Luxembourg, le 28 janvier 2026
Madame la Bourgmestre,
Ces dernières années, de nombreuses villes et administrations publiques européennes ont engagé une réflexion approfondie sur leur dépendance à des solutions numériques fournies par des entreprises soumises à des juridictions extra-européennes, en particulier américaines. Cette réflexion s’est traduite, dans plusieurs cas, par des stratégies visant à renforcer la souveraineté numérique, la protection des données et la résilience institutionnelle. À titre d’exemple, des villes et régions comme Munich, Berlin, Barcelone, Amsterdam ou encore Copenhague ont mis en place, à des degrés divers, des politiques visant à réduire leur dépendance aux solutions logicielles et aux infrastructures cloud de fournisseurs américains, notamment dans un souci de conformité au droit européen, de maîtrise stratégique et de continuité du service public.
Cette problématique s’inscrit dans un contexte juridique et géopolitique bien documenté. Depuis l’adoption en 2018 du US CLOUD Act (Clarifying Lawful Overseas Use of Data Act), les autorités américaines peuvent exiger l’accès à des données détenues par des entreprises soumises à la juridiction des États-Unis, y compris lorsque ces données sont physiquement stockées sur le territoire de l’Union européenne. Ce mécanisme entre en tension directe avec le Règlement général sur la protection des données (RGPD), notamment en matière de transparence, de droits des personnes concernées, de voies de recours effectives et de respect de la souveraineté juridique européenne.
Dans un contexte international marqué par des tensions géopolitiques croissantes, des conflits commerciaux et une remise en cause de certains équilibres du droit international, plusieurs experts et institutions soulignent par ailleurs le risque que l’accès aux données, aux logiciels ou aux infrastructures numériques puisse devenir un levier de pression stratégique. Cette question concerne tout particulièrement les administrations publiques, dont le bon fonctionnement repose de plus en plus sur des outils numériques essentiels (gestion administrative, communication, services à la population, données sensibles).
Dans ce contexte, et conformément à la loi communale ainsi qu’au règlement d’ordre intérieur du Conseil communal, je souhaite soumettre les questions suivantes au Collège échevinal :
- Quels sont, à ce jour, les principaux logiciels, services cloud et infrastructures numériques utilisés par la Ville de Luxembourg pour assurer le fonctionnement de son administration et de ses services, et dans quelle mesure ceux-ci dépendent-ils de fournisseurs soumis à la juridiction des États-Unis (par exemple des solutions telles que Microsoft 365, Azure, Entra ID ou des services équivalents) ?
- Le Collège échevinal peut-il préciser le coût global des licences logicielles actuellement utilisées par la Ville de Luxembourg, ainsi que leur ventilation par fournisseur ? Ces licences ont-elles été acquises dans le cadre d’un marché concurrentiel ? La Ville est-elle liée par des contrats comportant des durées minimales, des clauses de reconduction automatique ou d’autres formes d’engagement contractuel susceptibles de limiter sa marge de manœuvre ou sa souveraineté numérique ?
- Le Collège échevinal peut-il préciser dans quelle mesure les données de la Ville de Luxembourg (données administratives, données à caractère personnel, données sensibles) et les logiciels nécessaires au fonctionnement autonome de la Ville sont protégés contre des accès imposés par des législations étrangères, notamment au regard du conflit juridique existant entre le RGPD et le US CLOUD Act ?
- Une analyse interne a-t-elle été réalisée afin d’identifier les services numériques critiques de la Ville de Luxembourg qui doivent pouvoir continuer à fonctionner, au moins de manière minimale, en cas d’indisponibilité partielle ou totale de certains réseaux, serveurs ou services cloud externes ? Dans l’affirmative, quelles en sont les principales conclusions ?
- Quelles mesures la Ville de Luxembourg a-t-elle mises en place en matière de sauvegarde et de sécurisation des données (backups), notamment en ce qui concerne la localisation, l’indépendance et la possibilité de restauration rapide en cas de crise cybernétique ou de rupture d’accès à des services externes ?
- Le Collège échevinal a-t-il identifié ou étudié des solutions alternatives, notamment européennes ou open source, permettant de réduire la dépendance de la Ville à des fournisseurs soumis à des juridictions extra-européennes, et, le cas échéant, lesquelles ont déjà été mises en œuvre ou sont à l’étude ?
- Le Collège échevinal partage-t-il l’analyse selon laquelle la souveraineté numérique, la résilience des services publics et l’autonomie opérationnelle constituent des enjeux stratégiques croissants pour les communes, en particulier dans un contexte de tensions géopolitiques et de risques cybernétiques accrus ?
- Dans l’affirmative, quelles orientations ou lignes directrices le Collège échevinal envisage-t-il à court et moyen terme afin de renforcer l’indépendance numérique et la capacité de fonctionnement autonome de la Ville de Luxembourg ? Dans la négative, pour quelles raisons estime-t-il qu’une telle stratégie ne serait pas nécessaire ou prioritaire à ce stade ?
Je vous remercie par avance pour vos réponses.
Veuillez agréer, Madame la Bourgmestre, l’expression de ma considération distinguée.
François BENOY
Conseiller communal déi gréng Stad