Quand un État choisit de rebâtir ses propres infrastructures de développement pour échapper aux géants de la technologie, il rappelle que la souveraineté numérique n'est pas une posture politique, mais une rigueur architecturale. Récemment, le gouvernement des Pays-Bas a pris la décision de concevoir sa propre plateforme d'hébergement de code source, s'affranchissant ainsi progressivement de GitHub, propriété du géant américain Microsoft. Cette initiative, relayée par plusieurs analystes européens, met en lumière une prise de conscience globale : la dépendance technologique n'est pas seulement une question de stockage de données, elle touche au cœur même des outils de production logicielle.
Pour les institutions publiques et les entreprises d'envergure, cette transition marque un tournant historique. Pendant des décennies, la centralisation des outils de développement au sein de quelques plateformes américaines a été acceptée au nom de la commodité et de l'efficacité. Aujourd'hui, les risques liés à l'extraterritorialité des lois, aux changements unilatéraux de conditions d'utilisation et aux vulnérabilités de la chaîne d'approvisionnement logicielle imposent une réévaluation complète de ces choix stratégiques.
Les dessous d'une dépendance invisible mais risquée
Pour bien comprendre la portée de la décision néerlandaise, il convient d'analyser les mécanismes de la dépendance logicielle. Lorsqu'une organisation utilise des services tiers pour héberger son code ou exécuter ses applications, elle s'expose à plusieurs facteurs de vulnérabilité. D'une part, la chaîne d'approvisionnement logicielle (software supply chain) est devenue une cible privilégiée pour les cyberattaques. Selon un rapport de l'Agence de l'Union européenne pour la cybersécurité (ENISA), les attaques ciblant les dépendances logicielles et les dépôts de code tiers sont en forte augmentation. Une faille dans une seule bibliothèque externe peut compromettre des milliers d'applications en cascade.
D'autre part, l'avènement de la génération de code par intelligence artificielle a introduit de nouveaux risques. La tendance actuelle du « vibe coding » — qui consiste à produire rapidement des applications par de simples requêtes (prompts) adressées à des modèles de langage, sans audit ni structure — est de plus en plus pointée du doigt par les experts en sécurité. Le Centre national de cybersécurité britannique (NCSC) a récemment émis des avertissements stricts à ce sujet, soulignant que la génération de code non encadrée par des outils d'IA peut introduire des vulnérabilités critiques, des dépendances obsolètes ou des secrets de sécurité inscrits en clair dans le code.
La souveraineté numérique ne se limite donc pas à l'hébergement physique des serveurs. Elle exige une maîtrise totale de l'environnement d'exécution, une réduction de la surface d'attaque et la garantie que les données de l'organisation ne transitent pas vers des juridictions étrangères soumises à des lois intrusives, comme le Cloud Act américain. C'est dans ce contexte que la notion de souveraineté par architecture prend tout son sens.
La souveraineté par l'architecture : la perspective de ProductivIA
L'initiative néerlandaise démontre qu'il ne suffit pas de consommer des technologies souveraines ; il faut posséder des environnements de production étanches. C'est précisément cette philosophie qui guide la conception de la plateforme québécoise ProductivIA et de son système d'exploitation virtuel, mio.land. Plutôt que d'imposer des frameworks lourds et des dépendances externes complexes, la plateforme repose sur une architecture épurée, s'exécutant directement dans le navigateur de l'utilisateur.
Cette approche permet de répondre concrètement aux exigences de sécurité et de conformité, notamment dans le cadre de la Loi 25 au Québec sur la protection des renseignements personnels. L'architecture multi-silo de ProductivIA garantit que chaque organisation dispose d'un espace logique totalement hermétique. Les données ne sont jamais mélangées ni partagées, et chaque fichier stocké est directement accessible et exportable par l'utilisateur via l'application Nuage. Cette transparence totale élimine l'effet « boîte noire » propre aux grands nuages publics.
De plus, face aux dérives du « vibe coding » et du code non sécurisé, ProductivIA propose un modèle de no-code encadré. Grâce à l'application Fabrique, les utilisateurs peuvent concevoir des outils sur mesure en langage naturel, mais l'écriture du code, son audit et sa publication sont entièrement pris en charge et sécurisés par la plateforme. Le code généré est exécuté dans un bac à sable (sandbox) isolé, réduisant ainsi la surface d'attaque au strict minimum. L'utilisateur final ne manipule jamais de code brut, évitant ainsi l'introduction involontaire de failles de sécurité ou de dépendances non maîtrisées.
Vers une autonomie numérique durable
La démarche des Pays-Bas, tout comme les orientations architecturales de ProductivIA, démontre que l'autonomie technologique est possible sans sacrifier la modernité ni la productivité. En combinant des modèles d'intelligence artificielle souverains — à l'image du modèle Matania hébergé localement au Québec — avec des infrastructures d'exécution contrôlées, les organisations publiques et privées peuvent enfin s'affranchir des monopoles technologiques.
La question n'est plus de savoir s'il faut adopter l'intelligence artificielle ou le développement rapide d'applications, mais comment l'intégrer dans un cadre qui respecte la confidentialité, la sécurité et la pérennité des actifs numériques de l'organisation. Les réponses résident dans des choix d'architecture transparents, modulaires et résolument orientés vers la maîtrise locale des technologies.