Souveraineté numérique : Thomas Balladur appelle à quitter les GAFAM

Un juge français peut être privé d’accès à ses outils numériques depuis Washington. Un compte professionnel peut disparaître du jour au lendemain. Et chaque année, 264 milliards d’euros quittent l’Europe pour financer des technologies étrangères. A Station F, lors du Forum des Interconnectés, Thomas Balladur, fondateur d'Interstis Solutions et dirigeant du consortium Hexagone, a posé le sujet sans détour devant une salle de décideurs publics : la souveraineté numérique n'est plus un débat. C'est une décision. Retour sur son intervention sans filtre.

La souveraineté numérique. Un mot qu'on entend partout, que peu savent définir concrètement, et que beaucoup repoussent, parce qu'il y a toujours un chantier plus urgent sur la pile. Transition écologique, rationalisation budgétaire, crise du recrutement, refonte de l'accueil… La liste est connue de toutes les collectivités. C'est précisément à elles que Thomas Balladur s'est adressé, avec un message simple : ce sujet-là ne peut plus attendre.

"Trois étages. Un seul suffit à tout faire tomber."
Thomas Balladur, directeur général d'Interstis Solutions ; et dirigeant du consortium Hexagone

Une fusée à trois étages

Pour définir la souveraineté numérique, Thomas Balladur a proposé à la salle une image simple : une fusée à trois étages.

• Première étage : où sont situées mes données ?

• Deuxième étage : qui les opère, qui les protège ?

• Troisième étage : qui maintient techniquement la capacité d'y accéder et de les utiliser ?

Voilà la chaîne de la souveraineté numérique.

Trois étages, pas un de moins. Et pour parler réellement de souveraineté, ces trois étages doivent être français ou, a minima, pleinement européens et immunisés des législations extraterritoriales.

Si l'un des trois ne tient pas, l'édifice tout entier devient fragile. L'exemple donné parle à tout le monde. Celui d’une mairie :

• Ses données sont hébergées en France : coché.

• Elles sont opérées par un acteur français : coché.

• Mais ... elles sont maintenues techniquement par un acteur américain. La chaîne est rompue.

Pourquoi ? Parce que dès lors qu'un acteur étranger intervient dans l'exploitation ou la maintenance, les données peuvent être soumises aux lois extraterritoriales de son pays d'origine. Le Cloud Act, voté en 2018, autorise les autorités américaines à accéder aux données hébergées par les entreprises américaines, où qu'elles se trouvent dans le monde. Le FISA va encore plus loin.

Délibérations, courriers, décisions municipales, arrêtés, échanges avec les administrés : tout cela est, potentiellement, accessible à une puissance étrangère. Sur réquisition. Sans que la collectivité le sache.

Le « bouton rouge » n'est plus une fiction

Ces risques ne sont plus des hypothèses d'école, et l'intervenant en a apporté deux preuves récentes, deux dossiers réels.

Le juge français Nicolas Guillou, qui préside la Chambre préliminaire de la Cour pénale internationale, a été placé sous sanctions américaines pour avoir autorisé des mandats d'arrêt dans un dossier sensible. Les conséquences concrètes ? Comptes Airbnb, Amazon et PayPal fermés. Une réservation d'hôtel annulée. Cartes Visa et Mastercard inopérantes. Un citoyen français, magistrat dans une juridiction internationale, quasi banni du monde numérique, depuis Washington.

Et avec lui, c'est moins connu, le procureur britannique de la même Cour, Karim Khan, a vu son compte Microsoft tout simplement supprimé. Plus de messagerie professionnelle, du jour au lendemain. Contraint de migrer en quelques jours vers un service suisse.

Deux dossiers, deux signaux, une même leçon : la dépendance numérique est devenue un risque géopolitique opérationnel. Pour Thomas Balladur, « la question n'est plus de savoir si ce risque se matérialisera. C'est de savoir quand, et sous quelle forme. »

"La question n'est plus de savoir si ce risque se matérialisera. C'est de savoir quand, et sous quelle forme."
Thomas Balladur, directeur général d'Interstis Solutions  et dirigeant du consortium Hexagone

Une facture pilotée depuis Redmond

Le risque géopolitique, c'est la partie spectaculaire de l'iceberg. Mais l'intervention a aussi mis en lumière un coût plus quotidien, plus insidieux : la facture.

La démonstration s'appuie sur la chronologie récente de Microsoft, que l'intervenant a déroulée en invitant la salle à y chercher la logique d'ensemble. 2019-2022 : fin progressive du support d'Exchange on-premise. Juillet 2025 : hausse de 10 à 20 % des licences on-site pour ceux qui ont choisi de rester maîtres de leur infrastructure, et suppression de l'offre gratuite destinée aux associations. Novembre 2025 : fin des remises sur volume et des Enterprise Agreements tels qu'on les connaissait. Et le coup de grâce qui devrait arriver en juillet 2026 : jusqu'à 33 % de hausse sur Microsoft 365 pour les entreprises et les administrations.

La logique ? Elle tient en quatre temps.

• On habitue les clients à dépendre du cloud.

• On referme progressivement les alternatives on-site.

• On supprime les bonus et les remises.

• Quand il n'y a plus de plan B, on augmente.

« Ce n'est pas de la mauvaise volonté. C'est un business model, parfaitement assumé », a souligné Thomas Balladur. Microsoft ne fait rien de mal du point de vue de Microsoft : Microsoft fait son travail. Le problème, c'est que les collectivités, les contribuables et les citoyens sont du mauvais côté de l'équation. Qu'une collectivité compte 200 ou 20 000 agents, son budget IT est piloté depuis Redmond, État de Washington. Pas depuis sons service comptable, encore moins depuis son conseil municipal.

À l'échelle européenne, l'addition donne le vertige : selon une étude commandée par le Cigref et publiée en avril dernier, les entreprises et administrations européennes versent chaque année 264 milliards d'euros à des acteurs numériques américains. Pour vous rendre compte, c'est, à peu de chose près, l'ordre de grandeur de la facture énergétique de l'Union européenne.

Les coûts cachés : données, compétences, IA

Le coût financier, c'est le visible, le mesurable. Ce n'est pas le pire, a prévenu l'intervenant. Trois coûts cachés s'y ajoutent : la dépendance technologique, avec des équipes IT réduites à configurer des outils dont elles ne possèdent ni le code ni les évolutions ; la valeur des données, fournies gratuitement aux éditeurs pour alimenter leurs modèles et leurs algorithmes ; et l'IA, « nouveau cheval de Troie », qui habitue agents, élus et administrés à confier leurs courriers, leurs dossiers et leurs décisions à une intelligence artificielle américaine.

La conclusion de cette partie a résonné dans la salle : une collectivité qui ne maîtrise plus ses outils, c'est une collectivité qui ne maîtrise plus sa décision.

Et si c'était surtout une opportunité ?

Mais l'intervention n'était pas qu'un catalogue de risques, et c'est sans doute ce qui a fait sa force. Thomas Balladur a tenu à faire un pas de côté. Le découplage qui s'amorce entre l'Europe et les États-Unis est aussi, et peut-être surtout, une formidable opportunité. Pendant trente ans, l'Europe a regardé les Big Tech américaines construire des empires industriels en captant la valeur générée sur son sol. Elle a aujourd'hui l'occasion historique de relocaliser cette chaîne de valeur. Concrètement ? Des emplois qualifiés dans les territoires, pas dans la Silicon Valley. Des filières industrielles : hébergeurs, éditeurs, intégrateurs, ESN, centres de formation. Des technologies maîtrisées, du code écrit, compris et fait évoluer en fonction de besoins locaux. Et de la fiscalité : des impôts payés ici, qui financent les écoles, les hôpitaux, les collectivités.

«Nous avons construit le nucléaire. Nous avons construit Airbus. Nous avons construit Ariane. Nous savons faire », a rappelé Thomas Balladur. Il manque juste le déclic pour faire la même chose dans le numérique. Et ce déclic, ce sont les commandes, les choix, les cahiers des charges des collectivités qui l'amorcent. Près de 80 % des administrations collaborent encore sous pavillon américain : c'est l'ampleur de la dépendance, mais c'est aussi, verre à moitié plein, l'ampleur du chantier. Certaines ont déjà commencé, à l'image du Département du Tarn, qui a fait des choix forts et qui les assume.

Ce n'est plus une démarche défensive. C'est une stratégie offensive.

D'abord la méthode, ensuite les choix

Comment fait-on, concrètement, quand on est une commune de 8 000 habitants ou un département de plusieurs milliers d'agents, pour s'émanciper d'un acteur installé depuis vingt ans dans tous ses process ? Pour Thomas Balladur, la première erreur consiste à commencer par les choix. On commence toujours par la méthode. Trois étapes.

• Le portage politique. Sortir de Microsoft n'est pas un projet IT, c'est un acte de souveraineté locale. Il y aura des bugs, des agents qui râlent, des élus privés de leur confort habituel. C'est normal et gérable — à condition que la décision tienne en haut, chez les élus. Pas chez le DSI seul. Règle d'or : sans portage politique fort, on ne lance pas.

• Le benchmark, sans en faire un sport. Trop de collectivités enchaînent POC, rencontres et tableaux à 47 colonnes... et dix-huit mois plus tard, aucune décision. Le benchmark est un moyen, pas une fin. Les vrais signaux : des références qu'on peut appeler, des garanties de tiers (France 2030, centrale d'achat reconnue), des qualifications techniques (SecNumCloud, ISO 27001) et la maîtrise de la solution par les intégrateurs — ce sont eux qui déploieront.

•  S'engager. L'étape la plus contre-intuitive. Beaucoup font : POC, benchmark, décision. Thomas Balladur propose l'inverse : benchmark, décision, POC. Le POC n'est pas un outil de décision, c'est un outil de validation. L'utiliser pour départager quatre fournisseurs est un piège : on y passe des mois, on découvre des écarts partout (normal, aucune solution n'est Microsoft — c'est le but), et on finit par choisir le commercial le plus présent. Décider d'abord, sur des éléments objectifs. Puis prouver.

Face à ça, trois options sur la table

Une fois la méthode posée, restent les choix. De sa connaissance du marché, l'intervenant a dégagé trois grandes familles d'options pour un décideur public.

• "La Suite » de la DINUM. « Je respecte les équipes qui portent ce projet », a posé d'emblée Thomas Balladur. Mais il faut être honnête sur ce qu'on achète : un pari. Sur la trajectoire, le financement, les engagements de service à 5 ou 10 ans. Or un SI critique ne se choisit pas sur un pari, mais sur des garanties contractuelles — que les acteurs privés sont aujourd'hui mieux placés pour offrir. La ministre Anne Le Henanff l'a rappelé : « Quand une solution existe sur le marché, il faut la sélectionner. L'objectif est de soutenir les éditeurs français ».

• Le « faire soi-même ». Séduisant sur le papier, douloureux en réalité. Les profils sont rares — et le privé les débauche à des salaires que la collectivité ne peut pas matcher. Aucune équipe interne ne maîtrise tout le périmètre : messagerie, visio, identité, chiffrement, sauvegarde... Les coûts cumulés dépassent souvent ceux d'un SaaS bien négocié. Et quand le ransomware frappe (il frappe toujours), la collectivité est seule en première ligne. Verdict sans appel : sauf grande métropole très bien dotée, c'est un piège.

• S'appuyer sur un éditeur dont c'est le métier. Le choix que défend Thomas Balladur, avec Hexagone : une suite collaborative souveraine, prête à remplacer Microsoft 365. Pas une feuille de route : une réalité opérationnelle depuis janvier 2025, déjà déployée auprès de dizaines de milliers d'utilisateurs. Derrière, un consortium de six éditeurs français (Interstis, Bluemind, XWiki, Parsec, Linphone, Tranquil IT) et un cloud provider, Outscale, qui apporte la technologie d'hébergement SecNumCloud. Des PME qui paient leurs impôts en France — et qui ne demanderont jamais de renoncer à un dossier parce qu'il déplaît à un État étranger. Hexagone couvre 95 % des usages bureautiques et s'appuie sur des intégrateurs formés, capables de tenir la main des équipes dans les moments difficiles.Et l'argument qui change tout : 30 % moins cher que Microsoft. Souverain, hébergé et opéré en France. « Si vous attendiez le moment où l'argument économique rejoint l'argument politique : il est arrivé. »

"Une collectivité qui ne maîtrise plus ses outils, c'est une collectivité qui ne maîtrise plus ses décisions."Thomas Balladur, directeur général;d'Interstis Solutions  et dirigeant du consortium Hexagone

Faire le break, maintenant

Pourquoi agir maintenant ? Parce que chaque mois qui passe, la dépendance s'épaissit. Chaque utilisateur supplémentaire formé à Teams, c'est un utilisateur de plus à reconvertir demain. Chaque processus métier câblé sur SharePoint, c'est un processus à reconstruire ailleurs. L'image utilisée à la tribune est restée : « C'est comme un crédit revolving. Au début, les mensualités sont indolores. À la fin, vous ne payez plus que des intérêts. »

Et puis il y a la fenêtre politique. Elle est ouverte, là, maintenant. L'État pousse : France 2030, le soutien aux consortiums français, la feuille de route souveraineté présentée par le gouvernement en janvier dernier. Les premiers de cordée auront accès aux meilleures conditions, aux meilleurs accompagnements, aux meilleurs prix. Les derniers suivront, dans des conditions dégradées.

L'intervention s'est conclue sur trois convictions.

• La souveraineté numérique n'est pas un débat, c'est un fait, et c'est un fait géopolitique.

• La fenêtre d'action est ouverte aujourd'hui ; elle ne le sera pas indéfiniment.

• Les solutions françaises existent, elles sont matures, elles sont accessibles, et elles sont moins chères.

À l’image du mouvement Tie-Break lancé par Manu Reynaud, élu montpelliérain à l’initiative de cette démarche au sein des Interconnectés, faisons, nous aussi et ensemble, le break.