Le déclencheur fut une phrase au Sénat français, le mardi 10 juin 2025. Le sénateur Dany Wattebled, rapporteur de la Commission d’enquête sur les coûts de la commande publique, avait face à lui Anton Carniaux de Microsoft France. Carniaux était directeur des affaires publiques et juridiques de Microsoft France. À ses côtés siégeait Pierre Lagarde, directeur des services techniques de l’entreprise pour le secteur public. Lagarde venait d’expliquer que depuis janvier, les données des clients européens ne quittaient contractuellement plus l’UE.

Wattebled a demandé à Carniaux s’il pouvait garantir que les données des citoyens français ne seraient pas transmises aux autorités américaines à la suite d’une injonction du gouvernement américain. Carniaux n’a pas louvoyé. « Non, je ne peux pas le garantir, mais, encore une fois, cela ne s’est encore jamais produit. »

La phrase a circulé pendant dix mois. Le mercredi 8 avril 2026, la Direction interministérielle du numérique et trois agences partenaires — la Direction générale des entreprises, l’agence de cybersécurité ANSSI et la Direction des achats de l’État DAE — ont publié un communiqué commun. Chaque ministère, chaque opérateur de l’État, chaque organisme rattaché devait déposer un plan écrit de réduction de ses dépendances numériques extra-européennes. L’échéance : l’automne. Les plans couvriraient sept catégories : postes de travail, outils collaboratifs, antivirus, intelligence artificielle, bases de données, virtualisation et équipements réseau. La DINUM elle-même piloterait en premier la migration de Windows vers Linux.

Anne Le Hénanff, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, a résumé la position en une ligne : « La souveraineté numérique n’est pas une option. » David Amiel, ministre de l’Action publique et des Comptes, a validé le plan.

Ce que le communiqué exige réellement

Chaque ministère doit produire une feuille de route. Les sept catégories ne sont pas négociables ; les échéances à l’intérieur de chacune le sont. L’ambition agrégée est une migration substantielle de l’informatique de l’État d’ici 2030.

La Caisse nationale d’Assurance maladie — caisse nationale française d’assurance maladie — est déjà le plus gros engagement visible. 80 000 de ses collaborateurs migrent sur Tchap, Visio et FranceTransfert. La Suite, la plateforme bureautique souveraine française, avait atteint environ 40 000 utilisateurs réguliers avant que la directive n’en fasse l’outil par défaut. Le premier jalon interministériel concret après le communiqué est un ensemble de « Rencontres industrielles du numérique » prévues en juin 2026, au cours desquelles la DINUM entend formaliser des coalitions public-privé pour la transition.

Pourquoi ce n’est pas Munich

Le projet munichois LiMux, abandonné par la ville en 2017 après une décennie, est la référence européenne canonique du « c’est plus dur qu’il n’y paraît ». L’échec de Munich avait plusieurs causes techniques ; sa cause politique était que des administrations municipales successives pouvaient se défaire des engagements précédents parce qu’il n’existait aucun calendrier opposable au niveau central. La directive française est conçue contre ce schéma.

Les plans écrits obligatoires augmentent le coût politique d’un retour en arrière. Un changement d’administration ne peut pas se défaire d’une feuille de route documentée sans renversement explicite — et ce renversement devient une affaire de presse. Le périmètre à sept catégories est lui aussi délibéré. Les précédentes migrations européennes traitaient les postes de travail et ignoraient l’outillage IA, les bases de données et la virtualisation. En cinq ans, ces lacunes ont réancré la dépendance fournisseur à des couches plus profondes. La France nomme la plupart de la pile dès le départ.

Le cas de référence empirique derrière la méthodologie est la Gendarmerie nationale, force de police militaire qui fait fonctionner environ 100 000 machines sous Linux depuis deux décennies, avec une économie cumulée de licences déclarée d’environ 500 millions d’euros. La migration de la Gendarmerie est la seule migration Linux du secteur public européen largement citable qui soit sans ambiguïté un succès. La DINUM en réplique la méthodologie, plutôt que d’improviser à partir de la théorie.

La phrase de Carniaux de juin 2025 est le mortier politique. Sans un aveu de Microsoft elle-même, au procès-verbal, devant un parlement national, la couche opérationnelle du gouvernement français n’aurait pas produit une directive interministérielle de cette ampleur aussi vite. Le moment au Sénat a converti un argument architectural en fait politique.

Ce que la directive ne règle pas

Même dans la lecture la plus optimiste, la directive traite une couche de la dépendance. Plusieurs couches plus profondes restent sans réponse.

Linux sur 2,5 millions de postes de travail gouvernementaux fermerait une exposition importante. Cela ne fermerait pas la chaîne d’approvisionnement amont — le noyau, les chaînes d’outils, les dépôts de paquets — dont la majeure partie est hébergée sur des infrastructures américaines, principalement GitHub. Cela ne fermerait pas la chaîne de confiance cryptographique : les autorités de certification et les serveurs racine DNS restent dominés par les États-Unis. Cela ne fermerait pas la couche matérielle. Les CPU sont du silicium Intel ou AMD avec une exposition au contrôle américain des exportations, sur des micrologiciels largement fermés.

Les sept catégories de la directive incluent les infrastructures réseau et télécoms, ce qui va plus loin que les efforts européens précédents. La chaîne d’approvisionnement open source amont dont tout le reste dépend n’est pas dans le périmètre. La directive est nécessaire, non suffisante, pour la souveraineté qu’elle prétend délivrer.

Il existe aussi une lecture de politique industrielle que la couverture publique a sous-pondérée. Si la France réussit cette migration, deux constellations de fournisseurs gagnent matériellement : Dassault Systèmes via Outscale, qui héberge Visio, et un ensemble plus restreint de sociétés françaises de services open source. La directive est, en termes commerciaux, un programme de commande publique nationale de quelques milliards d’euros sur cinq ans. Ce n’est pas nécessairement un problème — mais c’est de la politique industrielle autant que de la politique de souveraineté, et les deux ne sont pas identiques.

Ce que cet article n’est pas

Ce n’est pas l’affirmation que la France a résolu le problème. La directive amorce un programme de six ans, et les plans ministériels de l’automne 2026 en sont le premier test mesurable.

Ce n’est pas l’affirmation que ceci est réplicable dans d’autres États membres. La France est institutionnellement distinctive — les vingt années d’expérience Linux de la Gendarmerie n’existent nulle part ailleurs dans l’UE.

Ce n’est pas l’affirmation que Linux est la réponse à la souveraineté. Linux sur le poste de travail est une couche. La chaîne d’approvisionnement amont dont Linux dépend lui-même en est une autre, et la DINUM n’a pas annoncé de plan pour cette couche.

Ce que diront les plans d’automne

Le taux de base des migrations Linux du secteur public européen de cette ampleur est l’échec. Le taux de base des migrations conçues de cette manière — plans écrits avec échéances, périmètre à sept catégories, outils de remplacement fonctionnels, cas de référence empirique dans la Gendarmerie et aveu de Microsoft au procès-verbal comme mortier politique — n’est pas connu. Aucune administration européenne n’a tenté cette combinaison à cette échelle.

Ce que l’on sait, c’est que l’élection présidentielle française de 2027 arrivera avant que les plans ministériels de l’automne 2026 n’aient été pleinement exécutés. Une autre constellation politique pourrait dépriorisée la directive sans la révoquer juridiquement. La directive est administrative, pas parlementaire.

Le premier signal mesurable, ce sont les feuilles de route ministérielles de l’automne. Si elles arrivent concrètes — nommant les fournisseurs, les calendriers, les lignes budgétaires, les équipes de transition — la France aura fait méthodologiquement ce que Munich n’a pas su faire, et la question deviendra de savoir si l’environnement politique laissera la méthode aller au bout. Si elles arrivent vagues, la directive rejoint la longue liste des annonces européennes de souveraineté dont la demi-vie a été le cycle d’information qui les a produites.

D’ici là, la phrase qui a ouvert le dossier est la phrase qui l’a ouvert : non, je ne peux pas le garantir.

Sources

Aperçu thématique : Souveraineté numérique en Europe Articles connexes : Linux dans le secteur public, Limites de l’indépendance numérique