Le 18 février 2026, l'Assemblée nationale a installé une commission d'enquête qui marquera durablement le paysage réglementaire français. Présidée par le député Philippe Latombe (Les Démocrates, Vendée) et rapportée par Cyrielle Chatelain (Écologiste et Social, Isère), cette instance s'attaque aux dépendances structurelles et aux vulnérabilités systémiques de notre écosystème numérique. Parmi ses vingt-sept membres figure une députée de notre département : Mme Sophie-Laurence Roy, élue de la 2e circonscription de l'Yonne (Rassemblement National), qui occupe l'une des quatre vice-présidences de la commission et siège par ailleurs à la commission des finances de l'Assemblée. Cette présence dans le bureau donne à notre département un point d'observation direct sur des travaux qui, malgré les apparences, ne sont pas un débat d'initiés parisiens.
Les conclusions, attendues pour l'été 2026 à l'issue du délai statutaire de six mois, auront des conséquences très concrètes pour les communes, les intercommunalités et les PME de Bourgogne-Franche-Comté, y compris pour celles qui estiment aujourd'hui n'être pas concernées.
Point n°1 : une séquence politique qui s'accélère sous pression européenne
Cinq signaux convergent en moins d'un an, alors que la France accuse un retard documenté de transposition des directives européennes NIS 2 et CER, dont l'échéance était fixée au 17 octobre 2024.
Le rapport de la Cour des comptes du 31 octobre 2025 sur les systèmes d'information civils de l'État ouvre la séquence. Le lancement de l'Observatoire de la souveraineté numérique le 26 janvier 2026 lui donne un cadre opérationnel. La création de la commission d'enquête parlementaire dans la foulée en assure le portage politique. Le 9 avril 2026, le ministre de l'Économie présente une feuille de route de la sécurité numérique de l'État pour 2026-2027, prenant acte de l'attente parlementaire. Le 5 mai 2026, la sénatrice Nathalie Goulet dépose au Sénat la proposition de résolution n° 595 visant à créer une commission d'enquête parallèle sur les cyberattaques, les fuites de données et la souveraineté numérique.
À l'arrière-plan de cette séquence, un texte attend. Déposé au Sénat dès le 15 octobre 2024 et adopté en première lecture le 12 mars 2025, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été rapporté en commission spéciale à l'Assemblée nationale le 10 septembre 2025. Huit mois plus tard, son inscription en séance publique n'est toujours pas fixée. Ce silence parlementaire est, en lui-même, un signal politique.
Ce n'est pas un hasard de calendrier, mais une convergence politique assumée, désormais bicamérale et soutenue par l'exécutif, qui prépare un durcissement progressif du cadre applicable aux acteurs publics, puis, par effet de ruissellement, à leurs prestataires privés.
L'audition de la Cour des comptes du 17 mars 2026, au cours de laquelle M. Emmanuel Marcovitch a présenté les conclusions du rapport d'octobre, demeure à cet égard particulièrement éclairante. Interrogé en fin d'audition sur le niveau de maturité politique du sujet, il reconnaissait que la souveraineté numérique « n'est pas encore complètement intégrée dans les stratégies numériques des administrations ». La vraie question n'est donc pas si les obligations s'étendront aux collectivités moyennes, mais à quelle vitesse et selon quels critères, la définition des « données sensibles » restant, à ce stade, largement soumise à l'interprétation.
Lecture stratégique. Le risque ne réside jamais dans le texte final, mais dans la fenêtre d'interprétation qui s'ouvre entre son adoption et ses décrets d'application. Avec un projet de loi de transposition NIS 2 suspendu depuis huit mois en séance publique, et une commission d'enquête dont les conclusions sont attendues à l'été, deux scénarios s'esquissent. Soit le rapport Latombe-Chatelain nourrit la reprise du texte par voie d'amendements, soit ses recommandations alimentent un véhicule législatif distinct. Cette indétermination est précisément la zone où se jouent les marges de manœuvre des acteurs territoriaux.
Point n°2 : les quatre lignes de tension identifiées par la Cour des comptes
L'audition de la Cour des comptes a mis en lumière quatre domaines de contradiction que toute collectivité devra, à son échelle, arbitrer.
La gouvernance d'abord. L'absence de cartographie interministérielle des données sensibles expose chaque acheteur public à devoir produire sa propre doctrine, sans appui doctrinal sécurisé.
L'interférence entre cybersécurité et souveraineté ensuite. Les solutions les plus sûres en matière de cybersécurité sont souvent extra-européennes, ce qui oblige à un arbitrage technique et juridique de plus en plus fin entre niveau de protection immédiat et exposition juridique de long terme.
La tension entre performance et souveraineté également. Une solution massivement déployée à l'échelle mondiale peut séduire par sa fiabilité immédiate, mais elle enferme dans une dépendance que la Cour illustre par plusieurs cas concrets : rachat de VMware par Broadcom entraînant une multiplication par sept du prix des licences ; migration de SAP/Chorus dont le surcoût simulé atteignait 64 millions d'euros ; infrastructures Nubo et Pi dont la tarification reste inadaptée aux besoins des acteurs publics intermédiaires.
La dimension juridique extraterritoriale enfin. Les hyperscalers américains installent des centres de données partout en Europe et communiquent sur cet ancrage comme un gage de souveraineté, alors même qu'ils demeurent soumis au CLOUD Act et au FISA. La localisation physique des données ne suffit donc pas à garantir leur étanchéité juridique.
Lecture stratégique. Ces quatre lignes ne se traitent pas séparément. Elles exigent une lecture croisée, une cartographie des parties prenantes (ANSSI, Dinum, préfecture, intercommunalité, éditeurs) et un suivi dans la durée, et non une mise en conformité ponctuelle.
Point n°3 : les zones grises que les textes ne trancheront pas
Un texte de loi, aussi précis soit-il, laisse toujours des zones d'interprétation. Pour les acteurs territoriaux, elles se concentrent en quatre points.
L'arbitrage coût / conformité. La Cour des comptes évalue le surcoût d'un hébergement SecNumCloud commercial entre 25 % et 45 % par rapport à un hébergement traditionnel, sans compter les frais de migration. Il faudra documenter et défendre politiquement ces choix budgétaires devant les assemblées délibérantes.
La réversibilité contractuelle. Comment sortir d'un contrat conclu avec un éditeur non conforme sans désorganiser la continuité du service public, alors même que cet éditeur maîtrise à la fois le logiciel, les données et les conditions de migration ?
Le traitement du patrimoine existant. Que faire des données déjà hébergées dans des environnements qui deviendront non conformes, et selon quel séquencement, à quel coût, sous quelle responsabilité ?
La doctrine de communication en cas de crise. Une cyberattaque révèle autant une vulnérabilité technique qu'une vulnérabilité politique. Les deux se préparent simultanément, en amont, et non au moment de l'incident.
Ces questions ne se résolvent pas par la lecture d'un texte : elles appellent une interprétation contextuelle, un dialogue institutionnel avec les services de l'État et une position publique construite.
Point n°4 : la dynamique bicamérale change la nature de l'exercice
Le dépôt de la proposition de résolution sénatoriale n° 595 par Mme Nathalie Goulet, le 5 mai 2026, transforme la physionomie du dossier. Là où l'Assemblée nationale interroge les dépendances structurelles et l'autonomie stratégique, le Sénat, sur fond d'incidents en série ayant touché l'ANTS, des ARS, EDF, l'ANFR ou l'ASP, orientera vraisemblablement ses travaux vers la mesure de l'impact des cyberattaques, l'établissement des responsabilités et le bilan opérationnel des dispositifs de protection.
Les deux corpus de recommandations qui en résulteront ne seront pas identiques. Ils pourraient même diverger sur des points sensibles pour les acteurs territoriaux : périmètre des opérateurs soumis à obligation, articulation entre obligation de moyens et obligation de résultat, niveau de qualification exigé (SecNumCloud, HDS, transposition NIS 2), traitement des sous-traitants. La reprise du projet de loi « résilience » en séance publique à l'Assemblée, dont la date n'est, à ce jour, pas fixée, devra absorber ces signaux, sans garantie d'y parvenir en première lecture.
Lecture stratégique. Surveiller un seul rapport ne suffit plus. La veille doit désormais couvrir trois flux parallèles (Assemblée nationale, Sénat, Gouvernement) et identifier en amont les arbitrages susceptibles de remonter en commission mixte paritaire si les textes d'application divergent. Pour les collectivités, c'est aussi le moment d'identifier les vecteurs d'influence indirects : associations d'élus, fédérations professionnelles, contributions aux consultations publiques.
Pour aller plus loin
Sous réserve des arbitrages parlementaires définitifs, le cadre applicable aux acteurs territoriaux pourra évoluer significativement entre la remise du rapport Latombe-Chatelain à l'été 2026, la reprise éventuelle du projet de loi « résilience » en séance publique à l'Assemblée et la publication des décrets d'application qui en découleront. La séquence est désormais courte, dense et placée sous pression européenne.
La souveraineté numérique n'est pas un sujet de conformité, mais un sujet de gouvernance. Elle engage la responsabilité des élus, la crédibilité des dirigeants de PME et la continuité des services publics locaux. Elle suppose une lecture politique et juridique fine, une anticipation des signaux faibles et une capacité à dialoguer avec l'ensemble des parties prenantes institutionnelles.
Le Cabinet Nastorg accompagne les collectivités et les PME de l'Yonne et de Bourgogne-Franche-Comté dans cette lecture stratégique : veille réglementaire bicamérale, cartographie des décideurs publics concernés, construction de la parole institutionnelle, préparation de la communication de crise et représentation d'intérêts dans le strict respect des principes déontologiques.
Cabinet Nastorg, représentant d'intérêts inscrit au répertoire de la Haute Autorité pour la transparence de la vie publique (HATVP, n° 813835154).
Vous souhaitez un premier échange confidentiel sur votre exposition ? Contactez-nous.
