Question de M. VALLET Mickaël (Charente-Maritime - SER) publiée le 10/07/2025
M. Mickaël Vallet attire l'attention de M. le Premier ministre sur le recours par les services de l'État à une société canadienne contrôlée par des capitaux américains pour assurer la veille numérique de Matignon.
Comme toute nation, la France fait ce qu'il est convenu d'appeler en bon français de l'écoute sociale, à des fins d'analyse des réseaux sociaux, d'appréhension de l'opinion publique ou pour identifier les menaces pour la sécurité nationale.
Selon la presse, le Secrétariat général du Gouvernement aurait confié la mission de veille numérique de Matignon à une entreprise canadienne, spécialisée dans l'analyse des signaux faibles, des dynamiques sociales sur les réseaux, et dans l'anticipation des mouvements d'opinion. Or cette société, bien que juridiquement canadienne, est détenue en majorité par des fonds nord-américains, dont certains liés à l'appareil de sécurité des États-Unis. Elle utilise en outre des briques technologiques, des infrastructures de traitement de données et des référentiels d'analyse partagés avec des opérateurs dépendants du droit extraterritorial américain.
Cette sous-traitance soulève des inquiétudes majeures en matière de souveraineté numérique et de sécurité nationale. En effet, les données une fois traitées dans le cadre de cette mission de veille acquièrent une valeur stratégique certaine, relative aux préoccupations sociales, aux tendances politiques, aux colères émergentes, aux campagnes d'influence étrangère ou à l'exposition des membres du Gouvernement à la critique publique. Qu'une telle matière première stratégique puisse être captée, analysée, ou stockée par un prestataire hors du périmètre européen - dans un contexte où les capacités d'ingérence informationnelle sont un enjeu central de la conflictualité contemporaine - pose un problème politique de premier ordre.
Alors même que la France dispose de compétences technologiques nationales dans le domaine de l'analyse de données ouvertes (OSINT), de l'intelligence artificielle appliquée à la sémantique sociale ou à la cybersécurité, le choix d'un prestataire étranger pour une mission aussi sensible apparaît comme une forme d'impuissance publique assumée. Il contredit en outre les engagements répétés du Gouvernement en matière de souveraineté numérique, de relocalisation industrielle et de protection des données stratégiques.
Aussi, il demande au Gouvernement de préciser les conditions juridiques, techniques et budgétaires dans lesquelles ce contrat a été passé ; d'indiquer si une analyse de conformité au règlement général sur la protection des données (RGPD) et au droit européen des données a été menée ; et surtout, d'expliquer pourquoi cette fonction essentielle à la conduite de l'action gouvernementale n'a pas été confiée à un opérateur national ou à une structure relevant directement de l'administration, dans un cadre souverain.
- page 3885
Réponse du Premier ministre publiée le 24/07/2025
Vous avez appelé mon attention sur l'attribution par le Service d'information du Gouvernement (SIG) d'un marché de veille des réseaux sociaux à l'entreprise Talkwalker, au motif de la nationalité de cette dernière et de sa conformité au RGPD. Le Service d'information du Gouvernement (SIG), placé sous l'autorité du Premier ministre, a attribué en juin 2025 le marché de « mesure d'impact en temps réel des contenus publics accessibles en ligne » à la société Talkwalker. Ce marché s'inscrit dans un accord-cadre structuré en cinq lots afin de répondre à l'entièreté des besoins spécifiques identifiés par les administrations bénéficiaires. Vous soulevez le risque supposé créé par le recours à la société Talkwalker en termes de sécurité de confidentialité des données. Il convient d'abord de préciser que le SIG exige dans les marchés interministériels qu'il porte en tant que pole unique d'achat pour le secteur de la communication, le niveau de protection des données le plus élevé en fonction de la sensibilité de ces dernières. - Au cas d'espèce, les exigences du cahier des charges sont conformes aux règles européennes et détaille les attendus dans deux annexes, l'une dédiée au respect du RGPD (articles 44 et suivants relatifs aux transferts et à l'hébergement des données dans l'UE ou en pays adéquats) et l'autre à la protection des données traitées (mesures de chiffrement, auditabilité, traçabilité et gestion des habilitations). - Au regard du droit communautaire et français, le seul niveau de protection supplémentaire possible aurait été l'exigence d'un cloud souverain (SecNumCloud). Un tel niveau de protection n'est justifié que pour des données dites sensibles au sens de la loi SREN ou de la doctrine « Cloud au Centre », ce que ne sont pas les données traitées dans le cadre de ce marché. En outre, la société Visibrain ne propose pas non plus ce type d'hébergement de cloud souverain. Il n'est pas inutile de préciser également que la société Talkwalker est une entreprise luxembourgeoise, disposant d'une implantation en France depuis 2019 et dont les serveurs traitant les données sont situés en Allemagne. Si elle a effectivement été rachetée par une société canadienne dont certains fonds actionnaires sont américains, il convient de rappeler que cette situation ne suffit pas à la soumettre plus que toute autre entreprise non américaine aux réglementations extraterritoriales des Etats-Unis. En outre, les contrats prévoient également des obligations de notification immédiate en cas de violation, des audits réguliers, et l'interdiction de tout transfert hors UE ou pays à décision d'adéquation sans information préalable et accord. Ces clauses contractuelles sont ainsi conformes au cadre européen déjà strict du RGPD. Je souhaite finalement vous réassurer sur le fait que la recherche d'une souveraineté numérique accrue constitue une priorité du Gouvernement, qui mobilise à cet effet des dispositifs multiples (plan Cloud, stratégie d'accélération IA, French Tech). Toutefois, la commande publique est régie par le principe de liberté d'accès, d'égalité de traitement et de transparence (article L3 du code de la commande publique), qui interdit l'introduction d'un critère de préférence nationale. La France soutient par ailleurs activement, au niveau européen, des évolutions qui permettraient de mieux intégrer des critères liés à la souveraineté dans les futurs textes. En définitive, la décision prise respecte pleinement les règles européennes et nationales qui encadrent la commande publique tout en garantissant un haut niveau de sécurité et de conformité aux exigences de protection des données personnelles. Soyez assuré que le Gouvernement reste particulièrement vigilant à soutenir l'écosystème technologique français, tout en veillant à la continuité et à l'efficacité des services essentiels rendus aux administrations et à nos concitoyens.
- page 4275
Page mise à jour le