Suite à ses observations définitives, la Cour établit plusieurs constats parmi lesquels :
• Certains ministères utilisent des solutions informatiques extra-européennes, parfois pour des données sensibles, au détriment de la souveraineté numérique. La plateforme des données de santé, hébergée depuis plus de cinq ans par une entreprise américaine, en illustre les limites. Par ailleurs, des opérateurs privés proposent des applications de service public sans être soumis aux mêmes obligations que l’État.
• Il n’existe pas de cartographie des données sensibles par administration, qui constituerait un référentiel permettant d’identifier celles dont la souveraineté doit être prioritairement préservée.
• L’adoption de l’informatique en nuage souveraine par les administrations reste limitée, les clouds internes de l’État peinent à atteindre une échelle suffisante et la conciliation entre les exigences de souveraineté et les impératifs de performance s’avère complexe.
• La DINUM pilote deux infrastructures souveraines que sont le réseau interministériel de l’Etat (RIE) et le dispositif d’identité numérique (FranceConnect). Ce sont des réussites mais des progrès sont encore nécessaires, notamment en matière de résilience.
• Au-delà de la maîtrise des données sensibles, l’État ne cherche pas la souveraineté totale, mais à établir un niveau de confiance suffisamment élevé en utilisant la commande publique, la mutualisation des achats et la validation par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour limiter les risques.
