L'Europe institutionnalise la souveraineté numérique par les communs

Le Digital Commons EDIC pose les fondations d'une infrastructure européenne

Le 29 octobre 2025, la Commission européenne a officiellement créé le DC-EDIC (Digital Commons European Digital Infrastructure Consortium), aboutissement d'un processus lancé lors de la présidence française du Conseil en février 2022. Quatre pays fondateurs – France, Allemagne, Pays-Bas et Italie – ont déposé la demande en juillet 2025, rejoints comme observateurs par le Luxembourg, la Slovénie, la Pologne et la Belgique. Le siège est établi à Paris, avec la DINUM comme entité française de rattachement.

La structure de gouvernance s'articule autour d'une Assemblée des membres disposant du pouvoir décisionnel, d'un Comité stratégique pour la phase de démarrage, et d'un poste de Directeur dont le recrutement était en cours fin 2025. Côté allemand, trois entités collaborent : le Ministère fédéral du numérique (BMDS), la Sovereign Tech Agency et le ZenDiS (Zentrum für Digitale Souveränität), agence gouvernementale créée en décembre 2022 qui développe la suite openDesk.

Le DC-EDIC se veut guichet unique pour orienter les projets vers les financements européens existants, notamment le Digital Europe Programme doté de 8,1 milliards d'euros pour 2021-2027. Aucun budget spécifique n'a été publiquement annoncé, les ressources s'intégrant dans les enveloppes existantes pour les projets multi-pays (environ 25 millions d'euros). Les domaines prioritaires incluent le cloud souverain, l'intelligence artificielle, la cybersécurité, les suites collaboratives et les réseaux sociaux alternatifs. Un principe fondamental : tout logiciel développé conjointement sera publié sous licences libres par défaut.

La feuille de route prévoit pour 2027 un portail One-Stop-Shop opérationnel, un Forum européen des communs numériques, un prix annuel Digital Commons Award et un premier rapport "State of the Digital Commons". Le Sommet de Berlin du 18 novembre 2025 a réuni plus de 1 000 participants et 23 ministres du numérique, où 12 milliards d'euros d'investissements ont été annoncés par des entreprises technologiques européennes.

Le Cyber Resilience Act reconnaît officiellement le rôle des fondations open source

Le Règlement (UE) 2024/2847, adopté le 23 octobre 2024 et entré en vigueur le 10 décembre 2024, constitue la première régulation horizontale de l'industrie logicielle au monde. Après un lobbying intense de la communauté open source entre 2022 et 2023 – avec une lettre ouverte signée par 13 organisations majeures en avril 2023 – le texte final comporte des protections substantielles.

La distinction cruciale porte sur la notion d'activité commerciale. Les logiciels libres développés sans monétisation, par des organisations à but non lucratif, ou dont les dons ne dépassent pas les coûts de développement, sont exclus du champ d'application. L'hébergement sur des dépôts ouverts comme GitHub ou GitLab ne constitue pas en soi une mise sur le marché. Les développeurs contribuant à des projets dont ils n'ont pas la responsabilité ne sont pas concernés.

L'innovation juridique majeure réside dans la catégorie "open-source software steward", définie à l'Article 3 comme toute personne morale assurant un soutien systématique au développement de logiciels libres destinés à des activités commerciales. Les fondations Eclipse, Linux, Apache et similaires entrent dans cette catégorie. Les stewards ont des obligations allégées : politique de cybersécurité documentée, coopération avec les autorités, signalement des vulnérabilités exploitées. Mais surtout, ils sont exemptés des amendes administratives qui peuvent atteindre 15 millions d'euros ou 2,5% du chiffre d'affaires pour les fabricants.

Mike Milinkovich, directeur exécutif de l'Eclipse Foundation, a qualifié le résultat de "pas parfait, mais bien mieux [...] nous avons une législation viable pour la communauté open source". L'Apache Software Foundation reconnaît que le CRA "formalise ce qui est déjà largement notre politique : gérer les bugs et accepter, trier et corriger les vulnérabilités". L'application complète interviendra le 11 décembre 2027, avec une obligation intermédiaire de signalement des vulnérabilités dès septembre 2026.

L'Interoperable Europe Act impose le partage de code entre administrations

Le Règlement (UE) 2024/903, adopté le 13 mars 2024 par 524 voix sur 639, est applicable depuis le 12 janvier 2025 pour ses dispositions centrales. L'Article 4 établit une obligation de partage : tout organisme du secteur public doit mettre à disposition d'un autre organisme qui en fait la demande les solutions d'interopérabilité qu'il gère, "y compris la documentation technique et, le cas échéant, le code source documenté".

Le texte introduit un mécanisme s'apparentant au copyleft : si une solution partagée est adaptée par un autre organisme, cette adaptation doit également être rendue publique. L'Article 4.5a pose un principe de priorité au logiciel libre : les entités publiques "doivent privilégier les solutions d'interopérabilité sans conditions de licence restrictives, telles que les solutions open source, lorsqu'elles sont équivalentes" en termes de fonctionnalités, coûts et sécurité.

Des exceptions existent pour les droits de propriété intellectuelle de tiers, les risques pour l'ordre public ou la sécurité, et les secrets commerciaux. La mise en œuvre repose sur l'Interoperable Europe Board (première réunion le 5 décembre 2024) et l'Interoperable Europe Portal, successeur de Joinup. Chaque État membre devait désigner avant janvier 2025 une autorité nationale compétente et un point de contact unique.

La Free Software Foundation Europe a exprimé des réserves sur la formulation finale, jugeant que les critères d'équivalence permettent aux administrations de refuser le logiciel libre et que la communauté open source n'a pas de siège au Board. Néanmoins, le texte établit un précédent européen pour le principe "Public Money, Public Code" promu depuis 2017.

Gaia-X atteint sa maturité technique mais peine à convaincre sur le terrain

L'initiative franco-allemande lancée en 2019-2020 a franchi des étapes techniques significatives en 2024-2025. Le Gaia-X Digital Clearing House est opérationnel avec 10 Clearing Houses accrédités – T-Systems, OVHcloud, Aruba, Proximus et d'autres – dont une extension au Japon avec NTT DATA. Le catalogue multi-fournisseurs lancé au Summit de Porto (novembre 2025) recense 600 services de 15 fournisseurs, avec un objectif de 3 000 services à terme.

Le Trust Framework 3.0 "Danube" structure la certification en quatre niveaux, dont le Label 3 exigeant un siège européen et l'immunité aux lois extraterritoriales comme le CLOUD Act. Cinq entreprises ont obtenu ce label : Cloud Temple, OVHcloud, Thésée DataCenter (France), OPIQUAD et Seeweb (Italie). Parmi les 180 projets de Data Spaces recensés, Catena-X (automobile) constitue le plus avancé, avec un écosystème opérationnel reliant constructeurs, équipementiers et PME.

Pourtant, le CEO Ulrich Ahle reconnaît que l'initiative ne dispose encore que d'une "poignée de data spaces réellement opérationnels". La liquidation d'Agdatahub en novembre 2024 – lighthouse project agricole français – illustre les difficultés : cas d'usage limités, incitations économiques faibles, fin des financements publics, refus du gouvernement d'ouvrir les données stratégiques. Le nombre de membres a chuté d'un pic de 350 en 2022-2023 à 248 en avril 2025.

Les critiques demeurent virulentes. Frank Karlitschek (Nextcloud) qualifie Gaia-X de "monstre de papier hijacked by hyperscalers". L'ex-CEO Francesco Bonfiglio pointe un projet "trop ambitieux" n'ayant pas réussi à créer de data spaces fonctionnels. La plupart des financements publics arrivent à échéance en 2025, rendant urgente la démonstration d'un modèle économique viable. Position officielle désormais assumée : "90% du marché peut être servi par les hyperscalers", le Label 3 étant réservé aux 10% d'infrastructures critiques.

Les sanctions américaines contre Thierry Breton marquent une rupture diplomatique

Le 23 décembre 2025, le Département d'État américain a annoncé des interdictions de visa contre cinq Européens : Thierry Breton (ex-commissaire au Marché intérieur), Imran Ahmed (Centre for Countering Digital Hate), Clare Melford (Global Disinformation Index), et Josephine Ballon et Anna-Lena von Hodenberg (HateAid Allemagne). Marco Rubio a justifié ces mesures par les "efforts organisés pour contraindre les plateformes américaines à censurer les points de vue américains".

Cette escalade s'inscrit dans une séquence débutée en août 2024, lorsque Breton avait adressé une lettre publique à Elon Musk avant l'interview de Donald Trump, rappelant les obligations du Digital Services Act. Musk avait répondu par un mème vulgaire. Le 14 février 2025, JD Vance avait accusé l'Europe de "censure de style soviétique" à la Conférence de Munich. Le 5 décembre 2025, une amende de 120 millions d'euros contre X pour violations du DSA avait provoqué l'appel de Musk à "l'abolition de l'UE".

La base légale invoquée est la Section 212(a)(3)(C) de l'Immigration and Nationality Act, permettant de déclarer inadmissible tout étranger dont l'entrée aurait "des conséquences adverses pour la politique étrangère". Sarah Rogers, sous-secrétaire d'État, a qualifié Breton de "mastermind of the Digital Services Act". Les réactions européennes ont été unanimes mais limitées. Emmanuel Macron a dénoncé des mesures constituant "une intimidation et une coercition visant à saper la souveraineté numérique européenne". La Commission a averti qu'elle "répondra rapidement et de manière décisive". Breton lui-même a jugé la réponse de Bruxelles "très faible, trop faible".

La migration de la CPI vers OpenDesk symbolise le tournant souverainiste

La Cour Pénale Internationale a confirmé le 31 octobre 2025 au Handelsblatt puis au Register sa migration de Microsoft Office vers openDesk. Le contexte : après les sanctions Trump contre les officiels de la CPI pour les mandats d'arrêt liés à Gaza, le Procureur Karim Khan avait temporairement perdu l'accès à son compte Outlook en mai 2025. Microsoft nie avoir coupé les services, mais la CPI a choisi de réduire sa dépendance aux technologies américaines pour environ 1 800 postes de travail.

OpenDesk, développée par le ZenDiS (agence 100% étatique allemande), intègre Collabora Online (édition de documents), Open-Xchange (email/agenda), Nextcloud (stockage), Element/Matrix (messagerie), OpenProject (gestion de projets) et Nordeck (visioconférence). L'infrastructure repose sur STACKIT, cloud du groupe Schwarz (Lidl/Kaufland). L'armée allemande a signé en avril 2025 un contrat de 7 ans pour cette suite.

Le Schleswig-Holstein constitue la référence européenne : 30 000 PC, 40 000 boîtes mail, migration accomplie à 80% fin 2025 avec des économies de 15 millions d'euros par an en licences Windows/Office. Le format ODF est devenu obligatoire depuis août 2024. D'autres initiatives progressent : ministère autrichien de l'Économie vers Nextcloud (1 200 employés), armée autrichienne vers LibreOffice, gendarmerie française sous Ubuntu depuis plus de 10 ans (97% des 103 000 ordinateurs).

En France, les clouds souverains internes Pi (Ministère de l'Intérieur) et Nubo (DGFiP) totalisent plus de 15 000 machines virtuelles. Mais la Cour des comptes pointe en octobre 2025 que les dépenses cloud commercial du secteur public ont atteint 34,5 millions d'euros en 2023 (+72%), avec des cas problématiques comme Virtuo (1,2 million d'agents Éducation nationale) hébergé par un groupe américain malgré les avis négatifs de l'ANSSI et de la CNIL. Le surcoût des solutions souveraines est estimé à 25-40%.

L'écosystème français des communs numériques reste structurellement fragile

Framasoft, plus gros hébergeur associatif de services en ligne au monde selon ses propres termes, compte 9 salariés et 25 bénévoles gérant une infrastructure de 126 serveurs/machines virtuelles. L'association repose à 94% sur les dons – environ 850 000 euros annuels – mais a enregistré 50 000 euros de dons en moins sur les neuf premiers mois de 2024 par rapport à 2023. La campagne des 20 ans a atteint son premier palier de 200 000 euros, permettant le maintien de l'existant "en équipe réduite" depuis avril 2024.

Le ratio technique est tendu : un administrateur système à temps plein plus deux personnes en soutien pour 126 serveurs. Les services phares incluent Framadate (37,4 millions de visites, 1,25 million de sondages), Framapad (601 800 pads), PeerTube (922 000 vidéos, 443 millions de vues) et Framaspace hébergeant 1 627 associations. L'impact mensuel atteint 1,8 million de bénéficiaires pour environ 9 000 donateurs.

Le refus de signer le Contrat d'Engagement Républicain – considéré comme "un outil de soumission associative" – ferme l'accès aux subventions publiques. Ce choix politique assume l'indépendance mais accentue la fragilité financière. En 2024, Framasoft a transmis la coordination du collectif CHATONS après 8 ans d'animation, signe d'une volonté de désengorgement.

CHATONS compte 96 membres fin 2024, contre 21 dans la première "portée" de 2016. Le collectif intègre deux nouvelles vagues par an après audit et vote collectif. La coordinatrice Angie Gaudion identifie un "manque de résilience interne" en cas de problèmes d'animation, vulnérabilité partiellement atténuée par la transmission à d'autres membres.

L'April représente le pilier institutionnel avec 2 736 membres (dont 163 entreprises et 95 associations), 4 salariés, et un budget de 195 000 euros de charges incompressibles pour 177 000 euros de cotisations – déficit structurel récurrent. La campagne "Lama déchaîné" d'octobre-décembre 2024 a dépassé son objectif avec 24 000 euros collectés et 200 nouvelles adhésions. L'association anime l'émission hebdomadaire "Libre à vous !", participe au Conseil logiciels libres de la DINUM et porte le Label Territoire Numérique Libre (24 collectivités labellisées).

Conclusion : une architecture européenne en construction face à des vulnérabilités persistantes

L'année 2025 marque l'institutionnalisation d'une stratégie européenne cohérente sur les communs numériques. Le Digital Commons EDIC offre enfin une structure juridique pérenne, le Cyber Resilience Act protège les fondations open source, l'Interoperable Europe Act impose le partage de code entre administrations. Les premières certifications Gaia-X Label 3 et les migrations emblématiques comme celle de la CPI démontrent que des alternatives opérationnelles existent.

Trois fragilités demeurent. Le financement reste précaire : les communs français dépendent quasi-exclusivement des dons, l'écosystème associatif fonctionne avec des effectifs minimaux et un risque d'épuisement documenté. L'adoption réelle reste marginale : Gaia-X compte davantage de documents que de data spaces opérationnels, la part de marché des clouds européens continue de s'effriter face aux hyperscalers américains qui captent environ 90% du marché. Enfin, les tensions géopolitiques s'intensifient : les sanctions américaines contre des régulateurs européens créent un précédent dangereux que l'UE n'a pas su contrer avec fermeté.

L'enjeu des prochains mois sera de transformer ces fondations institutionnelles en adoption massive. Le DC-EDIC devra démontrer sa capacité à financer et déployer des projets concrets comme la suite européenne de travail numérique. Les 36 mois avant l'application complète du CRA permettront de tester la viabilité du statut de steward. Et les tensions transatlantiques, paradoxalement, pourraient accélérer la prise de conscience que la souveraineté numérique n'est pas un slogan mais une nécessité stratégique.