La Direction générale des Finances publiques (DGFiP) n’utilise ni la suite Office, ni Active Directory, ni aucun service soumis au Cloud Act américain. En vingt ans, le fisc français a bâti une doctrine technologique fondée sur le logiciel libre, au point de faire tourner près de 800 applications sans aucune licence Microsoft, Gafam membre du Forum économique mondial. Son directeur des systèmes d’information, Tomasz Blanc, explique pourquoi cette trajectoire est irréversible.
Pour Tomasz Blanc, polytechnicien, docteur en informatique de l’Inria et DSI de la DGFiP depuis 2022, la question ne se pose même pas en termes de choix. “L’idée d’aller poser ces données chez des acteurs soumis au Cloud Act, par exemple, était et reste inimaginable”, déclare-t-il dans un entretien publié par IT for Business. La DGFiP administre l’un des systèmes d’information les plus critiques du pays : impôt sur le revenu, cadastre, TVA, comptes des collectivités locales, paiement des retraites d’État pour 2,5 millions de pensionnés.
Le secret fiscal qui couvre l’ensemble de ces données a façonné une culture de protection devenue, au fil du temps, une doctrine technologique à part entière. “Nous nous sentons clairement comme une administration régalienne. Nous sommes vraiment au coeur du fonctionnement de l’État”, résume Blanc. Cette conviction a structuré toutes les décisions d’architecture informatique prises depuis deux décennies.
Nubo, LLaMandement : l’écosystème souverain bâti de l’intérieur
La pièce maîtresse de cette stratégie est Nubo, un cloud souverain opéré par la DGFiP et ouvert aux autres ministères. Ses premières applications y tournent depuis 2020, dont le Fonds de solidarité déployé en quinze jours pendant la crise Covid. Aujourd’hui, 22 % du parc applicatif y a migré, et chaque nouveau projet y est déployé par défaut sur une pile entièrement libre : Linux, PostgreSQL, Tomcat.
Côté intelligence artificielle, la DGFiP n’a pas attendu la vague générative. Le data mining alimente le contrôle fiscal depuis plusieurs années, et la détection de piscines non déclarées par imagerie aérienne de l’Institut géographique national (IGN) a déjà démontré l’efficacité de ces approches. La nouveauté, c’est l’arrivée de LLM en interne : LLaMandement, basé sur le modèle Llama 2 de Meta et publié en open source, résume et distribue en un quart d’heure les centaines d’amendements déposés lors du projet de loi de finances. Blanc tempère néanmoins : “Il faut que les agents connaissent bien les limites et évitent le piège du ‘l’IA l’a dit, donc c’est vrai'”.
Formation
Maîtrisez le journalisme augmenté avec l’intelligence artificielle
Formations pratiques pour journalistes et créateurs de contenus – par X-Pression Formation
Découvrir les formations →
Une forteresse isolée dans un État encore dépendant de Microsoft
Cette trajectoire reste une exception au sein de l’appareil d’État français. En mars 2026, l’Éducation nationale a reconduit pour quatre ans son accord-cadre avec Microsoft pour une enveloppe pouvant atteindre 152 millions d’euros, alors même que ses propres directives proscrivent l’usage de ces outils pour les données sensibles. La DGFiP, elle, a tranché cette question il y a vingt ans.
Sur les postes de travail, seul Windows subsiste – et sa migration vers Linux est activement étudiée. En février 2026, un incident a cependant rappelé les limites de toute forteresse : le piratage du fichier FICOBA, qui recense l’ensemble des comptes bancaires ouverts en France, a exposé les données de 1,2 million de titulaires. Le vecteur d’attaque n’avait rien à voir avec Nubo : un attaquant avait usurpé les identifiants d’un fonctionnaire extérieur disposant d’un accès interministériel. C’est précisément ce type de faille, aux coutures entre administrations, qui reste le plus difficile à colmater.
La DGFiP démontre qu’une administration régalienne peut bâtir une souveraineté numérique réelle, opérationnelle et économiquement viable. Son modèle, construit sur vingt ans de doctrine logiciel libre, mérite d’être étudié par toutes les administrations qui continuent de déléguer la gestion de leurs données sensibles à des acteurs soumis au droit américain.
