- Mardi 20 mai 2025
- Mercredi 21 mai 2025
- Les enjeux de la souveraineté numérique en matière de données publiques et le développement de solutions souveraines conformes aux besoins des personnes publiques - Audition de M. Thomas Balladur, président-directeur général d'Interstis, Maître Laurent Bidault, avocat, et Mme Emmanuelle Ertel, directrice générale de Tessi Innovation & Trust
- Audition de Mme Emmanuelle Ledoux, directrice générale de l'Institut national de l'économie circulaire
Mardi 20 mai 2025
Audition de Mme Nathalie Carrasco, présidente de l'École nationale supérieure (ENS) Paris-Saclay
Le compte rendu sera publié ultérieurement
Audition de M. Christian Brassac, vice-président de l'Eurométropole de Strasbourg, en charge de la commande publique responsable
Le compte rendu sera publié ultérieurement
Mercredi 21 mai 2025
- Présidence de M. Simon Uzenat, président -
La réunion est ouverte à 16 h 35.
Les enjeux de la souveraineté numérique en matière de données publiques et le développement de solutions souveraines conformes aux besoins des personnes publiques - Audition de M. Thomas Balladur, président-directeur général d'Interstis, Maître Laurent Bidault, avocat, et Mme Emmanuelle Ertel, directrice générale de Tessi Innovation & Trust
M. Simon Uzenat, président. - Nous reprenons aujourd'hui les travaux de notre commission d'enquête, en l'absence de notre rapporteur, que je vous prie d'excuser, en nous penchant à nouveau sur la souveraineté numérique, la domination exercée par certaines entreprises étrangères soumises à des législations extraterritoriales et les alternatives françaises et européennes qui existent.
Au fil de nos auditions, nous avons entendu des discours résignés de la part d'opérateurs de l'État, notamment dans l'enseignement supérieur, qui semblent considérer qu'il est vain de chercher à se sevrer de la dépendance aux solutions proposées par quelques opérateurs internationaux. On peut noter aussi la volonté de beaucoup d'entre eux de vouloir participer à l'émergence de solutions alternatives.
Pourtant, dans le même temps, il y a une prise de conscience croissante des risques que cette dépendance fait peser : sur le plan commercial tout d'abord, puisque ces entreprises peuvent imposer leurs tarifs à leurs clients publics, qui ne bénéficient d'aucune marge de négociation, mais aussi sur le plan industriel, puisque les solutions concurrentes françaises ou européennes ne parviennent pas à émerger.
La question de la sécurisation des données hébergées sur les solutions de cloud des principaux opérateurs américains se pose également, puisque ces entreprises sont soumises aux lois extraterritoriales américaines - Patriot Act, Fisa et Cloud Act - qui permettent, sous certaines conditions, à l'administration américaine d'accéder à ces données sans en informer leur propriétaire.
Nous avons le plaisir d'accueillir trois acteurs qui travaillent au quotidien à corriger cette situation : Maître Laurent Bidault, avocat spécialisé en matière de protection des données personnelles et de son articulation avec le droit de la commande publique, M. Thomas Balladur, président-directeur général d'Interstis, entreprise qui développe des outils de bureautique souverains et Mme Emmanuelle Ertel, directrice générale de Tessi Innovation & Trust, structure dédiée à l'innovation d'une importante entreprise de services numériques française.
Je vous informe que cette audition sera diffusée en direct sur le site internet du Sénat et fera l'objet d'un compte rendu. Je rappelle également qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, soit 75 000 euros d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité. Veuillez lever la main droite et dire « Je le jure ».
Conformément à la procédure applicable aux commissions d'enquête, M. Thomas Balladur, M Laurent Bidault et Mme Emmanuelle Ertel prêtent serment.
Votre témoignage sera très utile pour caractériser la dépendance dans laquelle nous nous trouvons aujourd'hui, confronter les idées reçues et mieux évaluer le risque qui pèse sur les données des personnes publiques à l'heure actuelle. Certaines des personnes que nous avons entendues ont estimé que ce risque était très limité dès lors que des mesures comme le cryptage des données ou leur anonymisation étaient adoptées. Confirmez-vous cette analyse ?
Nous sommes convaincus que la commande publique doit être un outil de promotion des acteurs innovants français et européens, non pas dans une logique protectionniste mais, au contraire, dans une approche d'amorçage afin de leur permettre d'atteindre une taille critique et de démontrer la fiabilité de leurs produits. Partagez-vous notre point de vue ? Estimez-vous que les acheteurs publics ont suffisamment été sensibilisés au sujet du rôle qu'ils ont à jouer en la matière ?
L'accoutumance aux logiciels et services des GAFAM (Google, Apple, Facebook, Amazon, Microsoft) est souvent justifiée par l'absence d'alternatives développées et exploitées dans un cadre souverain offrant des fonctionnalités ou performances équivalentes. Comment cette idée est-elle venue s'enraciner alors que de nombreux outils existent ? Y a-t-il des domaines où ce n'est pas le cas ? Quel regard portez-vous sur les initiatives encore frileuses prises par l'État pour y remédier ?
Enfin, le cadre juridique de la commande publique va être amené à évoluer prochainement, avec la révision des directives qui a été engagée par la Commission européenne. Comment jugez-vous la réglementation actuelle et ses outils destinés à soutenir l'innovation ? Quelles modifications préconisez-vous ?
Me Laurent Bidault, avocat spécialisé en matière de protection des données personnelles. - Je suis heureux d'intervenir dans cette commission puisque en tant que praticien quotidien de la commande publique et de ses interactions avec l'innovation, je suivais avec attention vos travaux. Les problématiques soulevées, notamment l'accès des entreprises innovantes à la commande publique, font partie de notre quotidien.
Je pratique le droit de la commande publique depuis une quinzaine d'années. Lorsque nous avons créé notre cabinet il y a environ six ans, juste après la publication du décret « Villani », qui a créé le dispositif du marché innovant, désormais consacré dans le code de la commande publique, nous nous sommes adressés aux start-ups innovantes en leur indiquant l'existence de cette mesure. Nous constations qu'un nombre important d'entreprises innovantes disposaient de solutions pouvant servir l'intérêt général mais n'arrivaient pas à les concrétiser par la commande publique, sauf en intégrant des groupements ou en devenant sous-traitantes de grands groupes.
Notre première démarche a été de contacter les incubateurs de start-ups. Paradoxalement, bien que financés majoritairement par des acteurs publics, ils ignoraient tous des dispositifs liés à la commande publique innovante. Cette situation nous a interpellés : on créait un dispositif pour les entreprises innovantes dont les structures d'accompagnement n'avaient pas connaissance. Les choses ont évolué depuis, notamment grâce aux travaux de la direction des affaires juridiques (DAJ) du ministère de l'économie et des finances.
Du côté des acheteurs publics, soit ils méconnaissaient ce dispositif, soit ils craignaient de l'utiliser car l'innovation restait un concept aux contours flous. Certaines collectivités territoriales, comme Bordeaux Métropole, ont intégré l'innovation dans leur politique d'achat, mais cela ne va pas de soi pour la plupart des acteurs publics.
Ce phénomène rejoint la question de la dépendance aux GAFAM. Les acheteurs publics cherchent avant tout à assurer la continuité du service public et le bon usage des deniers publics. Face à des solutions bien établies et parfaitement intégrées, comme la suite Office ou l'écosystème Apple, le changement représente un coût organisationnel et financier. L'acheteur public, qui privilégie la sécurité, va conserver des cahiers des charges normés, avec des commandes répétitives, conduisant à l'attribution des marchés aux mêmes fournisseurs. Il n'y a pas de place pour l'innovation. Ce constat s'applique au numérique mais aussi à d'autres secteurs, puisque l'innovation peut tout aussi bien s'appliquer à des matériaux de chantier.
Les choses ont changé. Il existe des guides, le programme France 2030 pour que ces deux mondes qui s'ignorent se rejoignent et pour sortir d'une logique où l'accompagnement des start-ups est avant tout financier.
Pour favoriser l'accès des entreprises innovantes à la commande publique, l'enjeu majeur est la formation. Des acheteurs n'utilisent pas certaines solutions ou montages contractuels, ne sont pas sensibilisés aux enjeux de la cybersécurité, principalement par méconnaissance, pas par réticence. Les collectivités sont très sensibles aux retours d'expérience positifs d'autres collectivités, surtout quand cela soutient un acteur local et améliore le service aux usagers.
L'administration est traditionnellement rétive au risque, alors que l'innovation est risquée par nature. Les outils juridiques pour favoriser les entreprises innovantes existent déjà mais sont sous-utilisés. Pour certains, la limitation du marché innovant à 100 000 € est un frein, car le renouvellement du contrat peut entrainer le franchissement des seuils de procédure formalisée. Il leur faudrait un contrat de plus long terme, qui couvre à la fois la phase de recherche et développement et l'acquisition de la solution. Ce mécanisme existe en droit de la commande publique. Par ailleurs, sans discriminer directement un acteur, un acheteur public peut parfaitement prévoir des critères justifiés et proportionnés, correspondant à son besoin et qui vont de facto exclure certaines entreprises, comme exiger la qualification SecNumCloud pour des solutions de cloud souverain.
Pour chaque étape du développement d'une innovation, il existe un contrat adapté dans le droit de la commande publique. Les marchés de recherche et développement sont parfois même exemptés d'obligations de publicité et de mise en concurrence. Les marchés innovants permettent d'acquérir directement des solutions innovantes. Le partenariat d'innovation est particulièrement sous-utilisé alors qu'il présente de nombreux avantages. C'est le seul contrat permettant d'acheter ce qui n'existe pas encore, associant dans un même cadre une phase de recherche et développement collaborative puis l'acquisition de la solution. Il est possible de sélectionner plusieurs partenaires pour créer une émulation entre eux. Ce dispositif peut même prévoir un intéressement de la personne publique au chiffre d'affaires généré, pour le partenaire privé, par la commercialisation ultérieure de la solution développée dans ce cadre.
Ce type de contrat est sous-utilisé car les acheteurs l'imaginent réservé aux grands projets et craignent de manquer d'expertise face au partenaire privé. Ce n'est pourtant pas plus compliqué qu'un dialogue compétitif ou un marché d'acquisition d'un logiciel. Comme pour des opérations de construction complexes, l'acheteur peut s'entourer d'experts. Ce raisonnement, admis dans les marchés de construction, pourrait parfaitement s'appliquer aux marchés numériques. Une piste à suivre serait donc de mieux faire connaitre le partenariat d'innovation.
Mme Emmanuelle Ertel, directrice générale de Tessi Innovation & Trust. - Notre nom à consonance anglophone a été choisi pour paraître américain et moins français, ce qui est souvent nécessaire pour séduire des clients sur certains marchés.
Tessi est un acteur français et européen qui emploie 15 000 collaborateurs et réalise un demi-milliard d'euros de chiffre d'affaires. C'est une entreprise grenobloise peu connue mais très présente dans votre quotidien. Pendant la crise sanitaire, nous avons généré les 620 millions de QR codes pour les passes sanitaires. Cette mission relevait de la commande publique mais dans un contexte de crise. Il a fallu agir, nous avons travaillé ensemble - aucun acteur américain n'a pu s'imposer.
Tessi est spécialisée dans l'externalisation des processus métier. Quand vous pensez parler à votre banque, vous parlez souvent à des opérateurs de Tessi. Quand vous perdez vos bagages chez Air France ou Transavia, vous êtes en contact avec Tessi sans le savoir.
Le métier d'Innovation & Trust est l'édition de logiciels. Nous développons des logiciels en cloud privé, hébergé dans nos propres data centers. Crypter les données ne suffit pas à les protéger - techniquement, les rocades appartiennent au data center, pas au propriétaire des données. Dès lors que les données empruntent ces rocades, elles sont vulnérables. Mon métier consiste à diriger 750 développeurs et techniciens dans trois pays, tous dans des domaines normés. Je fais de l'archivage à valeur probatoire avec la norme NF461, je suis certifiée par l'agence nationale de la sécurité des systèmes d'information (ANSSI), conforme au règlement eIDAS et au référentiel général de sécurité (RGS). Chaque nouveau produit est certifié. En revanche, Tessi a fait le choix d'arrêter le SecNumCloud (SNC) car c'était trop cher et nous n'avions pas suffisamment de demandes. Économiquement, il n'y avait pas de marché. Comme pour le référentiel des prestataires de vérification d'identité à distance (PVID), ces normes coûtent très cher à obtenir, et nos clients s'en désintéressent complètement. Mon objectif est de générer du chiffre d'affaires, d'embaucher et de croître.
M. Simon Uzenat, président. - Quels sont les trois pays dans lesquels vous êtes implantés ?
Mme Emmanuelle Ertel. - Nous sommes présents en France, en Espagne et au Maroc. Pour assurer la sécurité des flux hors de France, nous avons mis en place des règles d'entreprise contraignantes (BCR), validées par la Commission nationale de l'informatique et des libertés (CNIL). Nous respectons ces normes alors que nos concurrents ne les ont pas toutes et n'en supportent pas les coûts. La commande publique concerne aujourd'hui non seulement les GAFAM mais aussi l'intelligence artificielle (IA). Les GAFAM sont partiellement encadrés par les normes européennes, contrairement à l'IA. C'est un vrai sujet dans tous les marchés.
Le mot « protégé » est perçu comme tabou car associé au protectionnisme, mais tous nos concurrents américains grandissent grâce à la commande publique américaine qui finance leur recherche et développement. Nous, nous la finançons seuls. Notre activité d'archivage à valeur probatoire, 80% de mes clients viennent des marchés publics, mais nous ne pouvons pas grandir faute de moyens.
Il y a un vrai problème de souveraineté quand on confie nos données à des puissances étrangères. Elles ne nous appartiennent plus. Il manque une culture et une acculturation sur ces sujets. Peu importe que les données soient hébergées en France ou en Europe. Un hébergeur comme Microsoft Azure n'est pas français, ce qui pose des difficultés. Pour la suite Office, le support en continu n'est pas assuré en France mais par des équipes à l'étranger, qui ont accès aux données. C'est extrêmement dangereux.
Comment la commande publique peut-elle financer la phase de recherche et développement ? C'est fondamental. L'État français annonce 20 milliards d'euros de financement pour l'innovation, mais ces fonds viennent d'Arabie saoudite. Ce système n'est pas vertueux Un acteur français comme Tessi, basé à Grenoble, avec des clients exigeants, ne bénéficie d'aucun soutien par la commande publique.
De plus, les normes diffèrent entre pays européens : nos normes franco-françaises comme le SecNumCloud ne sont pas les mêmes qu'en Allemagne ou en Espagne. Cette absence d'uniformité est un obstacle à la croissance des entreprises. Face à des acteurs étrangers ou européens avec des normes plus faibles, nos coûts sont supérieurs. Notre implantation au Maroc et en Espagne s'explique par des coûts inférieurs à la France. La question est de savoir comment la commande publique peut nous financer et nous faire travailler.
M. Thomas Balladur, président-directeur général d'Interstis. - Je suis honoré de représenter Interstis que j'ai cofondée il y a plus de dix ans et que je dirige. Interstis est un éditeur de solutions collaboratives en ligne, dans le cloud, avec une conviction simple : le numérique professionnel doit être à la fois simple, sécurisé et souverain. C'est une entreprise française implantée au Creusot, en Saône-et-Loire, avec des antennes à Nantes, Montpellier et Paris. Nous employons 70 personnes et accompagnons environ 1 400 clients, principalement dans le secteur public, avec plus de 700 000 utilisateurs.
Notre coeur de métier est la collaboration : tout ce qui concerne les documents, la messagerie, les tâches, les projets et le stockage cloud. Ce qui m'anime aujourd'hui, c'est le projet Hexagone, une suite collaborative et bureautique complète, souveraine, hébergée en SecNumCloud, conçue comme alternative crédible à Microsoft Office 365.
Elle est développée par un consortium de six éditeurs français : Interstis comme chef de file, mais aussi Bluemine, XWiki, Parsec, Linphone et Tranquilité. Nous nous appuyons sur Outscale, un cloud provider français. Ce sont des PME réparties sur le territoire, qui créent des emplois, paient leurs impôts en France et collaborent depuis deux ans dans une logique industrielle.
Nous avons réalisé ce que beaucoup croyaient impossible : une suite collaborative française couvrant l'ensemble du périmètre d'Office 365, disponible et commercialisée depuis janvier, déjà déployée dans des collectivités. Hexagone n'est pas un prototype ou un projet, c'est une réalité, portée par une dynamique entrepreneuriale forte et un socle technologique robuste, s'appuyant sur des entreprises existant depuis plus de dix ans. C'est en tant que chef de file de ce consortium et acteur de terrain que je m'adresse à vous aujourd'hui.
Le sujet qui nous réunit est celui de la souveraineté numérique et la place de la commande publique dans cette bataille. La France est dépendante des GAFAM pour ses outils numériques structurants, non par fatalité technologique mais par choix politiques, habitudes ancrées et confort intellectuel.
Trois freins majeurs empêchent la commande publique de jouer son rôle de levier. D'abord, l'habitude : acheter Microsoft est devenu le choix par défaut, sans évaluation des alternatives. Les acheteurs, responsables informatiques, entreprises de services du numérique (ESN) nationales comme Capgemini ou Sopra Steria, et prestataires locaux ne veulent pas prendre de risques. Ils n'ont ni le mandat, ni l'envie de faire autrement.
Deuxièmement, le discours d'absence d'alternative. On prétend que les solutions françaises n'existent pas ou sont insuffisantes, ce qui est faux. Hexagone en est la démonstration. Cette ambiguïté est visible quand certains établissements justifient le choix de Microsoft par la sécurité tout en affirmant que leurs données ne sont pas sensibles. C'est un paradoxe : pourquoi avoir recours à une solution soumise au droit extraterritorial américain, avec un niveau de sécurité très élevé, si les données en question ne sont pas sensibles ? Ce raisonnement masque un refus de donner à la souveraineté numérique sa juste place dans la matrice des choix des systèmes d'information.
Troisièmement, le manque de visibilité. Microsoft dispose de centaines de lobbyistes à tous les niveaux en Europe et en France. Les PME française ne jouent pas dans la même cour. Des dispositifs comme France 2030 nous aident, et je salue le rôle de l'État, notamment la Direction générale des entreprises (DGE) et BPI France qui ont soutenu le consortium Hexagone. Mais le lien entre innovation et commande publique est cassé : on finance la R&D sans garantir l'accès au marché. On subventionne alors des solutions qui restent dans les cartons. Parfois, ces cartons traversent l'Atlantique...
Je reste optimiste car l'écosystème existe. Nous avons des briques, des compétences et la volonté. Il nous manque une dynamique industrielle soutenue dans la durée, mais le vent commence à tourner avec l'administration Trump II et les récentes crises géopolitiques, avec une prise de conscience des enjeux de souveraineté.
Si la commande publique joue son rôle, nous pouvons gagner cette bataille technologique pour les cinquante prochaines années. L'histoire le montre : en 1945, nous n'avions pas la bombe atomique, mais quinze ans plus tard, grâce à une décision politique forte et la création du Commissariat à l'énergie atomique (CEA), nous l'avions. Quelle serait la place de la France aujourd'hui sans la dissuasion nucléaire ? Aujourd'hui, nous avons cinq à dix ans de retard sur les GAFAM, mais nous pouvons combler cet écart avec une commande publique mobilisée et une volonté politique claire.
Je vous soumets quelques propositions concrètes. Tout d'abord, affirmer publiquement que l'achat de solutions numériques françaises et européennes est une priorité nationale, en mobilisant par exemple le Conseil national des achats. Ensuite, mettre en place des incitations financières pour les collectivités territoriales. Pourquoi ne pas rendre éligible au Fonds de compensation pour la taxe sur la valeur ajoutée (FCTVA) l'achat de solutions Software as a service (SaaS) souveraines ? Il faudrait aussi mettre à la disposition des acheteurs publics des clausiers leur permettant d'exiger, dans leurs marchés, l'immunité aux législations extraterritoriales, la qualification SecNumCloud, le développement d'emplois locaux ou d'autres mesures de souveraineté. Il pourrait aussi être envisagé, au niveau européen, de mettre en place des appels d'offres à deux tours, le premier étant réservé aux solutions souveraines européennes. Il me semble que c'est la méthode retenue par les américains.
L'Union des groupements d'achats publics (Ugap) a des avantages, mais propose tellement de références que les solutions souveraines sont noyées dans la masse. Elle pourrait structurer un marché spécifique, qui leur serait réservé, ce qui leur donnerait une plus grande visibilité.
Par ailleurs, la réticence au changement est une réalité, et elle est compréhensible. Il faut comprendre que la migration d'une solution à une autre est anxiogène et se prépare. Elle doit être anticipée, dans le cadre d'une procédure sur deux ou trois ans, afin de préparer le changement, rassurer sur la technologie et donner de la visibilité aux industriels sur la commande.
Il faut qui plus est, dès le plus jeune âge, éduquer les jeunes à d'autres outils que ceux des GAFAM. Ils ont réussi à créer une forme de dépendance culturelle, que seule une politique publique forte parviendra à briser.
Enfin, une note de la Direction générale des collectivités locales (DGCL) du 5 avril 2016 indique que les données produites par une collectivité ont un statut d'archive publique et, à ce titre, de trésor national, qui ne peut pas quitter le territoire. Héberger des données sur Microsoft Azure ou Google, même dans des data centers en France, ne garantit pas qu'elles ne quittent pas le territoire à cause des lois d'extraterritorialité. Il faut envoyer un signal fort aux collectivités pour les inciter à choisir un hébergement souverain de leurs données publiques.
Le numérique est un choix politique, pas une fatalité technologique. C'est une question de souveraineté, de liberté, d'emplois et d'indépendance. Nous avons les moyens de créer un numérique français sûr, performant et compétitif. Il ne nous manque ni le talent, ni la technologie, ni l'envie mais le passage à l'acte, le passage à la commande.
Mme Catherine Morin-Desailly. - Je remercie chacun d'entre vous d'avoir expliqué clairement que la commande publique aujourd'hui n'était pas conçue pour accompagner l'innovation et s'inscrire dans une logique politique et stratégique sur des enjeux définis par la nation. La question est aussi de savoir comment la commande publique peut servir des objectifs politiques forts qui assurent la sécurité de la nation.
Vous avez tous évoqué les enjeux autour de la formation et de l'absence d'acculturation. Que pensez-vous de l'idée proposée dès 2016 par la CNIL de faire une grande cause nationale autour de l'éducation et de la formation sur ce sujet ? Avec mon collègue Olivier Cadic qui préside la commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui assure la transposition de la directive NIS 2, nous avons émis l'idée qu'il faudrait inscrire cela dans un temps phare pour lequel chacun se mobilise, à tous les niveaux.
Avec Michel Canévet, nous avions mesuré qu'il allait y avoir beaucoup d'opportunités de commande publique avec l'application de NIS 2, puisque les entités, entreprises et collectivités de plus de 30 000 habitants vont être soumises à des obligations en matière de cybersécurité et devront trouver des solutions et des prestataires. C'est un moment opportun pour nos entreprises de trouver des commandes et de se développer. Quelle est votre réflexion sur ce sujet ? Avez-vous identifié cette étape importante qui se mettra en place dès la loi transposant cette directive sera définitivement adoptée ?
M. Michel Canévet. -Je n'avais pas connaissance, bien qu'ayant présidé une collectivité qui utilisait Interstis, de sa capacité à proposer une alternative à Microsoft. Je pense qu'il faut vulgariser cette information. Comment voyez-vous les choses à cet égard ?
Quelles sont vos relations avec l'UGAP ? C'est un intermédiaire intéressant pour lever les contraintes administratives liées aux marchés publics. Sentez-vous une attention suffisante de leur part envers les propositions des entreprises françaises ?
Nous avons examiné le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Notre préoccupation est d'éviter que les acheteurs soient contraints de se tourner vers des solutions étrangères en raison des délais de mise en oeuvre trop courts. Nous souhaitons donner aux acteurs français le temps de se préparer.
Si j'ai bien compris, le code de la commande publique contient aujourd'hui presque tout ce qu'il faut pour répondre à toutes les situations. Est-ce exact ou existe-t-il d'autres possibilités d'amélioration que celles évoquées ?
M. Daniel Salmon. -Vous affirmez que nous n'avons pas à rougir de notre niveau en France et que nous disposons de solutions équivalentes à celles Microsoft, mais vous mentionnez aussi un retard de cinq à dix ans. Pourriez-vous clarifier ce retard et nous dire comment nous pouvons le rattraper ?
Ma deuxième question concerne notre déficit dans le numérique. Nous avons intériorisé une infériorité en France. C'est comparable à ce que nous avons connu pendant longtemps pour les films avec Hollywood. Aujourd'hui c'est Microsoft, et nous avons beaucoup de mal à sortir de cette vision. Vous avez mentionné avoir choisi un nom à consonance anglo-saxonne pour être pris au sérieux. Comment sortir de cette perception que les Français ou les Européens ne sont pas à la hauteur dans ce domaine ?
Mme Emmanuelle Ertel. - Je crois énormément en la valeur humaine. Former ou acculturer à la souveraineté numérique et en faire une cause publique serait extraordinaire, mais ce serait déclarer une guerre puisque les acteurs internationaux ont beaucoup plus de moyens que nous pour faire du lobbying et être présents partout. Récemment, j'ai participé à une table ronde avec des représentants d'Amazon - c'est impressionnant. Quand nous réussissons à intervenir dans une commission occasionnellement, eux sont présents pratiquement tous les jours, partout.
Pour l'acculturation, il faut expliquer qu'il n'est pas suffisant que les données soient hébergées en Europe. Le problème est que les données sont peut-être hébergées en Europe, mais les personnes qui accèdent au système n'y sont pas forcément. On pose toujours la question de l'hébergement, mais jamais celle de l'accès.
Dans le domaine de la signature électronique, notre concurrent n'est pas Microsoft mais DocuSign, présent dans la commande publique comme dans le privé. Les data centers ne sont pas comme ceux de Microsoft, Amazon ou Google, qui offrent certaines garanties de sécurité. Le problème touche tous les outils : signature électronique, vérification d'identité, archivage à valeur probatoire, etc.
Avant même de former, il faut acculturer, expliquer et apprendre à poser les bonnes questions. Par exemple, nous utilisons Teams sur lequel tout le monde partage des fichiers - c'est pratique mais ces fichiers sont sur Teams. J'adorerais que l'État français soit ferme sur ces questions mais nous n'y croyons pas vraiment car les acteurs internationaux sont beaucoup plus forts et mieux implantés que nous. C'est en posant les bonnes questions qu'on pourra se protéger.
Nous n'avons absolument pas à rougir de nos solutions, qui sont extraordinaires. Je croise des compétiteurs qui proposent des solutions innovantes et fortes. Il faut aussi parler de nos jeunes et de notre capacité à former d'excellents développeurs reconnus internationalement. C'est d'ailleurs pour cela que les entreprises étrangères investissent en France. Un défi est de ne pas les laisser partir. Beaucoup de nos étudiants partent étudier à l'étranger face aux difficultés du système de formation français.
Au quotidien, nous peinons à recruter et à attirer les talents. C'est pourquoi il faut non seulement former à la commande publique, mais aussi réussir à garder nos talents qui sont excellents. Ce capital humain est essentiel, nous pouvons en être fiers. Quand on dit que nous avons dix ans de retard, c'est uniquement dû au manque de moyens d'investissement. Dans mon périmètre, je consacre 14 millions d'euros à la recherche et au développement sur un chiffre d'affaires d'un demi-milliard. C'est insuffisant, mais les investisseurs exigent plus de bénéfices et nous autofinançons notre recherche et développement. Malgré tout, ce que nous développons est extraordinaire. Le problème n'est pas le coût du travail, mais celui du respect des normes et du développement de logiciels innovants. Concernant l'IA, tous les acteurs sont internationaux. Même Mistral, qui était considéré comme le fleuron français et même européen : avec ses capitaux désormais très internationaux, je ne suis pas certaine qu'on puisse encore la qualifier de société française.
Mme Catherine Morin-Desailly. - Nous sommes conscients de la situation de Mistral. Nous avons interrogé le Gouvernement sur ce sujet.
Mme Emmanuelle Ertel. - Nous avons beaucoup de marchés avec l'UGAP mais nous ne travaillons pas en direct avec elle. Nous sommes en relation avec des intermédiaires - SCC et SMLB - qui prennent des marges importantes. Les collectivités paient beaucoup plus cher que si elles achetaient en direct. L'avantage de l'UGAP est d'éviter la procédure de passation d'un marché public, mais il y a un impact financier à ce choix.
M. Thomas Balladur. - Faire de la souveraineté numérique une cause nationale serait extraordinaire. Organiser une mobilisation sur la manière dont les jeunes doivent se saisir du numérique avec une dimension souveraine est une idée à développer. Il y a le temps court de la commande et le temps long de la culture. Nous sommes dans un contexte d'infériorité culturelle face aux Américains qu'il faut changer, même si c'est un combat difficile car intégré dans nos usages quotidiens. Je soutiens donc pleinement une mobilisation au plus haut niveau.
Concernant NIS 2, je partage vos inquiétudes. La mise en oeuvre de cette réglementation est un bon moyen pour sensibiliser les collectivités, mais tant qu'elle n'est pas effective, elle n'est pas vraiment prise au sérieux. Son application a été retardée et les seuils n'étaient pas connus jusqu'à récemment. Par ailleurs, derrière la cybersécurité, on tend à oublier la souveraineté en se concentrant sur des mesures techniques où les Américains excellent.
Sur la vulgarisation, c'est un vrai défi de porter ce discours dans les plus hautes sphères, de faire connaître les solutions existantes via la presse. Nous participons à des événements locaux pour que le message infuse dans les territoires. C'est notre mission de convertir les différents acteurs.
Pour l'UGAP, la façon dont sont traitées les entreprises dépend de leur travail. Les petits acteurs ne sont pas en contact direct avec elle mais travaillent avec le titulaire de son marché, SCC, ou plutôt son sous-traitant, SMLB. Les acteurs moyens travaillent avec SCC et accéder aux décideurs de l'UGAP reste difficile. C'est pourquoi je propose de créer un marché spécifique pour les solutions souveraines, plus visible pour les acheteurs publics que l'actuel marché multi-éditeurs qui est un fourre-tout.
Nous avons effectivement des années de retard en termes de moyens pour développer et diffuser massivement nos solutions. Nous disposons de financements pour la R&D mais pas pour le marketing, et nous n'avons pas l'écosystème financier américain pour nous soutenir. La commande publique est essentielle car elle finance des projets qui permettent de rattraper ce retard.
Au niveau des produits, nous offrons une équivalence fonctionnelle sur les fonctionnalités essentielles : messagerie performante, gestion et partage de documents, attribution de tâches, visioconférence... Certaines fonctionnalités utilisées par une minorité peuvent manquer, mais deviennent alors des outils métier spécifiques qui peuvent justifier quelques licences Microsoft, tandis que le reste fonctionne sur une base souveraine.
Notre argument commercial principal est que nous sommes moins chers. Cela n'était pas gagné d'avance vu les coûts de structure en France, mais cela montre surtout que les sociétés américaines sont très onéreuses. En investissant maintenant dans des solutions souveraines, vous aurez un retour sur investissement avec des prix négociables, contrairement à Microsoft qui a augmenté ses prix de 30 % deux fois ces dernières années de manière unilatérale.
Me Laurent Bidault. - Concernant les outils du code de la commande publique, j'ai le sentiment qu'ils existent mais que leur utilisation est un sujet d'acculturation et de formation. Le marché innovant, d'abord expérimental pour trois ans, a été pérennisé dans le code mais son déploiement a été freiné par la crise sanitaire. Selon l'Observatoire économique de la commande publique, le manque de formation des acheteurs sur l'innovation est l'une des principales raisons de sa sous-utilisation.
La question de la souveraineté au niveau européen doit d'abord être traitée dans le cadre de la révision des directives européennes, puisque notre code n'en est que la transposition. Une préférence européenne ne pourra être envisagée qu'au niveau européen avant d'être traduite dans notre droit national. Contrairement aux États-Unis qui pratiquent ouvertement la préférence nationale, la France se retranche derrière les accords de l'Organisation mondiale du commerce (OMC). Une récente réponse ministérielle à une question parlementaire rappelait que le principe de non-discrimination au niveau européen et les accords de l'OMC nous empêchent de favoriser un opérateur européen.
Lors de la préparation de cette audition, j'ai identifié qu'en 2020 une proposition de loi du Sénat prévoyait la mise en place d'une certification de cybersécurité des plateformes numériques destinées au grand public. L'article 2 visait à intégrer au code de la commande publique des impératifs de cybersécurité, au même titre que les exigences de développement durable. Le Gouvernement avait supprimé cet article par amendement pour deux motifs : l'application de cette exigence en matière de cybersécurité à tous les marchés, indépendamment de leur objet, et l'alourdissement des tâches des acheteurs publics, sans moyens supplémentaires.
Une piste serait de réintroduire cet impératif dans le code de la commande publique lors de la transposition de la directive NIS 2, puisque cette charge va de toute façon s'imposer aux acheteurs publics. Le code contient déjà des dispositions spécifiques pour certains marchés, comme l'obligation de réemploi pour les pneus ou pour les constructions temporaires. Nous pourrions imaginer des dispositions spécifiques pour les marchés informatiques, demandant aux acheteurs de prendre en compte les impératifs de cybersécurité. Je ne pense pas que la charge supplémentaire soit si conséquente puisqu'elle sera de toute façon imposée par NIS 2.
M. Simon Uzenat, président. - Nous sommes nombreux au sein de cette commission à considérer, comme vous le rappeliez M. Balladur dans un article récent publié dans la presse quotidienne régionale, qu'au-delà des données qualifiées de sensibles, toutes les autres peuvent l'être tout autant. L'espionnage économique peut cibler des données dites administratives, qui peuvent être absolument décisives pour des puissances étrangères, comme nous l'avons constaté en échangeant avec des établissements d'enseignement supérieur. Une approche globale et systématique de protection des données publiques est donc nécessaire.
Concernant l'acculturation, vous émettiez des réserves sur le cadre fixé par l'État, mais nous considérons que l'État a un devoir d'exemplarité. Sans prétendre tout régler immédiatement, il doit être à la hauteur des enjeux de cybersécurité et de souveraineté dans ses propres pratiques.
Vous semblez regretter dans votre article l'approche « B2C », mais le sujet de la bureautique est important pour nous, d'où notre volonté d'entendre M. Balladur. Nous voyons bien que c'est souvent la porte d'entrée utilisée par les GAFAM avant d'aller sur le terrain de l'hébergement des données. On observe des établissements publics qui utilisaient Microsoft sans hébergement de données, puis font légèrement évoluer l'offre pour inclure de l'hébergement. Microsoft utilise ce canal pour élargir son offre, généralement avec une politique tarifaire agressive, avec des licences étudiantes gratuites ou à tarifs préférentiels.
Lors de notre déplacement dans le Nord, OVH nous disait qu'à condition que la commande publique joue le jeu à l'échelle française et européenne, des alternatives pourraient être déployés. M. Balladur, dans ce même article, vous indiquez être environ 30 % moins chers que Microsoft. Est-ce qu'aujourd'hui une montée en charge de votre solution est envisageable, notamment pour les millions d'agents des fonctions publiques ?
Sur le cadre européen évoqué par Me Bidault, au-delà de la préférence européenne qui commence à faire consensus malgré des débats sur son périmètre, qu'en est-il plus concrètement de la révision des directives ? Avez-vous d'autres recommandations plus opérationnelles ?
Je souhaite aussi vous interroger sur vos relations avec les services de l'État, particulièrement la Direction interministérielle du numérique (DINUM) que nous avons auditionnée. On nous parle d'expérimentations soutenues par quelques centaines de milliers d'euros, ce qui paraît insuffisant face aux freins mentionnés. Qu'en est-il de vos relations avec des services qui peuvent être prescripteurs mais aussi développer en interne des solutions parfois en concurrence avec les vôtres ?
M. Thomas Balladur. - Sur le périmètre des données sensibles, je pense qu'il faudrait effectivement inverser la logique : considérer par défaut que toute donnée produite par une administration publique est sensible, à l'exception de celles explicitement déclassifiées. Cela clarifierait le fait que ces données doivent échapper au droit américain.
Concernant Microsoft et la bureautique comme porte d'entrée, vous avez tout à fait raison. La mère des batailles, c'est le cloud - la capacité à développer des data centers opérés par des acteurs européens et français. La facilité d'usage des outils vise d'abord à obtenir l'hébergement des données des clients, dont le modèle économique - stockage, service, mise à disposition de la donnée en temps réel - est plus récurrent et plus rémunérateur que la simple vente de licences. Cette stratégie ne me pose aucun problème, c'est aussi notre modèle. En revanche, dans un contexte d'IA, un vrai drapeau rouge se lève car les données deviennent une matière première pour entraîner des modèles qui nous échappent complètement.
Sur la capacité à déployer des solutions à grande échelle, c'est tout à fait possible. Hexagone est effectivement l'un des consortiums proposant des alternatives à Microsoft en matière de solutions collaboratives et bureautiques. Il y en a d'autres. Nous avons suivi le modèle américain pour déployer notre service : plutôt que de refaire un environnement pour chaque client, nous avons créé un environnement global où les données des clients sont segmentées tout en permettant une collaboration élargie, comme le font Google et Microsoft. Cette approche répond à des besoins concrets : un élu municipal, qui est aussi élu à l'intercommunalité, doit pouvoir accéder à différents espaces de travail depuis un même environnement.
Concernant le passage à l'échelle, nous travaillons étroitement avec la Dinum. Nous avons déployé une marque blanche d'Interstis appelée Resana qui compte aujourd'hui 500 000 utilisateurs. Si nous pouvons servir 500 000 utilisateurs, nous pouvons équiper pratiquement n'importe quelle administration et même de grands groupes français.
Je pense que nous sommes sortis d'une logique où l'on développait des logiciels en mode dual, qu'on spécialisait pour certaines administrations mais qui devenaient ensuite difficiles à maintenir après le départ des développeurs car ne respectant plus les standards du marché. Ce risque n'est plus le prisme actuel de la Dinum. Aujourd'hui, la Dinum crée plutôt des briques fonctionnelles (messagerie, visio) que les acteurs de l'État peuvent déployer et que des acteurs privés peuvent réutiliser et autour desquelles bâtir des communautés. En tant qu'éditeur, j'ai quelques réserves car c'est un métier spécifique qui nécessite de maintenir et d'animer ces communautés dans la durée. Mais si certaines communautés open source y parviennent, servons-nous de ces briques et de cette énergie pour améliorer nos solutions. La Dinum propose des développements intéressants et, avec des moyens supplémentaires, pourrait permettre à l'écosystème d'aller encore plus loin.
Mme Emmanuelle Ertel. - Nous avons peu de relations avec la Dinum, que nous percevons plutôt comme un concurrent ou comme une entité dans la démarche de laquelle il est difficile de s'inscrire. Nous avons aussi un concurrent direct issu de La Poste, ce qui complexifie parfois les relations.
Concernant les données sensibles, c'est une question fondamentale car aujourd'hui, tout est potentiellement sensible - un nom, un prénom, un numéro de téléphone. Prenez l'exemple des personnes qui partagent naïvement sur LinkedIn le CV de leur enfant avec toutes ses coordonnées. C'est exactement ce dont on parle quand on évoque l'acculturation.
En tant qu'éditeur de solutions d'archivage électronique depuis une cinquantaine d'années, le stockage et l'archivage des données sont au coeur de notre activité. Nous sommes hébergeurs de données de santé car nous avons des clients bancaires qui gèrent des dossiers de crédit contenant ces données. L'hypersensibilisation sur les données est cruciale car les utilisateurs ne font souvent pas attention à ce qu'ils partagent.
Toutes les données sont devenues sensibles car, même si une information isolée peut sembler anodine, une fois globalisée et contextualisée, elle acquiert une valeur considérable. Faut-il considérer que tout est sensible jusqu'à preuve du contraire ? Pour l'archivage à valeur probatoire, l'évolution des normes a multiplié par quatre nos coûts de stockage, au point que nos clients, y compris publics, commencent à reculer face à ces coûts. Dans la commande publique, il faut accompagner cette augmentation des coûts tout en restant réalistes, notamment en termes de durée des marchés. Un marché de 12 ans n'a pas de sens au regard de l'évolution des technologies.
Nous avons fait le choix d'internaliser les moteurs d'IA pour nos clients, d'assurer une souveraineté totale. Nous les infogérons, exploitons et installons sans sous-traitance, tout est opéré par nos équipes. Pour l'acculturation, il faut expliquer qu'utiliser des services comme ChatGPT, c'est voir ses données partir ailleurs. Dans les marchés publics, il faut dépasser la souveraineté purement réglementaire pour considérer où sont les équipes qui exploitent et traitent l'information. Nos data centers sont localisés précisément, je peux vous montrer où sont vos données et vous présenter les équipes qui les gèrent, à Bordeaux ou au pire à Madrid. Je défie quiconque d'obtenir cette transparence chez les grands fournisseurs de cloud.
Me Laurent Bidault. - Je constate que les acheteurs publics ont bien intégré les enjeux du RGPD grâce à un véritable accompagnement. En revanche, la sensibilisation reste nécessaire pour les données non personnelles. Sur de nombreux marchés, l'acheteur ne mesure pas l'intérêt et la valeur de ces données.
En tant que juriste, je dois rappeler que les cahiers des clauses administratives générales (CCAG) contiennent deux dispositions importantes : les données utilisées ou créées dans le cadre d'un marché public sont confidentielles et sont la propriété de l'acheteur. L'acheteur n'en a pas toujours conscience. Par exemple, lorsqu'il passe un marché pour la gestion d'une base de données avec un mécanisme de recherche basé sur l'IA, toutes les bases de données et les algorithmes deviennent sa propriété, puisque c'est l'objet du marché.
Concernant les directives européennes, l'équilibre actuel est satisfaisant. Le partenariat d'innovation a été prévu par le droit européen et français, mais n'est pas encore pleinement utilisé. Pour adapter la commande publique aux entreprises innovantes ou aux très petites entreprises (TPE) et aux petites et moyennes entreprises (PME), de nombreux mécanismes pourraient être mobilisés, notamment les avances et les délais de paiement. Dans ma pratique, je vois des entreprises qui, pour leur premier marché public, déchantent face aux retards de paiement et à l'obligation de poursuivre l'exécution des prestations et les livrer comme convenu malgré ces retards. Il existe une réelle inégalité des forces entre l'administration et les petites entreprises innovantes dans l'exécution de ces contrats.
M. Simon Uzenat, président. - D'autres exemples d'asymétrie nous sont remontés par les pouvoirs adjudicateurs. C'est l'une des difficultés identifiées par notre commission et sur laquelle nous travaillons.
Cette audition a fait l'objet d'une captation vidéo disponible en ligne sur le site du Sénat.
La réunion est close à 18 h 05.
Audition de Mme Emmanuelle Ledoux, directrice générale de l'Institut national de l'économie circulaire
Le compte rendu sera publié ultérieurement