b.connect : la souveraineté numérique à l'épreuve de l'infrastructure
Cinq banques françaises viennent de lancer un bouton de connexion sans mot de passe. Il est présenté comme une alternative souveraine à Google et Apple. L'intention est louable. Mais un examen de l'infrastructure révèle une tension que la communication ne dit pas : la souveraineté visible par l'utilisateur n'est pas toujours la souveraineté réelle.
42 millions de clients bancaires peuvent désormais se connecter sans mot de passe. Ils accèdent ainsi à une quinzaine de sites marchands et de presse. Le mécanisme s'appelle b.connect. Il a été conçu par cinq grandes banques françaises — BNP Paribas, Crédit Agricole, Crédit Mutuel, BPCE et Société Générale. Elles se sont réunies dans une structure commune, créée en septembre 2024 et déployée à grande échelle depuis mars 2026. Boulanger, Leroy Merlin, Courir, Ouest-France ou Libération l'ont déjà intégré à leurs parcours de connexion.
La promesse affichée est claire : mettre fin à la dépendance aux boutons "Se connecter avec Google" ou "Se connecter avec Apple". Ces solutions reposent en effet sur des acteurs extra-européens, qui hébergent les données hors de France. C'est donc un discours de souveraineté numérique appliqué à une brique aussi banale que stratégique : l'authentification en ligne. Le sujet mérite qu'on s'y arrête. Non pas pour instruire un procès, mais pour comprendre ce qu'il révèle de la manière dont on construit — ou croit construire — de la souveraineté en France.
Comment fonctionne b.connect
Le principe repose sur la délégation d'authentification à la banque du client. Concrètement, un internaute clique sur le bouton b.connect chez un partenaire. Le système reconnaît alors l'appareil et le contexte de connexion. Dans environ 80 % des cas, l'accès est validé immédiatement. Dans les autres cas, l'application bancaire habituelle prend le relais. Ce mécanisme est proche de celui déjà utilisé pour valider un paiement par carte, au titre de la directive européenne DSP2. Il ne s'agit donc pas d'un protocole passkey/FIDO2 classique, mais d'un mécanisme propriétaire de type challenge-réponse. Il s'appuie sur des signaux comme l'empreinte du terminal ou les habitudes de connexion.
La limite d'usage, elle, est immédiate : seuls les clients des cinq banques fondatrices peuvent créer un compte b.connect. Or, des acteurs très présents dans le paysage bancaire français — La Banque Postale, BoursoBank, Revolut — en sont exclus à ce stade. La "souveraineté" promise a donc, dès le départ, un périmètre défini par ses actionnaires plutôt que par l'intérêt général.
Une prouesse de gouvernance avant d'être une prouesse technique
Le fait le plus intéressant n'est pas cryptographique. Il est organisationnel. Cinq banques concurrentes ont en effet accepté de financer et d'opérer une infrastructure commune. Or, dans ce secteur, chacune protège habituellement jalousement sa relation client. C'est précisément ce type de coordination — rare, coûteuse en énergie politique interne — qui fait ou défait un projet de souveraineté numérique. Bien plus que la disponibilité d'une technologie. On retrouve ici une régularité observée dans bien d'autres dossiers de transformation publique ou privée : le verrou n'est presque jamais technique. Il est organisationnel et politique.
Le point que la communication grand public ne détaille pas : qui héberge réellement b.connect ?
C'est là que le dossier devient instructif. Sur ce point, il vaut mieux s'appuyer sur les propos directs des dirigeants plutôt que sur des suppositions. Pierre Chassigneux, PDG de b.connect, l'a d'ailleurs confirmé dans plusieurs interviews spécialisées : la plateforme est hébergée chez S3NS, la coentreprise entre Thales et Google Cloud. Il présente lui-même ce choix comme le moyen de combiner un haut niveau de sécurité, assuré par Thales, et une richesse de services, apportée par Google. b.connect figure d'ailleurs parmi les clients de référence cités publiquement par S3NS. En revanche, l'architecture technique complète n'est pas documentée en détail dans la communication grand public de b.connect — répartition exacte des rôles entre les deux partenaires, nature précise des flux traités par chacun.
Ce n'est pas nécessairement disqualifiant. Le montage S3NS a précisément été conçu pour répondre à ce type de tension. Il s'agit d'offrir une technologie cloud reconnue, tout en la faisant opérer par une entité de droit français. Sous qualification SecNumCloud, ce montage limite l'exposition aux lois d'extraterritorialité américaines, notamment le Cloud Act. Mais le paradoxe mérite d'être nommé plutôt que dissous dans la communication commerciale. Un produit peut ainsi être français dans sa gouvernance, sa marque et son modèle économique. Tout en restant partiellement américain dans sa dépendance technologique de fond — assumée jusque dans le discours de son propre dirigeant. Ce sont donc deux souverainetés différentes. Et la confusion entre les deux est devenue l'un des tours de passe-passe les plus courants du discours sur le numérique souverain en France.
Deux souverainetés qu'il faut cesser de confondre
| Souveraineté d'usage | Souveraineté d'infrastructure |
|---|---|
| Ce que voit le client : une marque française, un bouton français, une communication française | Ce qui fait réellement tourner le service : le cloud, les briques cryptographiques, l'hébergement effectif |
| Portée par le marketing et la gouvernance juridique de l'entreprise | Portée par les choix d'architecture technique, souvent invisibles pour l'utilisateur final |
| Rassure à court terme | Engage à long terme — et se découvre souvent après coup, au moment d'un contentieux ou d'une sanction extraterritoriale |
Cette distinction n'est pas propre à b.connect. Elle rejoue, à une autre échelle, ce que nous avons déjà documenté sur la dépendance aux écosystèmes américains dans l'Éducation nationale. La marque visible et le contrat juridique peuvent en effet être français, tandis que la dépendance structurelle reste ailleurs. C'est donc une forme de dette numérique à part entière — une dette de souveraineté déléguée. Elle est contractée sans en avoir toujours conscience. Et elle ne se révèle souvent qu'au moment où elle doit être remboursée dans l'urgence.
Le parallèle avec le secteur public
Le secteur public français dispose depuis plusieurs années de ProConnect, son propre système d'authentification fédérée pour les démarches administratives. Le principe est proche : mutualiser la confiance plutôt que multiplier les mots de passe. Mais son périmètre reste cantonné à l'administration. Il n'a jamais cherché à s'imposer comme standard grand public face à Google ou Apple. Or, les cas d'usage s'y prêteraient largement : connexion à un espace parent d'élève, à une plateforme de formation, à un service municipal.
L'écart entre les deux trajectoires est révélateur. Il a fallu cinq banques concurrentes, acceptant de coordonner un investissement commun, pour faire émerger une alternative crédible à l'échelle de 42 millions d'usagers. Le secteur public, lui, dispose pourtant d'une légitimité et d'une base d'usagers structurellement supérieures. Il n'a cependant pas su, ou pas voulu, opérer la même coordination interministérielle. La leçon de gouvernance vaut donc ici encore davantage que la leçon technique. La question n'est pas "avons-nous la technologie ?". Elle est plutôt "avons-nous la capacité à nous coordonner sans perdre de temps à défendre des prés carrés ?"
Ce qu'il faut en retenir
b.connect est une initiative utile. Elle est portée par un consortium qui a su faire ce que peu d'acteurs français réussissent : s'aligner sur un investissement commun plutôt que de multiplier les solutions concurrentes. Elle mérite donc d'être suivie avec attention, et sans procès d'intention. Mais elle illustre aussi, presque malgré elle, pourquoi le débat sur la souveraineté numérique française doit changer de niveau d'exigence. Il ne suffit plus de vérifier la nationalité de la marque et l'adresse du siège social. Il faut désormais interroger la chaîne complète, jusqu'à la couche cloud la plus basse. Et cela, avant de parler de souveraineté au présent de l'indicatif plutôt qu'au conditionnel.
La vraie question n'est donc pas "b.connect est-il souverain ?". Elle est plutôt : de quelle souveraineté parlons-nous ? Et jusqu'où sommes-nous prêts à la vérifier avant de l'affirmer ? C'est cette exigence de précision, plus que le patriotisme économique, qui distingue un vrai projet de souveraineté numérique d'un exercice de communication.
La souveraineté numérique ne se décrète pas. Elle se démontre. Et elle se démontre couche après couche, jusqu'à l'infrastructure qui fait réellement fonctionner le service.
Ancien DSI de l'académie de Normandie, ancien DSI-RSSI de l'académie de Versailles
