Commande publique IT : les sénateurs appellent à un pilotage plus souverain

C'est un pavé dans la mare que les sénateurs Simon Uzenat (PS) et Dany Wattebled (Les Indépendants) ont jeté le 9 juillet dernier. À l'issue de quatre mois d'auditions et d'analyses, la commission d'enquête sur la commande publique met en exergue l'absence de stratégie numérique cohérente de l'État. En dépit d'un levier financier majeur - 400 milliards d'euros, soit 14 % du PIB - la dépense publique reste, selon eux, trop souvent décorrélée des enjeux de souveraineté.

Un flou stratégique qui entretient la dépendance

« Il n'y a pas de réel chef de file dans la conduite de la politique numérique de l'État », déplore Dany Wattebled. La commission appelle à confier au Premier ministre la responsabilité de piloter ces achats et à instaurer un débat parlementaire annuel dédié à leur efficience.

Le numérique, s'il n'est pas chiffré précisément dans le rapport, fait l'objet de recommandations spécifiques. Le Health Data Hub (devenu Plateforme de données de santé), toujours hébergé par Microsoft, cristallise les tensions. En vertu de la loi SREN de 2024, cette plateforme doit basculer vers une solution souveraine. Mais l'absence de décret d'application et les rumeurs de dérogations suscitent l'inquiétude. « Nous avons reçu des signaux indiquant que le décret pourrait trahir l'esprit de la loi », alerte Simon Uzenat.

L'Ugap dans le viseur

Autre acteur ciblé, l'Ugap. Si la centrale d'achat joue un rôle majeur dans les marchés numériques, elle se voit reprocher son manque d'implication dans la structuration de la filière IT. La commission recommande de la placer sous la seule tutelle du ministère de l'Économie et de la Souveraineté industrielle et numérique, de revoir la gouvernance de son conseil d'administration, et surtout, d'en faire un levier de souveraineté à part entière.

Vers un tournant réglementaire pour le Cloud

En ligne avec la Cour des comptes, les sénateurs prônent une clarification de la doctrine « cloud au centre » et une réaffirmation du rôle de la DINUM. Ils appellent à généraliser les clauses de non-soumission au droit extraterritorial dans tous les marchés publics, y compris pour les cabinets de conseil, et à imposer l'usage de solutions labellisées SecNumCloud pour les données sensibles.

Le rapport cible enfin les offres dites de « confiance » à l'instar de S3NS (Thales/Google) ou Bleu (Orange/Capgemini sur Azure), jugées vulnérables à une rupture unilatérale des liens avec leurs partenaires américains. « En cas de coupure technique, ces solutions deviendraient inopérantes en quelques semaines », alerte Simon Uzenat. Et Dany Wattebled de conclure : « Avec Trump II, nous ne sommes pas chez les Bisounours. »