Les critères LOTEC pour opérationnaliser la notion de souveraineté numérique

Transcript

1. Les critères LOTEC Pour opérationnaliser la notion de souveraineté numérique

   Stefane Fermigier — CEO, Abilian Co-président CNLL & APELL / Co-fondateur EuroStack Initiative Foundation e.V Slides sur: speakerdeck.com/sfermigier 1

2. Partie 1 Le constat : une colonie numérique 2

3. L'hémorragie économique L'Europe finance massivement le développement de ses concurrents.

   265 milliards €/an quittent l'UE vers les fournisseurs US (cloud et logiciels B2B) = 80% des dépenses logicielles des entreprises européennes C'est un véritable transfert de richesse Nous asséchons notre propre écosystème d'innovation La souveraineté numérique, c'est l'autonomie stratégique de tout un continent. Elle concerne les États, mais aussi les entreprises et les citoyens. 1 — Le constat 3

4. L'extraction de valeur Le modèle dominant : capter le marché

   européen, rapatrier les profits. Pratiques extortionnistes des monopoles : Microsoft — Hausses de prix arbitraires (+15-20%/an sur M365), bundling forcé, taxation de l'interopérabilité (BYOL sur Azure) VMware/Broadcom — Multiplication par 3-5x des coûts après acquisition, fin des licences perpétuelles Oracle — Audits agressifs, licensing punitif du cloud Egress fees — Frais de sortie de données : une "taxe sur la liberté de partir" Quand vous êtes verrouillé, le fournisseur fixe le prix qu'il veut. 1 — Le constat 4

5. Le risque géopolitique La souveraineté ne consiste pas à parier

   sur la bienveillance de nos alliés. Le "Kill Switch" existe : Adobe au Venezuela — Comptes fermés du jour au lendemain sur décret US Microsoft vs CPI — Emails de la Cour Pénale Internationale coupés (sanctions US) Sanctions technologiques — Restrictions d'accès aux mises à jour, API, services cloud FISA 702 / CLOUD Act — Accès aux données même hébergées en Europe L'autonomie stratégique, c'est aussi la capacité de dire "Non". 1 — Le constat 5

6. L'échec de la régulation seule L'Europe est le "champion du

   monde de la régulation" : RGPD, DMA, DSA, AI Act, CRA... Mais "Code is Law" (Lawrence Lessig). Si l'infrastructure ne nous appartient pas, nos lois ne s'appliquent que si le propriétaire le veut bien Le RGPD protège la donnée personnelle, mais n'empêche pas l'extraterritorialité NIS2 sécurise les réseaux mais ignore la nationalité du fournisseur EUCS vidé de ses critères de souveraineté sous pression des lobbies Il faut passer de la régulation à la construction. 1 — Le constat 6

7. Partie 2 Les enjeux : au-delà de la sécurité 7

8. La "Prison Souveraine" Ne confondez pas résidence des données et

   souveraineté. Le piège : Données stockées en Europe ✓ Mais technologie "boîte noire" Contrôlée depuis l'étranger Code propriétaire non-auditable Lock-in technique et contractuel Les conséquences : Hausses de prix sans recours Impossible de migrer (coût prohibitif) Dépendance à la roadmap du vendor Pas d'audit de sécurité possible Aucune résilience Vos données sont là, mais vous n'avez aucune liberté d'action. 2 — Les enjeux 8

9. Les vrais enjeux Résilience : Continuité en cas de crise

   géopolitique Alternatives en cas de défaillance fournisseur Capacité d'adaptation rapide Écosystème : Emplois qualifiés en Europe Compétences maintenues localement Innovation endogène Création de valeur : R&D financée en Europe Profits réinvestis localement PME européennes viables Autonomie stratégique : Capacité de choix technologiques Indépendance des roadmaps US/CN Négociation en position de force 2 — Les enjeux 9

10. L'objectif : optionalité et résilience L'objectif n'est pas l'autarcie, mais

    l'optionalité. Ce que nous cherchons : Avoir le choix de changer de fournisseur Être partenaires en égaux Interdépendance, pas dépendance unilatérale Fédérer les actifs existants Ce que ça nécessite : Des alternatives crédibles Des standards ouverts et/ou de l'Open Source Une supply chain maîtrisée Un écosystème industriel viable "Rester par choix, non par contrainte" 2 — Les enjeux 10

11. Partie 3 Le framework LOTEC Légal · Opérationnel · Technologique

    · Économique · Culturel 11

12. LOTEC : une grille d'analyse holistique Face au flou marketing,

    une grille de "Due Diligence" en 5 piliers : Critère Question centrale L - Légal À quelle juridiction êtes-vous ultimement soumis ? O - Opérationnel Qui contrôle effectivement l'infrastructure ? T - Technologique Quelle maîtrise technique et quelle réversibilité ? E - Économique Où est créée et captée la valeur ? C - Culturel Nos valeurs, nos compétences et notre voix sont-elles respectées ? Sans critères objectifs, "souverain" ne veut rien dire. 3 — Le framework LOTEC 12

13. [L] Légal — L'immunité juridictionnelle Concept : Immunité juridique vs

    Conformité apparente Si maison mère hors UE : La réponse est NON Le contrat RGPD ne protège pas La loi étrangère prime sur le contrat Critères clés : Siège social ultime de la chaîne de contrôle en UE >50% des droits de vote détenus en UE Pas de "blocking minority" non-UE IP non soumise à export control étranger La souveraineté juridique est le fondement de toutes les autres. 3 — Le framework LOTEC Si un juge étranger (FISA, Cloud Act) exige mes données, votre entreprise peut-elle légalement refuser ? “ “ 13

14. [O] Opérationnel — Le contrôle effectif Concept : Qui a

    les clés du camion ? Avoir les serveurs à Paris ne suffit pas si le Control Plane est piloté depuis Seattle. Critères clés : Infrastructure : Datacenters et réseaux en territoire européen Control Plane : Console d'administration opérée depuis l'UE Personnel : 100% des accès privilégiés (root/admin) détenus par des résidents UE, employés par une entité UE Supply Chain : Stratégie documentée de réduction des dépendances critiques Sécurité : Chiffrement robuste, conformité NIS2, procédures d'incident documentées Un admin à Seattle peut être légalement contraint par les autorités US. 3 — Le framework LOTEC 14

15. [T] Technologique — Transparence et Réversibilité Attention : Open Source

    ≠ Standards Ouverts. Les deux sont nécessaires. Standards Ouverts ("opposables") : Garantie d'interopérabilité Portabilité des données et workloads Pas de royalties ni brevets bloquants Implémentations multiples possibles Open Source : Code auditable (pas de backdoors) Possibilité de fork en cas de besoin Vérification indépendante (reproductibilité) Gouvernance souvent US (CNCF, Linux Foundation...) Réversibilité : Documentation complète, exit plan contractuel, pas d'egress fees punitifs. 3 — Le framework LOTEC 15

16. [T] La question de la Supply Chain La souveraineté technologique

    implique de maîtriser la chaîne d'approvisionnement. Couche Exemples Contrôle européen ? Hardware Chips, serveurs Faible (ASML exception) Firmware/OS BIOS, Linux kernel Partiel (contributions EU) Runtime Kubernetes, containers Faible (CNCF = US) Middleware BDD, messaging Variable Application SaaS, métier À construire Attention au logiciel Open Source, mais sous gouvernance US (ex: CNCF, Linux Foundation...). Mieux que le lock-in propriétaire, mais il reste des dépendances juridictionnelles à gérer. Contre-exemple: RISC-V foundation déplacée en Suisse, pays "neutre". 3 — Le framework LOTEC 16

17. [E] Économique — La capture de valeur Concept : Où

    va l'argent ? Qui bénéficie de la croissance ? Critères de création de valeur : >50% de la R&D mondiale en Europe Emplois qualifiés locaux Propriété intellectuelle européenne Réinvestissement des profits en EU Partenariats avec entreprises et académiques EU Ecueils à identifier, anticiper et éviter : "Egress Fees" punitifs Tied-selling et bundling forcé Audits de licensing agressifs Fin unilatérale des licences perpétuelles "Si je paie une licence, est-ce que je finance des ingénieurs à Berlin ou en Californie?" 3 — Le framework LOTEC 17

18. [C] Culturel — Le facteur humain Concept : Identité, compétences

    et participation : la dimension humaine de la souveraineté. Identité & Valeurs : Multilinguisme (langues officielles + régionales) IA éthique alignée sur les principes EU UX respectant les normes européennes Conventions locales (métrique, fuseaux) Compétences & Gouvernance : Écosystème de compétences européen Capacité à opérer, maintenir, faire évoluer Participation active aux comités techniques Fondations et consortiums de droit EU Si vous perdez la maîtrise intellectuelle, vous perdez la liberté. 3 — Le framework LOTEC 18

19. Partie 4 Les autres frameworks 19

20. Le framework EuroStack (JOTED) Publié par l'Initiative Industrielle EuroStack en

    septembre 2025. Structure en 5 dimensions : Jurisdiction, Operation, Technology, Economic, Data Spécificité majeure : Le critère Juridictionnel est un "Pass/Fail Gate". Hiérarchie d'évaluation : 1. Niveau 1 : Juridiction (éliminatoire) 2. Niveau 2 : Tech, Ops, Data (core) 3. Niveau 3 : Économique (différenciateur) 4 — Les autres frameworks 20

21. Le Cloud Sovereignty Framework (CE) Cadre méthodologique pour les marchés

    publics (v1.2.1, oct. 2025). Double approche : Niveau SEAL minimum comme prérequis + scoring pondéré. SEAL = Sovereignty Effectiveness Assurance Levels (niveaux d'assurance) Niveau Signification Contrôle non-UE SEAL-0 Pas de souveraineté Exclusif SEAL-1 Souveraineté juridictionnelle Exclusif (droit UE formel) SEAL-2 Souveraineté des données Indirect (dépendances matérielles) SEAL-3 Résilience numérique Marginal SEAL-4 Pleine souveraineté numérique Aucun 4 — Les autres frameworks 21

22. Le Cloud Sovereignty Framework (CE) 8 objectifs pondérés (SOV) :

    Supply Chain : 20% Stratégique, Ops, Tech : 15% chacun Data/IA, Sécurité : 10% chacun Légal : seulement 10% Environnement : 5% Le problème : Un hyperscaler US peut compenser un mauvais score juridique par d'excellents scores ailleurs. → Risque de "Sovereignty Washing" institutionnalisé. 4 — Les autres frameworks 22

23. Comparatif des approches Approche Juridique Technique Économique Risque LOTEC Important

    Important Important Équilibré EuroStack Éliminatoire Important Différenciateur Strict mais clair Commission (CSF) 10% du score 15% du score Indirect Sovereignty washing Data Residency seule Ignoré Ignoré Ignoré Prison souveraine "Cloud de Confiance" Contourné Partiel Ignoré Fausse sécurité Consensus industriel : La souveraineté juridique devrait être un pré-requis binaire, pas une variable d'ajustement dans un scoring. 4 — Les autres frameworks 23

24. Partie 5 Mise en pratique 24

25. DSI : Comment utiliser LOTEC ? Ne cherchez pas le

    "100% souverain" pour tout. Faites un arbitrage éclairé par le risque. Données critiques (Santé, R&D, citoyens, défense) Exigence intransigeante sur : L (Légal) — Non négociable O (Opérationnel) — Contrôle total T (Technologique) — Réversibilité garantie Données moins sensibles (Site web public, analytics marketing) Arbitrage possible : L plus flexible si données non-critiques Focus sur T (performance, fonctionnalités) Mais toujours évaluer E (coûts cachés) L'important : décider en connaissance de cause, pas par défaut. 5 — Mise en pratique 25

26. Une feuille de route opérationnelle Une démarche structurée pour éviter

    la paralysie par l'analyse. 1. Analyser & Prioriser Définir : Fixer les lignes rouges (ancrage UE, immunité juridique...). Cartographier : Identifier fournisseurs, flux de données et clauses de rupture. Évaluer : Audit de posture sécurité et risques de dépendance. 2. Exécuter & Sécuriser Migration : Piloter le chantier par priorités et valider techniquement la réversibilité. Supply Chain : Audits réguliers. Surveiller les compromissions applicatives tierces. 3. Le facteur humain (Formation) La souveraineté est une compétence à acquérir et cultiver. Achats : Apprendre à rédiger des clauses de réversibilité et d'immunité. Décideurs métiers : Comprendre pourquoi le "meilleur logiciel" n'est pas toujours le plus adapté aux enjeux stratégiques. Équipes IT : Monter en compétence sur l'Open Source et l'internalisation. D'après Rhapsodies Conseil. 5 — Mise en pratique 26

27. Focus: Identité et architecture L'identité est le nouveau périmètre de

    sécurité. Si vous perdez l'identité, vous perdez la souveraineté. Identités Souveraines (IAM) Le risque : Un cloud souverain accessible via un IdP (Identity Provider) soumis au Cloud Act annule la protection. L'action : Internaliser la gestion des identités. Outils critiques : Authentification forte (MFA) souveraine. Gestion des comptes privilégiés (PAM). L'illusion de la "conformité en sandwich" Ne confondez pas la sécurité du contenant (datacenter, provider...) et celle du contenu (solution logicielle). => Vérifiez toute la chaîne : IaaS + PaaS + SaaS + Support. Contrôlez vos clés (Identity Provider) et vos serrures (Chiffrement). 5 — Mise en pratique 27

28. Focus: Interopérabilité L'interopérabilité est la capacité de différents systèmes à

    travailler ensemble. C'est un impératif stratégique, pas juste technique. Quatre principes stratégiques : Liberté de choix — Pas de dépendance à un seul fournisseur Concurrence équitable — PME et open source à armes égales avec les GAFAM Innovation ouverte — Collaboration sans barrières artificielles Maîtrise des données — Portabilité effective Six dimensions : Technique — Connectivité hard & soft Syntaxique — Formats de données communs Sémantique — Vocabulaires et ontologies partagés Organisationnelle — Processus métier alignés Juridique — Cadres légaux compatibles Applicative — APIs et protocoles standards Exigez des standards ouverts : gouvernance ouverte, pas de royalties, implémentations multiples possibles. 5 — Mise en pratique 28

29. Focus: cartographier les dépendances Exercice pratique : Pour chaque brique

    de votre stack, posez-vous ces questions : Question Risque si "Non" Qui contrôle la gouvernance du projet ? Roadmap subie Le code source est-il auditable ? Sécurité opaque Existe-t-il des forks/alternatives EU ? Pas de plan B Le support est-il disponible en Europe ? Dépendance opérationnelle Les mises à jour peuvent-elles être bloquées ? Vulnérabilité Outils : SBOM (Software Bill of Materials), audits de dépendances, cartographie des licences. 5 — Mise en pratique 29

30. Commande publique : le levier majeur La commande publique n'est

    pas une simple dépense de fonctionnement, c'est un investissement industriel. L'action : Intégrer les critères LOTEC dans les cahiers des charges Cibler 20-30% des budgets vers des solutions à forte "European Value Creation" Utiliser les exceptions de sécurité (Art. 346 TFUE) L'impact : Crée un marché viable pour les PME EU Effet d'échelle pour passer de la niche au mainstream Signal politique fort Développement des compétences locales "Argent Public, Code Public. Priorité à l'Open Source. Préférence Européenne." 5 — Mise en pratique 30

31. Partie 6 Actualité et perspectives 31

32. Décembre 2025 : le vent tourne ? Communication UE (JOIN

    2025 977) : Validation des "critères de préférence européenne" pour secteurs stratégiques Reconnaissance officielle du risque de "lock- in" Open Source cité comme outil de réduction des dépendances Base légale pour le "Buy European" Axe Franco-Allemand : Sommet de Berlin : convergence sur la doctrine La Chancelerie utilise OpenDesk ZenDiS (Allemagne) : agence d'exécution pour le libre (PPP) DC-EDIC : consortium EU pour le passage à l'échelle (?) Le débat n'est plus "si" on doit agir, mais "comment" et "à quelle vitesse". 6 — Actualité et perspectives 32

33. Vers un "Buy European Act" ? Les critères de type

    LOTEC/EuroStack pourraient devenir la norme. Fondements juridiques disponibles : Article III GPA (OMC) — "Essential security interests" Article 346 TFUE — Exception de sécurité nationale L'infrastructure numérique est aussi critique que l'armement Timeline probable : 2025-2026 : Pilotes et expérimentations 2026-2027 : Règlement européen Ce qui est "bonne pratique" aujourd'hui → obligation légale demain (OIV/OSE) Anticipez. Commencez l'audit LOTEC de vos dépendances maintenant. 6 — Actualité et perspectives 33

34. Conclusion 34

35. Call to Action La souveraineté numérique ne se décrète pas.

    Elle se construit projet par projet. Pour les DSI et architectes : Cartographiez vos dépendances critiques Évaluez-les sur la grille LOTEC Identifiez les "single points of failure" juridiques Pour les décideurs économiques et politiques : Intégrez les critères de souveraineté dans vos achats Soutenez l'écosystème européen (PME, open source) Exigez la transparence de vos fournisseurs "Ne construisez pas votre avenir numérique sur un terrain dont vous ne possédez pas les titres de propriété." 35

36. Ressources Initiatives et Associations: EuroStack : eurostack.eu CNLL : cnll.fr

    APELL : apell.info Outils pratiques : EuroStack Directory — Annuaire des solutions européennes: euro-stack.com SILL — Socle Interministériel de Logiciels Libres code.gouv.fr/sill Guide de Rhapsodies Conseil (2 pages) rhapsodiesconseil.fr Ces slides: speakerdeck.com/sfermigier Contact : [email protected] / [email protected] Questions ? 36