Après six mois de travaux, 45 auditions et 112 personnes entendues, la commission d’enquête de l’Assemblée nationale sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique a adopté son rapport le 8 juillet 2026. Présidée par Philippe Latombe (député de Vendée) et rapportée par Cyrielle Chatelain (groupe Écologiste et social, à l’initiative de la commission), l’instance transpartisane livre une cartographie inédite de la dépendance française aux géants américains du numérique et formule 18 recommandations et 29 propositions pour en sortir.
Le rapport s’ouvre sur un constat : les dépendances numériques, longtemps « silencieuses », sont devenues un levier de menace au même titre que l’énergie ou les droits de douane. Le second mandat de Donald Trump, entamé en janvier 2025, marque selon les députés une rupture dans les relations transatlantiques. La stratégie de sécurité nationale américaine publiée en décembre désigne l’Union européenne comme un « ennemi de la liberté », tandis que plusieurs dirigeants de la tech sont devenus des acteurs politiques à part entière – le rapport cite notamment le manifeste pour une « République technologique » publié en avril 2026 par Alex Karp, PDG de Palantir. Dans son avant-propos, Philippe Latombe, qui alerte sur le sujet depuis 2021, regrette « qu’il ait fallu attendre l’ère MAGA » pour que la classe politique s’empare de la question, et déplore le faible écho médiatique des travaux.
La commission identifie six familles de vulnérabilités : les ingérences informationnelles et la désinformation, décuplées par l’intelligence artificielle ; les cyberattaques ; la concentration croissante des données dans le cloud ; la monétisation des données personnelles ; le verrouillage des utilisateurs (« vendor lock-in ») ; et la dépendance aux infrastructures physiques et composants clés, dont plus de la moitié des exportations mondiales proviennent de trois pays asiatiques.
Microsoft, Oracle, VMware : « ces trois logiciels qui nous gouvernent »
Le diagnostic établi auprès des ministères révèle une dépendance généralisée des administrations à trois éditeurs américains : Microsoft pour les systèmes d’exploitation et la bureautique (Office 365), Oracle pour les bases de données et VMware pour la virtualisation. Si les applications métiers font davantage appel à des fournisseurs français et si l’hébergement des données demeure majoritairement interne, avec une forte maîtrise sur le périmètre régalien, plusieurs situations de vulnérabilité sont pointées, dont l’usage d’Office 365 et l’hébergement d’applications critiques chez des prestataires américains.
Le rapport érige en contre-exemple la gendarmerie nationale, qui a basculé dès les années 2000 l’intégralité de ses systèmes vers le logiciel libre : moins de 2 % de son parc de postes de travail est encore équipé de Microsoft Office. À l’inverse, la Plateforme des données de santé, confiée à Microsoft à la suite de ce que le rapport qualifie de « vice de forme et de procédure », est présentée comme « un échec sur tous les tableaux », dont la sortie n’est que récemment engagée.
1,5 milliard d’euros par an au profit d’acteurs extra-européens
Sur le plan économique, la commission chiffre à environ 1,5 milliard d’euros par an les dépenses logicielles publiques au profit d’acteurs extra-européens, dont 1 milliard d’euros de licences jugées substituables dès aujourd’hui par des solutions open source. Sur le périmètre des cinquante premiers fournisseurs de logiciels des administrations, les acteurs américains représentent près de 80 % des achats. Le rapport dénonce par ailleurs le très faible retour fiscal de cette activité largement « offshore », transitant par l’Irlande et le Luxembourg, que la taxe sur les services numériques (542 millions d’euros de recettes) ne compense que partiellement ; le cloud, lui, n’étant soumis à aucun dispositif équivalent.
Côté droits des personnes, les députés documentent un modèle fondé sur la captation de l’attention et la monétisation des données, en violation répétée du RGPD, dont l’application est entravée par le rôle « bloquant » de l’Irlande, autorité chef de file de la plupart des géants du secteur. Depuis 2010, 26 sanctions au titre du droit de la concurrence ont visé les GAFAM, pour un total de 17 milliards d’euros d’amendes, dont 12 milliards pour le seul Google ; sans faire cesser, selon le rapport, des pratiques devenues « transactionnelles ».
Le « kill switch » n’est plus une hypothèse
Le chapitre le plus marquant est consacré à la menace de coupure des services numériques. La commission a recueilli le témoignage de Nicolas Guillou, juge français à la Cour pénale internationale, placé sous sanctions américaines le 20 août 2025 (executive order 14203) pour avoir autorisé des mandats d’arrêt visant Benyamin Netanyahou et Yoav Gallant. Privé du jour au lendemain de nombreux services numériques – réservations annulées, comptes bloqués – et de tout moyen de paiement par carte, le magistrat a déclaré devant les députés : « Ma vie personnelle est devenue un laboratoire de la perte de souveraineté. » Google a confirmé devant la commission que le juge ne pouvait plus utiliser ses services, même à titre privé. La CPI a depuis engagé sa migration vers la suite open source allemande OpenDesk.
Le rapport souligne que le scénario d’une coupure générale s’est matérialisé pendant les travaux mêmes de la commission : le 12 juillet, l’entreprise Anthropic a suspendu l’accès à ses modèles d’intelligence artificielle Mythos 5 et Fable 5 sur ordre des autorités américaines, pour tout ressortissant étranger. « Le kill switch n’est plus seulement une hypothèse mais une réalité », a résumé Philippe Latombe lors de l’examen en commission. La rapporteure recommande de faire évaluer par un comité d’économistes l’impact d’un « kill switch généralisé » de la part des États-Unis.
Analysant les causes de cet enracinement, le rapport pointe le retard structurel du droit de la concurrence, le « narratif de l’absence d’alternative européenne » relayé par les cabinets de conseil et des centrales d’achat accusées de « sovereignty washing », une dépendance culturelle forgée dès l’école, l’externalisation massive des compétences numériques de l’État et un lobbying « féroce ». La proposition de règlement « omnibus numérique » de la Commission européenne est particulièrement visée : les députés y voient « un énorme cadeau » aux Big Tech, introduisant des « failles béantes » dans la protection des données personnelles, notamment pour l’entraînement des systèmes d’IA, sans étude d’impact.
Le déploiement de l’intelligence artificielle fait l’objet d’une vigilance appuyée : incertitudes sur une possible bulle spéculative, effets sur l’emploi, captation de valeur par les hyperscalers et risques de cybersécurité liés à l’IA agentique. Sur les data centers, la commission relève que les capacités électriques réservées atteignent près de 15 gigawatts, soit 24 % de la puissance installée du parc nucléaire français, pour des projets qui bénéficieront « en grande majorité » aux hyperscalers américains.
18 recommandations, 29 propositions : le pari de l’open source
Face à ce diagnostic, la rapporteure rejette autant le statu quo que la tentation de « changer la nationalité du tyran », selon la formule d’Henri Verdier citée dans le rapport, et plaide pour un « modèle de numérique ouvert et libérateur » articulé autour de six leviers : communs numériques, commande publique et privée, « arsenal de souveraineté », infrastructures, contrôle des plateformes et gouvernance.
Parmi les mesures phares figurent l’obligation d’open source dans les marchés publics d’ici le 1er janvier 2030, l’objectif « zéro Microsoft dans les écoles », la création d’une fondation France Libre Open Source et d’un fonds dédié aux communs numériques, une préférence européenne (« Buy European Act »), la détention de « golden shares » dans Mistral AI et ChapsVision, un moratoire sur les projets de data centers ne répondant pas à l’impératif de souveraineté, l’activation du règlement de blocage et, si nécessaire, de l’instrument anticoercition européen face à l’extraterritorialité du droit américain, ainsi que la création d’une entité bancaire publique « immune », indépendante du marché américain. Sur le plan institutionnel, le rapport propose un ministère du numérique de plein exercice et une délégation parlementaire dédiée. Les recommandations incluent également la migration immédiate des données sensibles des entreprises vers des offres qualifiées SecNumCloud et la suppression du « guichet unique » du RGPD au profit du Comité européen de protection des données.
Adopté à huis clos le 8 juillet, le rapport est complété par les contributions du président et du groupe Rassemblement national. La rapporteure y voit l’amorce d’un changement de modèle qui, pour réussir, devra selon elle s’inscrire dans le temps long, au-delà des alternances politiques, et associer sphère publique, entreprises et citoyens.
Aller au contenu PDF Aller au contenu PDF





