Palantir, GAFAM, spywares : la France a-t-elle perdu sa souveraineté numérique ?

Depuis près d'une décennie, la Direction Générale de la Sécurité Intérieure française travaille avec les logiciels de l'américain Palantir. Trois renouvellements de contrat plus tard, la question n'est plus technique : elle est stratégique. Baptiste Robert, chercheur en cybersécurité et fondateur de Predicta Lab, était l'invité du Cercle de Riskintel Media. Son diagnostic sur la souveraineté numérique française est sans concession.

Décembre 2025, la société américaine Palantir annonce fièrement le renouvellement pour trois ans de son contrat avec la Direction Générale de la Sécurité Intérieure française (DGSI). Troisième renouvellement depuis 2016. Presque une décennie de collaboration. Alex Karp, le PDG de la firme, se dit “très fier” de soutenir la DGSI dans sa “lutte contre le terrorisme”. De l'autre côté de l'Atlantique, du côté français, la communication est moins euphorique. La DGSI précise que ce renouvellement intervient “dans l'attente du déploiement d'un nouvel outil souverain”. 
‍

Le partenariat avait été noué en 2016 “dans le contexte d'une exposition à une intense menace terroriste” et après “une large consultation incluant des industriels français”, rappelle la DGSI. Un appel d'offres pour remplacer l'américain par un éditeur français avait été lancé dès 2022. Trois ans plus tard, Palantir est encore là et pour trois ans supplémentaires. 

À lire aussi : Fuite de données en France : pourquoi l'État centralise ce qu'il ne sait pas protéger (ANTS, France Travail, loi réseaux sociaux)

Pour Baptiste Robert, chercheur en cybersécurité et fondateur de Predicta Lab, la lecture du cas Palantir est sans ambiguïté : “Le renouvellement du contrat, c'est plus un aveu d'échec industriel qu'autre chose. Ça fait maintenant quasiment dix ans qu'on fait ce constat en disant ça ne nous amuse pas plus que tout le monde d'utiliser un produit américain, on aimerait bien utiliser un produit français voire pourquoi pas européen.” 
‍

Ce que font ces deux logiciels : Foundry pour l'ingestion et le traitement massif de données, Gotham pour la visualisation et l'analyse d'enquête n'est pas anodin. Ce sont les outils sur lesquels les enquêteurs de la DGSI s'appuient pour faire leur travail quotidien, pour tracer des connexions, identifier des réseaux, prévenir des attentats. Des systèmes installés au cœur de l'État, sur des réseaux classifiés. Palantir assure que les données restent en France et que la DGSI en conserve la pleine propriété. Mais Baptiste Robert pointe un problème d'une autre nature : “Ce n'est pas que le logiciel soit installé sur les réseaux de la DGSI. Le problème, c'est le fait de ne pas en être l'auteur. Ce qui est important c'est que des organisations telles que la DGSI aient la capacité d'analyser l'intégralité du logiciel, de le modifier, de le mettre à jour si nécessaire, et qu'elles ne soient pas dépendantes des aléas géopolitiques.” 
‍

Le levier GAFAM dans le jeu trumpien 
‍

Trump est de retour à la Maison Blanche et il a remis les choses dans leur ordre naturel : celui du rapport de forces. “Ce qui est sûr c'est qu'on a en face de nous un président américain qui est un businessman et il est dans la négociation constante”, analyse Baptiste Robert. “Il va faire en sorte de lever tous les leviers pour permettre d'atteindre son but. Et ces entreprises, ces GAFAM, sont un levier.” Selon Synergy Research Group, en 2023, les GAFAM contrôlaient environ 65% des parts du marché mondial du cloud. Près de 80% des données numériques utilisées en France étaient hébergés sur des serveurs situés à l’étranger, principalement aux États-Unis, selon un rapport de l’Assemblée nationale. 
‍

Le Cloud Act américain, adopté en 2018, est l’épine dans cette relation. Il autorise les autorités américaines à exiger l’accès aux données stockées par des entreprises américaines, où qu’elles se trouvent dans le monde. En juin 2025, lors de son audition par le Sénat, le directeur des affaires publiques de Microsoft France a répondu qu'il ne pouvait “pas garantir” que les données des citoyens français ne seraient jamais transmises au gouvernement américain sans l'accord de Paris. Ce qui illustre parfaitement ce que Baptiste Robert identifie comme un déséquilibre : “Les GAFAM sont aujourd'hui des entités extrêmement puissantes, parfois sur certains secteurs plus puissants que le gouvernement lui-même.”

À lire aussi : Cyber résilience et conformité : levier stratégique ou contrainte réglementaire ? Ce que révèlent les experts

Les États ont des leviers que les entreprises privées n’ont pas : la régulation, la commande publique, le poids politique… Mais l’inverse est aussi vrai. En effet, les géants technologiques possèdent des ressources, une capacité d’innovation et une présence dans des infrastructures critiques qui leur confèrent une forme de puissance quasi-souveraine. Quand une administration française cherche à basculer vers un autre système, elle se heurte à plusieurs problèmes: des années de données, de procédures, d’habitudes de travail encastrées dans des logiciels propriétaires. 
‍

L’écart de moyens ou le rapport de force 
‍

Derrière la question de la souveraineté numérique se cache une réalité plus commune : une question d’argent. La France est une puissance cyber reconnue. L'ANSSI, son agence nationale de sécurité des systèmes d'information, est réputée en Europe. Mais Baptiste Robert ne cache pas l'écart qui sépare Paris de Washington : “La France a des vraies capacités en cyber. Est-ce qu'on en a autant que les Américains ? La réponse c'est probablement non. Quand on compare les budgets des États-Unis et des Français sur le côté cyber, on est très loin derrière.” 

Selon le journal du net, la filière cyber française représente environ 2 300 entreprises pour un chiffre d'affaires agrégé de 21 milliards d'euros à la fin 2025, mais moins de 10% atteignent une taille industrielle robuste, capable de rivaliser à l'international. Dans un marché mondial estimé à plus de 210 milliards de dollars, cette proportion n'est pas un détail. En 2025, quatre entreprises françaises seulement ont réalisé des levées supérieures à 100 millions d'euros. Pendant ce temps, les leaders américains et israéliens mobilisent des tours dépassant régulièrement plusieurs centaines de millions. 
‍

L'écart de moyens ne se mesure pas seulement en chiffres, il se mesure aussi en incidents. En 2024, le ministère de l'intérieur a été victime d'une intrusion. Baptiste Robert en reconstitue la mécanique : “Un hacker a réussi à pénétrer dans le réseau interne du ministère de l'intérieur. Il a réussi à compromettre des boîtes mails de fonctionnaires de police. Il est rentré dans ces boîtes mails et a recherché tout un tas de mots clés et il a réussi à trouver un email où il y avait des échanges de mot de passe.” 

À lire aussi : Cloud Act, SecNumCloud, IA : pourquoi la souveraineté numérique européenne reste un chantier inachevé

La faille n'était pas sophistiquée. Les mots de passe retrouvés donnaient accès à Keops, un portail d'authentification utilisé par les services de police. Baptiste Robert explique la vulnérabilité qui a rendu l'intrusion possible : “Pour certains postes, la carte professionnelle n'était pas obligatoire. La double authentification n'était pas obligatoire.” Une négligence de configuration, banale en apparence, aux conséquences potentiellement massives. L'attaquant a cherché “une centaine de fiches” et aurait tenté d'exfiltrer les informations de 16 ou 17 millions de personnes contenues dans la base. L'histoire se termine par une arrestation, celle d'un jeune homme de 17 ans. Un adolescent a failli mettre la main sur les données personnelles de millions de Français, stockées par le ministère, faute d'une double authentification rendue obligatoire sur l'ensemble des postes. 
‍

Le modèle israélien fascine et interroge à la fois. Petit pays de neuf millions d'habitants, Israël est devenu une puissance cyber de premier rang. Comment ? Par une décision politique assumée et maintenue sur le long terme. “Les Israéliens sont moins nombreux par exemple, mais ils ont mis un vrai effort politique sur le long terme pour mettre de l'argent et des moyens en disant que le cyber ce sera notre truc”, explique Baptiste Robert. L'État israélien a créé un écosystème pensé pour l'exportation : des startups conçues dès leur création pour être rachetées, souvent par des acteurs américains, mais dont la recherche et le développement restent sur le sol national. Un modèle de poumon économique : on vend l'entreprise, on garde le savoir. Puis on recommence. 

La France, elle, peine à construire ce type de continuité stratégique. Début 2024, sept entreprises françaises sur dix déclaraient préférer utiliser des solutions de cloud américaines. Le projet de créer un cloud souverain “à la française” a été abandonné, faute de moyens et d'un marché insuffisant. 

Ce que l’agitation géopolitique rend possible 

‍

Palantir a réalisé son premier trimestre bénéficiaire au bout de quinze ans d'existence. Quinze ans de pertes accumulées, de millions brûlés, pendant lesquels la société s'est installée dans les agences de renseignement, les armées, les grandes entreprises du monde entier. Baptiste Robert décrit : “Pendant 15 ans, ils se sont installés dans toutes les agences de renseignement du monde, dans toutes les plus grandes sociétés. Leur logiciel est bon, il marche, il permet aux entreprises d'économiser de l'argent.”  

À lire aussi : Moltbook et OpenClaw : quand les agents IA deviennent une menace pour la cybersécurité

Face à cette réalité, Baptiste Robert ne prône pas le repli ni l'autarcie. Il propose quelque chose de plus concret : “On a besoin d'acheter français, d'acheter européen, de pousser des solutions, de leur donner les moyens de créer une solution efficace. Et ça passe aussi beaucoup par le partage de cas d'utilisation.” Le message, répété depuis des années dans les cercles spécialisés, semble cette fois avoir atteint les étages politiques. En janvier 2026, l'Assemblée nationale a voté la création d'une commission d'enquête sur les dépendances numériques : trente députés vont plancher pendant six mois sur la question.