- Mardi 27 mai 2025
- Audition de M. Guillaume Poupard, directeur général adjoint de Docaposte, ancien directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi)
- Problématique de la commande publique dans les collectivités d'outre-mer - Audition de Mmes Karine Delamarche, directrice générale adjointe des outre-mer, Laetitia Malet, déléguée générale adjointe de l'Association des communes et collectivités d'outre-mer (ACCDOM), MM. Anthony Lebon, administrateur et président de la commission BTP-Logement de la Fédération des entreprises des outre-mer (FEDOM) (en visioconférence), et Dominique Vienne, président du Conseil économique et social régional de La Réunion, ancien président de l'association de la stratégie du bon achat et du Haut Conseil de la commande publique de La Réunion (en visioconférence)
- Mercredi 28 mai 2025
- Audition de M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI)
- Audition de M. Gaël Menu, directeur général de SCC France, entreprise titulaire du marché « multi-éditeurs » de l'Union des groupements d'achats publics (Ugap)
- Audition de M. Christian Vigouroux, président de section honoraire au Conseil d'État, auteur du rapport au Premier ministre « Sécuriser l'action des autorités publiques dans le respect de la légalité et des principes du droit »
Mardi 27 mai 2025
- Présidence de M. Simon Uzenat, président -
La réunion est ouverte à 13 h 30.
Audition de M. Guillaume Poupard, directeur général adjoint de Docaposte, ancien directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi)
M. Simon Uzenat, président. - Nous reprenons cette semaine nos travaux en poursuivant l'exercice, engagé depuis plusieurs semaines, de clarification des enjeux actuels en matière de souveraineté numérique, au sujet notamment de l'hébergement des données publiques et du rôle que pourrait jouer la commande publique pour faire progresser notre souveraineté numérique.
Nous avons mis en lumière les signaux contradictoires envoyés par l'État et ses opérateurs, notamment dans le domaine de l'enseignement supérieur, mais aussi la situation de dépendance dans laquelle nous nous trouvons - et, parfois, nous complaisons - vis-à-vis de quelques grands acteurs internationaux. La prise de conscience à ce sujet reste ténue et encore trop peu partagée.
Nos auditions ont pourtant montré qu'une telle situation ne relevait nullement de la fatalité. L'écosystème français de l'innovation est performant, les start-ups sont nombreuses et certains acteurs ont atteint un haut niveau de maturité, si bien qu'ils sont capables d'offrir des services rivalisant avec ceux des Gafam (Google, Apple, Facebook, Amazon, Microsoft). Des solutions souveraines existent. Dès lors, pourquoi ne parvient-on pas à franchir le pas ?
Pour échanger avec nous à ce sujet, nous recevons M. Guillaume Poupard, directeur général adjoint de Docaposte, filiale du groupe La Poste chargée d'offrir des services numériques aux entreprises et spécialisée dans la confiance numérique, et ancien directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi).
Je vous informe que cette audition sera diffusée en direct sur le site du Sénat et qu'elle fera l'objet d'un compte rendu publié. Je rappelle également qu'un faux témoignage devant notre commission d'enquête est passible des peines prévues aux articles L. 434-13, 434-14 et 434-15 du code pénal, soit 75 000 euros d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances.
Je vous invite à prêter serment de dire toute la vérité, rien que la vérité, en levant la main droite et en disant : « Je le jure. »
Conformément à la procédure applicable aux commissions d'enquête, M. Guillaume Poupard prête serment.
Je vous laisse, dans un premier temps, présenter brièvement Docaposte et son champ d'intervention dans le numérique de confiance auprès des personnes publiques. Quel regard portez-vous, avec l'expérience acquise dans vos fonctions actuelles, sur les pratiques des personnes publiques en matière d'achats numériques ? Leur niveau de compétence est-il, selon vous, suffisant ? Du fait de la complexification des solutions technologiques, parfois entretenue par les fabricants eux-mêmes, les assistants à maîtrise d'ouvrage (Amoa) ne tendent-ils pas à se substituer aux acheteurs eux-mêmes, alors qu'ils ne détiennent aucune légitimité, si ce n'est technique ?
C'est également au titre de l'expertise que vous avez acquise dans le cadre de vos fonctions à la tête de l'Anssi que nous souhaitions vous entendre. Entre 2014 et 2022, une politique publique de la souveraineté numérique a progressivement été élaborée, puis accélérée à la suite de la crise sanitaire et du développement de l'usage de services de cloud. Quels ont été le rôle et l'action de l'Anssi dans ce cadre, aux côtés notamment de la direction interministérielle du numérique (Dinum) ?
Vous avez créé, durant cette période, la qualification SecNumCloud. Associée à un très haut niveau d'exigence, celle-ci garantit l'immunité aux législations extraterritoriales des données hébergées par les produits qualifiés. Quel est le risque qu'emportent ces législations ? L'alliance d'un hyperscaler américain avec un acteur français permettrait-elle de nous prémunir contre ce risque ?
Enfin, vous étiez à la tête de l'Anssi lorsque la décision a été prise d'assurer l'hébergement de la plateforme des données de santé - le Health Data Hub (HDH) - chez Microsoft Azure. Avez-vous été associé à ce processus ? Des acteurs souverains n'étaient-ils pas en mesure d'assurer cette prestation ?
M. Guillaume Poupard, directeur général adjoint de Docaposte, ancien directeur général de l'Agence nationale de la sécurité des systèmes d'information. - Je commencerai par évoquer le risque que vous avez pointé avant d'exposer les solutions telles que nous les élaborons depuis plusieurs années.
Le risque, bien connu, est relatif aux législations extra-européennes, pour ne pas dire américaine et chinoise, dont l'esprit est le même, et qui, d'une manière que j'estime excessive, permettent aux États-Unis et à la Chine d'accéder aux données hébergées par les acteurs numériques très puissants qui développent leur activité sur leur sol. Il s'agit non pas d'espionnage, mais, dans le cas des États-Unis, d'un empilement législatif constitué, entre autres, du Patriot Act, du Fisa (Foreign Intelligence Surveillance Act) et du Cloud Act.
S'il est impossible de savoir si ces puissances utilisent ces données ou non, j'estime, pour ma part, qu'il serait incohérent qu'elles ne les utilisent pas. Je pars donc du principe, pour ce qui est de l'analyse du risque, que les outils dont disposent ces États sont bien opérationnels.
Quelles sont les solutions pour nous prémunir contre ce risque ? Depuis plusieurs années, l'Anssi travaille à l'élaboration d'outils - certification, qualification - permettant de garantir la sécurité des produits. Dès 2014, l'arrivée du cloud a rendu nécessaire la mise au point par l'Anssi d'un référentiel permettant aux utilisateurs de se faire une idée de la sécurité réelle des solutions proposées.
Nous avons donc établi des règles à la fois claires et lisibles - relatives à la sécurité technique, au chiffrement, à la sécurité opérationnelle, à l'accès aux data centers... - auxquelles les industriels peuvent se référer lorsqu'ils souhaitent faire qualifier un produit. L'évaluation est réalisée par un tiers indépendant, puis transmise à l'Anssi, qui prend la décision finale au nom de l'État français. L'assise juridique de cet outil, nommé SecNumCloud, est donc solide.
Ce référentiel n'incluait au départ que des critères de sécurité technique et opérationnelle. Je considérais, en effet, que la protection juridique vis-à-vis du droit non européen ne relevait pas du champ de l'Agence. J'ai toutefois rapidement compris que garantir la sécurité technique d'une solution sans garantir la sécurité des données n'avait pas de sens.
Nous avons donc inclus des critères d'immunité au droit extraterritorial, ce qui ne fut pas si simple : il ne suffit pas de dire que les sociétés européennes sont gentilles et que les sociétés non européennes sont méchantes ! En tout état de cause, ces critères sont désormais inclus dans le référentiel.
Il existe aujourd'hui deux manières d'élaborer un cloud satisfaisant aux critères de ce référentiel.
La première consiste à opter pour des technologies américaines, mais à les faire opérer par des acteurs qui ne sont pas soumis au droit américain. De telles offres sont actuellement en cours de développement en France et, même si cela ne relève plus de ma responsabilité, elles sont conçues pour obtenir la qualification SecNumCloud et sont susceptibles de l'obtenir. Elles correspondent à ce que Bercy nommait le cloud de confiance, ou cloud hybride : si la technologie n'est pas souveraine, les opérateurs ne sont soumis qu'au droit européen - c'est du moins ce que l'on espère.
La seconde manière de procéder consiste à développer des solutions concurrentes en faisant opérer des technologies européennes par des acteurs européens tant pour le développement que pour l'exploitation. C'est ce que font Outscale de Dassault Systèmes, OVHcloud ou Scaleway. C'est aussi ce que nous faisons chez Docaposte, notamment dans le cadre de l'offre NumSpot que nous avons développée en partenariat avec la Banque des territoires, Bouygues Telecom et Dassault Systèmes, de manière à proposer une offre totalement maîtrisée - terme que je préfère à « souveraine », même s'il s'agit aujourd'hui de l'expression consacrée. L'objectif est de proposer des offres de cloud qui soient naturellement immunes au droit extraterritorial.
L'open source étant aujourd'hui mature - ce n'était pas vrai il y a dix ans -, il est possible, à condition de disposer d'ingénieurs qualifiés, ce qui est le cas, d'intégrer des technologies open source dans l'élaboration d'un produit robuste, efficace, sécurisé et immun aux droits américain et chinois. Tel est le pari que NumSpot est en train de gagner.
Une telle offre peut-elle être qualifiée de souveraine ? Je pense que oui. Les offres hybrides que j'évoquais sont-elles souveraines ? De toute évidence, on ne parle pas du même type de produit, la principale différence tenant, à mon sens, non pas à la sécurité, mais à la disponibilité des technologies. Si, demain, les fournisseurs de technologies américains décident de couper l'accès à leurs technologies, compte tenu de l'évolution constante des outils et des mises à jour nécessaires à leur fonctionnement, les systèmes hybrides s'effondreront très rapidement, au bout non pas de quelques années ou de quelques décennies, mais de quelques jours, peut-être de quelques semaines.
Dans le contexte géopolitique actuel, que personne n'aurait pu prédire il y a quelques années, même les personnes aussi paranoïaques que moi, des décisions politiques pourraient tout à fait interdire la diffusion de technologies. C'est un risque que l'on ne peut pas prendre.
Docaposte est la filiale numérique de La Poste. Elle a été créée pour proposer des solutions et des services nativement souverains - nous produisons des produits souverains comme M. Jourdain faisait de la prose... Notre modèle économique repose sur le développement de produits en Europe, principalement en France. L'hébergement est assuré dans des data centers situés en France, dans des sites dont nous sommes propriétaires et par des opérateurs qui sont nos salariés.
Nous proposons nos services en matière de conseil, d'édition de logiciels et de fabrication de plateformes dans trois domaines prioritaires : le secteur public ; la santé ; l'éducation. Le choix de ces domaines d'activité ne doit rien au hasard. Nous les avons choisis en raison de la sensibilité des données concernées, laquelle, il est vrai, n'est pas toujours clairement reconnue par la réglementation.
À titre d'exemple, Docaposte a acquis, il y a quelques années, Index Éducation, une société qui édite notamment le logiciel Pronote. Celui-ci est utilisé par l'immense majorité des collèges et des lycées pour gérer notamment les notes et les absences des élèves, les évaluations des professeurs et les cahiers de textes.
Lorsque le fondateur de cette très belle société a souhaité passer la main, nous nous sommes rendu compte de la sensibilité des données gérées par Pronote : toutes les notes, absence et remarques sur nos enfants ! Elles sont soumises au règlement général sur la protection des données (RGPD) mais je ne crois pas qu'un texte spécifique reconnaisse la sensibilité de ces données. Elles le sont pourtant intuitivement, tout comme les données de santé. Lorsque des fonds de pension, notamment anglo-saxons, ont envisagé de racheter cette société, nous avons considéré qu'il fallait qu'elle soit cédée à un opérateur de confiance tel que Docaposte. De telles données doivent, en effet, être gérées de manière éthique - un business plan infernal et très profitable consisterait, par exemple, à vendre ces données à des sociétés proposant des cours à domicile. Sachant que nous disposons des notes de tous les élèves de France, nous pourrions sans doute proposer un ciblage dont les Gafam eux-mêmes seraient incapables...
Docaposte entretient de très bonnes relations avec les services de l'État, notamment avec la Dinum. Pour ma part, je suis passé de l'Anssi, où les relations avec les services de l'État étaient très bonnes, à Docaposte, où il en va de même, le tout dans un respect total de la déontologie. Nous partageons en particulier avec la Dinum les mêmes intuitions en matière de maîtrise et de souveraineté de la donnée, l'enjeu étant de trouver le bon équilibre entre ce qui doit être fait par l'État et ce qui doit être fait par des acteurs industriels.
En tant qu'ancien directeur de l'Anssi, j'estime que, pour piloter des prestataires, les services de l'État doivent compter des experts et disposer de la compétence nécessaire. Lorsque je la dirigeais, j'encourageais les experts de l'agence à élaborer des Proof of concept (POC) et des démonstrateurs. J'ai en revanche toujours été très réticent à développer des produits en son sein et, chaque fois que nous l'avons fait, je l'ai regretté, car il s'agit au fond d'un autre métier. La maintenance, la gestion des utilisateurs et les corrections n'amusent pas les experts !
Il faut donc que les services de l'État disposent des moyens de recruter des experts et que ces derniers élaborent des stratégies claires, puis qu'ils sachent passer la balle à des industriels de confiance pour le développement de produits - autrement dit, qu'ils leur attribuent des marchés publics.
J'en viens au sujet de votre commission d'enquête. Si les critères de prix, de responsabilité sociétale des entreprises (RSE) et de performance technique sont maîtrisés par les acheteurs publics, il en va tout autrement des critères de sécurité. De fait, lorsque je dirigeais l'Anssi, j'ai constaté que, du fait d'un défaut de formation, les acteurs publics ne savent pas comment s'assurer de la sécurité des produits qu'ils achètent - nous avions du reste travaillé avec la direction des achats de l'État (DAE) à l'élaboration d'un guide à destination des acheteurs.
Quelques années plus tard, nous sommes exactement dans la même situation. Pour y remédier, il faudrait former les acheteurs dans ce domaine, mais il faudrait aussi que les donneurs d'ordre acceptent de payer un peu plus cher pour acquérir des solutions dont la sécurité et la disponibilité sont garanties. Cela suppose une volonté et un courage durables, car il est toujours plus facile d'acheter les mêmes produits que d'autres acheteurs, quitte, le cas échéant, à se tromper ensemble. Il est toujours plus dur d'avoir raison tout seul... Compte tenu des doutes qui continuent de peser sur la validité des critères de souveraineté, il faut encore beaucoup de courage pour intégrer ces critères et en payer le prix.
M. Dany Wattebled, rapporteur. - En tant que dirigeant de l'Anssi, vos conseils ont-ils été sollicités dans le cadre des marchés publics passés par l'Union des groupements d'achats publics (Ugap) ou par le Health Data Hub ? De combien d'agents disposiez-vous ?
Qu'est-ce qui s'oppose à l'introduction d'une clause de souveraineté dans les marchés publics ?
De nombreuses données sensibles ont été confiées à Microsoft. Selon vous, que fait la Commission nationale de l'informatique et des libertés (Cnil) et à quoi sert le RGPD ?
Nous avons bien compris que de nombreux marchés publics de fourniture ou d'hébergement passaient par l'Ugap, et que de nombreux marchés étaient attribués à Microsoft parce que l'Ugap disposait des produits de cette société dans son catalogue. Comment faire en sorte que les acteurs français qui sont capables de développer des solutions souveraines se voient attribuer des marchés publics ?
M. Guillaume Poupard. - Les rapports entre l'Anssi et l'Ugap ou d'autres structures se sont construits au fil du temps. Quand je suis arrivé à l'Anssi, l'agence était très jeune, et la confiance n'était pas établie. Nos efforts ont payé.
Lorsque nous avons constaté que les administrations achetaient des produits américains plutôt que les produits certifiés ou qualifiés par l'Anssi, au motif que ces derniers ne figuraient pas dans le catalogue de l'Ugap, nous nous sommes rapprochés de celle-ci pour remédier à cette situation, notamment par le biais d'une convention.
Pour ce qui est des projets, le cas du HDH est assez emblématique et je ne veux pas l'esquiver. Lorsque cette idée, très observée politiquement, a été lancée, j'ai indiqué aux conseillers de l'Élysée qui m'ont interrogé, au côté de la CNIL, sur la marche à suivre pour obtenir une solution sécurisée et réglementairement fiable qu'il y avait, selon moi, deux questions à traiter. La première concernait la sécurité et devait être prise en charge par l'Anssi. C'était en effet le devoir de l'agence, en tant qu'autorité nationale de cybersécurité, et sa mise à l'écart n'était pas une option. La seconde difficulté, plus politique, avait trait à la souveraineté. Sans vilain jeu de mots, je ne veux pas tirer sur une ambulance, mais, parmi les solutions qui étaient disponibles pour héberger le HDH, Microsoft était la mieux placée.
M. Dany Wattebled, rapporteur. - Des acteurs français nous disent aujourd'hui qu'ils auraient pu s'en charger.
M. Guillaume Poupard. - Ils auraient dû développer des solutions, mais ce n'est pas le choix qui a été fait, car il s'agissait d'aller vite.
M. Dany Wattebled, rapporteur. - Mais vous me confirmez que des acteurs français auraient pu répondre à l'appel d'offres ?
M. Guillaume Poupard. - À vrai dire, je ne suis pas certain qu'il y ait eu un appel d'offres, mais, plutôt que de pleurer sur le lait versé, je crois qu'il faut se concentrer sur ce qui se passe aujourd'hui. Or, aujourd'hui, il est certain que des acteurs français sont prêts ! Leur catalogue de services est certes moins complet que celui des Gafam, mais, lorsque l'on achète une voiture, on n'achète pas l'ensemble du catalogue de la marque. Aujourd'hui, les clouders français proposent les services dont nous avons besoin.
En matière d'hébergement, Amazon offre 200 ou 300 services. C'est très utile pour des acteurs qui souhaitent se lancer très vite, d'autant que tout est quasiment gratuit, même si la contrepartie est l'enfermement dans un environnement. Lorsque nous avons établi la feuille de route technologique de NumSpot, nous avons fait le tour de nos clients, notamment en interne - La Poste, la Caisse des dépôts et consignations -, et nous nous sommes rendu compte que 90 % des besoins étaient couverts par moins d'une dizaine de services. Nous n'avons donc pas un catalogue aussi étoffé que Microsoft, et cela durera sans doute. En revanche, les services que nous proposons couvrent les besoins du HDH.
En 2018-2019, il aurait fallu avoir le courage de financer le développement de solutions souveraines - je précise que cela se serait chiffré non pas en milliards, mais en millions d'euros. Nous pouvons donc à bon droit regretter d'avoir perdu du temps, sur ce projet comme sur d'autres, mais le passé est le passé.
J'estime qu'il faut avoir le courage d'instaurer les clauses de souveraineté. Le principal obstacle est que, sauf dans des cas très particuliers, relatifs à la défense ou à la sécurité nationale, ce serait considéré comme du protectionnisme au regard des règles de l'Organisation mondiale du commerce (OMC).
En France, nous avons pu instaurer la qualification SecNumCloud grâce à un accord interministériel. Dans le cadre des négociations relatives au EUCS (European Union Cybersecurity Scheme for Cloud Services), qui en est l'équivalent européen, nous avons plaidé pour l'adoption d'un système calqué sur le système français, qui a fait la preuve de son efficacité. On nous a opposé de violentes critiques, au motif que cela contreviendrait aux règles de l'OMC, si bien que la situation est actuellement bloquée - à un certain moment, j'ai même craint que le projet ne soit tout simplement abandonné ou aboutisse à un accord sur une norme ne garantissant pas la protection contre les législations extraterritoriales. Il revient in fine au politique d'assumer que nous souhaitons acheter des systèmes européens plutôt qu'américains ou chinois.
En la matière, la Cnil a été très courageuse. Elle se doit d'avoir une lecture juridique du problème. Les décisions d'adéquation de la Commission européenne - Safe Harbor, Privacy Shield, et Data Privacy Framework (DPF) - sont insupportables, car elles reviennent à mettre un voile pudique sur le non-respect du RGPD par le droit européen. On se rassure en se disant que c'est la condition pour développer le numérique en Europe, mais j'ai trouvé scandaleux que le DPF soit annoncé par la présidente de la Commission européenne en même temps que l'accord trouvé sur le gaz liquéfié américain dans le cadre de la crise ukrainienne. Chacune de ces décisions est ensuite cassée, notamment grâce à la détermination de l'avocat autrichien Max Schrems, mais, chaque fois, cela prend quatre ans, durée pendant laquelle les acteurs américains profitent cyniquement du système.
Il reste que nous avons des industriels français assez remarquables qui, au-delà des aides et des subventions, ont besoin de marchés publics pour se développer. Les produits américains sont certes performants, mais, en sus des subventions que les industriels ont probablement perçues, ils ont accès à un marché domestique qui est sans commune mesure avec le marché français.
Il ne faut donc céder ni au renoncement ni à la tentation de sauter des étapes. Il ne faudrait pas, notamment, renoncer au cloud pour nous concentrer sur l'intelligence artificielle, car il faudra bien opérer celle-ci dans un cloud. Nous avons les moyens, aujourd'hui, de maîtriser l'ensemble de la chaîne numérique.
Mme Catherine Morin-Desailly. - Sans pleurer sur le lait versé, il faut reconnaître que nous avons perdu dix ans. Nous avons raté une étape stratégique, ce qui permet à MM. Letta et Draghi de déplorer le déficit de politique industrielle européen.
Je rappelle, du reste, que c'est au Sénat, le 16 juillet 2020, que le Gouvernement avait été interrogé sur les raisons pour lesquelles aucun appel d'offres spécifique n'avait été lancé pour l'hébergement du HDH. Les entreprises que nous avons entendues nous indiquent, de plus, qu'elles ne candidatent pas tant les exigences sont nombreuses et les cahiers des charges complexes.
Vous avez mentionné les deux leviers que sont la formation des acheteurs et la volonté politique de se prémunir contre les risques, en particulier géopolitiques. Le risque de préemption de nos donnes est accru, en raison notamment de la faiblesse du troisième accord d'adéquation. J'estime qu'il est de notre devoir de nous doter d'outils sécurisés.
La doctrine « cloud au centre », avec la qualification SecNumCloud et la notion de cloud de confiance, a-t-elle été pensée comme un moyen de continuer à travailler avec Microsoft et avec les technologies américaines après le constat de l'impossibilité de confier sur le long terme l'hébergement du HDH à cette entreprise soumise au droit américain ? Cédric O, qui était alors secrétaire d'État chargé du numérique, vous a-t-il explicitement passé commande d'une telle solution ?
Estimez-vous que les dispositions de la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, dite loi Sren, suffiront à conduire le Gouvernement à adopter les solutions totalement immunes que vous avez décrites ? Le décret d'application, dont le projet a été transmis à Bruxelles, vous paraît-il suffisamment clair et étoffé en ce sens ?
M. Henri Cabanel. - Qui devrait, selon vous, former les acheteurs ? Et comment s'assurer que les acheteurs sont effectivement formés ?
Vous avez indiqué qu'il fallait s'affranchir des règles de l'OMC, mais préconisez-vous d'évaluer au préalable les difficultés juridiques auxquelles nous pourrions nous exposer, ou pensez-vous qu'il faut agir d'abord et aviser ensuite ?
M. Guillaume Poupard. - Actuellement, la géopolitique nous aide, car même ceux qui nous trouvaient paranoïaques sont dépassés. Il faut en profiter pour construire maintenant, avant un retour à une situation plus normale, sans laisser le temps passer. La commande publique doit devenir un véritable outil de politique industrielle, ce qui nécessite un rapprochement entre ces deux métiers différents, qui ne se croisent pas beaucoup actuellement.
S'agissant de la doctrine « cloud au centre », elle résulte d'un travail de la Dinum, mené en étroite coopération avec l'Anssi sur les questions de sécurité. Bien qu'il n'y ait pas eu de commande ministérielle écrite explicite, une pression s'est exercée pour faire durablement évoluer la situation du numérique dans le secteur public, et aucun frein n'a été opposé à son développement - bien au contraire.
Cette doctrine a été rédigée et portée politiquement ; elle l'est toujours, comme en témoigne le récent courrier de trois ministres - Mme Chappaz, Mme de Montchalin et M. Ferracci - rappelant qu'elle est d'application obligatoire dans toutes les administrations, qui doivent recourir à un cloud de confiance pour les usages publics.
De plus, les contrôleurs budgétaires et comptables ministériels (CBCM) seront désormais chargés de contrôler les achats de cloud et leur compatibilité avec cette doctrine, ce qui en fait un sujet budgétaire, et non plus seulement un problème des directions informatiques ministérielles. C'est une évolution très positive à mes yeux.
Cette doctrine a été davantage examinée, et critiquée, par certains partenaires européens, car la certification en elle-même ne traite pas de l'usage qui sera fait des labels créés. C'est lorsqu'il est question d'imposer la qualification SecNumCloud dans tout le périmètre concerné que les choses deviennent plus concrètes et suscitent des inquiétudes, comme on a pu le voir dans le cadre des débats sur la loi Sren. À l'échelle européenne, lors des négociations sur la certification EUCS, il a fallu rassurer certains de nos partenaires sur le fait que les systèmes de certification ne seraient pas utilisés de manière abusive en appliquant le plus haut niveau de sécurité à toutes les applications possibles. Il faut trouver le bon équilibre pour montrer une volonté de se doter d'outils performants sans pour autant prétendre vouloir les appliquer partout.
Faut-il que toutes les données publiques imaginables soient hébergées sur du cloud qualifié SecNumCloud ? On pourrait le souhaiter, mais cela pourrait s'avérer contre-productif et faire peur à nos partenaires. Il convient donc, par pragmatisme, de procéder par étapes, en commençant par les données sensibles. Pour autant, la définition de celles-ci ne va pas de soi, et ce travail impose d'accepter que certaines données soient moins sensibles - je le dis non par gaieté de coeur, mais par souci de pragmatisme. Le périmètre des données sensibles ne doit pas pour autant être trop réduit. Ainsi, les données issues de l'éducation, voire de la santé, ne sont pas formellement reconnues comme sensibles aujourd'hui.
Un travail collectif est nécessaire pour parvenir à finaliser cette définition, comme celui qu'a mené Docaposte au sein du nouveau comité stratégique de filière (CSF) dédié au numérique de confiance. De même, le décret d'application de l'article 31 de la loi Sren impose une telle réflexion : que fait-on, par exemple, des systèmes existants, comme le HDH ?
Ma principale crainte est le risque que les règles de dérogation et d'exclusion ne perdurent indéfiniment. Une décision doit venir, non des responsables techniques mais d'en haut, pour déterminer si nous sommes prêts ou non à avancer, indépendamment des surcoûts ponctuels liés à la nécessité de redévelopper certains systèmes complexes difficilement portables d'un cloud à l'autre. Bien que souhaitable, la portabilité est en effet bien plus complexe pour le cloud que pour les numéros de téléphone ou les comptes bancaires.
Nous disposons désormais de bonnes bases pour progresser, lesquelles ont fait l'objet de discussions et d'un vote. Une véritable impulsion est désormais indispensable. À ce titre, il appartient aux responsables, et non aux acheteurs, qui ne font qu'appliquer les consignes, de prendre les décisions, en tenant compte des risques identifiés par les juristes, tout en assumant certains d'entre eux, au cas par cas. Il n'y a pas de règle unique. Il faut faire du sur-mesure, mais la responsabilité revient bien aux décideurs.
En matière de formation, les acheteurs sont en mesure de rédiger les clauses et de procéder techniquement dès lors qu'ils auront reçu les orientations adéquates. Un travail avec la DAE sur ce sujet pourrait s'avérer fructueux à court terme, à l'image de celui qui a été mené précédemment sur la cybersécurité, pour la satisfaction de tous.
M. Dany Wattebled, rapporteur. - Toute donnée est sensible dès lors qu'elle concerne la vie privée et qu'elle peut être regroupée et exploitée. Le problème réside dans la donnée elle-même, indépendamment de sa nature.
Établir une gradation dans la sensibilité des données me semble bien difficile. Qu'il s'agisse d'informations relatives à la santé, aux assurances ou au patrimoine, à partir du moment où elles sont catégorisées, triées, accessibles, et dès lors que l'intelligence artificielle s'en empare, les données deviennent exploitables, donc sensibles.
M. Guillaume Poupard. - Je suis d'accord avec vous : il est aisé de citer des exemples de données sensibles, outre celles qui le sont réglementairement ou intuitivement. Le véritable enjeu réside dans le fait que l'accès global à une multitude de données non sensibles en elles-mêmes peut, par leur somme, revêtir un caractère sensible. Ce principe est d'ailleurs pris en compte dans la réglementation relative aux données de défense.
Que les acteurs numériques américains aient accès au contenu des téléphones de mes enfants, par exemple, ce n'est pas très grave, car ces informations ne relèvent pas du secret défense. Pour autant, l'agrégation des données de tous les enfants à l'échelle de la planète leur conférerait incontestablement une sensibilité aiguë.
Ma crainte est que vouloir tout faire évoluer en un seul coup ne conduise finalement à l'immobilisme.
Dans le domaine industriel - un exemple qui permet d'éviter les écueils liés au RGPD et aux données personnelles -, les données sont identifiées comme un secteur en très forte croissance, dépassant largement en volume les données personnelles, et connaissant une progression appelée à se poursuivre. Là encore, il peut s'agir de données techniques qui, prises indépendamment, n'ont aucune valeur ; cependant, lorsque l'on dispose de l'ensemble des données industrielles d'un grand groupe, il en va tout autrement.
Je sais que vous percevez combien mon argumentation manque de conviction : cela reflète mes propres doutes sur le sujet.
M. Simon Uzenat, président. - Nous sommes nombreux à considérer, dans cette commission d'enquête sur la commande publique, que toute donnée publique est, par définition, sensible.
Certes, des degrés peuvent exister dans la sensibilité, mais le principe doit demeurer que toutes ces données sont sensibles. Les auditions de représentants d'établissements d'enseignement supérieur, par exemple, ont montré que même des données à caractère simplement administratif pouvaient, une fois compilées, servir à l'intelligence économique ou à bien d'autres finalités.
Notre sujet est bien cette préoccupation et sa traduction. S'il n'est pas nécessaire d'appliquer le label SecNumCloud à toutes les données publiques, l'immunité aux législations extraterritoriales doit en revanche pouvoir s'appliquer automatiquement dans le cadre des marchés qui emportent un traitement de ces données.
La commission délibérera le moment venu, mais cela fera très probablement partie des orientations qui seront portées de façon consensuelle.
Par ailleurs, la question des assistants à maîtrise d'ouvrage a été soulevée, car il s'agit d'un sujet récurrent. Vos différentes expériences, à l'Anssi puis à Docaposte, pourraient éclairer ce point, car les adhérences capitalistiques entre les acteurs contribuent au retard que nous avons pris. La responsabilité est certes collective, mais les Amoa jouent un rôle particulier dans le processus.
Le courrier des ministres auquel vous avez fait référence pour rappeler la nécessité de respecter les règles existantes nous semble choquant. Cela interpelle fortement sur la prise en compte et sur la prise de conscience politique de l'urgence et du caractère non négociable de ces prescriptions, même si des problèmes de formation ou de maturité peuvent être invoqués. Les auditions de ministres actuels ou passés que nous réaliserons prochainement leur permettront de rendre compte de leurs actions et de leurs décisions en la matière.
De vos propos ressort bien le sentiment, largement étayé par les faits au fil de nos auditions, que du temps a été perdu en la matière.
Quant à la souveraineté sur les données et aux mentions visant à garantir notre immunité à l'égard des législations extraterritoriales, il ne s'agit pas de protectionnisme. Si tel était le cas, cela reviendrait à admettre que les États se comportant comme des empires conquérants dans le monde numérique auraient toujours raison, ce qui n'est pas acceptable.
La logique économique et capitalistique peut être entendue, mais la protection des données et le respect de notre souveraineté juridique ne sont pas négociables. A notre connaissance, la Banque centrale européenne a introduit des clauses en ce sens dans des marchés récents. Si cela devait nous conduire à prendre un risque à l'égard d'organisations internationales - aujourd'hui bien mal en point... -, il faudrait l'accepter. Ce sera, là aussi, une parole forte portée par notre commission.
M. Guillaume Poupard. - Le label SecNumCloud est né d'une volonté d'offrir un niveau de qualité élevé. Il serait dénué de sens de rechercher des solutions immunes au droit non européen, sans se préoccuper de leur sécurité. Remettons les choses dans le bon ordre : il faut avant tout des solutions sûres et fonctionnelles. Un cloud qui ne fonctionnerait pas correctement, même s'il était parfaitement conforme aux couleurs nationales, ne servirait objectivement à rien.
C'est le discours que je tenais à l'Anssi auprès des industriels français : faites de bons produits, puis mettez en valeur leur caractère souverain et digne de confiance. Ce n'est pas parce qu'un produit est souverain qu'il se vendra, s'il est de mauvaise qualité.
M. Simon Uzenat, président. - Les différentes auditions menées, notamment celles de France Digitale, d'Hexatrust et de différents opérateurs économiques, ont toutes confirmé que la sécurité était au coeur de leur activité et de leurs préoccupations, et qu'ils étaient aujourd'hui largement au niveau.
En tant que garants des intérêts de la Nation, le sujet de la sécurité est évidemment central pour nous, et nous sommes aujourd'hui prêts à affirmer que les solutions françaises et européennes n'ont rien à envier, notamment en matière de sécurité, aux systèmes proposés par des puissances étrangères.
M. Guillaume Poupard. - Il s'agit bien de concilier sécurité et souveraineté. Le label SecNumCloud correspond à un niveau de sécurité élevé, dont tout ne doit probablement pas relever.
Ce référentiel vise à répondre à l'une des obsessions de l'Anssi, liée au fait que le cloud est, pour schématiser, un système au sein duquel de nombreux utilisateurs cohabitent. S'il s'avère que, derrière le client voisin, il y a les services russes, une isolation très forte entre les différents clients sera appréciée. C'est complexe à mettre en oeuvre et il en résultera un coût opérationnel pour les opérateurs, mais nous savons le faire. Cet effort est précisément celui qu'exige la qualification SecNumCloud, car nous faisons cette hypothèse qui peut paraître un peu folle, mais qui est très réaliste dans certains cas.
Cependant, cela ne s'applique pas à toutes les situations : chez Docaposte, où les systèmes de cloud privé internes sont en train d'être refondus complètement, les clients sont les business units de l'entreprise. Sauf très mauvaise surprise, aucune d'entre elles ne travaille pour les services russes, ce qui permet de relâcher certaines contraintes par rapport à SecNumCloud. Pour des acteurs de cloud privé, c'est en revanche plus difficile.
Certains ont pu juger le processus trop compliqué, trop cher, trop long ou trop lourd : c'est le prix à payer pour des systèmes de cloud public véritablement sûrs.
Lorsque j'étais à l'Anssi, je demandais à ceux qui se plaignaient de la complexité de SecNumCloud quelle règle ils souhaitaient supprimer, sans jamais obtenir de réponse intelligente. Tel est, malheureusement, le prix à payer pour disposer de quelque chose de robuste. Or nous avons besoin de construire notre numérique sur des fondations robustes.
Les Amoa sont-ils manipulés ? Ils sont là pour aider leurs clients et pour faire des affaires. J'observe, concernant notre offre NumSpot, que la plupart des acteurs du domaine n'ont pas prétendu vouloir travailler exclusivement avec nous - le contraire serait absurde de leur part -, mais qu'ils nous ont rapidement intégrés à leur catalogue et que nous avons répondu ensemble à des appels d'offres de référencement, notamment pour des centrales d'achat.
À mon sens, les Amoa répondent au marché et à ce que leurs clients leur demandent ; je ne les considère pas forcément comme des suppôts vendus aux acteurs américains ou chinois, même s'il peut exister des contre-exemples. Si le décideur exprime sa volonté d'utiliser du cloud de confiance européen, l'Amoa l'accompagnera pour en acheter et en intégrer. S'en prendre uniquement à ce dernier serait probablement inefficace.
M. Simon Uzenat, président. - Ce n'est pas ce que nous faisons, mais nous avons constaté l'existence de liens parfois très étroits, y compris sur le plan capitalistique, entre certains acteurs, ce qui est d'ailleurs publiquement reconnu dans un certain nombre de cas - et cela peut se comprendre.
M. Guillaume Poupard. - Ils se tournent surtout vers ce qui est efficace, vers ce qui fonctionne et plaît à leurs clients.
M. Simon Uzenat, président. - C'est l'histoire de l'oeuf et de la poule : si la responsabilité politique au plus haut niveau est indéniable, les élus locaux n'ont pas la capacité de structurer des filières à l'échelle de leur territoire, et ne vont donc pas se lancer dans une croisade sur la souveraineté numérique. Ils se fieront aux experts, réels ou supposés, et à la parole des Amoa, lesquels expliqueront que tel système a déjà été déployé avec succès dans plusieurs collectivités de taille équivalente. Même s'ils mentionnent, au fil de la discussion, l'existence d'une solution souveraine, ils insisteront surtout sur celle qui aura déjà été déployée, connue et sécurisée. Certes, le choix revient à la collectivité, mais il y a une orientation.
M. Guillaume Poupard. - Vous avez raison, mais les Amoa sont souvent un miroir renvoyant à leurs clients ce qu'ils veulent entendre. Un bon Amoa aidera un client qui souhaite réellement acheter français à le faire ; en revanche, si le client espère avant tout s'entendre dire qu'il n'y a pas d'autre choix que Microsoft, l'Amoa ne le détrompera pas. Ce n'est d'ailleurs probablement pas son rôle.
M. Simon Uzenat, président. - On pourrait pourtant entendre, dans vos propos sur la sécurité, une forme de prévention - à tout le moins - à l'égard des solutions françaises et européennes, et l'idée que, de l'autre côté, les solutions américaines seraient parfaitement sûres, la souveraineté étant un autre sujet.
Nous jouons un rôle de prescripteurs ou, tout au moins, d'orientation dans la réflexion. De notre point de vue, il ne s'agit pas d'affirmer que tout est de la responsabilité des Amoa, mais ceux-ci font partie d'un système qui a conduit notre pays, et notre continent, à prendre du retard ; nous pouvons collectivement en convenir.
Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
La réunion est close à 14 h 35.
Problématique de la commande publique dans les collectivités d'outre-mer - Audition de Mmes Karine Delamarche, directrice générale adjointe des outre-mer, Laetitia Malet, déléguée générale adjointe de l'Association des communes et collectivités d'outre-mer (ACCDOM), MM. Anthony Lebon, administrateur et président de la commission BTP-Logement de la Fédération des entreprises des outre-mer (FEDOM) (en visioconférence), et Dominique Vienne, président du Conseil économique et social régional de La Réunion, ancien président de l'association de la stratégie du bon achat et du Haut Conseil de la commande publique de La Réunion (en visioconférence)
Le compte rendu sera publié ultérieurement
Mercredi 28 mai 2025
Audition de M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI)
Le compte rendu sera publié ultérieurement
Audition de M. Gaël Menu, directeur général de SCC France, entreprise titulaire du marché « multi-éditeurs » de l'Union des groupements d'achats publics (Ugap)
Le compte rendu sera publié ultérieurement
Audition de M. Christian Vigouroux, président de section honoraire au Conseil d'État, auteur du rapport au Premier ministre « Sécuriser l'action des autorités publiques dans le respect de la légalité et des principes du droit »
Le compte rendu sera publié ultérieurement