digital independence
Des faits, pas du battage.
L'Open Source évalué honnêtement et sans parti pris.
EN DE FR

Glossaire : Souveraineté & OSS

Glossaire

Les termes clés expliqués simplement. Les termes avec un soulignement pointillé sur le site affichent une infobulle au survol et renvoient ici.

CLOUD Act

Le Clarifying Lawful Overseas Use of Data Act est une loi fédérale américaine signée le 23 mars 2018 dans le cadre du Consolidated Appropriations Act. Elle amende le Stored Communications Act (SCA) de 1986 et permet aux autorités américaines d’exiger des entreprises technologiques américaines la remise de données stockées sur leurs serveurs — quel que soit le lieu de stockage.

La loi a également créé un cadre pour les accords bilatéraux entre les États-Unis et les gouvernements étrangers. L’accord bilatéral UK-US d’accès aux données a été le premier de ce type, entré en vigueur en octobre 2022. L’UE n’a pas conclu d’accord similaire.

Les fournisseurs peuvent contester les injonctions qui entrent en conflit avec le droit étranger, mais la charge de la preuve incombe au fournisseur. Pour les organisations européennes, le CLOUD Act crée une tension fondamentale avec les exigences du RGPD, car se conformer à une injonction américaine peut violer le droit européen de la protection des données. C’est l’un des arguments centraux en faveur de l’hébergement des données chez des fournisseurs européens non soumis à la juridiction américaine.

Texte intégral : H.R.4943 — CLOUD Act

Voir aussi : RGPD, EU-US Data Privacy Framework, Souveraineté numérique

Vendor lock-in

Situation dans laquelle le passage à un autre fournisseur ou une autre technologie devient difficile et coûteux — en raison de formats de données propriétaires, d’API, de contrats ou de savoir-faire accumulé lié à un système spécifique. Le lock-in peut être technique (données non exportables), contractuel (engagements à long terme avec pénalités) ou pratique (personnel formé uniquement sur un système).

Dans le cloud, le lock-in survient souvent par des services propriétaires sans équivalent ailleurs (p. ex. AWS Lambda, Google BigQuery). Le Data Act (UE 2023/2854), applicable à partir du 12 septembre 2025, introduit des obligations pour les fournisseurs cloud de faciliter le changement et interdit certaines barrières contractuelles.

Les logiciels open source et les standards ouverts sont les principales stratégies d’atténuation. Des initiatives comme Gaia-X et le SCS visent à définir des standards d’interopérabilité réduisant le lock-in au niveau de l’infrastructure.

Voir aussi : Open Source, API, Gaia-X

Open Source

Logiciel dont le code source est publiquement accessible et peut être utilisé, modifié et redistribué sous une licence conforme à l’Open Source Definition maintenue par l’Open Source Initiative (OSI). La définition comprend 10 critères, dont la libre redistribution, l’accès au code source et l’autorisation de créer des œuvres dérivées.

Les licences courantes incluent la licence MIT, Apache 2.0, GNU GPL et AGPL. Le choix de la licence influence significativement l’utilisation commerciale. Les licences copyleft (GPL, AGPL) exigent que les œuvres dérivées soient publiées sous la même licence ; les licences permissives (MIT, Apache) ne l’exigent pas.

À ne pas confondre avec les modèles open-weight (modèles IA dont les poids sont publiés mais pas nécessairement les données d’entraînement) ou les logiciels « source available » (code visible mais licence restreignant l’utilisation, la modification ou la redistribution). La distinction est importante car les logiciels source-available n’offrent pas les mêmes libertés ni la même protection contre le vendor lock-in.

Voir aussi : Modèles open-weight, Vendor lock-in, Fork

Modèles open-weight

Modèles d’IA dont les poids entraînés sont publiés, permettant à d’autres de les exécuter, de les affiner et de les déployer. Contrairement au vrai open source, les données d’entraînement, le code d’entraînement et les pipelines de traitement ne sont généralement pas publiés.

Les exemples notables incluent la famille LLaMA de Meta, les modèles de Mistral et Qwen d’Alibaba. Les licences varient considérablement : la licence LLaMA de Meta autorise l’usage commercial mais le restreint pour les applications dépassant 700 millions d’utilisateurs actifs mensuels. Mistral publie certains modèles sous Apache 2.0, d’autres sous des licences propriétaires.

L’EU AI Act traite les modèles de fondation open-weight différemment des modèles propriétaires à certains égards, reconnaissant que l’ouverture soutient la recherche et la concurrence. Cependant, les fournisseurs de modèles open-weight classés comme « IA à usage général présentant un risque systémique » restent soumis à des obligations de conformité. Le débat sur la qualification open-weight comme « open source » a conduit l’OSI à publier l’Open Source AI Definition en octobre 2024.

Voir aussi : Open Source, LLM, Modèle de fondation, EU AI Act

Groupware

Logiciel de travail collaboratif au sein des organisations — comprend typiquement calendriers partagés, contacts, messagerie, gestion des tâches et parfois collaboration documentaire et gestion de projet. Le terme a été inventé en 1978 par Peter et Trudy Johnson-Lenz et s’est popularisé avec Lotus Notes (1989). Il reste pertinent alors que les organisations évaluent les alternatives aux suites cloud dominantes.

Les principales plateformes propriétaires sont Microsoft 365 (Exchange, Outlook, Teams) et Google Workspace (Gmail, Calendar, Drive). Les alternatives européennes open source incluent EGroupware, Nextcloud (avec modules Groupware), Open-Xchange et Zimbra (à noter : Zimbra a changé de propriétaire quatre fois — Yahoo, VMware, Telligent Systems, Synacor — soulevant des questions sur la stabilité de la gouvernance ; depuis Zimbra 9, aucun binaire open source officiel n’est fourni).

Le choix du groupware est l’une des décisions les plus impactantes pour la souveraineté numérique, car il détermine où les données d’e-mail, de calendrier et de contacts sont stockées et traitées. L’intégration avec le Single Sign-On et un fournisseur d’identité est une considération importante pour les grandes organisations.

Voir aussi : SSO, Fournisseur d’identité, Souveraineté numérique, Vendor lock-in

Single Sign-On (SSO)

Méthode d’authentification permettant aux utilisateurs de se connecter une fois puis d’accéder à plusieurs applications sans se reconnecter. Le SSO réduit la fatigue liée aux mots de passe, diminue les coûts de support et centralise le contrôle d’accès — facilitant l’application des politiques de sécurité et la révocation des accès.

Les protocoles les plus courants sont SAML 2.0 (2005, basé sur XML, largement utilisé en entreprise), OpenID Connect (2014, basé sur OAuth 2.0, JSON, dominant dans les applications web modernes) et OAuth 2.0 (strictement un framework d’autorisation, mais souvent combiné avec OIDC pour l’authentification).

Le SSO nécessite un fournisseur d’identité (IdP) comme autorité centrale d’authentification. L’avantage sécuritaire est considérable : au lieu de N mots de passe pour N applications, les utilisateurs disposent d’une seule authentification forte — idéalement combinée avec des clés matérielles FIDO2 ou des passkeys.

Voir aussi : Fournisseur d’identité, FIDO2

Fournisseur d'identité (IdP)

Service qui authentifie les utilisateurs et émet des jetons de sécurité ou des assertions auxquels d’autres applications (appelées « relying parties » ou « service providers ») font confiance. L’IdP est la source unique de vérité pour l’identité des utilisateurs au sein d’une organisation ou d’un écosystème.

Exemples : Keycloak (open source, projet CNCF en incubation), Authentik (open source), Microsoft Entra ID (anciennement Azure AD), Okta et Google Identity. Quand vous utilisez « Se connecter avec Google », Google agit comme votre IdP.

Pour la souveraineté numérique, le choix de l’IdP est critique — il contrôle qui peut accéder à quoi. Les solutions auto-hébergées comme Keycloak offrent un contrôle total sur les données et politiques d’authentification. Keycloak supporte SAML 2.0, OpenID Connect, OAuth 2.0 et l’intégration LDAP/Active Directory, ce qui en fait un choix courant pour les organisations migrant depuis des services d’identité cloud.

Voir aussi : SSO, FIDO2, eIDAS, CNCF

eIDAS

Le règlement Electronic Identification, Authentication and Trust Services (UE 910/2014) a établi un cadre pour l’identification électronique transfrontalière et les services de confiance (signatures numériques, cachets, horodatages) dans l’UE. Il est entré en vigueur le 17 septembre 2014.

eIDAS 2.0 (UE 2024/1183), adopté le 11 avril 2024, élargit considérablement le règlement original. Sa pièce maîtresse est le portefeuille européen d’identité numérique (EUDIW), que chaque État membre doit proposer à ses citoyens d’ici 2026. Le portefeuille permet de stocker et présenter des justificatifs d’identité, permis de conduire, diplômes et autres attributs vérifiables numériquement — en ligne et hors ligne.

Le règlement impose aux très grandes plateformes en ligne (telles que définies par le Digital Services Act) d’accepter l’EUDIW pour l’authentification des utilisateurs. Cela crée une alternative interopérable et soutenue par les États aux fournisseurs d’identité privés comme « Se connecter avec Google/Apple/Facebook ». L’architecture technique repose sur l’Architecture and Reference Framework (ARF) développé par la Commission européenne.

Voir aussi : Fournisseur d’identité, FIDO2, Souveraineté numérique

FIDO2 / WebAuthn

Standard d’authentification ouvert développé par la FIDO Alliance et le W3C qui remplace les mots de passe par la cryptographie à clé publique. FIDO2 se compose de deux éléments : WebAuthn (l’API navigateur/serveur, un standard W3C) et CTAP2 (le protocole entre le navigateur et l’appareil d’authentification).

L’authentification est liée à un appareil physique — soit une clé de sécurité matérielle (p. ex. YubiKey, SoloKeys), soit un authentificateur de plateforme (capteur d’empreintes digitales, Face ID). La clé privée ne quitte jamais l’appareil, rendant le phishing pratiquement impossible. Tous les navigateurs et systèmes d’exploitation majeurs supportent FIDO2 depuis 2019.

Les passkeys (introduits en 2022-2023 par Apple, Google et Microsoft) sont une implémentation conviviale de FIDO2 qui synchronise les identifiants entre appareils via des comptes cloud. Si les passkeys améliorent l’ergonomie, la dépendance à la synchronisation cloud signifie qu’ils ne répondent pas nécessairement aux mêmes exigences de souveraineté que les clés FIDO2 matérielles. Pour les cas d’usage haute sécurité, les clés matérielles restent la solution recommandée.

Voir aussi : SSO, Fournisseur d’identité, eIDAS

RGPD

Le Règlement Général sur la Protection des Données (UE 2016/679) régit la collecte, le stockage et le traitement des données personnelles des résidents de l’UE/EEE. Adopté le 27 avril 2016, il est applicable depuis le 25 mai 2018. Il s’applique à toute organisation traitant des données de résidents de l’UE, quel que soit son siège.

Les principes clés incluent la minimisation des données, la limitation des finalités, la limitation de la conservation et la responsabilité. Les personnes concernées disposent de droits d’accès, de rectification, d’effacement (« droit à l’oubli »), de portabilité des données et d’opposition au traitement. Les transferts internationaux de données nécessitent des mécanismes juridiques spécifiques (décisions d’adéquation, clauses contractuelles types ou règles d’entreprise contraignantes).

L’application est assurée par les autorités nationales de protection des données. Amendes notables : Meta (1,2 milliard €, 2023, pour transferts de données vers les États-Unis), Amazon (746 millions €, 2021) et WhatsApp (225 millions €, 2021). Connu sous le nom de GDPR en anglais et DSGVO en allemand. Le RGPD a inspiré des législations similaires dans le monde, notamment le LGPD brésilien, le CCPA/CPRA californien et le DPDP Act indien.

La tension entre les exigences du RGPD et le droit de surveillance américain (dont le CLOUD Act) est un moteur central du mouvement européen pour la souveraineté numérique.

Voir aussi : CLOUD Act, EU-US Data Privacy Framework, Souveraineté numérique

API

Une Application Programming Interface (interface de programmation) est une manière définie pour les systèmes logiciels de communiquer entre eux. Les API définissent quelles données peuvent être demandées, quelles opérations sont possibles et dans quel format l’échange a lieu. Dans le contexte des services web, il s’agit typiquement d’API REST (HTTP/JSON) ou GraphQL.

Des API ouvertes et bien documentées permettent l’interopérabilité — la capacité de différents systèmes à fonctionner ensemble. Les API propriétaires ou non documentées créent du vendor lock-in, car le changement de fournisseur nécessite la réécriture de toutes les intégrations. Le Data Act de l’UE (2023) et le règlement eIDAS 2.0 imposent tous deux des API ouvertes pour certains cas d’usage.

Des organismes de normalisation comme l’OpenAPI Initiative (partie de la Linux Foundation) fournissent des spécifications pour décrire les API REST dans un format lisible par machine, permettant la documentation automatisée, la génération de code et les tests.

Voir aussi : Vendor lock-in, Open Source

Sovereign Cloud Stack (SCS)

Pile d’infrastructure cloud open source définissant des standards pour le calcul, le stockage, le réseau et la gestion d’identité. Le projet a été initié en 2021 et a reçu un financement du ministère fédéral allemand de l’Économie et de la Protection du Climat (BMWK) via le programme de financement Gaia-X jusqu’à fin 2024.

SCS repose sur des composants open source établis : OpenStack pour l’IaaS (Infrastructure as a Service), Kubernetes pour l’orchestration de conteneurs et Keycloak pour la gestion des identités et des accès. Le projet définit des standards d’interopérabilité et des critères de certification pour que les charges de travail puissent être transférées entre clouds compatibles SCS sans modification.

Les fournisseurs cloud utilisant SCS incluent plusserver, REGIO.cloud et Wavecon (listés sur le site SCS). Après la fin du financement fédéral, le projet a transité vers une gouvernance communautaire sous l’Open Source Business Alliance (OSBA).

Voir aussi : Gaia-X, Souveraineté numérique, Hyperscaler, Open Source

Gaia-X

Initiative européenne lancée en 2019 par la France et l’Allemagne pour définir des standards et règles pour une infrastructure de données fédérée et transparente. Gaia-X n’est pas un fournisseur cloud, mais un cadre d’interopérabilité, de portabilité et de souveraineté contre lequel les services cloud peuvent se certifier.

L’association Gaia-X AISBL (basée à Bruxelles) développe le Gaia-X Trust Framework — un ensemble de règles et spécifications techniques décrivant ce qui rend un service « conforme Gaia-X ». Cela inclut des exigences en matière de protection des données, de transparence et de capacité à changer de fournisseur.

L’initiative a été critiquée pour sa lenteur et l’implication des hyperscalers (AWS, Microsoft, Google sont devenus membres), soulevant des doutes sur la capacité de Gaia-X à réellement réduire la dépendance envers ces fournisseurs. Les partisans arguent que des standards communs profitent à l’écosystème indépendamment des participants. Le Sovereign Cloud Stack est l’une des implémentations techniques concrètes alignées sur les principes Gaia-X.

Voir aussi : Sovereign Cloud Stack, Souveraineté numérique, Hyperscaler

Hyperscaler

Fournisseurs cloud opérant à échelle mondiale massive avec des centres de données dans de nombreuses régions. Le terme désigne typiquement les trois fournisseurs dominants : AWS (Amazon Web Services, lancé en 2006), Azure (Microsoft, lancé en 2010) et GCP (Google Cloud Platform, lancé en 2008). Ensemble, ils détiennent environ 65-70 % du marché mondial de l’infrastructure cloud.

Leur échelle permet des prix bas, un vaste catalogue de services managés et une présence mondiale que les fournisseurs plus petits ne peuvent facilement égaler. Cependant, cette dominance soulève des préoccupations concernant le vendor lock-in, la souveraineté des données (les trois sont des entreprises américaines soumises au CLOUD Act) et la concentration du marché.

Les alternatives européennes incluent OVHcloud (France), Hetzner (Allemagne), IONOS (Allemagne), Scaleway (France) et les fournisseurs certifiés sous le Sovereign Cloud Stack. Le compromis est typiquement moins de services managés et une portée mondiale plus limitée, en échange d’une juridiction européenne et d’une plus grande souveraineté des données.

Voir aussi : CLOUD Act, Vendor lock-in, Sovereign Cloud Stack, Bare metal

Bare metal

Serveur physique dédié non partagé avec d’autres clients, contrairement aux machines virtuelles ou conteneurs dans le cloud. Le terme « bare metal » signifie que le client a un accès direct au matériel sans couche d’hyperviseur.

Les serveurs bare metal offrent un contrôle total du matériel, des performances prévisibles (pas de problème de « voisin bruyant ») et la possibilité d’exécuter n’importe quel système d’exploitation ou hyperviseur. Ils sont couramment utilisés pour les serveurs de bases de données, le calcul haute performance, l’infrastructure de build CI/CD et les charges de travail soumises à des exigences de conformité strictes.

Des fournisseurs européens comme Hetzner (Allemagne) et OVHcloud (France) proposent des serveurs bare metal à des prix compétitifs — souvent nettement inférieurs aux instances équivalentes des hyperscalers. Pour les organisations poursuivant la souveraineté numérique, les serveurs bare metal dans des centres de données européens offrent le niveau maximal de contrôle de l’infrastructure.

Voir aussi : Hyperscaler, Souveraineté numérique

Chiffrement de bout en bout (E2EE)

Méthode de communication où les messages sont chiffrés sur l’appareil de l’expéditeur et ne peuvent être déchiffrés que sur celui du destinataire. Aucun intermédiaire — ni le fournisseur de service, ni l’opérateur réseau, ni un gouvernement — ne peut lire le contenu, même contraint par la loi ou compromis par un attaquant.

L’E2EE repose sur la cryptographie à clé publique. Les protocoles courants incluent le protocole Signal (utilisé par Signal, WhatsApp et Google Messages), le protocole Matrix Megolm/Vodozemac (utilisé par Element) et le standard MLS (Messaging Layer Security) (IETF RFC 9420, publié en 2023), conçu pour la messagerie de grands groupes.

L’E2EE est une technologie clé pour la souveraineté numérique car elle garantit la confidentialité des données indépendamment du lieu de stockage ou de l’opérateur du serveur. Cependant, l’E2EE fait l’objet d’un débat politique continu. Certains gouvernements arguent qu’il entrave les forces de l’ordre ; le projet de règlement européen sur le « contrôle des chats » est controversé à cet égard. La situation juridique actuelle sous le RGPD considère l’E2EE comme une mesure technique forte pour la protection des données personnelles.

Voir aussi : Souveraineté numérique, RGPD

Fork

Quand le code source d’un projet logiciel est copié et développé indépendamment de l’original. Le forking est un droit fondamental accordé par les licences open source — il garantit qu’aucune entité unique ne peut prendre une communauté en otage en changeant d’orientation ou de termes de licence.

Forks notables : LibreOffice d’OpenOffice.org (2010, après l’acquisition de Sun Microsystems par Oracle), Nextcloud d’ownCloud (2016, pour désaccords sur l’engagement open source), MariaDB de MySQL (2009, pendant l’acquisition en cours de Sun Microsystems par Oracle) et Valkey de Redis (2024, après le changement de licence de Redis Labs vers une licence non open source).

Les forks surviennent souvent quand le projet original change sa licence vers une version plus restrictive, ou quand la communauté perd confiance dans la gouvernance du projet. La possibilité de forker est considérée comme une protection cruciale contre le vendor lock-in dans les écosystèmes open source — même si un fork ne se produit jamais, sa possibilité contraint le comportement du mainteneur original.

Voir aussi : Open Source, Vendor lock-in

CNCF

La Cloud Native Computing Foundation (cncf.io) est une fondation neutre, partie de la Linux Foundation, qui héberge des projets open source pour le cloud natif. Fondée en 2015 avec le don de Kubernetes par Google.

Les projets CNCF passent par trois stades de maturité : Sandbox (stade précoce), Incubating (adoption croissante) et Graduated (utilisation en production avérée). Les projets gradués incluent Kubernetes, Prometheus, Envoy, Helm et Argo. Keycloak (pertinent pour la gestion d’identité) est un projet CNCF en incubation.

Le CNCF Landscape offre une vue d’ensemble de l’écosystème cloud-natif avec plus de 1 000 projets et produits. Pour les organisations construisant une infrastructure souveraine, les projets CNCF forment le cœur du Sovereign Cloud Stack et de nombreuses offres cloud européennes.

Voir aussi : Sovereign Cloud Stack, Open Source, Fournisseur d’identité

EU AI Act

L’Artificial Intelligence Act (UE 2024/1689) est la première réglementation globale de l’IA au monde. Proposé par la Commission européenne en avril 2021, il a été adopté le 13 juin 2024 et est entré en vigueur le 1er août 2024. La mise en œuvre est progressive : les pratiques interdites s’appliquent à partir de février 2025, les obligations pour l’IA à usage général à partir d’août 2025 et le règlement complet à partir d’août 2027.

La loi classe les systèmes d’IA en quatre catégories de risque : risque inacceptable (interdit — p. ex. notation sociale, identification biométrique en temps réel dans l’espace public avec exceptions), risque élevé (réglementé — p. ex. IA dans le recrutement, notation de crédit, forces de l’ordre), risque limité (obligations de transparence — p. ex. les chatbots doivent révéler qu’ils sont des IA) et risque minimal (pas d’exigences).

Pour les modèles de fondation et l’IA à usage général (GPAI), la loi introduit une approche graduée. Tous les fournisseurs GPAI doivent fournir une documentation technique et respecter le droit d’auteur. Les modèles GPAI présentant un « risque systémique » (actuellement défini comme les modèles entraînés avec plus de 10²⁵ FLOPs) sont soumis à des exigences supplémentaires incluant tests adverses et signalement d’incidents. Les modèles open-weight bénéficient de certaines exemptions, sauf pour les modèles à risque systémique.

Voir aussi : Modèle de fondation, Modèles open-weight, LLM

Souveraineté numérique

La capacité d’une organisation, d’un gouvernement ou d’un individu à maintenir le contrôle sur sa propre infrastructure numérique, ses données et ses processus — sans dépendance excessive envers un fournisseur, une juridiction ou une pile technologique unique.

Le concept a pris de l’ampleur politique en Europe après les révélations Snowden (2013), l’invalidation de l’accord Safe Harbor UE-US par la Cour de justice de l’UE (Schrems I, 2015) et l’invalidation subséquente du Privacy Shield (Schrems II, 2020). Il est depuis devenu un thème central de la politique numérique européenne, reflété dans des législations comme le RGPD, le Data Act, l’EU AI Act et des initiatives comme Gaia-X.

La souveraineté numérique ne signifie pas l’autarcie ou le rejet de toute technologie étrangère. Il s’agit plutôt de s’assurer que de véritables alternatives existent, que les données peuvent être migrées et que les dépendances sont des choix conscients plutôt que des contraintes inévitables. Les éléments clés sont les logiciels open source, les standards ouverts, les hébergeurs européens et la gestion d’identité auto-hébergée.

Voir aussi : RGPD, CLOUD Act, Gaia-X, Sovereign Cloud Stack, Vendor lock-in

LLM (Large Language Model)

Type de modèle d’IA entraîné sur de grandes quantités de texte, capable de générer, résumer, traduire et raisonner sur du texte. Les LLM sont un sous-ensemble des modèles de fondation — spécifiquement ceux axés sur le langage. Ils reposent sur l’architecture Transformer, introduite dans l’article « Attention Is All You Need » (Google, 2017).

LLM majeurs : GPT-4 (OpenAI, code fermé, cloud uniquement), Claude (Anthropic, code fermé, cloud uniquement), Gemini (Google, code fermé), Mistral et Mixtral (Mistral AI, certains modèles open-weight), LLaMA (Meta, open-weight), Qwen (Alibaba, open-weight) et DeepSeek (DeepSeek, open-weight, licence MIT depuis R1/janvier 2025 ; les modèles antérieurs utilisaient une licence permissive propriétaire).

Pour la souveraineté numérique, la question clé est de savoir si les LLM peuvent être auto-hébergés. Les modèles open-weight comme LLaMA et Mistral peuvent fonctionner sur une infrastructure privée, gardant les données au sein de l’organisation. Les modèles cloud-only nécessitent l’envoi de toutes les données d’entrée aux serveurs du fournisseur, ce qui peut entrer en conflit avec les exigences du RGPD ou les besoins de confidentialité. Les exigences de calcul pour exécuter les grands modèles localement sont significatives mais décroissantes — les modèles quantifiés fonctionnent sur des GPU grand public.

Voir aussi : Modèle de fondation, Modèles open-weight, EU AI Act, Souveraineté numérique

EU-US Data Privacy Framework

Décision d’adéquation adoptée par la Commission européenne le 10 juillet 2023, fournissant une base juridique pour transférer des données personnelles de l’UE vers des entreprises américaines auto-certifiées sous le cadre. Administré par l’International Trade Administration (ITA) au sein du département du Commerce américain. La liste des entreprises certifiées est disponible sur dataprivacyframework.gov.

Ce cadre est la troisième tentative de fournir une base juridique aux transferts de données UE-US, après le Safe Harbor (2000-2015, invalidé par Schrems I) et le Privacy Shield (2016-2020, invalidé par Schrems II). Les deux prédécesseurs ont été annulés par la Cour de justice de l’UE parce que le droit de surveillance américain n’offrait pas une protection adéquate aux données des citoyens européens.

Le cadre actuel repose sur l’Executive Order 14086, signé par le président Biden en octobre 2022, qui a introduit des exigences de proportionnalité pour le renseignement d’origine électromagnétique américain et un Data Protection Review Court (DPRC) permettant aux citoyens européens de contester la surveillance. Les critiques, dont le militant de la vie privée Max Schrems (noyb), ont longtemps averti qu’un décret exécutif peut être révoqué par un futur président et que le DPRC manque d’une véritable indépendance judiciaire. L’EO 14086 elle-même n’a pas été révoquée lorsque l’administration Trump a abrogé de nombreux autres décrets de l’ère Biden en janvier 2025. Toutefois, l’administration a licencié les membres démocrates du PCLOB (Privacy and Civil Liberties Oversight Board), le privant du quorum nécessaire à l’exercice de sa surveillance légale des garanties de l’EO 14086. Des autorités européennes de protection des données ont conseillé aux entreprises de préparer des mécanismes de transfert alternatifs. Un recours juridique (Schrems III) est largement attendu. La stabilité à long terme de ce cadre est désormais sérieusement remise en question.

Voir aussi : RGPD, CLOUD Act, Souveraineté numérique

Modèle de fondation

Grand modèle d’IA entraîné sur des données larges, adaptable à de nombreuses tâches par affinage ou prompting. Le terme a été introduit par le Stanford Institute for Human-Centered Artificial Intelligence (HAI) dans un article de 2021. Il englobe les grands modèles de langage (LLM) mais aussi les générateurs d’images (Stable Diffusion, DALL-E), les modèles audio (Whisper), les modèles vidéo (Sora) et les modèles multimodaux (GPT-4o, Gemini).

L’entraînement d’un modèle de fondation à partir de zéro nécessite d’énormes ressources de calcul — les estimations pour les modèles de classe GPT-4 vont de 50 à 100 millions de dollars en coûts de calcul seuls. Cela crée une concentration des capacités chez quelques organisations bien financées : OpenAI, Google DeepMind, Anthropic, Meta et Mistral AI en Europe. Le mouvement open-weight (LLaMA de Meta, modèles de Mistral) contrebalance partiellement cette concentration en permettant à d’autres d’utiliser et d’adapter les modèles sans répéter les coûts d’entraînement.

L’EU AI Act réglemente les modèles de fondation sous la catégorie « IA à usage général », avec des exigences supplémentaires pour les modèles présentant un « risque systémique ». L’impact de la loi sur le développement de l’IA européenne et la disponibilité des modèles open-weight est un domaine actif de débat politique.

Voir aussi : LLM, Modèles open-weight, EU AI Act

openDesk

Initiative de poste de travail souverain financée par le gouvernement allemand via le Zentrum für Digitale Souveränität (ZenDiS — Centre pour la Souveraineté Numérique), une filiale du ministère fédéral de l’Intérieur allemand. openDesk intègre plusieurs projets open source indépendants — dont Nextcloud (synchronisation de fichiers), Open-Xchange (e-mail/calendrier), Collabora Online (édition de documents), Jitsi (visioconférence), Element (messagerie basée sur Matrix) et d’autres — dans un poste de travail numérique unifié pour le secteur public allemand.

openDesk 1.0 a été publié en 2024. L’ambition est de fournir une suite équivalente à Microsoft 365 sous contrôle européen total. L’approche soulève de vraies questions : intégrer des projets développés indépendamment en une expérience utilisateur cohérente est techniquement exigeant, et les responsabilités de support à travers de multiples projets en amont peuvent être complexes. En même temps, l’initiative représente l’un des plus grands engagements gouvernementaux en faveur d’une infrastructure de travail open source en Europe.

Voir aussi : Open Source, Souveraineté numérique, LibreOffice, Collabora Online, Open-Xchange

Open-Xchange (OX)

Entreprise allemande de logiciels open source fondée en 2005, basée à Nuremberg. Open-Xchange développe une plateforme d’e-mail, calendrier, contacts et stockage cloud (OX App Suite) largement utilisée par les fournisseurs d’accès Internet et les hébergeurs européens — dont 1&1, Rackspace et Comcast. OX fait tourner le backend de dizaines de millions de boîtes mail dans le monde, même si la plupart des utilisateurs finaux ne voient jamais la marque Open-Xchange.

Dans le paysage européen des postes de travail souverains, Open-Xchange fournit le composant e-mail et calendrier d’openDesk. Le Schleswig-Holstein a achevé sa migration vers Open-Xchange pour les 30 000 postes de travail de son administration en octobre 2025.

Open-Xchange est en concurrence avec d’autres solutions de groupware open source comme EGroupware et les extensions groupware de Nextcloud, ainsi qu’avec des plateformes propriétaires comme Microsoft Exchange et Google Workspace.

Voir aussi : Groupware, openDesk, Auto-hébergement, Souveraineté numérique

Auto-hébergement (Self-hosting)

Exécuter des logiciels sur ses propres serveurs (sur site ou dans un centre de données loué) plutôt que d’utiliser un service cloud géré par un tiers. L’auto-hébergement donne à une organisation un contrôle total sur ses données, sa configuration et son calendrier de mises à jour — mais nécessite une expertise interne pour l’installation, la maintenance, les mises à jour de sécurité, les sauvegardes et la supervision.

Les alternatives auto-hébergées courantes aux services cloud incluent : Nextcloud (synchronisation de fichiers, remplaçant Dropbox/OneDrive), Matrix/Element (messagerie, remplaçant Slack/Teams), Mattermost (messagerie — à noter : avec la v11 en octobre 2025, Mattermost a remplacé la Team Edition sous licence MIT par un tier gratuit propriétaire « Mattermost Entry » sous licence commerciale avec des limites d’utilisation ; le code source AGPLv3 reste disponible pour auto-compilation), Keycloak (identité, remplaçant « Se connecter avec Google ») et les serveurs de messagerie (remplaçant Gmail/Outlook). Le coût opérationnel de l’auto-hébergement est souvent sous-estimé — voir Coût total de possession.

L’auto-hébergement est un spectre : de l’exécution de logiciels sur un serveur dans ses propres locaux, à l’utilisation de serveurs dédiés (bare metal) dans un centre de données européen, jusqu’au déploiement de conteneurs sur un cluster Kubernetes managé. Chaque niveau offre des compromis différents entre contrôle et effort opérationnel.

Voir aussi : Coût total de possession, Souveraineté numérique, Bare metal

Délivrabilité (Deliverability)

En matière d’e-mail, la délivrabilité désigne le fait qu’un e-mail envoyé depuis votre serveur atteigne effectivement la boîte de réception du destinataire — par opposition à être supprimé silencieusement, rejeté ou classé en spam. C’est l’un des aspects les plus difficiles de l’auto-hébergement d’un serveur de messagerie.

La délivrabilité dépend de multiples facteurs techniques : SPF (Sender Policy Framework — quels serveurs sont autorisés à envoyer pour votre domaine), DKIM (DomainKeys Identified Mail — signature cryptographique prouvant que l’e-mail n’a pas été altéré), DMARC (Domain-based Message Authentication, Reporting & Conformance — politique de gestion des échecs d’authentification) et réputation IP (si l’adresse IP d’envoi a un historique de spam).

Les grands fournisseurs comme Google et Microsoft appliquent un filtrage agressif. Un nouveau serveur de messagerie ou un serveur à faible volume aura souvent une mauvaise réputation IP par défaut, faisant classer les e-mails légitimes comme spam. Construire et maintenir cette réputation nécessite des envois réguliers, des enregistrements d’authentification corrects et une surveillance des listes noires. C’est pourquoi de nombreuses organisations préfèrent des fournisseurs européens d’e-mail gérés (p. ex. Mailbox.org, Posteo, Proton Mail) plutôt que d’exploiter leurs propres serveurs de messagerie.

Voir aussi : Auto-hébergement

Décentralisé

Architecture de système dans laquelle aucune entité unique ne contrôle l’ensemble du réseau. Au lieu que toutes les communications transitent par les serveurs d’un seul fournisseur (modèle centralisé — p. ex. Slack, Teams, WhatsApp), un système décentralisé permet à plusieurs serveurs indépendants de communiquer entre eux via un protocole ouvert.

L’e-mail est le plus ancien système décentralisé largement utilisé : n’importe qui peut exploiter un serveur de messagerie, et les serveurs de différents fournisseurs échangent des messages via SMTP. Le protocole Matrix applique ce principe à la messagerie instantanée : les organisations peuvent faire tourner leur propre serveur Matrix et communiquer avec les utilisateurs d’autres serveurs Matrix (appelé « fédération »). Mastodon (réseaux sociaux) et XMPP (messagerie) suivent le même principe.

L’avantage est la résilience et l’autonomie : aucun fournisseur unique ne peut fermer le réseau, modifier les conditions d’utilisation pour tous, ou être contraint de remettre toutes les données. Le compromis est la complexité : assurer une expérience utilisateur cohérente, le chiffrement de bout en bout entre serveurs et la prévention du spam est plus difficile dans un système décentralisé.

Voir aussi : Matrix, Auto-hébergement, Souveraineté numérique

Standards ouverts

Spécifications techniques publiquement documentées, librement implémentables sans frais de licence, et maintenues par un processus transparent et collaboratif — typiquement par des organismes de normalisation tels que l’IETF (standards Internet), le W3C (standards web), OASIS (standards d’entreprise) ou l’ISO.

Exemples : HTML/CSS (pages web), SMTP/IMAP (e-mail), CalDAV/CardDAV (synchronisation calendrier/contacts), OpenDocument Format (ODF) (documents — utilisé par LibreOffice), OAuth 2.0 / OpenID Connect (authentification) et WebDAV (accès fichiers). Les standards ouverts permettent l’interopérabilité — la capacité de passer d’une implémentation à une autre sans perdre de données ni de fonctionnalités.

Les standards ouverts sont le fondement de la portabilité des données et la protection la plus solide contre le vendor lock-in. L’UE promeut activement les standards ouverts à travers le Cadre européen d’interopérabilité et des directives de marchés publics exigeant de plus en plus des solutions basées sur des standards. Le contraste : les formats propriétaires (p. ex. le .docx de Microsoft, nominalement standardisé sous OOXML mais contenant en pratique des extensions non documentées) créent des dépendances que les standards ouverts évitent.

Voir aussi : Interopérabilité, Portabilité des données, Vendor lock-in, Open Source

Coût total de possession (TCO)

Le coût complet d’une technologie sur l’ensemble de son cycle de vie — pas seulement le prix d’achat ou les frais de licence, mais aussi la mise en œuvre, la migration, la formation, la maintenance, le support et le décommissionnement final. L’analyse du TCO est essentielle pour des comparaisons honnêtes entre solutions propriétaires et open source.

Les logiciels open source n’ont pas de frais de licence, mais ne sont pas « gratuits » au sens du coût total. Les coûts incluent : le temps du personnel pour l’installation et la configuration, la maintenance et les mises à jour de sécurité continues, la formation (surtout lors de la migration depuis des outils familiers), l’intégration avec les systèmes existants et potentiellement des contrats de support commercial. Les solutions propriétaires regroupent nombre de ces coûts dans le prix de l’abonnement, les faisant paraître plus simples — mais masquant aussi les coûts de vendor lock-in qui ne deviennent visibles qu’au moment du changement.

Une comparaison TCO réaliste doit inclure : les coûts directs (licences, abonnements, hébergement, contrats de support), les coûts indirects (temps du personnel, formation, impact sur la productivité pendant la migration), les coûts de risque (lock-in, conformité réglementaire, stabilité du fournisseur) et les coûts d’opportunité (ce qui pourrait être fait avec le budget libéré). Nombre d’affirmations « l’Open Source est gratuit » et « Microsoft est plus cher » échouent car elles ignorent des parties de cette équation.

Voir aussi : Vendor lock-in, Auto-hébergement, Open Source

LibreOffice

Suite bureautique libre et open source développée par The Document Foundation (TDF). Elle a été forkée d’OpenOffice.org en 2010 après que l’acquisition de Sun Microsystems par Oracle ait soulevé des inquiétudes sur l’avenir du projet. LibreOffice comprend Writer (traitement de texte), Calc (tableur), Impress (présentations), Draw (graphiques vectoriels), Base (bases de données) et Math (édition de formules).

LibreOffice utilise l’OpenDocument Format (ODF) (ISO/IEC 26300) comme format natif — un standard ouvert qui garantit l’accessibilité à long terme des documents. Elle peut également lire et écrire les formats Microsoft (.docx, .xlsx, .pptx), bien que les mises en forme complexes ne se convertissent pas toujours parfaitement.

LibreOffice est la suite bureautique open source la plus déployée dans les administrations publiques européennes. Déploiements notables : le Land allemand de Schleswig-Holstein (30 000 PC), l’armée italienne (150 000 postes de travail) et de nombreuses institutions de l’UE. Pour l’édition collaborative dans le navigateur, Collabora Online propose une alternative basée sur LibreOffice à Google Docs.

Voir aussi : Collabora Online, Standards ouverts, Fork, OnlyOffice

Collabora Online

Suite d’édition de documents dans le navigateur construite sur la technologie LibreOffice, développée par Collabora Productivity (une entreprise basée au Royaume-Uni). Elle permet l’édition collaborative en temps réel de documents, tableurs et présentations directement dans le navigateur — similaire à Google Docs ou Microsoft Office Online.

Collabora Online peut être auto-hébergée et s’intègre avec des plateformes de fichiers comme Nextcloud, ownCloud et openDesk. Cela permet de proposer l’édition de documents dans le navigateur entièrement au sein d’une infrastructure européenne, sans envoyer de données à des fournisseurs cloud américains. C’est l’un des composants centraux de l’initiative de poste de travail souverain openDesk.

Le compromis par rapport à Google Docs ou Microsoft Office Online : Collabora Online s’est considérablement amélioré mais peut encore accuser un retard en termes de performances de collaboration en temps réel et d’étendue des fonctionnalités intégrées (p. ex. pas d’équivalent natif aux fonctions IA de Google Sheets). Pour les organisations priorisant la souveraineté des données, c’est actuellement l’option open source la plus mature pour l’édition de documents dans le navigateur.

Voir aussi : LibreOffice, openDesk, Auto-hébergement, OnlyOffice

OnlyOffice

Suite bureautique open source développée par Ascensio System SIA (Lettonie). Contrairement à LibreOffice, OnlyOffice a été conçu dès le départ pour l’édition collaborative dans le navigateur, avec un accent sur la haute compatibilité avec les formats Microsoft Office (.docx, .xlsx, .pptx).

OnlyOffice Docs (le composant d’édition de documents) peut être auto-hébergé et s’intègre avec des plateformes comme Nextcloud, Seafile et d’autres. L’application de bureau est disponible pour Windows, macOS et Linux. Le cœur de l’éditeur est open source (AGPL v3), tandis que OnlyOffice Workspace orienté entreprise (avec CRM, mail, gestion de projet) utilise une licence propriétaire pour certaines fonctionnalités.

Pour les organisations choisissant entre les solutions d’édition de documents, la comparaison pratique est : OnlyOffice offre une meilleure compatibilité avec les formats Microsoft ; Collabora Online offre un meilleur support ODF et l’appui de l’écosystème LibreOffice. Les deux peuvent être auto-hébergés. Aucun ne correspond pleinement à l’expérience d’édition collaborative de Google Docs ou Microsoft 365 — bien que l’écart se réduise.

Voir aussi : LibreOffice, Collabora Online, Open Source, Auto-hébergement

Matrix (protocole)

Protocole de communication ouvert et décentralisé pour la messagerie instantanée, la voix et la vidéo en temps réel — développé par la Matrix.org Foundation (une association à but non lucratif britannique). Le protocole est un standard ouvert, et n’importe qui peut exploiter un serveur Matrix (appelé « homeserver ») qui fédère avec d’autres serveurs Matrix, de manière similaire au fonctionnement de l’e-mail.

Le client Matrix le plus utilisé est Element (anciennement Riot.im), développé par Element (l’entreprise, anciennement New Vector Ltd). Matrix supporte le chiffrement de bout en bout par défaut pour les messages directs et peut être activé pour les conversations de groupe.

Matrix connaît une adoption significative dans les administrations publiques européennes : le gouvernement français l’utilise comme base pour Tchap (messagerie pour tous les agents gouvernementaux), la Bundeswehr allemande l’utilise pour BwMessenger, et le système de santé allemand (gematik) l’a adopté pour le TI-Messenger. Ces déploiements démontrent que Matrix peut monter en charge pour des centaines de milliers d’utilisateurs dans des environnements hautement sécurisés. La spécification du protocole est maintenue sur spec.matrix.org.

Voir aussi : Décentralisé, Chiffrement de bout en bout, Auto-hébergement, Standards ouverts

Automatisation des workflows

Logiciel qui connecte différentes applications et automatise des séquences de tâches — réduisant le travail manuel et permettant aux processus de s’exécuter à travers plusieurs systèmes sans intervention humaine à chaque étape. Dans le contexte de l’indépendance numérique, les outils d’automatisation des workflows peuvent aider à découpler la logique métier des applications spécifiques, facilitant le remplacement de composants individuels sans reconstruire l’ensemble des processus.

Outils d’automatisation des workflows notables : n8n (constructeur visuel de workflows, source-available sous la Sustainable Use License — présenté comme « fair code » mais non open source au sens de la définition OSI, auto-hébergeable), Node-RED (programmation par flux, créé par IBM, maintenant projet de la Linux Foundation, licence Apache 2.0) et Apache Airflow (orchestration de pipelines de données, très utilisé en ingénierie des données). Camunda est une plateforme d’automatisation de processus axée sur les workflows BPMN (Business Process Model and Notation) — plus structurée que n8n/Node-RED et destinée à l’orchestration de processus d’entreprise. À noter : Camunda 8 est passé à une licence propriétaire (Camunda License 1.0) à partir de la version 8.6 (octobre 2024) ; le moteur principal y compris Zeebe est désormais limité aux environnements non-production sans licence payante, bien que les bibliothèques client et SDK restent sous Apache 2.0. L’édition communautaire Camunda 7 a atteint sa fin de vie en octobre 2025 ; des forks communautaires (CIB seven, Operaton) ont émergé.

Le compromis : si l’automatisation des workflows peut réduire la dépendance envers une application unique, la plateforme d’automatisation elle-même devient une dépendance. Migrer des workflows complexes entre outils d’automatisation n’est pas trivial. Choisir un outil open source, auto-hébergé, supportant des standards ouverts (p. ex. BPMN pour Camunda) atténue mais n’élimine pas ce risque.

Voir aussi : Vendor lock-in, Standards ouverts, Auto-hébergement, Interopérabilité

Portabilité des données

La capacité de déplacer des données d’un système ou d’un fournisseur à un autre dans un format exploitable, sans perte d’information ni de fonctionnalité. La portabilité des données est un prérequis pour éviter le vendor lock-in et un principe fondamental de la souveraineté numérique.

Le RGPD (article 20) accorde aux citoyens européens un « droit à la portabilité des données » pour leurs données personnelles — le droit de recevoir les données dans un « format structuré, couramment utilisé et lisible par machine ». Le Data Act (UE 2023/2854, applicable à partir de septembre 2025) étend les exigences de portabilité aux services cloud, obligeant les fournisseurs à permettre l’export des données et interdisant les barrières contractuelles au changement.

En pratique, la portabilité des données dépend des standards ouverts : si vos e-mails sont stockés dans des boîtes IMAP standard, la migration est simple. Si vos données de gestion de projet sont dans un format propriétaire sans fonction d’export, la migration peut nécessiter un effort manuel considérable. Standards clés pour la portabilité : IMAP (e-mail), CalDAV/CardDAV (calendrier/contacts), ODF (documents), CSV/JSON (données structurées) et dumps SQL (bases de données). Pour évaluer tout outil, le test pratique est : « Puis-je exporter toutes mes données et les importer dans un autre système dans un délai raisonnable ? »

Voir aussi : Standards ouverts, Vendor lock-in, RGPD, Interopérabilité

Interopérabilité

La capacité de différents systèmes logiciels, développés par différents éditeurs, à échanger des données et à fonctionner ensemble sans effort particulier. L’interopérabilité est le résultat pratique des standards ouverts — et son absence est le principal mécanisme de vendor lock-in.

Niveaux d’interopérabilité : Syntaxique (les systèmes peuvent échanger des données — p. ex. tous deux parlent JSON via HTTPS), Sémantique (les systèmes interprètent les données de la même manière — p. ex. tous deux comprennent ce qu’est un « événement de calendrier ») et Organisationnelle (différentes organisations s’accordent sur les processus et la gouvernance de l’échange de données). Le Cadre européen d’interopérabilité (EIF) définit ces niveaux et fournit des orientations pour les administrations publiques.

Dans le contexte de l’indépendance numérique, l’interopérabilité signifie : votre calendrier dans Nextcloud peut se synchroniser avec tout client compatible CalDAV, vos documents dans LibreOffice peuvent être ouverts dans tout éditeur compatible ODF, et votre système d’identité (Keycloak) peut authentifier les utilisateurs pour toute application compatible SAML/OIDC. Quand l’interopérabilité est forte, le remplacement de composants individuels devient faisable. Quand elle est faible, on est enfermé dans l’ensemble de la pile.

Voir aussi : Standards ouverts, Portabilité des données, Vendor lock-in, API

Conférence de Munich sur la sécurité (MSC)

La plus grande conférence annuelle au monde sur la politique de sécurité internationale, organisée à Munich depuis 1963. Organisée par la MSC Foundation sous la présidence de Christoph Heusgen (depuis 2022). Les participants comprennent des chefs d’État, des ministres de la Défense, des hauts responsables militaires et des experts en sécurité.

La MSC ne prend pas de décisions contraignantes, mais place des sujets à l’agenda de la politique de sécurité internationale. En février 2025, le chancelier Friedrich Merz a utilisé son discours d’ouverture pour qualifier la dépendance technologique de l’Europe de défaillance stratégique — une première sur une grande scène sécuritaire.

Voir aussi : Souveraineté numérique

ESTIA

L’European Sovereign Tech Industry Alliance a été fondée en novembre 2025 lors du sommet de Berlin sur la souveraineté numérique européenne. Les membres fondateurs comprennent Airbus, Dassault Systèmes, Deutsche Telekom, Orange, OVHcloud et Sopra Steria.

L’objectif est de construire des services cloud souverains et une infrastructure numérique européenne. Le lancement officiel est prévu pour 2026. ESTIA sera jugée sur sa capacité à livrer des produits concrets là où Gaia-X en est largement resté au stade des standards et documents de position.

Voir aussi : Gaia-X, Souveraineté numérique, Hyperscaler

LaSuite

Le poste de travail numérique souverain de l’administration française, développé par la DINUM. LaSuite se compose de modules open source pour la messagerie, la visioconférence, l’édition de documents et la collaboration — construits comme des forks personnalisés avec une interface utilisateur cohérente.

L’essentiel : LaSuite peut fédérer avec openDesk. Un fonctionnaire français peut collaborer avec un collègue allemand sur un document sans que les données transitent par des services cloud américains. Les Pays-Bas développent MijnBureau, une troisième plateforme combinant des composants des deux systèmes.

LaSuite sur l’EU OSOR

Voir aussi : openDesk, DINUM, MijnBureau, Fork

MijnBureau

Le poste de travail numérique souverain de l’administration néerlandaise, combinant des composants d’openDesk et de LaSuite en une plateforme indépendante. MijnBureau est développé dans le cadre de la coopération européenne pour des postes de travail administratifs souverains et peut fédérer avec les plateformes allemande et française.

Voir aussi : openDesk, LaSuite, Souveraineté numérique

Public Money, Public Code

Une campagne de la FSFE avec une demande centrale claire : les logiciels développés avec l’argent public doivent être publiés sous licences libres en tant qu’open source. L’initiative est soutenue par plus de 200 organisations et administrations.

Le Parlement européen a adopté ce principe en janvier 2026 avec sa résolution « Open Source first » dans le rapport sur la souveraineté technologique — par 471 voix contre 68.

Voir aussi : FSFE, Open Source, Souveraineté numérique

Eurostack

Une vision stratégique pour une infrastructure numérique européenne de bout en bout — des semi-conducteurs au cloud en passant par les logiciels et l’IA. Le terme a été utilisé dans le rapport du Parlement européen sur la souveraineté technologique (janvier 2026) pour désigner l’objectif de développer des alternatives européennes à chaque couche de la chaîne de valeur numérique, fondées sur des standards ouverts.

Eurostack n’est pas un projet unique mais un cadre de référence : l’Europe ne devrait être entièrement dépendante de fournisseurs non européens à aucune couche de l’infrastructure numérique. Les composantes concrètes incluent le Sovereign Cloud Stack, openDesk, LaSuite et l’alliance ESTIA.

Voir aussi : Souveraineté numérique, Sovereign Cloud Stack, ESTIA, Chaîne de valeur

Digital Commons-EDIC

Un European Digital Infrastructure Consortium (EDIC) pour les communs numériques, initié par l’Allemagne, la France, les Pays-Bas et l’Italie lors du sommet de Berlin sur la souveraineté numérique en novembre 2025.

Les EDIC sont un instrument du programme politique de la décennie numérique de l’UE (décision 2022/2481), permettant à des groupes d’au moins trois États membres d’investir conjointement dans l’infrastructure numérique. Le Digital Commons-EDIC vise à promouvoir le développement et la maintenance de logiciels open source et de standards ouverts en tant que communs numériques — une infrastructure accessible à tous et contrôlée par aucun fournisseur unique.

Voir aussi : Souveraineté numérique, Open Source, Standards ouverts

FSFE

La Free Software Foundation Europe est une organisation à but non lucratif qui défend les droits du logiciel libre en Europe depuis 2001 — à travers le travail politique, le soutien juridique et la sensibilisation du public. Elle est indépendante de la FSF américaine.

La campagne la plus connue de la FSFE est « Public Money, Public Code ». Elle soutient également les initiatives pour les standards ouverts dans l’administration publique, offre des conseils juridiques sur les questions de licences et contribue aux processus législatifs de l’UE avec des prises de position sur la souveraineté numérique.

Voir aussi : PMPC, Open Source, Souveraineté numérique

DINUM

La Direction interministérielle du numérique est l’organisme du gouvernement français responsable de la transformation numérique de l’administration publique. Elle est rattachée au Premier ministre et coordonne la stratégie informatique de l’ensemble des ministères.

La DINUM développe LaSuite, le poste de travail numérique souverain de l’administration française, et pilote le programme « communs numériques ». Elle est l’homologue français du ZenDiS allemand (Zentrum für Digitale Souveränität), qui développe openDesk.

Voir aussi : LaSuite, openDesk, Souveraineté numérique

Data Act

Le Data Act (UE 2023/2854) régule l’accès aux données et leur partage dans l’UE. Il a été adopté le 13 décembre 2023 et est applicable à partir du 12 septembre 2025.

Éléments clés : les utilisateurs acquièrent un droit d’accès aux données générées par leurs appareils connectés (IoT). Les fournisseurs cloud doivent faciliter activement le changement de fournisseur et ne peuvent pas facturer de frais de changement prohibitifs. Certaines clauses contractuelles abusives sur le partage de données sont interdites. Des exigences d’interopérabilité des espaces de données sont définies.

Pour la souveraineté numérique, le Data Act est significatif car il s’attaque au vendor lock-in au niveau cloud par la réglementation — un fournisseur ne peut plus bloquer contractuellement ou techniquement le départ d’un client.

Voir aussi : Vendor lock-in, Portabilité des données, RGPD, Souveraineté numérique

Révélations Snowden

En juin 2013, l’ancien sous-traitant de la NSA Edward Snowden a commencé à transmettre aux journalistes des documents classifiés révélant l’ampleur des programmes de surveillance mondiale de la NSA américaine et du GCHQ britannique.

Les révélations ont exposé notamment : PRISM (accès direct aux données de Google, Apple, Microsoft, Facebook et d’autres entreprises américaines), XKeyscore (recherche en temps réel dans les communications Internet mondiales) et la surveillance systématique des communications gouvernementales européennes — y compris le téléphone portable de la chancelière Angela Merkel.

Les révélations ont marqué un tournant dans la prise de conscience européenne de la souveraineté numérique. Elles ont déclenché l’affaire Schrems I, qui en 2015 a invalidé l’accord Safe Harbor, et accéléré l’adoption du RGPD.

Voir aussi : Souveraineté numérique, RGPD, CLOUD Act, EU-US Data Privacy Framework

Chaîne de valeur

L’ensemble des étapes successives par lesquelles un produit ou service est créé — de la recherche fondamentale au développement, à la production, à la distribution et au support. Le concept a été introduit en 1985 par Michael E. Porter.

Dans le contexte numérique, la chaîne de valeur englobe : les semi-conducteurs (conception et fabrication de puces), le matériel (serveurs, réseau, terminaux), les systèmes d’exploitation, l’infrastructure cloud, les plateformes et middleware, les logiciels applicatifs et les services. L’Europe est fortement dépendante de fournisseurs non européens à plusieurs de ces niveaux — particulièrement les semi-conducteurs (TSMC, Samsung), le cloud (hyperscalers) et les logiciels applicatifs (Microsoft, Google).

Le chancelier Merz a défini la souveraineté numérique lors du sommet de Berlin en 2025 comme « la capacité de façonner la technologie sur l’ensemble de la chaîne de valeur conformément aux intérêts et aux besoins européens ». L’approche Eurostack vise à créer des alternatives européennes à chaque niveau.

Voir aussi : Souveraineté numérique, Eurostack, Hyperscaler

Fuite des talents (Brain Drain)

L’émigration de professionnels hautement qualifiés — développeurs, chercheurs en IA, fondateurs — d’Europe vers des pays offrant de meilleures conditions, en particulier les États-Unis. Le secteur technologique européen perd ainsi non seulement du capital humain mais aussi le potentiel d’innovation nécessaire à la souveraineté numérique.

Données probantes : selon une étude du Fonds européen d’investissement (FEI), les fondateurs tech européens émigrent de manière disproportionnée vers les États-Unis, attirés par des salaires plus élevés (rémunération médiane des développeurs aux États-Unis environ 50 % supérieure à l’Europe occidentale), un accès plus facile au capital-risque et une culture qui récompense le risque entrepreneurial au lieu de le réglementer.

Le Conseil européen de l’innovation (EIC) tente d’y remédier par des programmes de financement. Cependant, les désavantages structurels comme le poids réglementaire et la fragmentation des marchés de capitaux européens ne peuvent être compensés par les seules subventions.

Voir aussi : Souveraineté numérique, Poids réglementaire

Poids réglementaire

La charge cumulative pesant sur les entreprises et organisations du fait de l’ensemble de la réglementation européenne — non pas une réglementation isolée, mais leur somme. Dans le secteur numérique, cela concerne notamment l’EU AI Act, le Data Act, le RGPD, le Digital Services Act (DSA), le Digital Markets Act (DMA) et la directive NIS2.

Chaque réglementation prise isolément a ses mérites. Ensemble, elles créent un environnement où les coûts de conformité — conseil juridique, délégués à la protection des données, obligations de documentation, certifications — absorbent des ressources considérables. Une étude de la Cour des comptes européenne a constaté que la fragmentation réglementaire désavantage les entreprises européennes face aux concurrents américains et chinois.

Que le sommet de Berlin sur la souveraineté numérique ait lui-même demandé un report de 12 mois des dispositions à haut risque de l’AI Act est un aveu tacite de cette contradiction : l’Europe réglemente la technologie plus vite qu’elle ne la développe.

Voir aussi : EU AI Act, Data Act, RGPD, Souveraineté numérique

UI (User Interface)

L’interface utilisateur est la couche par laquelle les personnes interagissent avec un logiciel — mise en page, menus, boutons, formulaires et design visuel. Dans le contexte de la souveraineté numérique, l’UI est pertinente car l’acceptation par les utilisateurs détermine souvent le succès ou l’échec d’un passage de logiciels propriétaires à l’open source.

Une UI cohérente était un objectif de conception central de LaSuite : les différents composants open source (messagerie, visioconférence, éditeur de documents) ont été développés comme des forks personnalisés avec une apparence cohérente, pour que les utilisateurs vivent une expérience de travail unifiée. openDesk suit une approche différente, intégrant les projets en amont avec leurs interfaces respectives.

Voir aussi : LaSuite, Fork, openDesk

EUCS (Schéma européen de certification cloud)

L’European Union Cloud Certification Scheme est un cadre de certification de cybersécurité pour les services cloud, développé par l’ENISA (Agence de l’Union européenne pour la cybersécurité) dans le cadre du règlement sur la cybersécurité de l’UE (EU 2019/881).

L’EUCS définit trois niveaux d’assurance (Basic, Substantial, High) contre lesquels les fournisseurs cloud peuvent être certifiés. Le niveau High est destiné aux données sensibles et aux infrastructures critiques, et inclut des exigences relatives à la souveraineté opérationnelle (p. ex. juridiction légale, contrôles d’accès, immunité face au droit non européen). La question de la gestion de l’exposition au CLOUD Act des fournisseurs américains a été la controverse politique centrale dans l’élaboration de l’EUCS — des versions antérieures contenaient des exigences explicites d’immunité face au droit étranger, ensuite assouplies sous la pression de l’industrie et du gouvernement américain.

L’EUCS se distingue des schémas nationaux comme le SecNumCloud français, qui a des exigences de souveraineté plus strictes, notamment un contrôle obligatoire par une entité juridique européenne.

Voir aussi : SecNumCloud, CLOUD Act, Souveraineté numérique, Sovereign Cloud Stack

SecNumCloud

Un schéma national français de qualification de sécurité cloud, administré par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). SecNumCloud est l’un des cadres de sécurité cloud les plus exigeants d’Europe, avec des exigences strictes en matière de sécurité opérationnelle, de résidence des données et — surtout — de souveraineté juridique : le fournisseur cloud doit être une entité juridique contrôlée par l’UE, non soumise aux lois non européennes (comme le CLOUD Act américain).

Cette dernière exigence exclut de facto les filiales de hyperscalers américains de la qualification SecNumCloud, même s’ils exploitent des centres de données européens. Les administrations publiques françaises traitant des données sensibles sont de plus en plus tenues d’utiliser des fournisseurs qualifiés SecNumCloud. Les fournisseurs qualifiés incluent OVHcloud et d’autres opérateurs à siège européen.

Le schéma a influencé le débat autour de l’EUCS — la France plaide pour des exigences de souveraineté équivalentes au SecNumCloud au niveau européen, ce qui rencontre une résistance de la part de certains fournisseurs et États membres.

Voir aussi : EUCS, CLOUD Act, Souveraineté numérique

FranceConnect

La fédération nationale d’identité numérique du gouvernement français, opérée par la DINUM. FranceConnect permet aux citoyens français de s’authentifier auprès des services publics en utilisant leurs identifiants existants auprès de fournisseurs d’identité de confiance (administration fiscale, sécurité sociale, La Poste, etc.) — sans avoir à créer un compte séparé pour chaque service.

FranceConnect+ est une variante à niveau d’assurance élevé qui utilise la vérification d’identité avec contrôle physique du document, répondant aux exigences du niveau de garantie Élevé (LoA High) de l’eIDAS. Avec LaSuite, FranceConnect fait partie de la pile d’identité numérique souveraine française. Elle démontre la viabilité d’une fédération d’identité pilotée par l’État comme alternative à « Se connecter avec Google/Apple/Facebook » à l’échelle nationale.

Voir aussi : eIDAS, Fournisseur d’identité, DINUM, Souveraineté numérique

DigiD

Le système national d’identité numérique des Pays-Bas, opéré par Logius (partie du ministère de l’Intérieur). DigiD (abréviation de Digitale Identiteit — Identité numérique) est utilisé par plus de 14 millions de citoyens néerlandais pour s’authentifier auprès de plus de 900 services publics, notamment la déclaration fiscale, les soins de santé et la sécurité sociale.

DigiD utilise un modèle de niveau de garantie par paliers aligné sur les niveaux eIDAS. L’application DigiD (lancée en 2019) offre un niveau de garantie Élevé via la reconnaissance faciale comparée au registre des passeports. Les Pays-Bas développent un DigiD Wallet pour s’aligner sur le futur European Digital Identity Wallet (EUDIW) prévu par eIDAS 2.0.

DigiD est fréquemment cité comme implémentation de référence d’une identité numérique nationale à grande échelle — aux côtés de FranceConnect en France et de l’initiative EUDIW.

Voir aussi : eIDAS, FranceConnect, Fournisseur d’identité, Souveraineté numérique

Active Directory (AD)

Le service d’annuaire propriétaire de Microsoft pour la gestion des utilisateurs, groupes, ordinateurs et politiques d’accès dans les réseaux Windows. Lancé avec Windows 2000, Active Directory est devenu le standard de facto pour la gestion des identités et des accès en entreprise dans le monde entier — en particulier dans les organisations utilisant Microsoft 365 et des postes Windows.

AD fournit une authentification centralisée (Kerberos, NTLM), la gestion des stratégies de groupe (GPO) et des services d’annuaire LDAP. Son intégration profonde avec Windows et Microsoft 365 est à la fois sa force et une source significative de verrouillage fournisseur : migrer hors d’AD nécessite de remplacer non seulement l’annuaire, mais aussi les protocoles d’authentification, les stratégies de groupe et les intégrations applicatives construites par-dessus.

Les alternatives open source incluent FreeIPA (Red Hat, basé sur 389 Directory Server + Kerberos + SSSD) et Samba AD (qui implémente directement le protocole AD, permettant à des serveurs Linux de servir de contrôleurs de domaine AD). Les deux ont considérablement mûri, mais ne couvrent pas toutes les fonctionnalités spécifiques à AD — notamment les scénarios complexes de stratégies de groupe.

Voir aussi : LDAP, Verrouillage fournisseur, SSO

LDAP (Lightweight Directory Access Protocol)

Un protocole ouvert et neutre vis-à-vis des éditeurs pour accéder aux informations d’annuaire et les gérer — comptes utilisateurs, groupes, structures organisationnelles, permissions. LDAP est le protocole sous-jacent utilisé par Active Directory, OpenLDAP, 389 Directory Server et FreeIPA.

Défini à l’origine dans le RFC 4511 (2006, basé sur X.500 de 1993), LDAP est l’un des protocoles les plus anciens et les plus largement déployés dans l’IT d’entreprise. Il fournit une structure de données hiérarchique (Distinguished Names, Organizational Units) qui se transpose naturellement aux structures d’entreprise.

Pour la souveraineté identitaire, LDAP est important parce que c’est un standard ouvert : tout annuaire conforme LDAP peut être remplacé par un autre. Cela contraste avec les extensions propriétaires construites sur LDAP (comme les stratégies de groupe d’AD), qui créent du verrouillage. Keycloak et Authentik prennent tous deux en charge la fédération LDAP, permettant aux organisations de migrer depuis AD de manière incrémentale.

Voir aussi : Active Directory, Standards ouverts, SSO

OpenStack

Une plateforme open source de cloud computing pour construire et gérer des clouds publics et privés. Lancée en 2010 par la NASA et Rackspace, OpenStack est aujourd’hui gouvernée par l’OpenInfra Foundation et déployée par des centaines d’organisations dans le monde.

OpenStack fournit la couche d’infrastructure — calcul (Nova), réseau (Neutron), stockage (Cinder/Swift), identité (Keystone) — que les hyperscalers comme AWS proposent sous forme de services propriétaires. C’est le socle du Sovereign Cloud Stack (SCS) et il est déployé par des fournisseurs cloud européens dont OVHcloud, IONOS et Open Telekom Cloud (Deutsche Telekom).

L’importance pour la souveraineté numérique : OpenStack permet aux organisations et fournisseurs de construire une infrastructure cloud avec les mêmes capacités que les hyperscalers, sans dépendance à des plateformes propriétaires. La contrepartie est la complexité opérationnelle — exploiter OpenStack nécessite une expertise substantielle, d’où l’existence d’offres OpenStack managées et de l’implémentation de référence SCS.

Voir aussi : Sovereign Cloud Stack, Kubernetes, Open source

Kubernetes (K8s)

Une plateforme open source d’orchestration de conteneurs pour automatiser le déploiement, la mise à l’échelle et la gestion d’applications conteneurisées. Développée à l’origine par Google (basée sur son système interne Borg), Kubernetes a été donnée à la CNCF en 2014 et a obtenu le statut « graduated » en 2018. Elle est devenue le standard de facto pour l’exécution d’applications en environnement cloud.

Kubernetes abstrait l’infrastructure sous-jacente : le même déploiement applicatif fonctionne sur AWS, chez un fournisseur cloud européen, sur des serveurs bare-metal ou on-premises. Cette portabilité d’infrastructure fait de Kubernetes un levier clé pour la souveraineté cloud — les workloads déployés sur Kubernetes peuvent être déplacés entre fournisseurs sans réécriture de l’application, contrant directement le verrouillage fournisseur.

Le Sovereign Cloud Stack (SCS) utilise Kubernetes comme couche d’orchestration de conteneurs, aux côtés d’OpenStack pour l’infrastructure. La plupart des fournisseurs cloud européens (Scaleway, IONOS, OVHcloud) proposent des services Kubernetes managés.

Voir aussi : CNCF, OpenStack, Sovereign Cloud Stack, Verrouillage fournisseur

Déclaration de Bletchley

La Déclaration de Bletchley a été signée les 1er et 2 novembre 2023 lors du premier Sommet mondial sur la sécurité de l’IA à Bletchley Park, au Royaume-Uni, par 29 États — dont les États-Unis, la Chine, les États membres de l’UE, le Royaume-Uni, le Japon, l’Inde et le Brésil. C’était la première fois que les États-Unis et la Chine signaient conjointement un document sur les risques de l’IA.

La déclaration reconnaît que l’IA avancée présente « des risques significatifs, y compris des dommages graves, voire catastrophiques » et appelle à la coopération internationale pour y faire face. Elle a conduit à la création de l’AI Safety Institute britannique et a inspiré des initiatives similaires aux États-Unis, au Japon et à Singapour. Des sommets de suivi ont eu lieu à Séoul (mai 2024) et à Paris (février 2025).

L’importance politique de la Déclaration de Bletchley réside dans le fait qu’elle a documenté un consensus international qui a depuis été partiellement rompu : les États-Unis ont révoqué leurs mesures contraignantes de sécurité IA au niveau fédéral en janvier 2025, privilégiant la compétitivité économique au détriment de l’atténuation des risques convenue à Bletchley.

Voir aussi : AI Safety Institute, EU AI Act, Souveraineté numérique

AI Safety Institute (AISI)

L’AI Safety Institute est un organisme gouvernemental britannique créé en novembre 2023 comme résultat direct du Sommet de Bletchley. C’est la première institution étatique au monde dédiée exclusivement à l’évaluation et à l’atténuation des risques des modèles d’IA avancés.

L’institut emploie plus de 100 experts techniques et dispose d’un budget annuel de 66 millions de livres sterling. Il a conclu des accords avec les principales entreprises d’IA — dont Anthropic, OpenAI, Google DeepMind et Meta — pour un accès pré-déploiement aux nouveaux modèles avant leur publication afin de mener des évaluations de sécurité indépendantes.

Les travaux de l’AISI comprennent : l’évaluation des modèles d’IA pour détecter des capacités dangereuses (p. ex. assistance pour armes biologiques ou chimiques, cyberattaques autonomes), le développement de méthodologies d’évaluation et la publication de résultats de recherche. Les États-Unis ont créé leur propre US AI Safety Institute au sein du NIST en novembre 2023, mais son mandat a été considérablement réduit lorsque l’Executive Order 14110 a été révoquée en janvier 2025.

Voir aussi : Déclaration de Bletchley, EU AI Act

Executive Order (décret présidentiel américain)

Une Executive Order (EO) est une directive du président américain adressée à l’administration fédérale, émise sans approbation du Congrès. Les Executive Orders ont force de loi pour le pouvoir exécutif, mais peuvent être révoquées ou modifiées par tout président successeur à tout moment — contrairement aux lois, qui ne peuvent être abrogées que par le Congrès.

Cette fragilité est centrale dans le contexte de l’IA et de la protection des données : l’EO 14110 du président Biden sur la sécurité de l’IA (octobre 2023, 36 pages) a été remplacée dès le premier jour de mandat de son successeur par l’EO 14179 (2 pages, zéro exigence de sécurité). De même, le EU-US Data Privacy Framework repose sur l’EO 14086, qui pourrait théoriquement être révoquée à tout moment.

Pour les entreprises européennes, cela signifie : toute garantie américaine fondée sur une Executive Order plutôt que sur une loi est conditionnée à l’administration en place. L’instrument est fragile par conception — ce qui le distingue fondamentalement de la législation contraignante de l’EU AI Act.

Voir aussi : EU AI Act, EU-US Data Privacy Framework, Souveraineté numérique

Recherche

Appuyez sur Ctrl+K pour ouvrir la recherche