SovereigntyGap.
SovereigntyGap.sovereignty-gap.eu

La souveraineté n’est pas une licence.

Treize thèses sur la souveraineté numérique européenne. Un préambule. Un programme positif.
Lecture estimée : ~11 minutes. Texte versionné v.1 · avril 2026. Licence CC BY-SA 4.0. Reprise libre, traduction libre, remix libre, sous attribution claire et partage à l’identique.

Pouvoir continuer à exploiter ses données et à mener ses opérations, quels que soient les événements. C’est cela, la souveraineté technologique. Tout le reste — licences, contrats, certifications — n’est qu’un moyen pour servir cette fin.

Préambule#

On peut être totalement open source et totalement dépendant.

Cette phrase, qui devrait être une banalité, reste à dire. Depuis vingt ans, l’Europe construit son rapport au numérique sur une équation paresseuse : adopter du logiciel libre suffirait à reconquérir notre indépendance technologique. Cette équation est confortable. Elle permet de cocher une case, de signer un communiqué, de promettre une souveraineté qui n’engage à rien. Elle est aussi fausse.

Le logiciel libre reste, dans la grande majorité des cas, le meilleur choix pour qui se soucie de transparence, d’auditabilité et d’indépendance à long terme. Renoncer à l’open source au profit du SaaS captif serait un suicide souverain. Mais utiliser du libre n’est pas être souverain — pas plus qu’acheter du propriétaire à un éditeur européen ne suffit à l’être. La licence, ouverte ou fermée, n’est pas une garantie : elle est un attribut juridique du logiciel. La souveraineté, elle, est un attribut de la chaîne entière qui le produit, le maintient et le distribue. Le libre rend éligible à la souveraineté — à condition d’investir dans tout ce qui le rend réellement libre. Le propriétaire européen y rend éligible de la même façon — à condition d’auditer la chaîne (capital, juridiction, hébergement, continuité) avec la même exigence.

Or cet investissement, nous ne le faisons pas. Nous utilisons des projets libres dont le code est versionné sur des forges américaines, dont les binaires sont distribués par des registres américains, dont les fondations sont juridiquement ancrées aux États-Unis, dont les principaux mainteneurs sont salariés par des entreprises américaines, et dont la roadmap est arbitrée par les sponsors qui les financent. Nous appelons cela de la souveraineté. C’est de la dépendance déguisée.

Cette chaîne traverse le code que nous écrivons, les outils qui le compilent, les registres qui le diffusent, les fondations qui le gouvernent, les entreprises qui paient les mainteneurs, et les compétences humaines qui permettent de faire vivre tout cela. Aucun maillon ne suffit à la garantir. Chacun peut suffire à la rompre.

Ce manifeste appelle à sortir de l’illusion. Non pour dénoncer le libre — sans lui, il n’y a même pas de débat possible. Mais pour exiger que la souveraineté soit pensée, mesurée et financée à la hauteur de ce qu’elle requiert vraiment. Nous appelons les organisations, les communautés, les pouvoirs publics et les entreprises qui partagent ce constat à reconnaître les thèses qui suivent, à intégrer leurs exigences dans leurs propres cadres, à publier leurs engagements pour la souveraineté technologique, et à participer à la construction des instruments ouverts qui en découlent.

Tant que nous confondrons l’usage du libre avec la conquête de l’indépendance, nous offrirons prise à une stratégie qui ne se cache plus : celle qui consiste à transformer le libre en outil de domination normative. Cette nuance n’est pas un détail rhétorique. C’est la différence entre un État qui croit être souverain et un État qui l’est.

Les treize thèses#

Constat#

1. La souveraineté numérique est devenue un mot d’ordre sans grammaire : tout le monde l’invoque, personne ne s’accorde sur ce qu’elle exige.

2. La dépendance numérique européenne ne se réduit pas au choix d’un fournisseur ; elle traverse le code que nous écrivons, les outils qui le compilent, les registres qui le distribuent et les fondations qui le gouvernent.

Critique des réponses dominantes#

3. Adopter du logiciel libre ne nous rend pas souverains, et acheter du logiciel propriétaire à un éditeur européen ne nous rend pas davantage souverains. La licence, ouverte ou fermée, est un attribut juridique du logiciel — pas une garantie de souveraineté. Chacune des deux voies rend éligible à la souveraineté à condition d’investir dans ce qui la rend réelle : pour le libre, ce qui le rend effectivement libre (mainteneurs, fondations, infrastructures de distribution) ; pour le propriétaire, ce qui rend la chaîne auditable et continuable (capital, juridiction, hébergement, séquestre).

4. Une fondation étrangère n’est pas une infrastructure européenne, même quand elle gouverne des projets utilisés par toute l’Europe.

5. Un projet open source dont les contributions, les artefacts ou la roadmap dépendent d’un sponsor unique est un projet libre révocable.

Analyse en profondeur#

6. La souveraineté technologique d’un logiciel se mesure sur sa chaîne entière : production, maintenance, distribution, gouvernance, financement, compétences. Aucun de ces maillons ne suffit ; chacun peut suffire à la rompre.

7. Distribuer du logiciel libre par des registres et des réseaux soumis à une juridiction étrangère, c’est offrir à cette juridiction un droit de regard et de coupure sur ce que nous croyons posséder.

8. L’autonomie technologique repose moins sur les licences que sur les personnes : sans une masse critique de mainteneurs payés pour entretenir les briques critiques, le libre devient une dette technique financée par d’autres que nous.

Tournant#

9. Quand des agents d’intelligence artificielle peuvent auditer à grande échelle le code que nous publions, la transparence du libre cesse d’être en elle-même un acquis défensif : elle exige, pour le rester, des moyens d’audit et de réponse à la mesure des nouvelles capacités offensives.

Exigence#

10. Mesurer la souveraineté exige d’évaluer séparément le code, la gouvernance, le financement, la distribution et les compétences — et de refuser tout score qui agrège ces dimensions au point de masquer leurs faiblesses.

11. Une politique sérieuse de souveraineté numérique européenne se reconnaît à son investissement dans les fondations, les mainteneurs et les infrastructures de distribution — pas à ses déclarations sur le pourcentage de logiciel libre déployé.

12. Tant que les fournisseurs européens se positionnent comme distributeurs de briques à gouvernance étrangère, ils privent les alternatives souveraines des clients, du capital et de la masse critique qui leur permettraient d’exister.

13. La souveraineté technologique n’est pas une fin. Elle est la condition pour qu’une organisation — entreprise, administration, particulier — puisse continuer à exploiter ses données et à mener ses opérations, quels que soient les événements : défaillance d’un fournisseur, conflit géopolitique, sanctions, rachat hostile, bascule unilatérale d’un éditeur. C’est un droit, pas un confort.

Programme positif#

Les treize thèses qui précèdent dessinent un constat. Ce constat appelle des engagements concrets, à plusieurs niveaux et pour plusieurs publics. Nous proposons quatre axes d’action, dont chacun suppose la mobilisation des décideurs publics, des entreprises utilisatrices et des communautés open source. Aucun de ces axes ne suffit isolément ; aucun ne peut être délégué.

Axe 1 — Investir dans les fondations de l’autonomie#

La souveraineté ne se déclare pas, elle se finance. Sans investissement structurel et durable, tout le reste demeure rhétorique.

Pour les décideurs publics européens et nationaux. Créer un fonds européen pérenne dédié au financement direct des mainteneurs de briques open source critiques pour l’infrastructure du continent, sur le modèle élargi des programmes nationaux pionniers en la matière. Reconnaître la maintenance d’infrastructure logicielle comme une mission d’intérêt général, éligible aux mêmes mécanismes de soutien que la recherche fondamentale ou les infrastructures physiques. Doter les défenseurs des briques critiques de moyens d’audit et de réponse à la mesure des nouvelles capacités offensives, notamment celles que rendent possibles les agents d’intelligence artificielle. Conditionner l’achat public de logiciel à des critères de souveraineté qui incluent la chaîne de production et de distribution, et non la seule licence apparente.

Pour les entreprises utilisatrices. Réserver une fraction documentée des budgets logiciels au financement des projets dont elles dépendent, par sponsoring direct, contributions salariées de leurs équipes, ou versements aux fondations européennes qui les hébergent. Publier, à terme, la cartographie de leurs dépendances critiques et les engagements de soutien qui en découlent.

Axe 2 — Bâtir l’infrastructure européenne de la chaîne#

Tant que la chaîne de distribution est captive d’une juridiction étrangère, le code libre qui y transite l’est aussi. Il faut construire les rails que nous n’avons pas.

Pour les acteurs publics et les consortiums industriels. Bâtir des registres européens pour les paquets, les conteneurs et les artefacts, en miroir des registres dominants quand cela suffit, en alternatives autonomes quand cela ne suffit plus. Développer une forge européenne d’envergure pour le code source, capable d’héberger les projets stratégiques du continent hors juridiction extraterritoriale. Soutenir les fondations open source européennes existantes par des mécanismes de financement stables, et faciliter la migration de projets stratégiques vers ces fondations.

Pour les communautés open source européennes. Privilégier l’hébergement européen pour les nouveaux projets stratégiques. Documenter publiquement la juridiction effective des infrastructures utilisées, afin que les utilisateurs puissent évaluer en connaissance de cause les engagements de souveraineté qui leur sont présentés.

Pour les fournisseurs européens de services numériques. Investir une part de leur capacité technique dans la production, la maintenance ou le co-financement de briques logicielles dont ils contrôlent la gouvernance, plutôt que dans la seule distribution de standards extérieurs. Privilégier, à équivalence fonctionnelle, les briques sous gouvernance européenne dans les offres proposées aux clients européens, et rendre lisible cette préférence dans leurs catalogues.

Axe 3 — Mesurer pour piloter#

Sans instrument de mesure, l’autonomie reste un slogan. Sans méthodologie ouverte, la mesure devient un marché captif. Il faut les deux.

Pour l’écosystème dans son ensemble. Adopter une méthodologie d’évaluation multi-dimensions qui distingue le code, la gouvernance, le financement, la distribution et les compétences, et refuser tout score qui agrège ces dimensions au point de masquer leurs faiblesses. Considérer l’évaluation de la souveraineté comme un commun méthodologique, librement consultable, modifiable et auditable, sous des licences réellement ouvertes au sens des standards reconnus de l’open source. Compléter les méthodologies de place existantes en y intégrant explicitement la dimension de la chaîne de production et de distribution, et la propagation des dépendances entre fournisseurs.

Pour les organisations. Conduire annuellement une évaluation publique de leur exposition souveraine, distincte de leur conformité réglementaire et plus exigeante qu’elle. Rendre visible l’écart entre la souveraineté apparente et la souveraineté réelle de leurs systèmes — un écart qui constitue, à lui seul, un indicateur de progrès.

Axe 4 — Garantir la continuité par la transparence#

Toute la souveraineté ne passe pas par l’open source. Une part substantielle des solutions logicielles européennes est et restera propriétaire, et c’est légitime — un éditeur peut servir l’autonomie technologique de ses clients sans pour autant publier son code. Mais la souveraineté ne se joue pas qu’au niveau de l’éditeur : elle se joue sur toute la chaîne, du logiciel à l’hébergement et à la distribution. Aux dispositifs de réglementation lourde, qui n’enrichissent que les cabinets d’audit et excluent les petits acteurs, nous préférons un instrument simple, gratuit, public et vérifiable par tous : le Profil de souveraineté. Le Profil ne distingue pas l’open source du propriétaire : il distingue les fournisseurs qui rendent leur chaîne lisible de ceux qui la masquent.

Pour les fournisseurs européens — éditeurs propriétaires, éditeurs open source, hébergeurs, fournisseurs cloud, distributeurs et intégrateurs. Adopter un format public d’auto-déclaration qui rende lisibles, sur un emplacement standardisé, les composants tiers stratégiques, leurs juridictions de gouvernance, les plans de contournement en cas de défaillance, les services de chaîne d’approvisionnement dont l’arrêt bloquerait le produit, l’hébergement des données, les conditions de continuité en cas de défaillance du fournisseur, et la structure capitalistique du contrôle. Mettre cette déclaration à jour annuellement. Assumer publiquement les angles morts plutôt que les masquer — la transparence sur les faiblesses est en soi un signal de fiabilité.

Pour les éditeurs propriétaires en particulier. Là où l’open source garantit structurellement la continuité d’usage — code public, possibilité de fork, indépendance vis-à-vis de la survie de l’éditeur — le propriétaire doit la garantir contractuellement. Le Profil — et plus précisément ses domaines 5 (continuité) et 6 (gouvernance) — est l’endroit où ces garanties se déclarent : séquestre logiciel chez un tiers de confiance européen ou engagement public de release du code sous licence libre dans des circonstances déclenchantes nommées (faillite, liquidation, rachat hors UE) ; clause de réversibilité standard inscrite au contrat (formats ouverts, scripts d’export, délais) ; préavis minimum avant arrêt de support ou bascule unilatérale ; dispositif de continuité opérationnelle (transfert organisé, fonds de garantie sectoriel, accord de reprise mutuelle) ; clauses statutaires de protection contre un rachat hostile (pacte d’actionnaires, droits de préemption européens). Sans ces conditions explicitement déclarées, l’éditeur propriétaire ne peut prétendre à la même garantie de souveraineté qu’un éditeur open source — pas parce que son modèle serait illégitime, mais parce que la garantie appelle des mécanismes qui restent à formuler.

Pour les acheteurs publics et privés. Demander cette auto-déclaration comme prérequis de référencement, et donner une préférence aux fournisseurs qui la publient sur ceux qui ne la publient pas. Exiger les profils de toute la chaîne : éditeur, hébergeur, intégrateur — un seul maillon non transparent suffit à compromettre la souveraineté d’ensemble. Faire de l’absence de déclaration un signal négatif aussi explicite que sa présence est un signal positif.

Pour l’écosystème. Maintenir un schéma de référence ouvert, un générateur web public et auditable, un index neutre des fournisseurs ayant publié leur profil, sans certification, sans labellisation, sans coût d’adhésion. Permettre la contestation publique et argumentée des déclarations qui se révéleraient trompeuses, et publier ces contestations. Faire évoluer collectivement le format au fil des risques émergents.

Pour les pouvoirs publics européens et les investisseurs. Tirer parti de l’agrégation des profils pour cartographier publiquement les concentrations de dépendances — les briques stratégiques utilisées massivement sans alternative testée, les couches de l’infrastructure numérique où l’Europe est en situation de risque collectif, les fournisseurs étrangers dont la défaillance affecterait simultanément des centaines d’organisations européennes. Cette cartographie n’est pas un classement mais un inventaire : elle rend visibles les lacunes pour qu’elles puissent être comblées par l’investissement public, par les consortiums privés, par la communauté open source européenne. Faire de cet observatoire des lacunes un commun méthodologique européen, alimenté par les déclarations volontaires et complété par l’analyse qualitative des sources publiques.

En conclusion#

Des initiatives commencent à mesurer la dépendance numérique européenne et à proposer des langages communs. Elles sont nécessaires, et nous saluons celles qui se sont engagées dans cette voie. Ce manifeste n’a pas vocation à les remplacer mais à les compléter là où elles s’arrêtent : à l’endroit précis où l’open source est compté comme une ligne dans une grille, alors qu’il devrait être analysé comme une chaîne entière.

Au-delà des considérations techniques, ce manifeste a une finalité qui dépasse la souveraineté elle-même. La maîtrise de la chaîne logicielle n’est pas un sujet d’experts. Elle est la condition pour qu’une organisation européenne — entreprise, administration, particulier — puisse continuer à exploiter ses propres données et à mener ses propres opérations quels que soient les événements. Quand un fournisseur fait défaut, quand un conflit géopolitique entraîne des sanctions, quand un éditeur change unilatéralement ses conditions, quand un rachat hostile transforme un partenaire de confiance en filiale d’une puissance étrangère : ce qui doit rester accessible, c’est la donnée et la capacité de l’utiliser. Tout le reste — licences, contrats, certifications — n’est qu’un moyen pour servir cette fin.

Nous appelons les organisations, les communautés et les pouvoirs publics qui partagent ce constat à publier leurs engagements pour la souveraineté technologique, à intégrer ses exigences dans leurs propres cadres, et à participer à la construction des instruments ouverts qui en découlent. La souveraineté technologique européenne ne se décrète pas dans des communiqués. Elle se construit, ligne après ligne, fondation après fondation, mainteneur après mainteneur — ou elle reste un mot dont nous aurons fini par oublier le sens.

Version 4 — ouverte aux engagements et à la révision.

ls dossier/ →
Édition v.1 · avril 2026Collectif sovereignty-gapCC BY-SA 4.0~1 900 mots