Réponse publiée le 26 août 2025

Vous avez appelé mon attention sur l'attribution par le Service d'information du Gouvernement (SIG) d'un marché de veille des réseaux sociaux à l'entreprise Talkwalker, au motif de la nationalité de cette dernière. Le SIG, placé sous l'autorité du Premier ministre, a effectivement attribué en juin 2025 le marché de « mesure d'impact en temps réel des contenus publics accessibles en ligne » à la société Talkwalker. Ce marché s'inscrit dans un accord-cadre structuré en cinq lots afin de répondre à l'entièreté des besoins spécifiques identifiés par les administrations bénéficiaires. Vous soulevez le risque supposé créé par le recours à la société Talkwalker en termes de sécurité de confidentialité des données. Il convient d'abord de préciser que le SIG exige dans les marchés interministériels qu'il porte en tant que pole unique d'achat pour le secteur de la communication, le niveau de protection des données le plus élevé en fonction de la sensibilité de ces dernières. - Au cas d'espèce, les exigences du cahier des charges sont conformes aux règles européennes et détaillent les attendus dans deux annexes, l'une dédiée au respect du RGPD (articles 44 et suivants relatifs aux transferts et à l'hébergement des données dans l'UE ou en pays adéquats) et l'autre à la protection des données traitées (mesures de chiffrement, auditabilité, traçabilité et gestion des habilitations). - Le seul niveau de protection supplémentaire possible aurait été l'exigence d'un cloud souverain (SecNumCloud). Un tel niveau de protection n'est justifié que pour des données dites sensibles au sens de la loi SREN ou de la doctrine « Cloud au Centre », ce que ne sont pas les données traitées dans le cadre de ce marché. En outre, la société Visibrain ne propose pas non plus ce type d'hébergement de cloud souverain. Il me semble utile de préciser également que la société Talkwalker est une entreprise luxembourgeoise, disposant d'une implantation en France depuis 2019 et dont les serveurs traitant les données sont situés en Allemagne. Si elle a effectivement été rachetée par l'entreprise Hootsuite, je précise que cette dernière est une société canadienne dont certains fonds actionnaires sont américains. Il convient de rappeler que cette situation ne suffit pas à la soumettre plus que toute autre entreprise non américaine aux réglementations extraterritoriales des Etats-Unis. En outre, les contrats prévoient également des obligations de notification immédiate en cas de violation, des audits réguliers, et l'interdiction de tout transfert hors UE ou pays à décision d'adéquation sans information préalable et accord. Ces clauses contractuelles sont ainsi conformes au cadre européen déjà strict du RGPD. Je souhaite finalement vous rassurer sur le fait que la recherche d'une souveraineté numérique accrue constitue une priorité du Gouvernement, qui mobilise à cet effet des dispositifs multiples (plan Cloud, stratégie d'accélération IA, French Tech). Toutefois, la commande publique est régie par les principes de liberté d'accès, d'égalité de traitement et de transparence (article L3 du code de la commande publique), qui interdisent l'introduction d'un critère de préférence nationale. La France soutient en revanche activement, au niveau européen, des évolutions qui permettraient de mieux intégrer des critères liés à la souveraineté dans les futurs textes. En définitive, la décision prise respecte pleinement les règles européennes et nationales qui encadrent la commande publique tout en garantissant un haut niveau de sécurité et de conformité aux exigences de protection des données personnelles. Le Gouvernement reste particulièrement attentif au soutien de l'écosystème technologique français, tout en veillant à la continuité et à l'efficacité des services essentiels rendus aux administrations et à nos concitoyens.