Dans un article précédent, j'ai parlé du mythe de la voie numérique : l'idée persistante que les institutions culturelles, avec suffisamment de volonté politique ou morale, peuvent changer de cap numérique relativement facilement. Moins de dépendance à l'égard de la technologie américaine, plus d'utilisation des alternatives européennes, plus de contrôle sur les données et l'infrastructure. Cela semble simple. Presque rassurant, mais un examen plus approfondi révèle autre chose : l'infrastructure numérique n'est pas une voie que l'on déplace, mais un empilement de logiciels, de nuages, de données, d'identité, de sécurité, d'archivage et maintenant d'IA. C'est précisément cette interconnexion qui rend le sujet pertinent d'un point de vue administratif.
La question de la souveraineté logicielle n'est donc plus un hobby des départements informatiques. Elle touche au cœur de la gouvernance et de la supervision. En effet, dès qu'une institution ne dispose plus d'une vue d'ensemble claire des systèmes numériques dont elle dépend, sa capacité à prendre des décisions de manière indépendante diminue également. Ce sont alors les fournisseurs, les conditions contractuelles, l'habitude et la pression du temps qui prennent les décisions.
Ce n'est pas le drapeau sur la façade, mais le degré d'orientation.
Dans le débat, la souveraineté logicielle est souvent réduite à l'origine. L'Européen serait plus sûr ou plus autonome, l'Américain plus risqué. Cette intuition est compréhensible, surtout à l'heure des tensions géopolitiques et de la suspicion croissante à l'égard des Big Tech. Mais pour la gouvernance et la supervision, elle est trop simpliste.
La question pertinente n'est pas seulement de savoir d'où vient un fournisseur, mais aussi de connaître le degré de contrôle que l'institution elle-même conserve. Peut-elle déplacer ses données ? Comprend-elle quels régimes juridiques s'appliquent ? Sait-elle ce qui se passe si les conditions changent, si les prix augmentent ou si l'accès à certains services est soumis à des pressions ?
Cette distinction est devenue très visible dans l'affaire concernant la Commission européenne et Microsoft 365. En mars 2024, le Contrôleur européen de la protection des données a jugé que l'utilisation de Microsoft 365 par la Commission violait les règles applicables en matière de protection de la vie privée à plusieurs égards, notamment en ce qui concerne les transferts internationaux de données et les divulgations non autorisées. La Commission a ensuite dû adapter son utilisation et l'a mise en conformité avec les règles en juillet 2025, selon le régulateur. La leçon est claire : le fait que les données se trouvent en Europe ou qu'une institution publique travaille avec une grande organisation ne signifie pas automatiquement que la gouvernance est en place. La localisation des données ne suffit pas à assurer la souveraineté.
Pour les institutions culturelles, il ne s'agit pas d'une question abstraite de Bruxelles. Elles aussi travaillent avec les données personnelles des visiteurs, du personnel, des artistes, des donateurs et des partenaires. La gestion et la supervision doivent donc se demander non seulement où se trouvent les données, mais aussi sous quel régime juridique et contractuel elles circulent réellement.
La vulnérabilité se situe au niveau de l'empilage
En outre, la véritable dépendance découle rarement d'un système unique et lâche. Elle se situe au niveau de l'empilement. Une institution utilise Microsoft 365 ou Google Workspace pour le courrier et les documents, possède des données dans un environnement en nuage, gère les identités via des systèmes liés, s'appuie sur des logiciels de sécurité de fournisseurs spécialisés, utilise des plateformes externes pour la collaboration et, entre-temps, laisse les employés expérimenter les outils d'IA. Tous ces éléments sont imbriqués les uns dans les autres. Par conséquent, les logiciels ne sont plus une collection de produits individuels, mais un écosystème.
La panne mondiale de CrowdStrike en juillet 2024 a douloureusement montré ce que cela signifie. L'incident a été causé par une mise à jour défectueuse du contenu des hôtes Windows et n'était absolument pas une cyberattaque, selon CrowdStrike. Pourtant, une faille dans un lien de sécurité dominant a entraîné une perturbation mondiale. C'est précisément là que réside la leçon à tirer en matière de gestion. La dépendance n'est pas seulement une question de confidentialité ou de géopolitique, mais aussi une question de continuité. Lorsqu'un fournisseur se trouve au cœur de la chaîne numérique, un problème technique peut se traduire par un temps d'arrêt opérationnel à la vitesse de l'éclair.
Pour un musée, une scène ou des archives, c'est très concret. Il ne s'agit pas d'un “incident” abstrait, mais de l'impossibilité d'accéder aux documents, de planifier, de communiquer en interne, éventuellement de vendre des billets et d'avoir une vision claire des informations qui ont été touchées. Ce qui commence sur le plan technique finit sur le plan administratif.
Le verrouillage se développe souvent sans que personne ne l'ait vraiment décidé
À cela s'ajoute une vérité désagréable. De nombreuses institutions n'ont pas choisi consciemment la dépendance maximale. Elles y sont entrées progressivement. Elles ont d'abord ajouté un environnement de bureau, puis une couche d'informatique dématérialisée, puis une sécurité supplémentaire, puis une autre fonctionnalité d'IA parce qu'elle était standard ou parce que les employés l'avaient demandée. Le verrouillage est rarement le fruit d'une seule grande décision. Il résulte d'une série de petits choix compréhensibles d'un point de vue pratique qui, ensemble, créent un seuil de basculement élevé.
Les changements de tarification et de conditionnement de Microsoft pour Microsoft 365, annoncés en décembre 2025 et entrant en vigueur le 1er juillet 2026, illustrent cette dynamique. Microsoft y associe de plus en plus explicitement des fonctionnalités supplémentaires d'IA, de sécurité et de gestion aux suites existantes. En soi, cela a du sens du point de vue du développement de produits, mais du point de vue de la gestion, cela signifie également autre chose : plus les fonctions sont réunies dans un seul environnement, plus il devient difficile d'évaluer ou de remplacer les composants séparément. L'intégration technique renforce alors les dépendances.
C'est précisément la raison pour laquelle la direction et la supervision doivent apprendre à examiner les dépendances critiques. Il ne s'agit pas seulement de savoir quel logiciel nous utilisons, mais surtout de savoir sans quelles fonctions numériques l'institution ne pourra pas fonctionner demain. Mais surtout : sans quelles fonctions numériques l'institution ne pourra-t-elle pas fonctionner demain ?
L'IA rend la question de la souveraineté encore plus sensible
Cette question devient d'autant plus urgente que l'IA s'ajoute aux logiciels existants. Le débat sur l'IA porte souvent sur l'efficacité ou l'innovation, mais pour les institutions culturelles, il touche au moins autant aux droits, à la réputation et au contrôle. L'agitation autour d'Adobe en juin 2024 en est l'illustration. Suite aux critiques des créateurs, Adobe a publiquement clarifié qu'elle n'entraînait pas l'IA générative sur le contenu de ses clients et que cet engagement serait explicitement ajouté à ses conditions générales. Le fait qu'une telle clarification ait été nécessaire en dit long. Dès lors que l'IA s'imbrique dans les logiciels de création, la discussion s'oriente immédiatement vers la gouvernance : qu'est-ce qu'un fournisseur est autorisé à faire avec notre contenu, dans quelles conditions, et pouvons-nous, en tant qu'institution, le justifier ?
Pour les institutions culturelles, ce problème est encore plus aigu. Après tout, elles travaillent avec des collections, des images, des textes, des contenus éducatifs et d'autres informations ayant une valeur culturelle et juridique. La question des outils d'IA utilisés ne peut donc jamais être dissociée de la question des droits et des flux de données concernés.
Dans le même temps, le marché montre que la souveraineté n'est pas une question de noir ou de blanc. OpenAI a annoncé la résidence des données en Europe en février 2025 pour ChatGPT Enterprise, ChatGPT Edu et l'API, et a étendu ces capacités à d'autres entreprises clientes en novembre 2025. Cela montre que les fournisseurs non européens agissent sous la pression des exigences européennes. C'est important pour la gouvernance et la supervision, car sinon le débat devient trop rapidement idéologique. Toutes les solutions non européennes ne sont pas par définition inutilisables, de même que toutes les alternatives européennes n'offrent pas automatiquement une échelle, une fonctionnalité ou une sécurité suffisantes. La question reste donc posée : quelles sont les garanties réelles ?
La souveraineté n'est pas un geste, mais une opération de changement
Cela nous amène au point qui est peut-être le plus souvent sous-estimé dans le débat : le changement n'est pas une déclaration morale, mais une opération de changement. Les données doivent être migrées, les liens reconstruits, les processus modifiés et les employés formés. Cela demande de l'argent, du temps et de l'attention de la part de l'administration - exactement les trois choses qui sont souvent rares dans le secteur culturel.
L'étude de cas classique LiMux à Munich montre à quel point cette voie est compliquée. La ville a décidé de migrer vers le logiciel libre en 2004. Le projet a pris des années, a nécessité un redéveloppement, une personnalisation et un ajustement organisationnel, avant d'être partiellement abandonné. La leçon à tirer n'est pas que la souveraineté est impossible, mais qu'elle n'a une chance de succès que si la gouvernance et l'organisation prennent au sérieux les coûts de transition, le changement de culture et la persistance politique.
Pour les institutions culturelles, cela signifie que la souveraineté logicielle ne doit pas être comprise comme une autarcie. Personne n'éteint la technologie mondiale pour un moment demain. Il s'agit d'autre chose : d'une orientation mûrement réfléchie. Savoir où sont les dépendances. Comprendre quels systèmes sont essentiels à la mission. Distinguer les risques juridiques, opérationnels ou stratégiques. Puis élaborer des politiques adaptées aux capacités de l'organisation.
C'est moins héroïque qu'une violation numérique majeure. Mais c'est de la gouvernance. Et probablement exactement ce dont le secteur a besoin en ce moment. Car la véritable privation de liberté ne commence pas lorsqu'une institution est dépendante d'un logiciel. Elle commence lorsque la gouvernance et la supervision ne savent plus exactement de quoi il s'agit - et ne peuvent donc pas décider correctement de la marche à suivre.
Nederlands 
English (UK) 
Français 