The Sovereign Stack : Livre blanc
Proposition à la DG CONNECT (Direction générale des réseaux de communication, du contenu et des technologies)
Mise en place de primitives numériques : outils standardisés, interopérables et évolutifs pour une économie numérique plus rapide, plus économique et plus performante.
Version : 1.0 Projet Date : février 2026 Contact : richard@buckden.io
Résumé
La fragmentation numérique coûte 400 milliards d’euros par an à l’Europe, 40 % des budgets informatiques étant consacrés aux frais généraux d’intégration, tandis que les citoyens jonglent en moyenne avec 100 mots de passe sur des systèmes incompatibles qui refusent de communiquer entre eux. Le portefeuille d’identité numérique de l’UE arrivera en décembre 2026, mais si nous ne nous attaquons pas à la fragmentation sous-jacente de notre infrastructure numérique, nous ne ferons qu’ajouter une couche supplémentaire à un écosystème déjà fracturé. La pile souveraine propose une simplification radicale : la mise en place de primitives numériques communes, de composants standardisés et interopérables pour l’identité, les données, les API et les services, qui permettent à l’Europe de construire une fois et de déployer partout, transformant ainsi le gaspillage numérique en prospérité numérique.
Ce livre blanc présente la justification, le cadre technique, le modèle de gouvernance et un programme pilote concret : la construction de la pile Sovereign Stack en améliorant un service local réel en partenariat avec une autorité locale, un partenaire du secteur privé et une institution universitaire, avec FrankMail, un service de messagerie électronique souverain pour les citoyens, comme première application dérivée.
Sommaire
- POURQUOI : Justification et principes
- QUOI : Le cadre technologique
- COMMENT : Gouvernance, financement et certification
- OÙ : Le projet pilote
- Annexes
1. POURQUOI : Justification et principes
1.1 De l’adolescence à l’âge adulte
L’Europe, ainsi que la communauté plus large des nations qui partagent des valeurs ouvertes, ont contribué à faire passer le monde de l’enfance à l’adolescence de la révolution numérique. De la commutation par paquets (Davies, Royaume-Uni) aux cartes à puce (Moreno, France), en passant par le World Wide Web (Berners-Lee, CERN), Linux (Torvalds, Finlande), les normes mobiles GSM (ETSI, France) jusqu’au MP3 (Fraunhofer, Allemagne) et la maturation continue de JavaScript par l’ECMA (Genève), l’Europe a fourni les technologies fondamentales qui ont connecté des millions de personnes, rendu l’information plus accessible que jamais et créé de nouveaux marchés.
Cependant, l’adolescence n’est pas l’âge adulte. L’économie numérique s’est développée par poches, avec des capacités concentrées dans trop peu d’endroits et sans cadre commun sur la manière dont ses composants essentiels devraient interagir. Ce manque de coordination, aggravé par la fragmentation et l’évolution constante des normes, engendre du gaspillage, ralentit l’innovation et nous empêche de réaliser pleinement l’efficacité et le potentiel de croissance que la technologie pourrait offrir.
Pour les citoyens et les entreprises, l’impact est clair :
- Le cauchemar des mots de passe, avec des connexions et des réinitialisations sans fin, nuit à la sécurité et à la productivité
- Le flux constant de courriers indésirables fait perdre du temps et des ressources malgré des décennies de mesures préventives
- La frustration liée à l’incompatibilité des plateformes oblige les utilisateurs à jongler entre des systèmes qui devraient simplement fonctionner ensemble
Pour les développeurs et les fournisseurs, les défis sont tout aussi réels :
- Les Les coûts de transition rendent chaque migration ou intégration disproportionnellement complexe
- L’évolution des cadres crée une agitation constante, imposant des réécritures coûteuses au lieu d’une innovation durable
- La fragmentation des compétences, trop de dialectes numériques, produit des piles incompatibles et une expertise dispersée
Il en résulte une baisse de la qualité, une efficacité réduite et des coûts plus élevés à tous les niveaux.
1.2 Opportunités
- Éliminer le gaspillage et la duplication – Des normes interopérables remplacent les connexions, les API et les formats répétés, éliminant ainsi l’inefficacité à la source.
- Améliorer la qualité et la résilience – Des piles simplifiées et des compétences communes réduisent les bogues, les temps d’arrêt et les expériences utilisateur fragmentées.
- Recentrer les talents sur l’innovation – Libérer les développeurs des coûts de changement et de la rotation des cadres afin qu’ils puissent créer, et pas seulement corriger.
- Déployer l’IA comme assistant quotidien – Les connecteurs d’IA ouverts prennent en charge le codage, l’analyse et les services, rendant les capacités avancées courantes.
- Augmenter la compétitivité – Réduire les obstacles pour les PME et diminuer les coûts d’intégration tout en maintenant une pression saine sur les acteurs en place.
- Rationaliser les services gouvernementaux et d’entreprise – L’interopérabilité dès le premier jour réduit les coûts, diminue les doublons et accélère la livraison.
1.3 Cinq principes directeurs
- Souveraineté des citoyens – Les utilisateurs sont propriétaires de leur identité et de leurs données. Pas de verrouillage, pas de surveillance, pas de vente d’attention.
- Interopérabilité par défaut – Les services, les données et l’identité fonctionnent entre les fournisseurs, les secteurs et les frontières ; aucune intégration personnalisée n’est nécessaire.
- Architecture prête pour l’IA – Des spécifications lisibles par machine, des modèles standardisés et une couverture de test complète permettent un développement assisté par l’IA à un rythme soutenu.
- Normes ouvertes, concurrence ouverte – Une technologie transparente sur un pied d’égalité, qui réduit les obstacles pour les PME tout en maintenant une pression saine sur les acteurs en place.
- Construire une fois, déployer partout – Des primitives numériques communes pour l’identité, les données, les API et les services. Chaque projet part d’une base fonctionnelle, et non de zéro.
1.4 Pourquoi maintenant
Les arguments en faveur de The Sovereign Stack ne sont pas abstraits ; ils sont économiques, urgents et mesurables.
La plupart des composants existent déjà sous forme ouverte. Le défi réside dans l’intégration, et non dans l’invention. Cependant, sans coordination, le coût de la fragmentation augmente de manière exponentielle à mesure que de plus en plus de citoyens se connectent à Internet et que de plus en plus de services deviennent numériques.
Les preuves :
- 20 à 40 % des budgets informatiques sont consacrés à la dette technique et aux retouches, les projets étant ralentis par des cadres incompatibles, des API dupliquées et des compétences divergentes (Gartner, 2022)
- 40 à 50 % des efforts d’ingénierie sont consacrés à l’intégration et aux retouches plutôt qu’à la création de valeur (McKinsey, 2020).
- Les dépenses informatiques mondiales dépasseront les 5 000 milliards de dollars d’ici 2025, ce qui signifie que des centaines de milliards d’euros seront gaspillés chaque année en raison des doublons (IDC, 2023).
- 55 milliards d’euros de pertes annuelles dues à la cybercriminalité, largement liées à la fragmentation des systèmes d’identité et d’accès (Commission européenne, 2020).
- 150 à 200 dollars par employé et par an gaspillés rien que pour la gestion des mots de passe (Ponemon Institute, 2021)
- 40 % des retards dans la transformation numérique sont dus à des problèmes d’identité et d’authentification (Cabinet Office britannique, 2022)
- 400 milliards d’euros de coût d’opportunité annuel si l’Europe ne parvient pas à développer l’adoption et la souveraineté numériques (EU Digital Compass, 2021)
La situation s’apparente à un système de transport dépourvu de règles communes. Aujourd’hui, les services numériques ressemblent à des routes de largeurs, de signalisation et de codes de la route différents : ils fonctionnent localement, mais s’effondrent à grande échelle. Des « règles autoroutières » communes, des modules ouverts, standardisés et interopérables, permettent à chacun de rouler plus vite, plus sûrement et à moindre coût.
Nous payons cher l’inefficacité. Les citoyens sont confrontés à des frictions, les entreprises gaspillent des ressources et les gouvernements perdent en efficacité. La technologie et les outils existent déjà ; ce qui manque, ce sont des bases communes et une coordination. La pile souveraine fournit ce cadre.
1.5 Le cadre des facteurs problématiques
Pourquoi chaque couche nécessite une intervention dans la pile souveraine
Identité et accès
- Problème : plus de 100 mots de passe par citoyen, 55 milliards d’euros de pertes annuelles dues à la cybercriminalité, 40 % des retards dans la transformation numérique. Identité fédérée contrôlée par 3 ou 4 géants technologiques créant des pseudo-monopoles
- Pourquoi normaliser : briser l’oligopole des fournisseurs d’identité, permettre une véritable concurrence, empêcher qu’un seul fournisseur devienne la passerelle vers tous les services
- Solution : Interopérabilité obligatoire entre TOUS les fournisseurs d’identité, y compris les options gouvernementales et privées (OAuth 2.0 + OIDC).
Échange de données
- Problème : données cloisonnées, absence de sécurité au niveau des lignes par défaut, violations exposant inutilement l’ensemble des données, dépendance vis-à-vis des fournisseurs en raison de formats propriétaires.
- Pourquoi normaliser : permettre une propriété granulaire des données où chaque enregistrement sait qui peut y accéder. Intégrer la sécurité dans la couche de données, et pas seulement dans le périmètre. Garantir la portabilité des données en tant que droit
- Solution : liaison d’identité standard au niveau des lignes, stockage crypté par défaut, architecture de données zéro confiance, capacités d’exportation/importation obligatoires
Traitement/Application
- Problème : 40 à 50 % des efforts d’ingénierie consacrés à l’intégration/la refonte, renouvellement du cadre tous les 2 à 3 ans, compétences fragmentées entre des piles incompatibles
- Pourquoi normaliser : Pas le code lui-même, mais l’infrastructure de développement : formats des exigences, harnais de test, normes de documentation
- Solution : chaîne d’outils de développement standardisée, cadres de test communs, spécifications lisibles par l’IA, normes de documentation cohérentes
API/Intégration
- Problème : chaque service réinvente ses méthodes de connexion, coûts de transition prohibitifs, adaptateurs personnalisés sans fin, mois de travail d’intégration
- Pourquoi standardiser : réduire l’intégration de plusieurs mois à quelques heures, permettre la substitution de services, réduire les obstacles à la participation des PME
- Solution : spécifications OpenAPI obligatoires, codes d’erreur standard, règles de versionnement, modèles d’authentification communs
Runtime/OS
- Problème : dépendance vis-à-vis d’un fournisseur au niveau de l’infrastructure, préoccupations en matière de souveraineté, coûts imprévisibles, impossibilité de migrer les charges de travail
- Pourquoi normaliser : garantir la portabilité des charges de travail, empêcher les monopoles d’infrastructure, maintenir la souveraineté numérique
- Solution : normes relatives aux conteneurs, options matérielles ouvertes (RISC-V), modèles de déploiement normalisés
2. QUOI : le cadre technologique
2.1 Cycle de rénovation numérique
Durée de vie prévue et vitesse de changement des couches de l’infrastructure numérique
Tout comme les bâtiments comportent des éléments dont les cycles de remplacement varient (les fondations durent plusieurs générations tandis que les cuisines sont rénovées tous les dix ans), l’infrastructure numérique nécessite une approche nuancée de la gestion du changement. Ce modèle reconnaît quatre cycles de vie distincts :
Fondations (50 ans et plus) : normes de protocole et constructions mathématiques
- Spécifications abstraites et algorithmes qui existent indépendamment de leur mise en œuvre
- Exemples : protocole TCP/IP, norme HTTP, cryptage RSA, encodage UTF-8
- Il s’agit d’idées et d’accords consignés dans des documents, et non de logiciels en cours d’exécution
- Tout changement nécessite un consensus mondial, car des changements radicaux risqueraient de fracturer l’internet
Infrastructure (15 à 25 ans) : implémentations de plateformes et systèmes d’exploitation
- Plateformes logicielles concrètes qui implémentent les normes fondamentales
- Exemples : noyau Linux, Windows Server, PostgreSQL, runtime Node.js
- Il s’agit de logiciels réels qui nécessitent des correctifs de sécurité, des mises à jour et, à terme, un remplacement
- Le changement nécessite une planification coordonnée de la migration, mais pas un accord universel
Fonctionnel (7 à 10 ans) : frameworks et logique métier
- Outils et modèles permettant de créer des applications de manière efficace
- Exemples : framework React, Spring Boot, architectures microservices
- Équilibre entre la stabilité des systèmes existants et l’évolution vers de nouvelles fonctionnalités
- Changement motivé par les besoins des développeurs en matière de productivité et de maintenabilité
Surface (3 à 5 ans) : interfaces et expériences
- Ce que les utilisateurs voient et avec quoi ils interagissent directement
- Exemples : applications mobiles, interfaces web, versions API
- Itération rapide basée sur les commentaires des utilisateurs et l’évolution des attentes
- Changement motivé par les besoins des utilisateurs, les exigences en matière d’accessibilité et les capacités des appareils
Cette séparation permet une gouvernance et des stratégies d’investissement appropriées pour chaque couche, évitant à la fois l’obsolescence prématurée et une dette technique coûteuse. L’idée clé : les fondations sont les spécifications que vous mettez en œuvre ; l’infrastructure est le logiciel que vous exécutez.
2.2 Architecture de référence
La pile Sovereign Stack est structurée en couches qui représentent les éléments fondamentaux des systèmes numériques. Chaque couche a un rôle clair, avec des normes ouvertes garantissant l’interopérabilité, la qualité et l’évolutivité. Les plans transversaux favorisent la productivité, l’observabilité et la confiance des développeurs. Cette architecture en couches évite les doublons, renforce la concurrence et constitue le fondement de l’innovation.
2.3 Tableau récapitulatif des couches
| Couche | Description |
|---|---|
| Expérience | Interfaces pour les citoyens et les entreprises : web, mobile, XR, IoT, appareils portables. |
| Application / Entreprise | Services de base, flux de travail et logique de domaine. |
| Intégration / API | Connecteurs API ouverts pour l’interopérabilité. |
| Données : requête et échange | UQL pour les requêtes ; formats JSON et binaires pour l’échange. |
| Couche IA | Accès à des modèles d’IA ouverts via ONNX et des connecteurs interopérables. |
| Runtime et OS | Environnements d’exécution et fondations informatiques ouvertes (Linux, RISC-V). |
| Identité et accès | Authentification, autorisation et fédération entre les IdP. |
| DRM et licences | Protection équitable du contenu numérique et des données commerciales. |
| Plans transversaux | DevEx (CI/CD), observabilité, documentation. |
2.4 Descriptions détaillées des couches
2.4.1 Couche expérience
| Objectif | Fournir des interfaces cohérentes et accessibles sur tous les appareils et toutes les plateformes. |
|---|---|
| Principales fonctionnalités | Interfaces utilisateur réactives, conformité en matière d’accessibilité, prise en charge XR/VR. |
| Approche ouverte recommandée | JavaScript ES6 en premier lieu, en utilisant HTML, CSS, les composants Web et les PWA pour une portée multiplateforme. |
| Pourquoi est-ce important ? | Garantit aux citoyens et aux entreprises un accès transparent aux services sur le Web, les appareils mobiles, l’IoT et les appareils immersifs. |
2.4.2 Couche application/métier
| Objectif | Fournir des services de base, des workflows et une logique métier. |
|---|---|
| Principales fonctionnalités | Microservices modulaires, typage fort, portabilité. |
| Approche ouverte recommandée | JavaScript ES6 via Node.js comme runtime backend par défaut. |
| Importance | Fournit une base évolutive, ouverte et largement adoptée pour les services numériques. |
2.4.3 Couche d’intégration/API
| Objectif | Permet une communication fluide entre les services, les appareils et les ensembles de données. |
|---|---|
| Principales fonctionnalités | API REST + GraphQL, découverte de schémas, connecteurs générés automatiquement. |
| Approche ouverte recommandée | OpenAPI + GraphQL conformes aux normes ETSI/W3C. |
| Importance | Réduit les coûts de transition, simplifie l’intégration et évite le verrouillage. |
2.4.4 Données : requête et échange
| Objectif | Fournir un accès universel aux données et permettre leur échange. |
|---|---|
| Principales caractéristiques | UQL pour les requêtes SQL, NoSQL, IoT et les flux ; formats de type JSON ; Avro/Protobuf |
| Approche ouverte recommandée | UQL basé sur Trino/Calcite ; schéma JSON + Markdown pour la documentation. |
| Pourquoi est-ce important ? | Empêche la fragmentation, réduit le gaspillage et garantit l’accessibilité à long terme. |
2.4.5 Couche IA
| Objectif | Rendre les capacités d’IA accessibles à tous les services de manière ouverte et éthique. |
|---|---|
| Principales caractéristiques | Connecteurs standardisés, prise en charge de la voix/vision/texte, portabilité des modèles ONNX. |
| Approche ouverte recommandée | ONNX comme format de base ; passerelles API open source pour l’intégration des modèles. |
| Pourquoi est-ce important ? | Garantit une large disponibilité de l’IA, évite la concentration des capacités et réduit les obstacles pour les PME. |
2.4.6 Couche d’exécution et système d’exploitation
| Objectif | Fournir la base de calcul et d’exécution pour tous les services. |
|---|---|
| Principales caractéristiques | Conteneurs, environnements d’exécution sans serveur, système d’exploitation Linux, matériel ouvert RISC-V. |
| Approche ouverte recommandée | Système d’exploitation basé sur Linux pour la portabilité ; RISC-V pour le matériel ouvert ; conteneurisation pour l’isolation des charges de travail. |
| Pourquoi est-ce important ? | Empêche la dépendance à des piles propriétaires, réduit les coûts et garantit la souveraineté. |
2.4.7 Couche identité et accès
| Objectif | Fournir une authentification et une autorisation universelles et fédérées. |
|---|---|
| Principales fonctionnalités | OAuth 2.0, OIDC, JWT, clés d’accès FIDO2/WebAuthn, connecteurs IdP, mappage des attributs utilisateur. |
| Approche ouverte recommandée | Identité fédérée via OAuth 2.0 + OIDC ; jetons portables avec JWT ; authentification forte sans mot de passe avec FIDO2/WebAuthn. |
| Importance | Crée une structure d’identité cohérente et fiable pour tous les services ; réduit les doublons et améliore la sécurité. |
Voir l’annexe : Systèmes d’identité numérique pour un cadre de mise en œuvre détaillé.
2.4.8 Couche DRM et licences
| Objectif | Protéger le contenu et les données de manière équitable tout en permettant une adoption ouverte. |
|---|---|
| Principales caractéristiques | Métadonnées de licence, filigrane, suivi de l’utilisation, contrôles au niveau de l’API. |
| Approche ouverte recommandée | SPDX pour les métadonnées de licence ; techniques de filigrane légères et ouvertes. |
| Pourquoi est-ce important ? | Encourage la participation commerciale, soutient la monétisation équitable des PME et empêche les abus. |
2.4.9 Plans transversaux
| Objectif | Garantir la productivité, la transparence et l’adoption par les développeurs. |
|---|---|
| Principales caractéristiques | Pipelines CI/CD ; scripting ; observabilité ; documentation. |
| Approche ouverte recommandée | JavaScript ES6 pour les scripts ; JSONata pour les scripts de données ; OpenTelemetry pour l’observabilité ; Markdown-first pour la documentation. |
| Pourquoi est-ce important ? | Une expérience de développement cohérente réduit les erreurs, empêche la fragmentation et accélère la livraison. |
2.5 Familles de langages de base de la pile souveraine
- Scripting (DevEx / Automatisation) – JavaScript (ES6) avec JSONata pour le scripting de données
- Expérience (Présentation et interaction) – JavaScript (ES6), HTML, CSS, composants Web, PWA
- Application / Logique métier – JavaScript (ES6) via Node.js
- Documentation et connaissances (Markdown-first) – Markdown, JSON Schema, OpenAPI
Exceptions : lorsque des performances critiques, des spécificités de domaine ou une interopérabilité héritée sont requises. Toutes les exceptions doivent être exposées via Open API + UQL et respecter les normes de base en matière d’observabilité et de sécurité.
Pour obtenir des conseils pratiques de mise en œuvre, notamment sur les modèles de gestion d’état, les normes de journalisation et les exigences en matière de documentation, veuillez consulter l’annexe : Recommandations de mise en œuvre technologique.
3. COMMENT : Gouvernance, financement et certification
3.1 Gouvernance et modèle PPP
L’initiative doit être menée sous la forme d’un partenariat public-privé, dirigé par la DG CONNECT avec une forte implication des PME, des universités et des alliances industrielles. Un comité mixte doit définir les priorités, établir des profils de conformité allégés et garantir à la fois la valeur publique et l’innovation privée.
3.2 Certification
La certification devrait suivre un modèle à plusieurs niveaux :
- Auto-certification pour les services à faible risque, via un système de test open source simple que tout le monde peut utiliser
- Certification auditée pour les infrastructures critiques, garantissant la confiance et la résilience
3.3 Modèle de financement
Budget estimé : jusqu’à 1 million de livres sterling pour le projet pilote initial
Modèle : partenariat public-privé 50/50
Sources de financement à l’étude :
- DG CONNECT (programme Europe numérique)
- Gouvernement britannique (DSIT, GDS)
- Contributions des partenaires (en nature et financières)
3.4 Licence pour les artefacts
- Livre blanc et contenu non codé : CC BY 4.0 (copie, adaptation, utilisation commerciale avec attribution)
- Exemples de code et implémentations de prototypes : MIT par défaut pour une permissivité maximale ; Apache-2.0 pour les composants pour lesquels les partenaires préfèrent des concessions de brevet explicites
3.5 Publication et référentiel
Référentiel public (par exemple, github.com/Buckden/vb-sovereignstack) hébergeant les spécifications, le code et les artefacts de test ; problèmes utilisés pour les commentaires de la communauté et les résultats des tests d’autocertification.
4. OÙ : le projet pilote
4.1 Qu’est-ce qui fait un emplacement idéal pour un projet pilote ?
La Sovereign Stack est conçue pour fonctionner dans toute région disposée à collaborer entre les secteurs public, privé et universitaire. L’emplacement idéal pour le projet pilote présente les caractéristiques suivantes :
- Ambition de ville intelligente – Expérience ou volonté en matière d’innovation numérique et de services centrés sur les citoyens
- Portée évolutive mais gérable – Suffisamment grande pour obtenir des données significatives, suffisamment petite pour un projet pilote contrôlé
- Des partenariats locaux solides – Relations existantes entre les autorités locales, les employeurs et les établissements universitaires
- Une visibilité stratégique – Un profil qui attire l’attention du gouvernement national et des institutions européennes
- Un alignement politique – Des autorités locales et nationales désireuses de démontrer leur leadership numérique
- Un bénéfice immédiat pour la communauté – Les résidents et les entreprises locales ont tout à gagner de l’ouverture des données et des nouveaux services numériques
4.2 L’approche pilote
Le projet pilote a deux objectifs : construire la pile The Sovereign Stack et prouver son efficacité en améliorant un service local réel.
Construction de la pile
Les primitives numériques réutilisables qui sous-tendent chaque service The Sovereign Stack. Il est essentiel de noter que la pile est conçue pour être prête pour l’IA, avec des spécifications standardisées et lisibles par machine, des modèles cohérents et une couverture de test complète, afin que le développement et les tests assistés par l’IA puissent fournir des résultats rapides et de haute qualité dès le premier jour.
- Identité et accès : OAuth 2.0 + fédération OIDC, authentification sans mot de passe FIDO2/WebAuthn
- Couche API : OpenAPI + GraphQL, modèles standardisés, schémas analysables par l’IA
- Couche de données : sécurité au niveau des lignes, cryptage par défaut, contrôle par l’utilisateur
- Observabilité : instrumentation OpenTelemetry, journalisation Winston
- Documentation : JSDoc + Markdown, spécifications lisibles par l’IA
- Tests : suites de tests automatisés complètes permettant une assurance qualité assistée par l’IA
Amélioration d’un service local
La pile n’a de valeur que si elle résout un problème réel. Le projet pilote prendra un service local existant, dont l’autorité de référence et l’entreprise partenaire conviennent qu’il doit être actualisé, et le reconstruira ou l’améliorera sur la pile The Sovereign Stack.
Le service spécifique sera convenu avec les partenaires lors de la mobilisation. Il devrait s’agir d’un service déjà utilisé par les citoyens, mais dont l’expérience actuelle laisse à désirer : lent, obsolète, mal intégré ou manquant de contrôle utilisateur. En modernisant un service que les gens connaissent, nous démontrons la valeur de la pile d’une manière immédiatement tangible.
Prochaine étape : FrankMail
Une fois que la pile aura fait ses preuves grâce au service pilote, elle servira de base à d’autres services The Sovereign Stack, à commencer par FrankMail, une plateforme de messagerie électronique souveraine où les utilisateurs contrôlent qui peut les contacter. Pour plus de détails, veuillez consulter la page FrankMail.
4.3 Rôles des partenaires
Le projet pilote nécessite trois types de partenaires : une autorité locale ambitieuse, une entreprise du secteur privé et un établissement universitaire. Chacun apporte une perspective différente : prestation de services publics, viabilité commerciale et évaluation indépendante.
Pour une description complète des rôles des partenaires, des résultats attendus, du calendrier et des indicateurs de réussite, veuillez consulter la page du projet pilote.
Annexes
Annexe A : Références économiques
- McKinsey & Company (2020) – « Developer Velocity Index » : on estime que 40 à 50 % des efforts d’ingénierie sont consacrés à l’intégration, à la maintenance et à la refonte plutôt qu’à la création de nouvelle valeur.
- Gartner (2022) – « Top Priorities for CIOs » : il est à noter que 20 à 40 % des budgets informatiques des grandes organisations sont absorbés par la dette technique et les inefficacités associées.
- IDC (2023) – Guide mondial des dépenses informatiques : prévoit que les dépenses informatiques mondiales dépasseront les 5 000 milliards de dollars d’ici 2025, dont 30 à 35 % seront attribués aux défis liés à l’intégration et à la duplication.
- Ponemon Institute (2021) – « Rapport sur les pratiques en matière de mots de passe » : estime que le coût moyen de la gestion des mots de passe est de 150 à 200 dollars par employé et par an.
- Commission européenne (2020) – Stratégie de cybersécurité de l’UE : les pertes annuelles liées à la cybercriminalité s’élèvent à 55 milliards d’euros, dont une grande partie est liée à des faiblesses en matière d’identité et d’authentification.
- Cabinet du Royaume-Uni (2022) – « Digital Identity Update » : 40 % des retards dans la transformation numérique du gouvernement sont liés à des obstacles en matière d’identité/d’authentification.
- Commission européenne (2021) – Boussole numérique 2030 : a mis en garde contre un coût d’opportunité annuel de 400 milliards d’euros si l’Europe ne parvient pas à accélérer l’adoption du numérique ouvert et la souveraineté numérique.
- ECMA International – JavaScript est défini par la spécification du langage ECMAScript ECMA-262, avec ES6 (ECMAScript 2015) comme version de base pour les implémentations modernes.
Annexe B : Fondements numériques européens
Le leadership de l’Europe dans les technologies numériques fondamentales depuis les années 1960 jusqu’à aujourd’hui :
| Innovation | Créateur | Lieu | Année | Impact |
|---|---|---|---|---|
| Commutation par paquets | Donald Davies | NPL Londres | 1965 | Méthode de transmission de données à la base de tous les réseaux modernes |
| Cartes à puce | Roland Moreno | France | 1974 | Fondement des paiements sécurisés, des cartes SIM et des documents d’identité |
| World Wide Web | Tim Berners-Lee | CERN Genève | 1989 | HTML, HTTP, URL qui ont transformé l’internet |
| Linux | Linus Torvalds | Helsinki | 1991 | Système d’exploitation open source qui alimente la plupart des serveurs et Android |
| GSM | ETSI | Sophia Antipolis | 1987 | Norme mobile qui a connecté des milliards de personnes dans le monde |
| MP3 | Institut Fraunhofer | Erlangen | 1993 | Compression audio permettant la musique numérique |
| MPEG | Leonardo Chiariglione | Italie | 1988 | Compression vidéo utilisée pour les DVD et le streaming |
| MySQL | Michael Widenius | Helsinki | 1995 | Base de données open source la plus utilisée au monde |
| JavaScript/ECMAScript | ECMA International | Genève | 1997– | Gestion européenne du langage de programmation le plus répandu au monde |
Annexe C : Cadre des systèmes d’identité numérique
Les systèmes d’identité numérique modernes peuvent être compris à travers quatre couches interconnectées qui fournissent les fonctionnalités essentielles aux utilisateurs.
Fonctionnalités prises en charge
Les systèmes d’identité numérique permettent quatre fonctions principales :
- Authentification et autorisation : prouver votre identité et accéder à des services
- Signature numérique : créer des signatures électroniques juridiquement contraignantes
- Vérification d’identité à l’aide de justificatifs vérifiables : prouver des attributs spécifiques sans divulguer trop d’informations
- Stockage de documents : conserver et présenter des documents officiels en toute sécurité
Structure et cadre de responsabilité
La structure de gouvernance détermine la confiance et la responsabilité. Qui délivre les justificatifs, qui atteste de leur validité et qui assume la responsabilité en cas de problème forme le triangle critique de la confiance.
Le règlement eIDAS de l’UE établit une responsabilité légale claire : les États membres sont responsables des échecs d’authentification, tandis que les prestataires de services de confiance qualifiés sont tenus de souscrire une assurance obligatoire. Le Royaume-Uni applique un modèle de responsabilité contractuelle plus fragmenté, dans lequel la responsabilité varie selon le secteur et l’accord.
Modèle d’émetteur à deux niveaux
Niveau 1 (identité racine) établit l’identité numérique fondamentale : la paire de clés principale et la preuve d’identité de base qui indique « cette clé cryptographique appartient à cette personne vérifiée ». Les fournisseurs désignés par le gouvernement contrôlent généralement ce niveau.
Niveau 2 (attributs) : diverses sources faisant autorité attachent des identifiants à cette identité racine : les universités ajoutent les diplômes, les autorités de transport ajoutent les permis de conduire, les employeurs confirment le statut professionnel.
Cette séparation est cruciale : vous disposez d’une identité vérifiée, mais de nombreux attributs associés.
Mise en œuvre technique
La pile technologique sous-jacente, de FIDO2/WebAuthn pour l’authentification sans mot de passe à PKI pour les signatures numériques et W3C Verifiable Credentials pour la divulgation sélective, reste largement cohérente d’un système à l’autre. Les principales différences résident dans les choix architecturaux : stockage centralisé ou basé sur un portefeuille, protocoles de fédération et utilisation ou non de technologies émergentes telles que les preuves à divulgation nulle de connaissance pour la vérification préservant la confidentialité.
Portefeuille d’identité numérique de l’UE (EUDIW)
Un système basé sur un portefeuille qui oblige tous les États membres de l’UE à délivrer des identités numériques interopérables d’ici décembre 2026, avec une responsabilité légale et une acceptation transfrontalière garantie.
Dates clés :
- Décembre 2026 : au moins un portefeuille disponible dans chaque État membre
- Décembre 2027 : acceptation obligatoire par des parties privées spécifiques
Identité numérique britannique
Une approche axée sur le marché combinant GOV.UK One Login pour les services publics avec des fournisseurs privés certifiés, fonctionnant en dehors de l’eIDAS avec des règles spécifiques au secteur et des modèles de responsabilité commerciale.
Différence essentielle : L’UE impose un système interopérable ayant force de loi dans 27 pays, tandis que le Royaume-Uni s’appuie sur l’adoption par le marché avec une acceptation volontaire et des normes variables selon les secteurs.
Annexe D : Recommandations pour la mise en œuvre technologique
Gestion des états
Mettre en œuvre des machines à états à l’aide d’objets JavaScript classiques pour les cas simples comportant moins de cinq états et des transitions linéaires, en réservant XState aux scénarios complexes impliquant des états imbriqués, des opérations asynchrones ou des conditions de garde.
Employez un modèle de service singleton distribué par domaine fonctionnel (authentification, gestion des données, interface utilisateur), en veillant à ce que chacun conserve une seule instance accessible à l’échelle mondiale afin d’éviter la fragmentation des états.
Ne conservez dans la base de données que les états critiques pour l’entreprise, tout en conservant les états éphémères de l’interface utilisateur en mémoire, afin d’optimiser à la fois les performances et la cohérence du système.
Infrastructure de journalisation
Adoptez Winston comme cadre de journalisation standard pour tous les services Node.js, configuré avec une sortie JSON structurée pour l’analyse automatique et un format lisible par l’homme pour le développement.
Mettez en œuvre des identifiants de corrélation au-delà des limites des services afin de permettre le suivi des requêtes de bout en bout.
Définissez les niveaux de journalisation de manière dynamique par environnement : verbose pour le développement, info pour la mise en scène, warn pour la production, avec la possibilité d’élever temporairement les niveaux pour le débogage sans déploiement.
Normes de documentation
Rendre obligatoires les commentaires JSDoc pour toutes les API publiques et les fonctions internes complexes, permettant la génération automatique de documentation API et l’intelligence IDE.
Combiner JSDoc avec des fichiers Markdown pour les décisions architecturales, les guides de configuration et les manuels d’exploitation.
Maintenir une approche axée sur la documentation, dans laquelle les API sont documentées avant leur mise en œuvre, afin de garantir la clarté des contrats et de réduire les frictions d’intégration.
S’impliquer
The Sovereign Stack recherche trois types de partenaires : des autorités locales, des entreprises et des établissements universitaires, afin de mener à bien le premier projet pilote. Consultez la page Pilote pour obtenir une description complète des rôles des partenaires.
Contact : richard@buckden.io Site web : thesovereignstack.eu
The Sovereign Stack : transformer les déchets numériques en souveraineté numérique.