenu dans les frontières matérielles des États, ni de l’Union européenne. Bien qu’il s’agisse là d’une banalité, elle se traduit de manière très concrète dans les analyses menées par une autorité telle que la CNIL. La question de la compétence à encadrer ou sanctionner tel ou tel acteur extra-européen, pour ne prendre que cet exemple, se pose régulièrement, notamment au regard des critères de rattachement d’un service numérique à un territoire, que ce soit par l’emplacement d’un siège d’entreprise ou d’une infrastructure numérique.

L’existence de ces deux obstacles a donc un impact sur la capacité de l’Union européenne ou de la France à garantir l’application des cadres dont elles se sont dotées pour protéger les droits et libertés de leurs citoyens dans l’espace numérique, dont le RGPD et la loi Informatique et Libertés font partie intégrante. C’est ici que les préoccupations de souveraineté et de protection des données personnelles se rencontrent.

Dans quelle mesure la CNIL peut-elle accompagner l’ambition de souveraineté des entreprises et des administrations, face à la domination des acteurs du cloud et des big tech  ?

De manière plus concrète, cela a conduit la CNIL à prendre position, dans le champ de ses compétences, sur des sujets qui ont trait à la souveraineté.

L’exemple le plus évident est celui du recours à l’informatique en nuage. La CNIL s’est opposée depuis l’origine à l’hébergement de l’intégralité du système national des données de santé par un acteur qui ne présenterait pas les garanties suffisantes en termes de souveraineté.

“La CNIL s’est opposée depuis l’origine à l’hébergement de l’intégralité du système national des données de santé par un acteur qui ne présenterait pas les garanties suffisantes en termes de souveraineté.”

Car même si les données en question demeurent en Europe, voire en France, il apparaît impossible de les prémunir complètement contre les risques d’accès par un État étranger, dès lors qu’elles sont hébergées par une entreprise américaine soumise à des lois à portée extraterritoriale. S’agissant de données aussi sensibles, qui couvrent l’ensemble de la population française, la CNIL considère que l’existence d’un tel risque constituerait une atteinte disproportionnée aux droits fondamentaux. Toutefois, cette position ne résulte pas d’une application mécanique des obligations du RGPD : elle fait entrer en considération une appréciation en l’espèce des risques pour les personnes concernées.

Pensez-vous que les dispositifs tels que le RGPD participent entièrement à cette souveraineté, ou posent-ils eux-mêmes de nouveaux défis ?

Le RGPD ne constitue pas, à lui seul, un outil suffisant pour déterminer les données et traitements qui devraient recourir à une infrastructure exclusivement souveraine. Cette question est davantage politique et relève d’un choix stratégique. C’est un cap que le législateur a commencé à définir avec la loi visant à sécuriser et à réguler l’espace numérique, qui introduit l’obligation pour les systèmes d’information de l’État recouvrant une certaine sensibilité de recourir à un cloud souverain. Mais, de manière évidente, l’enjeu ne se limite pas aux données de l’État : il concerne l’ensemble des acteurs publics et privés. La CNIL accompagne cette prise de conscience, que ce soit à travers les avis qu’elle rend au gouvernement, les autorisations qu’elle délivre dans le domaine de la recherche en santé ou les demandes de conseils qu’elle reçoit des acteurs privés et des collectivités territoriales.

La France est-elle (encore) capable de peser sur la scène internationale ? Comment la CNIL collabore-t-elle avec d’autres autorités à l’étranger pour préserver une vision européenne ou francophone de la souveraineté ?

L’action des autorités de protection des données s’inscrit avant tout dans une vision européenne. Le RGPD définit un cadre de coopération entre les autorités, en particulier à travers le comité européen de protection des données (CEPD). Au-delà de permettre une application harmonisée du texte, le CEPD permet aux autorités de se positionner collectivement sur des enjeux d’intérêt commun. La CNIL est particulièrement active dans ce cadre, ce qui lui permet de projeter son influence au sein des autorités, mais également au-delà, sur les sujets européens qui ont un impact sur la vie privée.

Pensez-vous que la souveraineté numérique puisse encore être pensée à l’échelle d’un État seul, ou doit-elle désormais être co-construite avec d’autres acteurs ?

C’est au niveau européen que j’ai envie de positionner les enjeux de souveraineté. En particulier, dans le prolongement de mon propos sur l’informatique en nuage, la CNIL a appelé publiquement à ce que le projet de certification européen sur la sécurité du cloud, EUCS, intègre à un certain niveau des critères permettant de protéger les données contre l’accès par des autorités d’États extra-européens. Sur un autre sujet, celui du futur portefeuille d’identité numérique, la CNIL est engagée aux côtés d’autres administrations pour faire en sorte que les solutions qui se déploieront seront non seulement protectrices de la vie privée, mais également maîtrisées, autant que faire se peut, par des acteurs européens.

Cette inscription européenne ne doit rien enlever aux efforts nécessaires pour influer à un niveau international, ce à quoi la CNIL a la faculté de contribuer à travers différents canaux tels que la Global Privacy Assembly ou le G7 des autorités de protection des données. L’enjeu dans ces cadres n’est pas tant celui de la souveraineté que de s’accorder sur des principes communs qui doivent guider l’approche des technologies et usages émergents.

Comment la CNIL jongle-t-elle entre la volonté d’encourager l’innovation (data, IA, blockchain…) et la nécessité d’établir des garde-fous pour préserver la souveraineté des citoyens ?

La tension perçue entre l’objectif de protection de la vie privée et l’innovation est une source intarissable de questionnements à l’égard de l’action de la CNIL, dont j’ai pleinement conscience. Les préoccupations légitimes sur la compétitivité de l’Europe, dans le sillage du rapport Draghi, suscitent des velléités de simplification des règles, parmi lesquelles le RGPD, entre autres. Ces réflexions sont utiles, mais il me semble qu’il faut dans le même temps ne pas réduire le débat à une opposition entre règlementation et compétitivité. Les cadres dont l’Union européenne s’est dotée sont, au contraire, le moyen d’orienter l’innovation vers ce qui est collectivement défini comme socialement souhaitable et vertueux. La comparaison avec d’autres modèles hors de l’Europe peut nous conforter dans cette idée.

“La tension perçue entre l’objectif de protection de la vie privée et l’innovation est une source intarissable de questionnements à l’égard de l’action de la CNIL, dont j’ai pleinement conscience.”

D’ailleurs, l’anticipation et l’accompagnement de l’innovation font partie intégrante des missions de la CNIL. C’est à la fois une volonté – celle de promouvoir les usages numériques vertueux au service des personnes – et une nécessité, pour que l’autorité soit en mesure d’exercer efficacement ses missions dans un contexte où les technologies et usages évoluent rapidement. La CNIL a mis en place au cours du temps de nombreuses actions en ce sens.

Ainsi, dans le cadre de sa mission d’accompagnement, la CNIL répond chaque année à plus de 1 500 demandes de conseils d’entreprises. Elle a développé des guichets plus spécifiques pour interagir avec des entreprises innovantes à l’image des bacs à sable thématiques, destinés à des acteurs ou projets émergents, ou de « l’accompagnement renforcé », à destination des jeunes pousses en phase de croissance. Une vingtaine d’entreprises ont ainsi bénéficié d’un échange étroit avec les services de la CNIL, sur des durées de 3 à 6 mois. Ce travail à petite échelle est intéressant à plusieurs titres : pour les entreprises concernées, pour les enseignements que la CNIL en tire et, enfin, à travers les livrables publics qui sont partagés avec un écosystème plus large à travers des publications sur notre site web.

À vos yeux, en quoi l’éthique de la donnée participe-t-elle directement à la construction d’une souveraineté nationale ? Qui doit aujourd’hui définir ces normes éthiques ?

Dans le cadre de sa mission d’anticipation, la CNIL noue des liens avec la recherche scientifique à travers son laboratoire d’innovation (le LINC) et organise depuis quatre ans une rencontre annuelle à Paris de chercheurs internationaux (les Privacy Research Day – Journées de recherche sur la vie privée). La CNIL investit également le débat éthique avec, par exemple, l’événement annuel AIR (avenir, innovations, révolutions) qu’elle organise. Ces travaux permettent à la CNIL d’intervenir, dans le rôle qui est le sien, dans le débat public sur les questions technologiques d’actualité, comme elle l’a fait sur les caméras augmentées en 2022 et dans le cadre des Jeux Olympiques et Paralympiques de 2024.

Comment la CNIL anticipe-t-elle les défis liés à l’irruption de technologies comme l’IA générative ou le quantique dans cet impératif de souveraineté ?

Cette recherche de connexion permanente à l’innovation a permis à la CNIL d’appréhender relativement tôt le sujet incontournable de l’IA, en particulier de l’IA générative. Le service de l’intelligence artificielle, que j’ai créé en 2023, a déjà produit de nombreux contenus pour guider les entreprises dans l’application du RGPD et l’anticipation du règlement européen sur l’intelligence artificielle (RIA) au développement et à l’usage de systèmes d’IA. Cette action va se poursuivre et s’étendre avec les missions nouvellement confiées à la CNIL dans la régulation d’une partie des usages dits « à haut risque » de l’IA au sens de ce texte. Dans cette perspective, j’ai signé, le 1er octobre dernier, une convention de partenariat avec Inria pour travailler conjointement sur notre capacité à évaluer les systèmes d’IA.

Enfin, je partage l’analyse d’Anu Bradford, professeure de droit et d’organisations internationales à la Columbia Law School, qui dans un article intitulé « The false choice between digital regulation and innovation », met en avant que le RGPD favorise les bénéfices sociaux et économiques en poussant les entreprises à repenser leur modèle économique et à innover « vertueusement ». Elle souligne aussi que le retard de l’Union européenne en matière d’innovation vient plutôt de l’absence de véritable marché unique numérique, de la fragmentation du marché des capitaux, des lois punitives en matière de faillite ainsi que de l’aversion au risque.

Quelle est la part de la mission de la CNIL dédiée à la prévention/gestion des cyberattaques ? La cybersécurité est-elle un axe primordial de la souveraineté ?

La cybersécurité est un pilier essentiel de la maîtrise de nos infrastructures numériques, et de nos données. La prise de conscience n’est pas nouvelle, et le dialogue régulier de la CNIL avec les acteurs publics comme privés y contribue. Je constate que les entreprises l’intègrent de plus en plus en amont dans leurs projets. Les organisations d’une certaine taille se sont dotées d’un responsable sécurité des systèmes d’information et d’un délégué à la protection des données, qui ont des moyens pour jouer leurs rôles. L’accompagnement par les cadres règlementaires et les autorités publiques ont contribué à cette montée en maturité. Je pense bien entendu à l’ANSSI en premier lieu. La CNIL y a également contribué, de manière renforcée, depuis l’entrée en vigueur du RGPD en mai 2018.

“La cybersécurité est un pilier essentiel de la maîtrise de nos infrastructures numériques, et de nos données.”

Pour autant, la menace cyber ne décroît pas, comme en témoigne l’augmentation des incidents de cybersécurité notifiés à la CNIL : plus de 5 600 en 2024, soit 20 % de plus qu’en 2023. Pire, elle s’industrialise, avec des chaînes de valeur structurées, des modes opératoires qui se diffusent très rapidement. L’introduction progressive par les acteurs de la menace cyber de technologies d’IA est susceptible d’accélérer cette industrialisation.

Cette situation légitime le renforcement ou l’élargissement des exigences en matière de cybersécurité, comme le prévoient en particulier la directive NIS 2 et le projet de loi « Résilience » qui la transposera en droit national. Les exigences de NIS 2 sont complémentaires des obligations en matière de sécurité prévues par le RGPD. Certes, les deux cadres ne se confondent pas, mais nous échangeons régulièrement avec l’ANSSI pour assurer leur bonne articulation. Dans ce même mouvement, la CNIL a choisi d’inclure la cybersécurité dans son plan stratégique 2025-2028. Cela veut dire que nous renforcerons à la fois notre action d’accompagnement des acteurs, en lien avec les autres autorités compétentes, ainsi que notre action répressive sur ce sujet. Chaque année, entre un tiers et la moitié des sanctions prononcées par la formation restreinte de la CNIL relèvent des manquements à la sécurité.

Quels conseils souhaiteriez-vous transmettre aux futurs ingénieurs et décideurs pour contribuer eux-mêmes à la construction d’une souveraineté numérique éthique et durable ?

Les défis auxquels les jeunes générations vont faire face sont nombreux. Parmi eux : le développement spontané des usages numériques, qui génère des tensions avec les enjeux éthiques, démocratiques, environnementaux, voire de santé publique attachés à l’évolution de notre société. La réponse ne peut pas se réduire à la réglementer, mais passe par l’invention de modèles nouveaux dont nous aurions davantage la maîtrise.

Cette ambition suppose d’aller à rebours de la tendance à externaliser la technique, le cas échéant vers des acteurs non européens. Les compétences des ingénieurs seront nécessaires pour ce faire. C’est pourquoi, si je devais me permettre de donner un conseil à de jeunes ingénieurs à l’aube de leur carrière, ce serait de privilégier dans un premier temps l’approfondissement et la consolidation de leur expertise technique par rapport à d’autres compétences utiles qui leur permettront de développer ensuite des postes de management, de stratégie ou de conseil, par exemple.

En Bref
La CNIL, autorité administrative indépendante, régule les données personnelles. Elle accompagne les professionnels dans leur mise en conformité et contrôle la mise en œuvre des traitements, à travers la gestion des plaintes, les contrôles et les sanctions. Elle aide également les particuliers à maîtriser leurs données et exercer leurs droits, conseille les pouvoirs publics et mène une activité d’innovation et de prospective.
https://cnil.fr/

souveraineté numérique

Comment définissez-vous aujourd’hui la souveraineté numérique à l’échelle nationale ? Quels en sont les enjeux fondamentaux pour la France ?

Dans quelle mesure la CNIL peut-elle accompagner l’ambition de souveraineté des entreprises et des administrations, face à la domination des acteurs du cloud et des big tech ?

Pensez-vous que les dispositifs tels que le RGPD participent entièrement à cette souveraineté, ou posent-ils eux-mêmes de nouveaux défis ?

La France est-elle (encore) capable de peser sur la scène internationale ? Comment la CNIL collabore-t-elle avec d’autres autorités à l’étranger pour préserver une vision européenne ou francophone de la souveraineté ?

Pensez-vous que la souveraineté numérique puisse encore être pensée à l’échelle d’un État seul, ou doit-elle désormais être co-construite avec d’autres acteurs ?

Comment la CNIL jongle-t-elle entre la volonté d’encourager l’innovation (data, IA, blockchain…) et la nécessité d’établir des garde-fous pour préserver la souveraineté des citoyens ?

À vos yeux, en quoi l’éthique de la donnée participe-t-elle directement à la construction d’une souveraineté nationale ? Qui doit aujourd’hui définir ces normes éthiques ?

Comment la CNIL anticipe-t-elle les défis liés à l’irruption de technologies comme l’IA générative ou le quantique dans cet impératif de souveraineté ?

Quelle est la part de la mission de la CNIL dédiée à la prévention/gestion des cyberattaques ? La cybersécurité est-elle un axe primordial de la souveraineté ?

Quels conseils souhaiteriez-vous transmettre aux futurs ingénieurs et décideurs pour contribuer eux-mêmes à la construction d’une souveraineté numérique éthique et durable ?

Articles similaires :

Donnez votre avis Annuler la réponse