Qui est auditionné
Marie-Laure Denis, présidente de la Commission nationale de l'informatique et des libertés (Cnil), est entendue sous serment, accompagnée de Thomas Dautieu, directeur de l'accompagnement juridique, et de Florent Della Valle, chef du service de l'expertise technologique. Fait notable : le président de la commission d'enquête, Philippe Latombe, se récuse (« il est lui-même membre de la Cnil ») ; la séance est présidée par la vice-présidente Sophie-Laurence Roy, la rapporteure Cyrielle Chatelain menant l'essentiel du questionnement. La Cnil vient poser un angle propre : la protection des données comme enjeu de souveraineté, et non plus seulement de cybersécurité.
La substance
La thèse centrale de Mme Denis : « la maîtrise des données étant devenue une nouvelle arme géopolitique », la sécurité des données « ne passe pas uniquement par une bonne gestion des aspects cyber mais également par la prise en compte des enjeux de souveraineté numérique ». Elle identifie un « angle mort » : même en élevant la maturité cyber de tous les acteurs, on ne règle pas le cas des « législations extra-européennes » (type Cloud Act) auxquelles les fournisseurs sont soumis — « Cet angle mort est un risque objectif pour les données personnelles des citoyens. » D'où sa recommandation que les données les plus sensibles (santé, biométrie) soient hébergées par des systèmes non soumis à ces lois.
Chiffres et cas marquants : selon le Cigref, « 80 % des dépenses faites en France en matière de logiciels et services cloud vont à des acteurs américains ». Le Health Data Hub reste « toujours sur le cloud de Microsoft, Microsoft Azure », alors que le collège a « toujours considéré » qu'il devait relever d'un opérateur européen ; elle salue la migration souveraine annoncée. Sur SecNumCloud (7 fournisseurs qualifiés fin 2025, dont S3NS – partenariat Google Cloud/Thales – et Bleu en cours), elle reconnaît une amélioration imparfaite bâtie sur des « joint-ventures » avec des acteurs américains. Elle défend le RGPD comme « outil de souveraineté normative par lui-même » (20 000 plaintes/an contre 7 000 avant, 10 000 sanctions et 6,5 Md€ au niveau du CEPD). Sur le cyber, « 80 % de ces grosses violations de données auraient pu être évitées » avec une authentification multifacteur, désormais imposée pour l'accès à distance aux bases de plus d'un million de personnes. Elle réclame enfin plus de moyens : « trois à quatre fois moins d'agents que nos homologues anglais et allemand ».
Les enjeux et confrontations
Le moment le plus tendu vient de la présidente Roy, qui met en cause la qualification de S3NS (capital détenu à 5 % par Google, technologie Google Cloud) : « l'Anssi a ouvert si ce n'est un portail, du moins un portillon. » La Cnil se dérobe partiellement — Della Valle renvoie à l'Anssi et concède que le risque « ruisselle sur tous les composants d'un cloud » — tandis que Mme Denis tient une ligne d'équilibre : « La dépendance demeure, mais il faut tout faire pour qu'émergent des alternatives françaises et européennes. Évitons tout fatalisme. » La rapporteure Chatelain est plus tranchée : le recours aux joint-ventures « montre une certaine incapacité à dépasser notre dépendance ».
Autre confrontation, sur le paquet « omnibus numérique » : la Cnil s'y oppose fermement, refusant la redéfinition restrictive des données personnelles qui introduirait un « relativisme » (une même donnée personnelle pour l'un, anonyme pour l'autre). « Il faut maintenir la responsabilisation des acteurs, en conservant les règles binaires actuelles — c'est le point qui nous paraît le plus essentiel. » Sur la décision d'adéquation UE-USA de 2023, dont Chatelain interroge l'obsolescence après la réélection de Trump, la Cnil renvoie la responsabilité à la Commission européenne (validité pendante devant la CJUE). Sur les clouds souverains publics Nubo et Pi (55 M€, sous-utilisés), elle renvoie à la Dinum ; Della Valle précise que « le critère de possession n'est pas celui auquel la Cnil serait sensible » — seule compte la maîtrise de la donnée.
Ce que l'audition apporte
L'audition documente l'écart entre doctrine de souveraineté et réalité (Health Data Hub sur Azure, 80 % du cloud aux Américains), fournit des chiffres réutilisables (dépendance, violations évitables, sous-dotation de la Cnil), et met en cause à demi-mot l'Anssi via le « portillon » S3NS. Elle défend une doctrine claire — RGPD comme levier de souveraineté, hébergement souverain des données sensibles, exemplarité de la commande publique (article 31 loi Sren, jusqu'aux outils du quotidien de l'éducation nationale), alerte sur l'« irréversibilité numérique » et sur l'omnibus. Elle pointe aussi les points sensibles peu régulés (data brokers, géolocalisation, dark patterns) et conclut par une demande de moyens assumée « par esprit de boutade, mais pas seulement ».