# Proposition d'avis du CLL sur la souveraineté numérique **Avis du Conseil Logiciel Libre sur la définition des critères de souveraineté numérique dans la commande publique européenne** **Conseil Logiciel Libre** 7 décembre 2025 Auteur: Stefane Fermigier Contributeurs: ... ### Contexte : L'urgence d'une clarification sémantique et technique L'Union européenne traverse une période charnière dans la définition de son autonomie stratégique. À la veille de débats majeurs au Parlement européen et alors que la France et l'Allemagne initient un groupe de travail conjoint pour définir les « services numériques européens » et concevoir des indicateurs de souveraineté d'ici 2026, le Conseil Logiciel Libre (CLL) souhaite éclairer les décideurs publics sur les conditions techniques indispensables à une souveraineté réelle. Dans ce contexte de tension sémantique, où la notion de « souveraineté » risque d'être dévoyée pour légitimer des offres sous dépendance technologique étrangère (*sovereignty washing*), il est impératif que la commande publique se dote de critères rigoureux, objectifs et vérifiables. ### Analyse : Les deux piliers indissociables de l'autonomie Pour le Conseil Logiciel Libre, la souveraineté numérique ne saurait se réduire à la seule localisation des données ou à la nationalité des capitaux. Elle repose sur l'articulation de deux piliers indissociables : l'immunité juridique et l'autonomie technologique. #### 1. L'immunité juridique comme prérequis Le CLL soutient le principe selon lequel un fournisseur souverain doit garantir une protection absolue contre les législations extraterritoriales. Cela implique que l'entité mère ultime du fournisseur soit de droit européen, coupant ainsi tout lien de subordination juridique susceptible d'imposer des accès aux données (type FISA ou Cloud Act). Sans cette immunité, toute garantie technique est précaire. #### 2. La maîtrise technologique par le Logiciel Libre et les Standards Ouverts Cependant, l'immunité juridique ne suffit pas. Le Conseil alerte sur le risque de financer des « prisons souveraines » : des infrastructures juridiquement européennes, mais technologiquement verrouillées par des solutions propriétaires étrangères. Pour garantir une **autonomie réelle**, les services numériques stratégiques acquis par la sphère publique doivent impérativement reposer sur : * **L'auditabilité et la transparence :** Seul l'accès au code source permet de vérifier l'absence de portes dérobées (*backdoors*) et la réalité des mécanismes de sécurité affichés. * **L'interopérabilité et les standards ouverts :** Ils sont les seuls garants contre l'enfermement propriétaire (*vendor lock-in*). Attention cependant à parler de "vrais" standards ouverts (définition de l'EIFv1) et d'interopérabilité "opposable". * **La réversibilité opérationnelle :** La capacité réelle, et non théorique, de migrer des données et des services d'un fournisseur à un autre sans coût prohibitif ni refonte technique majeure. Le logiciel libre est une **condition *sine qua non* de la souveraineté technique**. Il assure que la puissance publique conserve la maîtrise de ses outils sur le temps long, indépendamment des stratégies commerciales des éditeurs, conformément à l'article 16 de la loi République numérique. ### Recommandations Au regard de ces enjeux et des travaux en cours au niveau européen, le Conseil Logiciel Libre émet les recommandations suivantes : **Intégrer le Logiciel Libre dans les indicateurs de souveraineté franco-allemands** Le groupe de travail conjoint annoncé par la Présidence de la République doit intégrer explicitement l'usage de standards ouverts et de logiciels libres (Open Source) comme critère d'évaluation de la souveraineté des services Cloud et IA. Une souveraineté qui repose sur des "boîtes noires" logicielles est une illusion. **Conditionner la qualification « Souveraine » à l'autonomie technologique** Dans les futurs cadres réglementaires (type *Buy European* ou évolutions du SecNumCloud), la qualification de fournisseur souverain doit être refusée aux acteurs qui, bien que situés en Europe, ne permettent pas à leurs clients la maîtrise du code et de l'architecture déployée. **Soutenir les cadres réglementaires exigeants** Le CLL invite la DINUM et les représentants français à s'appuyer sur les propositions issues de la société civile et de l'industrie européenne qui lient organiquement contrôle juridique et ouverture du code ¹. Ces initiatives démontrent que l'écosystème européen est prêt à fournir des solutions crédibles, performantes et réellement souveraines. ### Conclusion La souveraineté numérique de l'Europe ne se décrète pas, elle se construit par la maîtrise de nos dépendances. En soutenant des critères d'achat public qui valorisent l'autonomie juridique et la transparence du code, la France et l'Europe ne se contentent pas de se protéger : elles investissent dans leur propre base industrielle et garantissent la pérennité de leurs services publics. Le Conseil Logiciel Libre se tient à la disposition des autorités pour approfondir ces critères techniques. --- *Notes et références :* ¹ Voir notamment la note d'information « *A Proposed Framework for a "Buy European" Regulation* » publiée par l'Initiative Industrielle EuroStack (septembre 2025), qui propose un cadre articulant juridiction européenne et souveraineté technique basée sur l'open source. https://eurostack.eu/a-proposed-framework-for-buy-european-regulation/ ² Communiqué de l'Elysée: *Sommet sur la souveraineté numérique européenne : des engagements emblématiques pour une Europe plus compétitive et souveraine.* https://www.elysee.fr/emmanuel-macron/2025/11/18/sommet-sur-la-souverainete-numerique-europeenne-des-engagements-emblematiques-pour-une-europe-plus-competitive-et-souveraine