🇬🇧 🇳🇱 🇫🇷

BeLibre

Autonomie Numérique

BeLibre

Ce que la recherche académique dit aux gouvernements sur la dépendance numérique

🖊️ Jurgen Gaeremyn
souveraineté numérique open source secteur public gouvernance fédérée

Quelque chose est en train de changer dans le débat sur la dépendance numérique. La conversation dans le secteur public est passée des avertissements de la société civile aux rapports parlementaires, des conférences informatiques aux agendas des cabinets ministériels. Le monde académique suivait cette question avant qu’elle ne devienne une priorité politique : Paul van Vulpen a commencé à étudier la souveraineté numérique et la gouvernance informatique décentralisée à une époque où aucune des deux ne figurait vraiment à l’ordre du jour. Il a défendu sa thèse Debating Digital Dominance: Decentralized Technology Governance For Strategic Autonomy à l’Université d’Utrecht en janvier 2026.

Nous l’en remercions. Son travail offre aux décideurs politiques un cadre bien fondé qui dépasse le choix entre « rester avec le fournisseur actuel » et « tout construire soi-même ». Disponible en libre accès sur doi.org/10.33540/3269.

Cet article met en regard ses principales conclusions et la situation belge, et indique ce qui est déjà possible.

Le problème structurel, clairement nommé

L’argument central de van Vulpen n’est pas que les entreprises technologiques américaines sont de mauvais acteurs. C’est que l’économie du logiciel pousse l’infrastructure numérique vers la concentration : coût marginal quasi nul, effets de réseau et verrouillage dans l’écosystème vont tous dans la même direction. Tout acteur suffisamment dominant finira par imposer des conditions qui servent ses propres intérêts. Ce n’est pas une mauvaise intention de la part d’un acteur ; c’est ainsi que fonctionnent les marchés présentant ces propriétés.

Pour les organismes publics, la conséquence est tangible. Une commune ou un hôpital qui ne peut pas concrètement changer de fournisseur de logiciels essentiels a lié sa continuité opérationnelle et les données de ses citoyens à un contrat avec une entreprise étrangère opérant sous droit étranger. La récente fuite de données chez ChipSoft aux Pays-Bas (76 % des hôpitaux) et dans certains hôpitaux belges illustre clairement ce point.

Van Vulpen aborde également un raccourci tentant : construire un équivalent européen de Microsoft ou AWS. Il l’examine directement et le juge insuffisant. Centraliser le contrôle au sein d’une seule entité européenne, aussi européenne soit-elle, reproduit la même concentration structurelle. Le problème n’est pas le lieu d’implantation de l’entreprise ; c’est le degré de dépendance lui-même.

La gouvernance technologique fédérée : le juste milieu qui fonctionne

Van Vulpen l’appelle Federated Technology Governance (FTG) : un modèle hybride entre centralisation totale et décentralisation totale, qu’il juge toutes deux impraticables. La FTG est la réalisation conceptuelle qui intègre le meilleur des deux.

Une autorité centrale définit l’architecture, les standards et la vision à long terme. Les acteurs décentralisés s’occupent de la mise en œuvre et de l’adaptation locale. La stratégie est déterminée collectivement, et non par une petite couche dirigeante. Le principe de subsidiarité s’applique : les entités locales conservent le contrôle de leurs données et services au sein de la structure partagée.

Il emprunte la métaphore de la cathédrale et du bazar d’Eric Raymond, et les consolide : la cathédrale symbolise le développement d’un projet fortement architecturé de manière descendante, le bazar reflète les petits projets à croissance organique qui répondent aux besoins locaux. Là où Raymond les voit comme opposés, le modèle FTG les entrelace de façon à ce que les deux approches se renforcent mutuellement. Ce dont nous avons besoin, c’est une base structurée, fondée sur des standards, avec un écosystème diversifié et ouvert par-dessus. La base apporte la cohérence ; l’écosystème apporte l’adaptabilité.

Federated Technology Governance

Ce n’est pas un construit théorique. C’est déjà en cours, aussi en Belgique.

Ce que les expériences en gouvernance collective nous enseignent

Le deuxième axe de recherche de van Vulpen porte sur les organisations autonomes décentralisées : des structures de gouvernance collective où les règles sont rendues explicites, encodées et appliquées par la communauté elle-même plutôt que par une autorité centrale. Les implémentations techniques qu’il a étudiées sont principalement basées sur la blockchain, mais les leçons de gouvernance se généralisent bien au-delà de ce contexte.

Le point de départ est le travail d’Elinor Ostrom sur la gouvernance des communs. Ostrom a observé que les communautés gérant des ressources partagées — zones de pêche, systèmes d’irrigation, forêts — réussissaient ou échouaient de façon constante selon qu’elles avaient établi certains principes de gouvernance : membres clairement définis, règles adaptées aux conditions locales, participation collective à l’élaboration des règles, surveillance, sanctions graduées en cas de violations, résolution accessible des conflits, et couches d’organisation imbriquées permettant l’autonomie locale au sein d’une structure plus large. Les communautés qui manquaient de ces principes tendaient vers ce que Hardin a appelé la tragédie des communs : un comportement individuellement rationnel qui produit un préjudice collectif.

Van Vulpen applique cela directement à l’infrastructure numérique partagée. Chaque commune qui achète des logiciels informatiques individuellement agit rationnellement dans son propre intérêt. Le résultat collectif — systèmes fragmentés, coûts dupliqués, aucun pouvoir de négociation partagé et dépendance croissante aux fournisseurs — est l’équivalent numérique du surpâturage. La littérature sur les communs suggère que la solution n’est ni le contrôle central ni la privatisation totale, mais une troisième voie : une gouvernance collective structurée par les parties prenantes concernées elles-mêmes.

Ce que la recherche sur les DAO ajoute, c’est un ensemble de leçons de conception concrètes sur ce qui fait fonctionner ou échouer cette gouvernance collective en pratique.

Les constitutions explicites importent. Les DAO qui ont bien fonctionné disposaient de documents fondateurs qui définissaient collectivement les limites d’adhésion, les processus de prise de décision, les mécanismes de résolution des conflits et les sanctions en cas de violations. Ceux qui s’appuyaient sur des normes implicites ou un leadership informel avaient tendance à se fragmenter ou à être capturés. Pour une coopérative logicielle publique partagée, cela signifie que le document de gouvernance n’est pas une formalité bureaucratique, mais le fondement structurel qui empêche la coopérative de dériver vers les intérêts de ses membres les plus actifs ou les mieux financés.

Décentraliser l’infrastructure n’est pas la même chose que décentraliser la gouvernance. C’est l’une des conclusions les plus tranchantes de van Vulpen. Plusieurs DAO ont décentralisé leur infrastructure technique — en distribuant les données et les calculs sur de nombreux nœuds — tout en laissant les décisions stratégiques entre les mains d’une petite équipe fondatrice ou d’une clé d’administration unique. Le résultat était l’apparence de décentralisation sans la substance. La leçon pour l’informatique publique est que gérer ses propres serveurs ne vous rend pas souverain si la stratégie logicielle, la feuille de route et les relations avec les fournisseurs sont toujours contrôlées ailleurs. Ce qui compte, c’est qui gouverne la couche stratégique.

La conception des incitants est un vrai problème. Les projets logiciels partagés font face à une dynamique de passager clandestin : il est rationnel pour chaque membre individuel d’utiliser la ressource partagée sans contribuer à sa maintenance ou à son développement. Les DAO qui ont réussi ont investi fortement dans la conception d’incitants à la contribution — systèmes de réputation, récompenses financières et ce que van Vulpen appelle une culture de la participation. iMio répond à cela via son principe d’achat en interne et son modèle de co-production, où les communes financent collectivement les fonctionnalités dont elles ont besoin. C’est une structure d’incitants, même si personne ne l’appelle ainsi.

Les modes de défaillance sont instructifs. Van Vulpen documente des cas où la gouvernance a été exploitée : une DAO dont la trésorerie a été vidée via une proposition de gouvernance hostile, une autre où un seul détenteur de clé d’administration contrôlait effectivement une organisation nominalement décentralisée. Ce ne sont pas des cas limites exotiques. Toute structure informatique publique partagée qui concentre le contrôle effectif entre les mains d’un seul administrateur, d’un seul fournisseur ou d’un petit groupe fondateur présente la même vulnérabilité structurelle — quels que soient les termes de ses documents de gouvernance.

Le huitième principe d’Ostrom est peut-être le plus directement pertinent pour la Belgique : des couches d’organisation imbriquées, où les entités locales conservent leur autonomie au sein d’une structure fédérée plus large, et où la juridiction locale est reconnue par les autorités supérieures. C’est grosso modo le modèle qu’iMio a construit en Wallonie au cours de la dernière décennie.

iMio : un modèle belge qui fonctionne depuis plus d’une décennie

Au milieu des années 2000, deux petits groupes de communes wallonnes, cinq dans chaque groupe, ont décidé de cesser les achats informatiques individuels et de construire ensemble. Ils ont créé des outils open source partagés pour la gestion des conseils communaux, le traitement des permis et les portails citoyens. En novembre 2011, ces deux communautés ont fusionné pour former iMio (Intercommunale Mutualisation Informatique et Organisationnelle), avec le soutien du gouvernement régional wallon.

Aujourd’hui, iMio dessert 404 pouvoirs locaux, dont 244 des 262 communes wallonnes (93 %), ainsi que des provinces, des centres CPAS, des zones de police et des zones de secours. Environ 25 000 agents utilisent sa plateforme quotidiennement. Le budget de fonctionnement annuel est de 6 millions d’euros, entièrement couvert par les contributions des membres sans subventions structurelles de la Région wallonne. iMio est financièrement autonome depuis 2021.

Le modèle de gouvernance est tout aussi remarquable. L’assemblée générale compte 362 membres. Les communes fixent la feuille de route des produits. Lorsqu’une nouvelle fonctionnalité est nécessaire, iMio vérifie d’abord si quelque chose existe déjà ailleurs avant de construire from scratch. Quand il construit, le code est publié ouvertement pour que quiconque puisse le réutiliser.

iMio a remporté le prix Sharing and Reuse de la Commission européenne en 2017. C’est une institution publique opérationnelle qui a discrètement démontré, ici même en Belgique, que le modèle fédéré que décrit van Vulpen est réalisable à grande échelle.

La Flandre a aussi ses réalisations. La plateforme MAGDA, un service d’échange de données utilisé par 190 agences et 30 départements du gouvernement flamand ainsi que par 308 administrations locales, a remporté la deuxième place lors de ces mêmes prix 2017 et a ensuite été contactée par les Pays-Bas, la France et l’Allemagne pour des applications transfrontalières. Digitaal Vlaanderen publie des composants ouvertement sur GitHub, notamment les outils MAGDA et le cadre de vocabulaire OSLO pour les données gouvernementales liées. La Flandre travaille également avec SOLID pour les pods de données citoyennes et a réalisé un investissement public majeur dans la technologie. Ce sont des systèmes en production, pas des expériences.

La Belgique ne part clairement pas de zéro. La question est de savoir comment construire de manière plus systématique sur ces fondations.

Comment la Belgique apparaît de l’extérieur

BeLibre a passé l’année dernière à cartographier la dépendance du secteur public belge à l’infrastructure cloud américaine. Le tableau qui se dégage n’est pas un ensemble de choix délibérés. C’est le résultat accumulé de décisions d’achat individuelles, chacune localement raisonnable, sans cadre coordinateur pour évaluer l’ensemble.

Toutes les zones de police belges utilisent Microsoft 365 via un marché-cadre centralisé. Dans le secteur hospitalier, nous avons cartographié 158 établissements : la dépendance aux fournisseurs cloud américains pour les systèmes cliniques, l’infrastructure d’imagerie et les logiciels administratifs est répandue.

C’est le schéma que décrit van Vulpen : des décisions individuellement rationnelles qui produisent un résultat collectivement significatif : pour chaque commune ou prestataire de service public, une solution développée localement est bien plus coûteuse et moins riche en fonctionnalités que les offres des grands acteurs comme Microsoft ou Google. Chaque institution a choisi ce qui était disponible, abordable et soutenu. La question clé à poser maintenant est : que change-t-il lorsque des communes ou des hôpitaux s’associent ? Comment cela modifie-t-il l’équation ? Le cas iMio nous enseigne ce que postule van Vulpen : le modèle économique s’améliore fondamentalement pour une solution développée collectivement.

Il y a aussi une dimension juridique qui mérite d’être mentionnée. Dans la note 82 de la thèse, van Vulpen soulève une question sur la situation néerlandaise qui s’applique directement à la Belgique. Microsoft est soumis au CLOUD Act américain, qui donne aux services répressifs et de renseignement américains accès aux données détenues par des entreprises américaines, y compris les données stockées en dehors des États-Unis. La Cour des comptes néerlandaise a noté que presque l’ensemble du gouvernement central néerlandais migrait vers Microsoft 365 et a demandé : cela signifie-t-il que le gouvernement américain peut accéder à toutes les informations que le gouvernement néerlandais détient sur ses citoyens ?

Le CLOUD Act ne requiert pas de traité d’entraide judiciaire. Il ne requiert pas de notification du gouvernement concerné. La Belgique est dans la même situation. Nous avons couvert les contraintes juridiques structurelles plus en détail dans notre évaluation SEAL des revendications de souveraineté de Microsoft.

Ce que la recherche recommande aux gouvernements

Les recommandations politiques de van Vulpen (sections 9.3.4 et 9.3.5) sont concrètes. Aucune ne nécessite de repartir de zéro.

Imposer l’open source dans les marchés publics. L’infrastructure dont dépendent les institutions publiques ne devrait pas avoir un code source fermé. Une exigence open source encourage la réutilisation et la transparence, et donne aux institutions la capacité pratique d’auditer ce qu’elles utilisent. iMio en est la preuve.

Réformer les marchés publics pour construire un marché. Donner la priorité aux fournisseurs de logiciels européens et nationaux crée la base de clients qui rend possible un écosystème logiciel européen viable. La demande détermine ce qui est construit, et les marchés publics sont l’un des leviers les plus puissants qu’un gouvernement détient.

Investir dans une infrastructure cloud souveraine. Aucun fournisseur cloud européen n’opère actuellement à l’échelle d’AWS ou Azure. Les gouvernements européens font tourner des services critiques sur une infrastructure soumise à une juridiction non européenne. Y remédier nécessite un investissement public à long terme avec un mandat clair, pas un nouveau cycle d’appels d’offres.

S’appuyer sur Linux pour la couche système d’exploitation. Il n’existe pas de système d’exploitation entièrement sous contrôle européen en usage large dans le secteur public. Van Vulpen propose de s’appuyer sur Linux pour développer des systèmes d’exploitation sécurisés et auditables pour les applications publiques et stratégiques. Le gouvernement allemand a déjà suivi cette voie pour des cas d’usage spécifiques.

Financer l’open source comme bien public à long terme. Le Sovereign Tech Fund allemand soutient l’infrastructure open source comme les gouvernements financent les routes : infrastructure publique partagée, pas un produit commercial. Le programme Next Generation Internet de l’UE va dans le même sens. Van Vulpen est incertain quant à leur impact, mais ils existent. Et la Belgique peut s’appuyer sur les deux.

Penser en années, pas en cycles d’appels d’offres. Les cycles de marchés publics seuls ne peuvent pas résoudre la dépendance aux systèmes hérités accumulée. Ce qu’il faut, c’est une stratégie de développement durable et la structure institutionnelle pour la porter. iMio est cette structure pour la Wallonie. Une coopérative logicielle municipale sur le même modèle n’existe pas encore en Flandre. C’est une lacune politique, pas une fatalité.

Questions utiles à poser avant le prochain contrat

Le cadre de van Vulpen implique une courte liste de contrôle à laquelle tout administrateur public devrait pouvoir répondre avant de signer un contrat informatique.

  • Ce logiciel est-il open source, et sinon, à quoi ressemble le chemin de sortie si les conditions changent ou si le fournisseur est racheté ?
  • Pouvons-nous changer de fournisseur sans perdre l’accès à nos propres données, et dans quel format ces données sont-elles stockées ?
  • Où ces données sont-elles physiquement hébergées, et sous quelle juridiction légale ?
  • Ce contrat crée-t-il un verrouillage au niveau de la couche infrastructure, intégration ou données, et lequel de ces éléments peut réalistement être défait dans un délai raisonnable ?

En pratique, ces questions sont rarement posées de manière systématique. Un mandat, un marché-cadre ou même une note de politique peut changer cela.

L’opportunité

Il y a aussi un argument économique pour agir. Van Vulpen soutient que les marchés publics favorisant les fournisseurs de logiciels européens et nationaux créent le marché qui rend possible un écosystème logiciel européen viable. Les 264 milliards d’euros qui circulent annuellement des secteurs public et privé européens vers les entreprises technologiques américaines représentent une capacité qui pourrait soutenir les entreprises européennes et les talents informatiques.

Le Schleswig-Holstein a migré 40 000 boîtes mail vers des alternatives open source pour un investissement unique de 9 millions d’euros, économisant plus de 15 millions d’euros par an. La France construit La Suite Numérique, un espace de travail open source partagé pour des millions d’agents publics, avec l’Allemagne et d’autres États membres. La Wallonie a construit iMio à partir de cinq communes et d’une subvention, et dessert aujourd’hui 93 % des communes de la région.

Aucune de ces initiatives n’a démarré avec une solution complète. Elles ont démarré avec une décision.

La thèse de van Vulpen donne à cette décision un fondement académique. iMio démontre que cela fonctionne en pratique, ici en Belgique. Ce qui se passe ensuite dépend des personnes qui lisent ceci.