La Direction générale de la sécurité intérieure (DGSI) vient d'alerter les entreprises françaises sur un risque majeur. Les applications et logiciels étrangers constituent des vulnérabilités « régulièrement sous-estimées » exposant les données sensibles à l'espionnage industriel. Le document, consulté par Franceinfo le 17 avril, décrit cas concrets anonymisés. Une entreprise installe une application étrangère pour faciliter ses exportations, un trojan se glisse dans le réseau, maintient une veille permanente, programme des tâches à distance. Salariés en déplacement téléchargent des apps locales pour le paiement, les transports, la communication. L'app officieuse siphonne l'intégralité du contenu du téléphone professionnel.
La DGSI recommande de privilégier les solutions françaises ou, à défaut, hébergées en France. Elle insiste sur l'« enjeu majeur de sécurité économique ».
Ironie abrasive.
La DGSI elle-même a reconduit, le 15 décembre 2025, son contrat avec Palantir, éditeur américain spécialisé dans l'analyse massive de données, pour trois années supplémentaires jusqu'en 2028. Cette agence confie ses données de renseignement les plus sensibles à une entreprise financée par la CIA, soumise au Cloud Act américain, et dirigée par l'investisseur Peter Thiel. Les deux faits coexistent. L'alerte sur les risques des logiciels étrangers ne s'applique apparemment pas à celui qu'elle utilise.
Le paradoxe qui crie sans couler
Les faits posés côte à côte produisent une tension que le silence français cherche à étouffer.
Palantir a été fondée en 2003 avec un financement initial de deux millions de dollars versés par In-Q-Tel, le fonds d'investissement de la CIA. Son infrastructure logicielle « Gotham » (du nom de la ville de Batman, significatif) a été conçue pour croiser des données biométriques, des conversations de réseaux sociaux, des appels téléphoniques, des images satellites. En contexte militaire, elle évalue les cibles potentielles en temps réel. En contexte de renseignement, elle agrège des flux dispersés en cartographies exploitables. Palantir travaille avec le FBI, la DHS, le Pentagone, la police fédérale des migrations (ICE, critiquée pour ses pratiques de surveillance de masse). À l'international, elle équipe Israël, l'Ukraine, le Royaume-Uni, la France.
La DGSI l'utilise depuis 2016, peu après les attentats du 13 novembre 2015. Le contrat initial était présenté comme « temporaire ». Il devait être remplacé par une solution française ou européenne. Des appels d'offres ont été lancés en 2022, 2023. Trois fournisseurs français ont été évalués. Athea (partenariat Atos-Thales), ChapsVision, Blueway. Ces solutions conservaient la promesse de souveraineté technologique, d'audits français sur les codes, d'indépendance vis-à-vis des autorités américaines.
En décembre 2025, neuf ans après son déploiement initial, la DGSI a renoncé à cette transition. Nouvelle reconduction pour trois ans. Justification officielle attendue. Les alternatives françaises ne seraient pas encore opérationnelles à un niveau de confiance suffisant. La continuité prime. Palantir gère des modèles de données complexes, des chaînes d'analyse validées, des procédures de contrôle testées. Migrer, c'est prendre un risque. Rester, aussi, mais différé.
Selon des sources proches du dossier, une seule des trois alternatives a progressé suffisamment pour être envisagée. Cédric Pelegry, responsable des affaires publiques de ChapsVision, déclarait à Franceinfo en novembre 2025 qu'on « touche au but ». Cinq mois plus tard, la DGSI prolonge Palantir. Le goal line reste invisible.
Ironie de l'histoire. Alors que la DGSI publie des alertes sur l'espionnage via logiciels étrangers, les exemples qu'elle cite (applications administratives intrusives, serveurs hébergés en pays tiers, capacités de surveillance permanente, programmation de tâches à distance) pourraient presque servir de description à sa propre plateforme de renseignement.
Palantir, l'architecture de la dépendance numérique
Palantir n'est pas un logiciel ordinaire. C'est une plateforme. Son modèle économique n'a rien à voir avec Microsoft Office ou le stockage cloud. Palantir vend un accès à une machine analytique capable de digérer des flux de données bruts (données financières, communications, déplacements, identifiants biométriques) et de produire des cartographies exploitables pour la prise de décision opérationnelle. Le client ne possède pas le code. Il loue la capacité de raisonnement de la machine.
Pour la DGSI, cela signifie concrètement une réalité précise. Les données de renseignement français alimentent les algorithmes propriétaires de Palantir. Ces algorithmes, invisibles, transforment les données brutes en signaux exploitables. Le résultat opérationnel reste français. Les données brutes ? Théoriquement hébergées en Europe, selon les contrats. Mais propriétaires de la plateforme ? Américains.
Cette distinction rassure rarement les analystes de sécurité. En 2018, les États-Unis ont adopté le Cloud Act. Cette loi fédérale permet aux autorités judiciaires américaines d'exiger l'accès à des données détenues par des entreprises soumises au droit américain, peu importe où ces données sont physiquement hébergées. Un mandat du FBI, une subpoena. Palantir doit produire. Le secret français des sources de renseignement, inviolable en France depuis 70 ans ? Subordonné à une loi américaine si les données transitent par une infrastructure contrôlée par une entité américaine.
Palantir affirme que ce risque n'existe pas en pratique, qu'elle a mis en place des garanties contractuelles, que les données restent strictement dans le périmètre français. Les défenseurs de la souveraineté française formulent une objection différente. Une garantie contractuelle est un engagement privé entre deux entités. Une loi fédérale américaine prime sur un contrat commercial. Le contexte de tensions transatlantiques accentue la tension. La DGSI travaille avec une entreprise contrôlée par une puissance dont les intérêts stratégiques ne convergent plus automatiquement avec ceux de la France. Donald Trump, soutien historique de Peter Thiel, a pris ses fonctions en janvier 2025. Sa doctrine « America First » assume d'utiliser « les ventes d'armes intentionnellement comme un outil de la politique étrangère américaine ». Pourquoi les données brutes de renseignement français échapperaient-elles à cette logique ?
70% des infrastructures critiques françaises, selon l'ANSSI, utilisent au moins un logiciel développé à l'étranger. Mais 70% ne signifie pas « inéluctable ». Cela signifie « par défaut ». La DGSI, en renouvelant Palantir, choisit de ne pas rompre ce défaut. Elle choisit de prolonger une dépendance qu'elle décrit elle-même comme dangereuse chez les autres.
Guerre des flux, ou qui tient le robinet des données stratégiques
L'alerte DGSI du 17 avril pointe un enjeu correct. Les applications étrangères créent des points de fuite. Entre 2024 et 2025, les services néerlandais de renseignement ont publié une note attribuant les intrusions à des hackers proches de l'État russe. Le Cisa américain et le FBI ont confirmé cette attribution. L'Allemagne, touchée par des attaques similaires, a diffusé une alerte en février 2026 après le piratage de Arndt Freytag von Loringhoven, ancien numéro deux du BND et ancien des renseignements de l'Otan. Même les professionnels du renseignement peuvent succomber aux techniques sophisitquées.
La question posée par ces attaques reste élémentaire. Qui contrôle les données ?
Pour les entreprises françaises, c'est une question de secret industriel, de brevets, de stratégie commerciale. Pour la DGSI, c'est une question existentielle. Les données que Palantir traite ne sont pas des données statistiques publiques. Ce sont des identités sensibles, des noms de sources humaines, des adresses de surveillance, des communications interceptées, des patterns d'organisations criminelles ou terroristes. Une fuite signifierait l'identification potentielle de sources de renseignement français, la compromission d'opérations en cours, l'exposition de méthodes de surveillance classifiées.
Palantir promet que cela ne arrive pas. Mais Palantir promet aussi que le Cloud Act ne s'appliquera pas. Ces deux promesses dépendent d'une troisième. Que les États-Unis continuent de considérer la France comme un allié dont les données doivent être protégées. Or, depuis 2022, les tensions entre Washington et Paris s'accumulent. Macron a parlé d'« autonomie stratégique européenne ». Biden a ignoré Macron sur les décisions concernant l'Ukraine. Trump, revenu au pouvoir en janvier 2025, a qualifié l'Otan d'« obsolète » et a menacé de ne pas défendre les alliés européens ne respectant pas une dotation de dépenses militaires arbitraire. Dans ce contexte, confier la structure des données de renseignement français à une plateforme américaine n'est pas seulement une décision technique. C'est un pari sur le maintien de bonnes relations avec Washington.
Le gouvernement français part du principe que ce pari est raisonnable. Après tout, Palantir travaille avec les Britanniques, les Allemands, les Israéliens. Si Washington avait l'intention de piller les données de renseignement alliés via Palantir, cela se saurait. Ou plutôt, cela n'a pas encore d'ennemis politiques assez puissants en France pour être formulé comme un scandale public. À ce jour, aucun lanceur d'alerte, aucun audité de sécurité indépendant n'a documenté un accès non autorisé aux données DGSI via Palantir. L'absence de preuve ne signifie pas absence de risque. C'est l'inverse du raisonnement de sécurité, mais le raisonnement administratif français fonctionne souvent à l'inverse.
Inertie et délais, ou pourquoi la souveraineté ne s'improvise pas
Pourquoi la France n'a-t-elle pas basculé vers une solution française ? La DGSI elle-même donne la réponse par sa non-action.
Les alternatives françaises existent. ChapsVision a levé des capitaux, intégré des talents, structuré une offre capable de rivaliser avec Gotham. Athea combine la expertise défense de Thales avec la puissance informatique d'Atos. Blueway s'est positionné sur le créneau de la data analytics souveraine. Dès 2018, Laurent Nuñez, ancien directeur de la DGSI, déclarait vouloir « développer une offre française ou européenne ». Depuis, neuf ans ont passé. Les appels d'offres ont été lancés (2022, 2023). Les prestataires se sont approchés. Puis éloignés. Puis la DGSI a renouvelé Palantir.
C'est une version française classique d'une pathologie administrative bien connue. Annoncer la souveraineté stratégique, investir juste assez pour être crédible, renouveler la dépendance, puis annoncer à nouveau la souveraineté. Laurent Nuñez a quitté la DGSI en 2018 pour devenir directeur général de la police nationale. Ses successeurs n'ont pas hérité de son calendrier de transition. Cédric Pelegry, directeur des affaires publiques de ChapsVision, déclarait en novembre 2025 qu'on « peut succéder un jour au logiciel américain de manière totalement opérationnelle ». Cinq mois plus tard, on n'y a pas touché.
Le problème n'est pas technologique. Des start-up françaises ont construit des moteurs analytiques performants. Le problème est organisationnel et politique. Migrer la DGSI d'une plateforme vers une autre exige plusieurs opérations décisives. Reconvertir les analystes à une nouvelle interface, revalider les modèles de données sur la nouvelle machine, réentraîner les chaînes de décision, vérifier qu'aucune vulnérabilité n'a été introduite, s'assurer que les flux en temps réel (les alertes qui sauvent les opérations) continuent de fonctionner. Trois mois de transition, c'est un minimum requis. Une année ? Probable. Et pendant cette période, le risque sécuritaire monte. On peut gagner en souveraineté et perdre en efficacité. C'est le calcul politique classique. La DGSI, sous pression pour neutraliser le terrorisme, a choisi l'efficacité actuelle plutôt que la souveraineté future.
Notons que cette inertie n'est pas française uniquement. La Suisse a refusé Palantir à plusieurs reprises, malgré un lobbying intense et une forte présence de l'entreprise à Zurich. Les autorités suisses ont jugé que le risque ne venait pas des performances, mais du contrôle des données. L'Allemagne a évalué Palantir mais l'a maintenue en tant que prestataire de complément, non comme infrastructure cœur du renseignement. Seuls les États-Unis, Israël et le Royaume-Uni intègrent Palantir en profondeur dans leurs chaînes de renseignement. La France s'aligne sur ce club restreint.
Fenêtre critique. 2026-2028. Si les alternatives françaises deviennent opérationnelles d'ici fin 2027, la reconduction de Palantir expira juste à temps pour une transition. Si elles ne deviennent pas opérationnelles, la France renouvellera à nouveau. Et l'alerte de la DGSI sur les risques des logiciels étrangers continuera de s'appliquer à tout le monde sauf à elle-même.
Angles morts, ou les hypothèses qu'on ne dit pas
Trois biais structurent le choix de la France de rester avec Palantir.
Premièrement, le biais de linéarité existe et structure le raisonnement français. La DGSI part du principe que les relations franco-américaines maintiendront un certain équilibre, que le Cloud Act restera une menace théorique, que les données ne fuiront pas. Cette hypothèse fonctionne jusqu'au jour où elle ne fonctionne pas. Une crise géopolitique (détroit d'Ormuz fermé, débâcle Otan, isolement français), une décision de Washington d'accélérer le prélèvement de renseignement alliés, un changement dans la structure interne de Palantir. Les conditions peuvent basculer sans préavis. La trajectoire suppose la continuité. L'histoire politique suggère l'imprévu.
Deuxièmement, la cohésion du bloc d'acteurs français reste apparente plutôt que profonde. Le gouvernement, la DGSI, les ministères de la Défense et de l'Intérieur, l'ANSSI, parlementaires spécialisés. Sont-ils alignés sur le risque que représente Palantir ? Officiellement oui. Officieusement ? La DGSI a besoin que Palantir fonctionne. L'ANSSI, auditeur indépendant, lève probablement des points de contrôle critiques. L'État-major français accepte la dépendance parce qu'elle est gérée (données en France, contrat révisé tous les trois ans). Aucun de ces acteurs ne pousse assez fort pour sortir du modèle de reconduction perpétuelle. La cohésion est apparent, pas réelle.
Troisièmement, les limites de la démonstration elle-même. L'alerte DGSI du 17 avril décrit des risques théoriques et des cas d'études anonymisés. Elle ne dit pas comment on s'est fait voler des données ou pénétrer un réseau. Elle dit comment c'est possible. Entre le possible et le réel, les bureaucraties françaises placent une zone grise. La DGSI alerte sur les risques des apps étrangères. Palantir a peut-être déjà compromis des données sensibles. Aucune preuve publique. Aucune investigation officielle. Aucun changement de politique. La zone grise prospère.
Scénario crédible non anticipé. Washington décide de renforcer son autonomie technologique en forçant les alliés à adopter des standards américains pour la donnée sensible. Palantir, outil de normalisation des flux de renseignement alliés autour de standards US, devient un levier stratégique. La DGSI se retrouve à transférer progressivement non seulement ses données, mais ses méthodes d'analyse, ses critères d'alertage, ses protocoles de sécurité vers une architecture contrôlée par Washington. Pas par coercition ouverte. Par normalisation progressive. La dépendance s'épaissit jusqu'à devenir irréversible. Le scénario se déploie en cinq à sept ans sans scandale public.
Conséquences stratégiques, ou le coût de ne rien décider
Seuil critique. 2027-2028.
L'alerte DGSI du 17 avril porte une ironie involontaire. En recommandant aux entreprises et administrations de privilégier les solutions françaises, elle valide un principe fondamental. La dépendance technologique est un coût stratégique mesurable. Pour les entreprises, c'est un coût en termes de contrôle des données et de secret industriel. Pour l'État, c'est un coût en termes de souveraineté opérationnelle et d'autonomie décisionnelle.
Trois scénarios se déploient d'ici 2030.
Scénario A. Les alternatives françaises deviennent opérationnelles en 2027. La DGSI amorce une transition vers ChapsVision ou Athea. La transition prend 12 à 18 mois. Fin 2028, Palantir est déployé en mode dégradé, en soutien seulement. Coût consenti, réinvestissement tech et réentraînement équipes. Bénéfice apporté, rupture de dépendance vis-à-vis de Washington, allégeance technologique alignée avec l'objectif d'« autonomie stratégique ». Horizon d'exécution, réalisable.
Scénario B. Les alternatives françaises ne deviennent pas opérationnelles. La DGSI renouvelle Palantir pour trois ans supplémentaires (2028-2031). La dépendance s'épaissit. À chaque renouvellement, l'alternative française devient moins urgente, moins financée, moins attractive pour les talents. Fin 2031, la France est verrouillée dans un modèle de dépendance numérique assumée. Les services de renseignement français continueront d'alerter les entreprises sur les risques des logiciels étrangers, tout en opérant eux-mêmes depuis une plateforme étrangère. L'hypocrisie devient doctrine. Horizon d'exécution, probable.
Scénario C. Une crise Franco-américaine majeure force la main de la DGSI. Une élection en France ou aux États-Unis. Une escalade géopolitique (détroit d'Ormuz, Ukraine). Un incident de renseignement qui remet en cause la confiance mutuelle. Ou simplement une enquête journalistique qui révèle un accès non autorisé aux données sensibles via Palantir. Soudain, rester avec Palantir ne peut plus être présenté comme une « attente du déploiement d'un outil souverain ». La DGSI doit basculer vers l'alternative française, qu'elle soit prête ou non. Coût à supporter, migration en urgence, perte temporaire de capacités opérationnelles, risque de sécurité élevé. Horizon d'exécution, improbable mais non impossible.
Conséquence exploitable pour un décideur. La France a moins de deux ans pour consolider une alternative française au niveau d'opérationnalité suffisant pour absorber une transition d'urgence. Sinon, elle accepte implicitement que la souveraineté numérique restera une promesse rhétorique, pas une réalité opérationnelle. L'alerte DGSI aura été utile pour les autres. Pas pour elle-même.
Cédric Pellicer
Analyste Hard Power pour Les Vraies Infos. Spécialiste des rapports de force stratégiques et des dépendances technologiques critiques.