Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Comment les municipalités européennes peuvent réussir leur transformation numérique sans compromettre la souveraineté des données des citoyens

Comment les municipalités européennes peuvent réussir leur transformation numérique sans compromettre la souveraineté des données des citoyens

par John Lynch updated février 11, 2026 Conformité réglementaire
temps de lecture: 10 minutes

Les municipalités européennes doivent à la fois digitaliser les services aux citoyens et protéger leurs données contre l’accès de gouvernements étrangers. L’OZG 2.0 allemand (Onlinezugangsgesetz) impose la disponibilité numérique des services administratifs centraux d’ici fin 2025, 70 à 80 % de la mise en œuvre incombant aux municipalités. Le programme européen « Décennie numérique » vise la disponibilité en ligne de 100 % des services publics d’ici 2030. La France, le Danemark, les Pays-Bas et la Belgique ont chacun défini des stratégies nationales de numérisation qui imposent des exigences jusque dans les collectivités locales.

En parallèle, le mouvement pour la souveraineté des données s’accélère au même rythme. Le cadre européen pour la souveraineté du cloud, publié en octobre 2025, définit huit objectifs de souveraineté applicables aux services cloud achetés par les institutions publiques. Le rapport du Parlement européen sur la souveraineté technologique préconise des critères d’attribution spécifiques dans les marchés publics afin de réduire les dépendances numériques critiques. Fin 2025, la municipalité d’Amsterdam et le ministère néerlandais de la Justice ont découvert que leur choix délibéré d’un fournisseur cloud néerlandais, Solvinity, avait été remis en cause lorsque la société américaine Kyndryl a annoncé son rachat, exposant ainsi les systèmes d’authentification des citoyens et les portails de services publics au CLOUD Act américain.

Ce guide explique comment les municipalités européennes peuvent mener leur transformation numérique tout en gardant la maîtrise de la souveraineté sur les données sensibles qui transitent par leurs plateformes de partage sécurisé de fichiers, de messagerie et de communication.

Résumé Exécutif

À retenir : Les municipalités européennes doivent digitaliser les services aux citoyens conformément aux obligations nationales d’e-administration, tout en protégeant les données contre l’accès de gouvernements étrangers. Le véritable défi ne réside pas dans la digitalisation elle-même, mais dans la couche d’échange de données qui la sous-tend : les plateformes de partage sécurisé de fichiers, de messagerie, de transfert sécurisé de fichiers et de formulaires web par lesquelles les citoyens déposent leurs demandes, les municipalités échangent des documents entre services, et les agences communiquent avec les autorités régionales et nationales. Lorsque cette couche de communication repose sur des plateformes contrôlées par des fournisseurs dont le siège est aux États-Unis, la souveraineté est compromise, quel que soit le niveau de sécurité du portail destiné aux citoyens.

Pourquoi c’est important : Les directeurs informatiques et délégués à la protection des données des municipalités font face à des contraintes budgétaires, à la dépendance à des systèmes anciens et à un manque de personnel spécialisé, tout en subissant une pression politique croissante pour prouver leur souveraineté numérique. L’exemple d’Amsterdam/Solvinity a montré que même des choix souverains délibérés peuvent être remis en cause par le marché. La migration de 30 000 agents du Schleswig-Holstein vers des alternatives open source prouve que la transition souveraine est possible, à condition de se concentrer sur l’architecture de gouvernance des données, et non sur les seuls outils en front office. Les municipalités qui traitent en priorité la couche de communication et d’échange de fichiers peuvent démontrer des avancées en matière de souveraineté tout en respectant les exigences de digitalisation.

5 points clés à retenir

  1. Les obligations d’e-administration accélèrent la digitalisation, mais la souveraineté dépend de la couche d’échange de données. L’OZG 2.0 allemand, le règlement européen sur le guichet unique numérique et les programmes nationaux imposent la disponibilité des services en ligne. La manière dont les données circulent entre citoyens, services et agences détermine la souveraineté réelle.
  2. Les données citoyennes dans les systèmes municipaux sont sensibles et identifiantes. Actes de naissance, permis de construire, demandes d’aides sociales, dossiers fiscaux, inscriptions des résidents : il s’agit des données personnelles les plus sensibles détenues par un gouvernement. L’accès de gouvernements étrangers à ces données représente un risque politique majeur pour tout responsable municipal.
  3. L’affaire Amsterdam/Solvinity révèle la fragilité des stratégies de souveraineté fondées sur le choix du fournisseur. Choisir un prestataire national ne garantit pas la souveraineté à long terme si ce dernier peut être racheté par une entité non européenne. Seule une souveraineté architecturale, via le chiffrement contrôlé par le client, protège les données en cas de changement de propriétaire.
  4. Les municipalités peuvent progresser par étapes en priorisant la couche de communication. Migrer toute l’infrastructure est coûteux et perturbant. Cibler les plateformes de partage sécurisé de fichiers et de communication qui traitent les données citoyennes les plus sensibles permet d’améliorer la souveraineté de façon mesurable et maîtrisée.
  5. Le cadre européen pour la souveraineté du cloud fournit un langage d’achat que les municipalités peuvent adopter. Les huit objectifs de souveraineté et la méthodologie de notation SEAL sont conçus pour les marchés publics. Les municipalités peuvent s’appuyer sur ces critères dans leurs appels d’offres pour évaluer les fournisseurs, même avec des ressources techniques limitées.

Le défi de la transformation numérique pour les municipalités

Des obligations nationales d’e-administration qui imposent la digitalisation

Les municipalités européennes doivent répondre à des exigences croissantes de digitalisation imposées par les législations nationales et européennes, sans réelle possibilité de report.

En Allemagne, l’OZG 2.0 (Onlinezugangsgesetz Änderungsgesetz), entré en vigueur en juin 2024, impose la digitalisation de bout en bout des services administratifs. La loi oblige les municipalités à traiter les demandes, communications et décisions de façon entièrement numérique, de la soumission à la délivrance. Plus de 820 services en ligne sont déjà connectés à l’OZG Cloud rien qu’au Schleswig-Holstein, et la Bavière pilote le déploiement dans plus de 1 400 municipalités. L’OZG 2.0 renforce le droit des citoyens à une administration numérique, tout en mettant l’accent sur le contrôle des données et la souveraineté numérique comme principes de conception.

En France, le Programme national de la dématérialisation pousse la digitalisation municipale, avec un accent particulier sur la vérification d’identité et l’échange de documents. Au Danemark, la stratégie commune de digitalisation publique coordonne la fourniture de services numériques à tous les niveaux (central, régional, local), avec des solutions comme Digital Post et MitID en socle d’infrastructure. La stratégie néerlandaise vise à faire fonctionner l’État comme une entité unifiée offrant des services numériques accessibles, tandis que la Belgique déploie des stratégies parallèles en Flandre, Wallonie et Bruxelles.

Au niveau européen, le règlement sur le guichet unique numérique impose aux États membres de proposer des démarches en ligne aux usagers transfrontaliers, et le programme « Décennie numérique » vise 100 % de services publics en ligne d’ici 2030. Le baromètre eGovernment 2025 indique que 93 % des démarches du guichet unique sont désormais accessibles en ligne, preuve d’une accélération, mais aussi d’une augmentation du volume de données citoyennes circulant sur les plateformes numériques.

Quelles normes de conformité des données sont essentielles ?

Pour en savoir plus :

Où circulent réellement les données citoyennes

La transformation numérique municipale va bien au-delà des portails destinés aux citoyens. Derrière chaque service en ligne se cache une chaîne d’échanges de données qui détermine où résident les informations et qui peut y accéder.

Lorsqu’un citoyen dépose une demande de permis de construire via un portail municipal, les documents justificatifs (plans, titres de propriété, études environnementales) doivent être partagés entre l’urbanisme, les inspecteurs, les services environnementaux, voire les autorités régionales. Lorsqu’une demande d’aide sociale est instruite, les informations financières, documents familiaux et dossiers médicaux circulent entre les services sociaux, les impôts et parfois les agences pour l’emploi. Quand les agents municipaux échangent sur des dossiers en cours, les données citoyennes transitent par les messageries et plateformes collaboratives.

Chacun de ces flux de données relève d’un choix de souveraineté. Si la plateforme de partage sécurisé de fichiers, la messagerie ou le service de transfert sécurisé de fichiers utilisé pour transmettre les documents entre services est opérée par un fournisseur soumis à des lois d’accès étrangères, la souveraineté de chaque dossier citoyen qui y transite est compromise. Le portail citoyen peut être parfaitement souverain, c’est la couche de communication en back-office qui détermine la juridiction réelle des données.

Pourquoi les approches actuelles sont insuffisantes

Le problème des rachats de fournisseurs

L’affaire Amsterdam/Solvinity de novembre 2025 illustre une vulnérabilité structurelle qui concerne toutes les municipalités européennes. Amsterdam et le ministère néerlandais de la Justice avaient choisi Solvinity, un fournisseur cloud néerlandais, pour réduire leur dépendance aux sociétés américaines et limiter les risques liés au CLOUD Act. Solvinity gère des infrastructures nationales critiques, dont le système d’authentification des citoyens et le portail de services publics. Lorsque Kyndryl, société américaine de services IT, a annoncé son intention de racheter Solvinity, ces systèmes sont tombés sous la juridiction potentielle du droit américain, contredisant la logique souveraine du choix initial.

Ce scénario n’est pas isolé. Les fournisseurs cloud européens sont des cibles d’acquisition pour de grands groupes non européens précisément en raison de leurs clients publics. Une stratégie de souveraineté qui dépend de la structure de propriété du fournisseur plutôt que de contrôles architecturaux peut être rendue caduque par une simple opération de marché, hors du contrôle de la municipalité.

Le mythe de la « région UE »

De nombreuses municipalités utilisent des plateformes collaboratives et de partage sécurisé de fichiers de fournisseurs américains, avec stockage des données dans des centres européens. Comme le rappelle le cadre européen pour la souveraineté du cloud, la localisation et la souveraineté des données sont deux notions distinctes. Un fournisseur américain exploitant un datacenter à Francfort reste soumis au CLOUD Act. Il peut être contraint de fournir les données citoyennes stockées dans ce centre sur ordre d’un tribunal américain, sans en informer la municipalité. La localisation géographique du serveur n’offre aucune protection juridique si les obligations du fournisseur relèvent d’une autre juridiction.

Contraintes budgétaires et de ressources

Contrairement aux agences nationales ou aux grandes entreprises, les municipalités disposent de budgets IT limités et de peu de spécialistes. Une ville allemande moyenne peut avoir une équipe informatique de 5 à 15 personnes pour des dizaines d’applications et des centaines d’utilisateurs. Migrer toute l’infrastructure vers des alternatives souveraines dépasse souvent les moyens disponibles. Les municipalités ont besoin de solutions qui garantissent la souveraineté sur les flux de données les plus sensibles sans imposer de remplacer toutes les plateformes d’un coup.

Une stratégie pragmatique de souveraineté pour les municipalités

Prioriser la couche de communication

Pour la plupart des municipalités, l’action la plus efficace consiste à sécuriser les plateformes par lesquelles transitent les données citoyennes sensibles. Cela inclut la plateforme de partage sécurisé de fichiers utilisée pour échanger des documents entre services, la messagerie pour les communications liées aux dossiers, le service de transfert sécurisé de fichiers pour les échanges avec les autorités régionales ou nationales, et les formulaires web pour la transmission de documents sensibles par les citoyens.

Ces canaux de communication traitent les données les plus sensibles politiquement (dossiers personnels), les plus réglementées (catégories spéciales RGPD) et les plus exposées au risque d’accès étranger (plateformes opérées par des tiers). Les sécuriser avec une architecture souveraine permet de traiter d’abord les flux les plus à risque, en laissant les systèmes moins sensibles sur les plateformes existantes jusqu’à ce que les ressources permettent une migration plus large.

Exigences architecturales pour la souveraineté municipale

Trois fonctions techniques permettent d’apporter une souveraineté vérifiable aux plateformes de communication municipales.

Clés de chiffrement contrôlées par le client. La municipalité génère et conserve les clés de chiffrement dans son propre système de gestion de clés ou module matériel de sécurité. Le fournisseur traite les données chiffrées sans pouvoir les déchiffrer. Cette approche garantit une souveraineté qui résiste aux rachats, changements de propriétaire ou injonctions étrangères, car le fournisseur ne peut produire ce qu’il ne détient pas. C’est le choix architectural le plus déterminant pour la souveraineté des données municipales.

Déploiement européen à locataire unique. La plateforme fonctionne sur une infrastructure dédiée à la municipalité, et non sur une plateforme mutualisée où les données citoyennes coexistent avec celles d’autres organisations relevant de juridictions différentes. Pour les municipalités mutualisant l’IT via des partenariats régionaux (comme les kommunale IT-Dienstleister en Allemagne), une instance à locataire unique peut servir tout le groupement tout en maintenant la souveraineté de chaque membre.

Résidence des données imposée par des règles et preuves d’audit. Un géorepérage technique empêche les données citoyennes de sortir des frontières désignées. Un journal d’audit complet enregistre chaque accès, transfert et action administrative, fournissant les preuves nécessaires à la conformité RGPD et à la démonstration de souveraineté auprès des citoyens et des instances de contrôle.

S’aligner sur le cadre européen de souveraineté du cloud

Les municipalités peuvent s’appuyer sur les huit objectifs de souveraineté du cadre européen dans leurs cahiers des charges, même pour des marchés de taille modeste. Pour la couche de communication, trois objectifs sont particulièrement pertinents : SOV-2 (souveraineté juridique et de juridiction) garantit que le fournisseur n’est pas soumis à des demandes d’accès émanant de gouvernements non européens ; SOV-3 (souveraineté sur les données) garantit que la municipalité contrôle le chiffrement et le traitement des données ; SOV-4 (souveraineté opérationnelle) garantit que l’exploitation du service relève de la juridiction européenne. Fixer des niveaux SEAL minimums pour ces trois objectifs dans les appels d’offres offre une méthodologie d’évaluation structurée et défendable, même pour les municipalités disposant de peu de ressources en achat public.

Retour d’expérience des pionniers de la souveraineté municipale

Schleswig-Holstein : l’open source comme socle de souveraineté

Le Land allemand du Schleswig-Holstein a mené la migration souveraine la plus ambitieuse de l’administration publique européenne, remplaçant les produits Microsoft par des alternatives open source pour ses 30 000 agents. Mi-2025, 24 000 agents avaient basculé sur LibreOffice, avec Nextcloud, Open Xchange et Thunderbird en remplacement d’Exchange et Outlook. L’OZG Cloud du Land, développé en open source, dessert plus de 50 % des municipalités et donne accès à plus de 820 services en ligne connectés.

En juillet 2025, l’Allemagne, la France, l’Italie et les Pays-Bas ont créé le Consortium européen pour les communs numériques afin de développer et mutualiser des outils souverains comme OpenDesk. Cette collaboration transfrontalière montre que la souveraineté numérique au niveau municipal devient une priorité européenne partagée, et non plus de simples initiatives nationales isolées.

France : NUBO et le cloud souverain pour l’administration publique

Le ministère français de l’Économie et des Finances a finalisé NUBO, un cloud privé basé sur OpenStack pour gérer les données et services sensibles. La certification SecNumCloud impose des exigences de souveraineté pour les achats cloud du secteur public, créant un référentiel que les municipalités peuvent utiliser pour choisir leurs fournisseurs. Le partenariat Bleu (Orange et Capgemini exploitant des technologies Microsoft sous exigences françaises de souveraineté) illustre une approche permettant de conserver l’accès aux outils de productivité tout en traitant la question de la souveraineté, même si le degré d’indépendance réelle vis-à-vis des technologies américaines reste à évaluer par les collectivités.

Les municipalités qui maîtrisent les données citoyennes instaurent la confiance

Les municipalités sont l’échelon administratif le plus proche des citoyens. Les habitants s’adressent à elles pour des événements de vie très personnels : déclaration de naissance, demande d’aide sociale, déclaration fiscale, permis de construire, déclaration de décès. Quand les élus peuvent garantir à leurs administrés que ces données sont protégées par la loi européenne, chiffrées avec des clés détenues par la municipalité et inaccessibles aux gouvernements étrangers, ils instaurent une relation de confiance qui va au-delà de chaque service rendu.

Transformation numérique et souveraineté des données ne s’opposent pas. Elles sont complémentaires. Une municipalité qui digitalise ses services sur une infrastructure souveraine offre à la fois la praticité attendue par les citoyens et la protection qu’ils sont en droit d’exiger.

Kiteworks aide les municipalités européennes à réussir leur transformation numérique sans compromettre la souveraineté des données citoyennes

Le Réseau de données privé Kiteworks offre aux municipalités la couche de communication souveraine dont elles ont besoin pour digitaliser les services aux citoyens tout en gardant la maîtrise des données sur le territoire européen. Kiteworks fonctionne selon un modèle de chiffrement géré par le client : la municipalité génère et conserve les clés de chiffrement dans son propre système de gestion de clés. Kiteworks n’a pas accès au contenu déchiffré et ne peut répondre à aucune demande étrangère visant à obtenir des données citoyennes lisibles, car il ne détient pas les clés.

Kiteworks se déploie en instance à locataire unique sur une infrastructure européenne dédiée, avec des options de déploiement sur site, en cloud privé ou chez un prestataire régional. Cette flexibilité s’adapte à la diversité des organisations IT municipales, du tout-interne aux services mutualisés via les kommunale IT-Dienstleister ou équivalents régionaux. Le géorepérage intégré impose la résidence des données au niveau de la plateforme, et l’audit complet fournit les preuves de responsabilité exigées par le RGPD et les instances de contrôle municipal.

La plateforme unifie le partage sécurisé de fichiers, la protection des e-mails, le transfert sécurisé de fichiers et les formulaires web dans un cadre de gouvernance zéro trust, permettant aux municipalités de sécuriser les données citoyennes sur tous les canaux d’échange avec une seule décision d’achat, une seule architecture et un seul jeu de preuves de souveraineté pour les élus, les DPO et les organes de contrôle.

Pour en savoir plus sur la transformation numérique sans compromis sur la souveraineté des données citoyennes, réservez votre démo sans attendre !

Foire aux questions

Les municipalités doivent concentrer leurs efforts de souveraineté sur la couche de communication et d’échange de fichiers, au lieu de viser une migration complète de l’infrastructure. Les plateformes qui gèrent le partage de documents citoyens, les e-mails interservices, le transfert sécurisé de fichiers et les formulaires web traitent les données les plus sensibles et sont les plus exposées au risque d’accès étranger. Sécuriser ces canaux avec un chiffrement contrôlé par le client et un déploiement européen offre le meilleur retour sur investissement souverain pour des budgets contraints. Les fonctions moins sensibles peuvent rester sur les plateformes existantes jusqu’à ce que les ressources permettent une migration plus large.

En novembre 2025, la société américaine Kyndryl a annoncé son intention de racheter Solvinity, fournisseur cloud néerlandais choisi par Amsterdam et le ministère néerlandais de la Justice précisément pour éviter le risque CLOUD Act. Ce rachat a placé des infrastructures nationales critiques, dont l’authentification citoyenne et les portails de services publics, sous la juridiction potentielle du droit américain. La leçon pour les achats publics municipaux : la souveraineté ne peut reposer sur la nationalité du fournisseur. Il faut une souveraineté architecturale, via le chiffrement contrôlé par le client, pour que les changements de propriétaire n’affectent pas la protection des données.

L’OZG 2.0, en vigueur depuis juin 2024, impose aux municipalités de fournir des services administratifs numériques de bout en bout, tout en mettant l’accent sur le contrôle des données citoyennes et la souveraineté numérique comme principes de conception. La loi renforce le droit des citoyens à une administration numérique, ce qui signifie que les municipalités doivent digitaliser, mais aussi garantir la protection des données à chaque étape. L’accent mis sur la souveraineté numérique par l’OZG 2.0 s’inscrit dans la stratégie cloud du gouvernement allemand de 2022, qui privilégie l’open source pour réduire la dépendance aux logiciels propriétaires. Les municipalités peuvent répondre à la fois aux exigences de digitalisation et de souveraineté en déployant des plateformes souveraines de partage sécurisé de fichiers et de communication pour le traitement back-office sur lequel reposent les services OZG.

Oui. La Commission européenne a explicitement conçu le cadre de souveraineté du cloud comme référence pour les autorités nationales et les organisations privées dans leurs stratégies cloud. Les huit objectifs de souveraineté et la méthodologie de notation SEAL offrent des critères d’évaluation structurés que les municipalités peuvent intégrer à leurs appels d’offres. Pour les achats municipaux, les objectifs les plus pertinents sont SOV-2 (souveraineté juridique), SOV-3 (souveraineté sur les données) et SOV-4 (souveraineté opérationnelle). Fixer des niveaux SEAL minimums pour ces objectifs fournit des critères d’évaluation solides, même pour les municipalités ayant peu d’expertise en achat public.

La migration du Schleswig-Holstein prouve que la transition souveraine est possible à grande échelle, avec 24 000 agents sur 30 000 passés à l’open source et le déploiement de l’OZG Cloud dans plus de 50 % des municipalités. La création en juillet 2025 du Consortium européen pour les communs numériques par l’Allemagne, la France, l’Italie et les Pays-Bas montre que cette approche devient une stratégie européenne partagée. Les autres municipalités peuvent s’inspirer de la migration progressive, du fonctionnement parallèle pendant la transition et de l’importance de dissocier le choix des outils front office de l’architecture de souveraineté des données en back office. Les plateformes souveraines de communication peuvent être déployées en parallèle des systèmes existants, sans exiger une migration complète simultanée.

Ressources complémentaires

  • Article de blog  
    Souveraineté des données : bonne pratique ou obligation réglementaire ?
  • eBook  
    Souveraineté des données et RGPD
  • Article de blog  
    Les pièges à éviter en matière de souveraineté des données
  • Article de blog  
    Bonnes pratiques pour la souveraineté des données
  • Article de blog  
    Souveraineté des données et RGPD [Comprendre la sécurité des données]

    •  

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks