Question écrite n° 8453 :
Mission de veille numérique attribuée à une société étrangère

17e Législature

Question de : M. Alexandre Dufosset
Nord (18e circonscription) - Rassemblement National

M. Alexandre Dufosset attire l'attention de M. le Premier ministre sur une décision particulièrement préoccupante prise par le Service d'information du Gouvernement (SIG), placé sous l'autorité de Matignon, qui soulève de graves interrogations en matière de souveraineté numérique, de sécurité nationale et de cohérence stratégique de l'action publique. Il apparaît en effet que la mission de veille numérique, dite de « social listening », jusqu'alors confiée à l'entreprise française Visibrain, a été attribuée à la société étrangère Talkwalker, entité canadienne détenue par des capitaux américains, dans le cadre d'un récent appel d'offres. Cette fonction de veille informationnelle, d'une portée hautement stratégique, concerne l'ensemble de l'appareil d'État : les services du Premier ministre, les ministères de l'intérieur, de l'économie, des armées, ou encore l'Agence de lutte contre les ingérences étrangères. Or les données traitées - bien qu'issues de sources publiques - sont agrégées, analysées, corrélées et utilisées pour anticiper des crises, éclairer des décisions publiques sensibles, ou alimenter des réflexions législatives. Elles constituent de fait un actif stratégique national. Selon de nombreux fonctionnaires de l'État, la société Talkwalker ne disposait pas, au moment de l'appel d'offres, de la capacité de surveillance de certains réseaux pourtant explicitement mentionnés dans le cahier des charges, notamment TikTok, dont l'influence sur l'opinion publique est majeure. Talkwalker s'est engagée à corriger cette lacune « dans les mois à venir », ce qui aurait dû constituer un motif d'exclusion. En parallèle, l'entreprise française Visibrain, mieux notée techniquement, a été écartée, malgré une révision tarifaire significative de sa part. De plus, Talkwalker étant contrôlée par des fonds américains et utilisant l'infrastructure cloud d'Amazon, elle entre potentiellement dans le champ d'application extraterritorial du Cloud Act américain de 2018. Ce texte oblige toute entreprise américaine à remettre aux autorités des données qu'elles détiennent, même si celles-ci sont hébergées à l'étranger. L'idée que des données issues d'une veille stratégique française – utilisée par les ministères régaliens – puissent être accessibles à des puissances étrangères, sans que l'État n'en soit averti, est de nature à compromettre gravement l'autonomie stratégique nationale. Alors que le Gouvernement ne cesse de proclamer la nécessité de construire une Europe souveraine en matière de numérique et de données, ce choix va à l'encontre de cette ambition. La France disposait d'un prestataire national reconnu, expérimenté, compétitif et respectueux des exigences du RGPD. Elle a pourtant préféré externaliser cette mission à un acteur dépendant juridiquement et techniquement d'un État tiers, en se retranchant derrière l'absence de « préférence nationale » dans le code de la commande publique – un argument juridique qui ne devrait pas occulter la gravité stratégique du sujet. En conséquence, il lui demande comment il entend garantir la souveraineté, la sécurité et le contrôle des données sensibles utilisées dans le cadre de cette veille stratégique.

Réponse publiée le 29 juillet 2025

Vous avez appelé mon attention sur l'attribution par le Service d'information du Gouvernement (SIG) d'un marché de veille des réseaux sociaux à l'entreprise Talkwalker, ce qui soulèverait un certain nombre d'interrogations. Le Service d'information du Gouvernement (SIG), placé sous l'autorité du Premier ministre, a attribué en juin 2025 le marché de « mesure d'impact en temps réel des contenus publics accessibles en ligne » à la société Talkwalker. Ce marché s'inscrit dans un accord-cadre structuré en cinq lots afin de répondre à l'entièreté des besoins spécifiques identifiés par les administrations bénéficiaires. Il convient de rappeler en premier lieu que cette procédure a été menée de façon parfaitement régulière et conforme aux règles de la commande publique. Vous mentionnez notamment l'irrégularité supposée de l'offre remise par Talkwalker mais il convient de lever tout doute : l'offre de la société Talkwalker répond à toutes les exigences du cahier des charges. A cet égard également, l'ordonnance du tribunal administratif de Paris du 17 juin 2025 a écarté le grief soulevé par la société Visibrain, à savoir que l'offre retenue ne permettrait pas la couverture de l'ensemble des réseaux sociaux attendus. Ainsi, si l'offre technique de la société Visibrain est effectivement arrivée en première position, devant l'offre de la société Talkwalker, deuxième, le Code de la commande publique prévoit d'attribuer un marché au soumissionnaire ayant présenté « l'offre économiquement la plus avantageuse », impliquant la prise en compte d'un critère financier. Conscient des enjeux fonctionnels d'un outil de « social listening », le SIG a d'ailleurs fait le choix de surpondérer les critères techniques à hauteur de 60 % de la note globale, contre 40 % pour le critère prix. Cependant, malgré cette pondération, la note financière de la société Talkwalker lui a permis de voir son offre être classée première et de se voir attribuer le marché. Vous soulevez également le risque susceptible d'être créé par le recours à la société Talkwalker en terme de sécurité de confidentialité des données. Il convient d'abord de préciser que le SIG exige dans les marchés interministériels qu'il porte en tant que pole unique d'achat pour le secteur de la communication, le niveau de protection des données le plus élevé en fonction de la sensibilité de ces dernières. Au cas d'espèce, les exigences du cahier des charges sont conformes aux règles européennes et détaille les attendus dans deux annexes, l'une dédiée au respect du RGPD (articles 44 et suivants relatifs aux transferts et à l'hébergement des données dans l'UE ou en pays adéquats) et l'autre à la protection des données traitées (mesures de chiffrement, auditabilité, traçabilité et gestion des habilitations). Au regard du droit communautaire et français, le seul niveau de protection supplémentaire possible aurait été l'exigence d'un cloud souverain (SecNumCloud). Un tel niveau de protection n'est justifié que pour des données dites sensibles au sens de la loi SREN ou de la doctrine « Cloud au Centre », ce que ne sont pas les données traitées dans le cadre de ce marché. En outre, la société Visibrain ne propose pas non plus ce type d'hébergement de cloud souverain. Il faut préciser également que la société Talkwalker est une entreprise luxembourgeoise, disposant d'une implantation en France depuis 2019 et dont les serveurs traitant les données sont situés en Allemagne. Si elle a effectivement été rachetée par une société canadienne dont certains fonds actionnaires sont américains, il convient de rappeler que cette situation ne suffit pas à la soumettre plus que toute autre entreprise non américaine aux réglementations extraterritoriales des Etats-Unis. En outre, les contrats prévoient également des obligations de notification immédiate en cas de violation, des audits réguliers, et l'interdiction de tout transfert hors UE ou pays à décision d'adéquation sans information préalable et accord. Ces clauses contractuelles sont ainsi conformes au cadre européen déjà strict du RGPD. Je souhaite finalement vous réassurer sur le fait que la recherche d'une souveraineté numérique accrue constitue une priorité du Gouvernement, qui mobilise à cet effet des dispositifs multiples (plan Cloud, stratégie d'accélération IA, French Tech). Toutefois, la commande publique est régie par le principe de liberté d'accès, d'égalité de traitement et de transparence (article L3 du code de la commande publique), qui interdit l'introduction d'un critère de préférence nationale. La France soutient par ailleurs activement, au niveau européen, des évolutions qui permettraient de mieux intégrer des critères liés à la souveraineté dans les futurs textes. En définitive, la décision prise respecte pleinement les règles européennes et nationales qui encadrent la commande publique tout en garantissant un haut niveau de sécurité et de conformité aux exigences de protection des données personnelles. Le Gouvernement reste particulièrement vigilant à soutenir l'écosystème technologique français, tout en veillant à la continuité et à l'efficacité des services essentiels rendus aux administrations et à nos concitoyens.

Données clés

Auteur : M. Alexandre Dufosset

Type de question : Question écrite

Rubrique : Sécurité des biens et des personnes

Ministère interrogé : Premier ministre

Ministère répondant : Premier ministre

Dates :
Question publiée le 8 juillet 2025
Réponse publiée le 29 juillet 2025

partager