- Mardi 10 juin 2025
- Audition de MM. Anton Carniaux, directeur des affaires publiques et juridiques, et Pierre Lagarde, directeur technique du secteur public, de Microsoft France
- Audition de Mme Agnès Buzyn, ancienne ministre des solidarités et de la santé
- Audition de M. Cédric O, ancien secrétaire d'État chargé du numérique
- Audition de Mme Clara Chappaz, ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée de l'intelligence artificielle et du numérique
- Mercredi 11 juin 2025
Mardi 10 juin 2025
- Présidence de M. Simon Uzenat, président -
La réunion est ouverte à 9 h 05.
Audition de MM. Anton Carniaux, directeur des affaires publiques et juridiques, et Pierre Lagarde, directeur technique du secteur public, de Microsoft France
M. Simon Uzenat, président. - Nous clôturons cette semaine les auditions plénières de notre commission d'enquête avant d'engager la phase de finalisation de nos travaux, qui devrait aboutir à un examen de notre rapport le mardi 1er juillet prochain.
Avant cela, nous poursuivons aujourd'hui l'étude du rôle que la commande publique peut jouer pour promouvoir la souveraineté numérique européenne. Nous avons reçu ces dernières semaines de nombreux acteurs institutionnels et économiques qui nous ont fait part des risques que fait courir, en matière d'hébergement des données publiques, le recours à des opérateurs soumis à des législations extraterritoriales. Dans le même temps, le constat de notre « adhérence », voire notre addiction, à ces mêmes opérateurs ne fait aucun doute.
Nous avions jusqu'à présent entendu des acteurs nationaux du cloud et de l'économie numérique en général. Il nous a semblé indispensable de recevoir l'un des acteurs américains dont les produits et la position dominante ont été mentionnés à plusieurs titres lors de nos auditions, en matière de fournitures d'outils bureautiques, avec Office 365, et d'hébergement des données en cloud, avec la solution Azure, retenue notamment pour la Plateforme des données de santé (PDS) : je veux parler de Microsoft.
Nous recevons donc M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, et M. Pierre Lagarde, directeur technique du secteur public.
Je vous informe que cette audition sera diffusée en direct sur le site du Sénat et fera l'objet d'un compte rendu publié. Je rappelle également qu'un faux témoignage devant notre commission d'enquête sera passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal, soit 75 000 euros d'amende et jusqu'à cinq ans d'emprisonnement, voire sept ans en fonction des circonstances. Je vous invite à prêter successivement serment de dire toute la vérité, rien que la vérité, en levant la main droite et en disant : « Je le jure. »
Conformément à la procédure applicable aux commissions d'enquête, MM. Anton Carniaux et Pierre Lagarde prêtent serment.
Microsoft est un acteur international dont les logiciels et services font partie de notre vie quotidienne. Cette position dominante, mais aussi l'étendue des fonctionnalités offertes et le haut niveau d'interopérabilité atteint, ont contribué à le rendre incontournable aujourd'hui dans la sphère publique. Pourtant, en tant qu'entreprise américaine, Microsoft est soumise à diverses législations extraterritoriales qui lui imposent de transmettre les données qu'elle héberge aux autorités sans en informer leur propriétaire. Avez-vous pris conscience des difficultés que cela peut susciter aux yeux de vos clients privés, mais aussi de l'État, surtout lorsqu'il s'agit de données sensibles, comme celles de la PDS ?
Pour y remédier, vous avez mis en place un partenariat avec les entreprises Orange et Capgemini pour offrir vos produits dans un cadre souverain, qui bénéficierait de la qualification SecNumCloud, qui n'a pas encore été attribuée à ce jour : c'est le projet Bleu. Pouvez-vous nous en dire plus sur son état d'avancement, ses perspectives de déploiement et surtout son montage juridique, technique et capitalistique permettant à vos solutions d'être, dans ces conditions, immunes face aux lois extraterritoriales américaines ?
Des exemples récents ne nous ont pas rassurés en la matière, comme l'information selon laquelle votre entreprise aurait, à la demande des autorités américaines, bloqué l'adresse de messagerie électronique du procureur de la Cour pénale internationale (CPI). Dans le contexte géopolitique actuel, pourriez-vous être contraints de couper l'accès à vos technologies pour Bleu ? Quelles seraient dans ce cas les perspectives d'exploitation, ou plutôt de survie, de celui-ci ?
D'une manière plus générale, vous pourrez nous faire part de l'approche de votre entreprise à l'égard de la commande publique : s'agit-il d'un relais de croissance dont vous vous saisissez pleinement ou d'une activité plutôt annexe ?
Je vous rappelle que, si vous estimez que des éléments qui vous sont demandés sont couverts par le secret des affaires, vous pouvez refuser de les fournir dans le cadre de la présente audition publique. Vous devrez toutefois les communiquer par écrit à la commission d'enquête.
M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France. - Merci de nous donner l'opportunité de contribuer à vos travaux. Je commencerai par vous présenter brièvement l'activité de Microsoft, avant d'exposer plus en détail certaines de ses spécificités françaises et européennes.
Microsoft est une entreprise technologique dont la mission est de donner à chaque individu et à chaque organisation les moyens de réaliser ses ambitions. Pour ce faire, nous accompagnons la transformation numérique de nos clients, qu'ils soient publics ou privés, à travers différentes solutions : informatique en nuage avec la plateforme Azure, intelligence artificielle (IA) avec Copilot, cybersécurité, matériels informatiques, ou encore outils de collaboration comme Office. Ces technologies sont toutes adaptées aux besoins de nos clients et conformes aux exigences réglementaires françaises.
Il me paraît essentiel de rappeler que, en amont de la commande publique, il existe un vrai besoin public défini par l'État. Le Gouvernement l'a exprimé en mars 2024 dans sa feuille de route stratégique pour la décennie numérique qui comporte plusieurs axes : renforcer les compétences numériques, déployer des infrastructures durables, accélérer la transformation numérique des entreprises et moderniser les services publics.
Cela se traduit par des initiatives concrètes comme la facturation électronique, le guichet unique, l'amélioration du système de santé, y compris au travers de la dématérialisation des aspects administratifs, la lutte contre la fraude fiscale, notamment grâce à l'IA - autant de projets essentiels pour le citoyen, qui nécessitent des capacités informatiques extrêmement robustes en matière de stockage, de traitement et de protection des données.
C'est précisément à ces attentes de la commande publique que Microsoft, comme l'ensemble de son écosystème de partenaires, s'efforce de répondre.
Concrètement, nous proposons des technologies flexibles qui permettent aux entreprises privées et à la commande publique de choisir librement leur mode de déploiement : dans des centres de données opérés en propre par nos clients, mais également par des cloud communautaires de l'État comme Pi au ministère de l'intérieur, au travers de capacités informatiques en nuage souverain comme Bleu, ou encore sur nos infrastructures lorsque la nature des données le permet. Cette flexibilité garantit aux acheteurs un haut niveau de maîtrise, de sécurité et d'interopérabilité pour la gestion de leurs données.
J'en viens aux spécificités que je souhaite mettre en avant. Microsoft est une entreprise solidement implantée en France depuis quarante ans, avec un fort ancrage dans les territoires. Elle exerce un effet d'entraînement important sur l'économie et veille activement à contribuer à l'intérêt général.
Nous comptons aujourd'hui 2 200 collaborateurs et nous nous appuyons sur un écosystème extrêmement solide de 10 500 partenaires, à Paris et en région : entreprises de services numériques, éditeurs, start-ups, acteurs publics et académiques. Ensemble, ils contribuent à faire vivre l'innovation française au quotidien.
Nous avons annoncé en mai 2024, au sommet Choose France, un investissement massif de 4 milliards d'euros pour développer une infrastructure cloud et IA de pointe. À cela s'ajoute un engagement à former un million de Français aux technologies de l'IA d'ici à 2027 et à accompagner 2 500 start-ups dans leur adoption de l'IA. Ces investissements majeurs reflètent notre engagement de long terme en France et permettront, j'en ai la conviction, un alignement sur les ambitions des politiques publiques françaises.
Nous avons une empreinte économique forte et un effet d'entrainement réel. Notre écosystème, qui représente 80 000 emplois en France, s'étend des très petites entreprises (TPE) aux grands groupes, en passant par les petites et moyennes entreprises (PME) et les entreprises de taille intermédiaire (ETI). Tous ces acteurs peuvent développer, intégrer, revendre ou distribuer nos solutions au profit de la commande publique ou des entreprises privées. Pour chaque euro de revenu pour Microsoft, 6 euros de chiffre d'affaires sont générés au profit de l'économie française.
Nous soutenons également l'innovation. En effet, un quart de nos partenaires déposent au moins un brevet sur notre plateforme technologique, et depuis 2008, plus de 6 000 start-ups et entrepreneurs ont été accompagnés par Microsoft en France. Nous avons notamment mis en place des antennes régionales - Nantes, Lyon, Marseille, Bordeaux, Toulouse -, qui sont des carrefours d'innovation dédiés à l'IA. En 2024, nous avons accueillis 10 000 visiteurs : PME, ETI, start-up et autres partenaires. En 2023, nous avons accompagné 65 000 TPE et PME pour intégrer de nouvelles technologies, notamment de l'IA.
Concernant les partenariats technologiques, nous en avons signé un important avec Mistral AI, leader européen des grands modèles de langage. Ce partenariat vise à favoriser l'innovation réciproque. Il permet aussi l'expansion internationale de Mistral et offre aux clients Microsoft un accès aux grands modèles de langage de cette entreprise. C'est un exemple emblématique, mais nous avons d'autres partenariats, car Microsoft croit à la force des partenariats comme vecteurs d'innovation partagée ; ils apportent beaucoup de valeur et de choix à nos clients. À titre d'exemple, sur notre place de marché, nous accueillons de nombreux modèles de langage tiers, y compris des modèles français, ce qui leur donne de la visibilité sur le marché de l'IA.
Du côté de la formation et de l'inclusion numérique, nous sommes très engagés. J'ai mentionné notre objectif de former un million de Français à l'IA d'ici à 2027. Cet engagement s'est concrétisé récemment à travers un site internet qui ouvre l'accès à 200 ressources et qui permet de personnaliser le parcours de formation en fonction du profil de chaque utilisateur.
Nous avons aussi noué des partenariats avec France Travail pour former plus spécifiquement les demandeurs d'emploi à l'IA générative. Nous collaborons également depuis plusieurs années avec Simplon, une entreprise de l'économie sociale et solidaire qui a créé un réseau d'écoles initialement axé sur la cybersécurité et qui s'oriente depuis quelques années vers l'IA. Ces formations sont intensives, gratuites, et visent particulièrement à accroître la représentation des femmes dans le secteur de la technologie.
Autre spécificité importante : notre engagement fort en faveur de la souveraineté numérique européenne et française.
Je souhaite à ce titre répondre à votre question sur ce que nous faisons dans le contexte géopolitique actuel, qui est particulièrement complexe. Le 30 avril dernier à Bruxelles, Brad Smith, notre président, a présenté une série d'engagements structurants pour l'Europe, et bien sûr pour la France : premièrement, développer un écosystème d'informatique en nuage et d'IA de classe mondiale, avec une augmentation de la capacité de nos centres de données en Europe de 40 % d'ici à 2027 ; deuxièmement, garantir la résilience numérique du continent ; troisièmement, protéger à tout prix l'intégrité des données de nos clients ; quatrièmement, renforcer la cybersécurité ; cinquièmement, soutenir la compétitivité et l'innovation ouverte - l'open source - en Europe.
Sur la cybersécurité en particulier, le 4 juin dernier, Brad Smith annoncé le lancement d'un programme européen de sécurité, mis gratuitement à disposition des États membres. Ce programme met l'accent sur le partage accru de renseignements concernant les menaces émanant de certains États hostiles, notamment via l'utilisation de l'IA.
Pourquoi allons-nous aussi loin en matière de cybersécurité ? Parce que, au-delà des enjeux de souveraineté, qui sont bien entendu essentiels, notre priorité est de garantir aux utilisateurs des outils Microsoft, y compris dans le cadre de la commande publique, le meilleur niveau de cybersécurité possible. Depuis trois ans, nous avons énormément investi dans un modèle où, au-delà du stockage des données des clients en Europe, leur traitement s'effectue également exclusivement en Europe, sauf demande contraire explicite de leur part. Autre exemple intéressant : le confidential computing est une solution qui protège les données en cours d'usage, et pas seulement au repos ou en transit. Microsoft ne peut en aucun cas accéder à ces données, sauf autorisation expresse du client.
Concernant Bleu, que vous avez mentionné, il s'agit d'une entreprise totalement indépendante de Microsoft, créée par Capgemini et Orange. Nous sommes fournisseurs technologiques, et nous avons mis en place un système qui permet de séparer cette informatique en nuage de celle de Microsoft, afin de la protéger de tout effet extraterritorial. À cela s'ajoute une séparation juridique, en vertu de laquelle Microsoft n'est pas présent au capital de Bleu.
Je souhaite partager une conviction profonde : la confiance se gagne sur des années, par un travail constant et patient, mais elle peut se perdre en quelques jours, voire en quelques secondes. Si Microsoft est aujourd'hui une entreprise importante à l'échelle mondiale, et leader en France, c'est parce que nous considérons la confiance comme notre bien le plus précieux. Elle nous oblige et jamais nous ne la compromettrons par un comportement qui ne serait pas conforme aux lois ou aux bonnes pratiques, dans quelque pays que ce soit.
Respecter les règles et protéger les données de nos clients n'est pas du tout une option pour nous ; c'est une obligation qui s'inscrit dans notre politique d'entreprise. J'espère que ce propos liminaire, ainsi que les réponses que nous apporterons à vos questions, sauront vous en convaincre.
M. Dany Wattebled, rapporteur. - Nous vous remercions pour ces explications, qui nous rassurent. Néanmoins, en février 2025, Microsoft a suspendu l'accès aux services de messagerie cloud de la CPI, en réponse à des sanctions américaines paralysant cette institution internationale basée en Europe. Comment justifiez-vous cette décision, alors que Microsoft est censé protéger les données souveraines numériques ? Cela ne prouve-t-il pas que Microsoft privilégiera toujours, avec le Cloud Act, les injonctions américaines à ses engagements envers ses clients européens, y compris les administrations françaises ?
M. Anton Carniaux. - Ce que vous avez pu lire dans la presse à ce sujet est faux, car nous n'avons jamais suspendu ni coupé l'accès aux services de la CPI. La bulle médiatique a contribué à faire croire cette idée, mais ce n'est pas le cas. Nous avons discuté avec la CPI depuis le début pour trouver une solution, sans que cela se traduise par une action de coupure ou de suspension de notre part.
M. Simon Uzenat, président. - Vous dites que cela ne s'est pas traduit pas une suspension. Il y a donc eu un acte en particulier ?
M. Anton Carniaux. - Qui n'est pas de notre fait.
M. Simon Uzenat, président. - Dans l'exécution de cet acte, avez-vous été impliqués ou non ?
M. Anton Carniaux. - Non, nous avons juste discuté avec la CPI. Nous n'avons pas coupé physiquement ses accès.
M. Simon Uzenat, président. - Vous n'êtes pas intervenus d'aucune manière ?
M. Anton Carniaux. - Juste dans un dialogue avec la CPI ; mais pas techniquement.
M. Dany Wattebled, rapporteur. - Microsoft est soumis au Cloud Act, qui permet aux autorités américaines d'accéder aux données stockées en Europe. Comment pouvez-vous garantir, avec des preuves concrètes, que les données des administrations publiques françaises, gérées via les contrats de l'Union des groupements d'achats publics (Ugap), ne seront jamais transmises au gouvernement américain ? Quels mécanismes techniques et juridiques précis empêchent cet accès ?
M. Anton Carniaux. - D'un point de vue juridique, nous nous engageons contractuellement à l'égard de nos clients, y compris ceux du secteur public, à résister à ces demandes lorsqu'elles ne sont pas fondées. Nous avons mis en place un système très rigoureux, initié sous l'ère Obama par des actions en justice contre des requêtes des autorités, qui nous permet d'obtenir des concessions de la part du gouvernement américain. Nous commençons par analyser très précisément la validité d'une demande et la rejetons si elle est infondée. Nous demandons à ce qu'elle soit réorientée vers le client dans la mesure du possible. Lorsque cela s'avère impossible, nous répondons dans des cas extrêmement précis et limités. Je précise que le Gouvernement ne peut pas formuler des demandes qui ne sont pas définies précisément, avec un champ étroit. Par ailleurs, si nous devons communiquer, nous demandons à pouvoir notifier le client concerné.
Ce processus fonctionne très bien, comme en témoignent les rapports de transparence que nous publions deux fois par an. Ceux-ci présentent des statistiques sur les cas auxquels nous avons été confrontés. Or, depuis trois ans, aucune demande en la matière n'a affecté une entreprise européenne.
M. Dany Wattebled, rapporteur. - Qu'est-ce qu'une demande fondée ou non fondée, selon vous ?
M. Anton Carniaux. - Sous l'ère Obama, les demandes pouvaient être très larges, mal définies et peu explicites sur le plan juridique. Cependant, au fil du temps et après avoir porté l'affaire devant la Cour suprême, nous avons obtenu qu'elles soient beaucoup plus cadrées, précises, justifiées et fondées juridiquement.
M. Dany Wattebled, rapporteur. - Lorsque la demande est bien cadrée, vous êtes obligés de transmettre les données ?
M. Anton Carniaux. - Tout à fait, en respectant ce processus. Mais encore une fois, cela n'a affecté aucune entreprise européenne, ou organisme du secteur public, depuis que nous publions ces rapports de transparence.
M. Pierre Lagarde, directeur technique du secteur public de Microsoft France. - Conformément à nos engagements contractuels, nous chiffrons les données au repos, dans les data centers de Microsoft, et en transit, avec des clefs de chiffrement qui ne sont données à aucune entité.
M. Dany Wattebled, rapporteur. - Le Contrôleur européen de la protection des données (EDPS) a constaté en 2024 que Microsoft 365 violait le règlement (UE) 2018/1725 en transférant des données hors de l'Union européenne (UE) sans garanties adéquates. Comment Microsoft France peut-il assurer à nos administrations qui achètent des services via l'Ugap que leurs données personnelles seront protégées ?
M. Anton Carniaux. - Le texte auquel vous faites référence n'est pas le règlement général sur la protection des données (RGPD). Si la philosophie est la même, des nuances peuvent expliquer la position de cette autorité.
M. Pierre Lagarde. - Depuis trois ans, nous avons mis en place un environnement technique pour réduire au maximum le transfert des données et conserver celles-ci sur le sol européen. Depuis janvier 2025, en vertu d'une garantie contractuelle, les données de nos clients européens ne sortent pas de l'UE, qu'elles soient au repos, en transit ou en traitement, ou qu'il s'agisse de données générées par des logs applicatifs, y compris pour la partie support. Ces travaux sont importants pour sécuriser et minimiser ces transferts techniques.
M. Dany Wattebled, rapporteur. - Je poserai une question plus financière. Il est établi que les contrats de l'Ugap avec Microsoft passent par Microsoft Ireland. Pouvez-vous confirmer que toutes les facturations et les données des administrations françaises transitent par l'Irlande, entraînant un manque à gagner sur le plan fiscal ? Si oui, comment la souveraineté numérique française est-elle respectée, sachant que ces données peuvent aussi être soumises au Cloud Act ?
M. Pierre Lagarde. - Sur la partie technique, nous restons dans l'Union européenne. Par conséquent, les scénarios sont exactement les mêmes que ceux que j'ai cités précédemment. S'agissant de la partie locale française, les clients français peuvent aujourd'hui choisir des services qui seront stockés et traités en France, bien qu'il existe d'autres services à périmètre technique européen.
M. Dany Wattebled, rapporteur. - Pour la partie financière, est-ce l'Ugap qui demande que cela soit facturé en Irlande, ou est-ce vous ? Il existe en effet un manque à gagner de TVA pour l'administration française.
M. Anton Carniaux. - Je suis surpris par vos propos, car tous nos marchés sont facturés en France. Et nous ne facturons pas directement les clients publics ; nous facturons nos distributeurs, qui eux-mêmes revendent, via l'Ugap, à des acteurs publics. Ainsi, tout le revenu est localisé en France.
M. Dany Wattebled, rapporteur. - Pourriez-vous nous confirmer par écrit tous les éléments qui concernent ce point ?
M. Anton Carniaux. - Bien sûr .
M. Simon Uzenat, président. - Il nous a été rapporté que Microsoft aurait communiqué, dans le cadre du programme de surveillance électronique Prism, la clé de chiffrement d'Outlook à la National Security Agency (NSA). Confirmez-vous ces éléments ?
M. Pierre Lagarde. - Je ne dispose pas de cette information et ne peux donc vous répondre.
M. Dany Wattebled, rapporteur. - En ce qui concerne le projet Bleu, lancé en partenariat avec Capgemini et Orange, vous nous avez en partie rassurés. Confirmez-vous que Microsoft n'est pas entrée, d'une manière ou d'une autre, au capital de la société Bleu ?
M. Anton Carniaux. - Nous le confirmons, notre société n'y est entrée en aucune façon.
M. Dany Wattebled, rapporteur. - Vous avez indiqué que Microsoft s'était engagée juridiquement contre toute demande inappropriée relative aux données européennes. Dans le cas d'une injonction américaine, qui serait fondée en droit, seriez-vous tenu de transmettre des données ?
M. Anton Carniaux. - C'est la conclusion de ce processus que je vous ai décrit. Lorsque nous sommes obligés de les donner, nous les donnons. Mais aucune des entreprises européennes qui figurent parmi nos clients n'a été concernée par un tel cas.
M. Dany Wattebled, rapporteur. - Monsieur Carniaux, en tant que directeur des affaires publiques et juridiques, vous représentez Microsoft France auprès des décideurs publics. Pouvez-vous garantir devant notre commission, sous serment, que les données des citoyens français confiées à Microsoft via l'Ugap ne seront jamais transmises, à la suite d'une injonction du gouvernement américain, sans l'accord explicite des autorités françaises ?
M. Anton Carniaux. - Non, je ne peux pas le garantir, mais, encore une fois, cela ne s'est encore jamais produit.
M. Simon Uzenat, président. - Dans les rapports de transparence de Microsoft, qui sont le résultat d'une démarche purement déclarative, figurent les éléments que vous voulez bien y faire figurer, et leur réalité n'est attestée par aucun contrôle extérieur. De la même façon, vous dites prendre des initiatives en matière de transmission de données, et nous voulons bien vous croire sur ce point. Pour autant, si vous décidiez de n'informer vos clients français qu'une fois sur deux ou trois, ceux-ci n'auraient aucune possibilité de savoir ce qu'il en est précisément. Pouvez-vous nous le confirmer ?
Notre préoccupation est de comprendre les conditions de mise en oeuvre de ces législations extraterritoriales ; hormis votre bonne foi, quelle garantie pouvons-nous avoir de la mise en place systématique de ces dispositifs ?
M. Anton Carniaux. - Votre question est tout à fait légitime.
Premièrement, dans les rapports de transparence de Microsoft figurent des cas pour lesquels nous admettons avoir communiqué des données, mais aucune entreprise européenne n'a été concernée. Il serait pour le moins étonnant de notre part de biaiser les seuls résultats relatifs à l'Europe. Je tiens donc à vous rassurer sur ce point.
Deuxièmement, le modèle économique de Microsoft a pour objectif de susciter la confiance de nos clients. Si nous ne faisions pas preuve de transparence et que cela devait se savoir, cette confiance serait totalement rompue et des années de travail en ce sens seraient mises à bas.
M. Pierre Lagarde. - Les investissements que nous avons consacrés depuis plus de quatre ans au projet Bleu garantissent l'autonomie complète dudit projet, puisque cette société est à 100 % française.
M. Simon Uzenat, président. - Sur le plan capitalistique, certes, mais pas sur celui de la technologie, puisque celle-ci est fournie par Microsoft... Nombre d'acteurs que nous avons interrogés nous ont confirmé que, si pour une raison pour une autre, les liens technologiques étaient rompus provisoirement ou définitivement entre les sociétés, cette solution pourrait, en l'absence de mise à jour, devenir assez rapidement obsolète. Il est normal que vous défendiez les intérêts de votre entreprise ; pour autant, il y a là une fragilité sur la question technologique.
M. Pierre Lagarde. - L'empilement technologique de l'ensemble des acteurs de l'informatique dans le nuage est tel que la dépendance à l'égard de certaines solutions, dont plusieurs sont américaines, est aujourd'hui un fait. Il est vrai que le projet Bleu sera dépendant d'une pile technologique de Microsoft, mais il faut bien comprendre que nous parlons là non pas seulement d'une infrastructure, mais aussi d'une plateforme et de logiciels, ce qui est techniquement très large, offrira une solution moderne au travers de cette bulle souveraine et permettra de bâtir des projets ambitieux pour l'État et nos start-ups.
Une partie du projet dépend de la technologie Microsoft et une autre est en open source. Microsoft reste un grand contributeur à l'open source pour les solutions cloud ; il faut donc envisager ce sujet dans sa globalité.
Enfin, il y a une séparation technologique complète entre le projet Bleu et les solutions cloud public de Microsoft.
M. Simon Uzenat, président. - Vous parlez d'une séparation technologique complète. Certes, mais il existe malgré tout des briques technologiques qui sont, de fait, propriété de Microsoft. Sinon, le dispositif n'aurait pas été présenté de cette façon.
M. Anton Carniaux. - Microsoft fournit la technologie, mais le centre de données opéré par Bleu sera sa propriété.
Pour ce qui concerne les mises à jour, nous savons que certaines personnes auditionnées par votre commission ont avancé qu'en cas de coupure consécutive à une décision du gouvernement américain, le cloud ne serait plus opérationnel. Ce n'est pas vrai, et cela ne se produirait certainement pas en quelques jours.
M. Pierre Lagarde. - En effet, le cloud resterait opérationnel très longtemps.
M. Simon Uzenat, président. - On nous a parlé de quelques semaines ou quelques mois.
M. Pierre Lagarde. - Pas du tout ; il n'y a aucune raison pour qu'une telle interruption survienne. Le système tournera - comme toute solution relevant aujourd'hui d'un data center hébergé dans une entreprise - tant qu'il sera alimenté en électricité.
M. Simon Uzenat, président. - Pour ce qui est de l'hébergement physique des données, je peux souscrire à vos propos, mais le projet Bleu est bien plus large que ce simple hébergement.
M. Pierre Lagarde. -
La question importante est la suivante : sera-t-on à jour au niveau de la sécurité, au niveau fonctionnel ? Nous avons annoncé que nous déposerions nos codes dans un coffre-fort, en Suisse, afin d'assurer la continuité dans ces cas très extrêmes.
M. Simon Uzenat, président. - Quels que soient les systèmes d'exploitation, il arrive un moment où la solution ne peut plus être mise en oeuvre, comme nous l'ont expliqué des particuliers et des représentants de petites structures. Nous comprenons que Microsoft invoque l'argument de la sécurité, mais dans un cas très concret dont on nous a fait part, la partie applicative de la solution Microsoft Teams, ne fonctionnait plus.
M. Pierre Lagarde. - Un tel scénario ne devrait pas être possible et l'équipe de Bleu conduit des travaux pour que cela n'advienne pas. L'audit de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) préalable à l'attribution de la qualification SecNumCloud devrait confirmer cette déconnexion complète. C'est tout l'enjeu technologique de ce projet.
M. Jean-Luc Ruelle. - Au Danemark, les villes de Copenhague et d'Aarhus ont progressivement rompu leurs relations avec Microsoft. Pour quelles raisons ?
M. Anton Carniaux. - N'ayant pas suivi ce dossier, je ne peux pas vous répondre à ce sujet.
M. Jean-Luc Ruelle. - Des motifs financiers et géopolitiques auraient été invoqués. Il serait intéressant d'obtenir des informations à cet égard.
L'État français concentre 65 % de ses dépenses de cloud sur des solutions certifiées SecNumCloud, parallèlement à une utilisation importante de Microsoft. Comment cela se passe-t-il ?
M. Pierre Lagarde. - Cela fait quarante ans que Microsoft est présent dans le secteur public et toute une gamme de solutions logicielles sont installées dans les data centers de nos clients, notamment ceux des ministères. Ces solutions sont opérées par les différents ministères et ne sont pas des solutions cloud : les lois extraterritoriales ne s'y appliquent donc pas. ,.
Le panel historique des offres logicielles de Microsoft pour le secteur public français demeure aujourd'hui très important. A côté, ses besoins souverains sont couverts par des offres SecNumCloud. Toutes ces offres répondent à l'ensemble de ses besoins. Demain, la mise à disposition de Bleu permettra d'élargir ce panel dans des environnements modernes en vue de répondre aux ambitieux projets de l'État en termes de solutions numériques.
Cette audition a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
La réunion est close à 9 h 45.
Audition de Mme Agnès Buzyn, ancienne ministre des solidarités et de la santé
Le compte rendu sera publié ultérieurement
Audition de M. Cédric O, ancien secrétaire d'État chargé du numérique
Le compte rendu sera publié ultérieurement
Audition de Mme Clara Chappaz, ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée de l'intelligence artificielle et du numérique
Le compte rendu sera publié ultérieurement
Mercredi 11 juin 2025
Audition de M. Éric Lombard, ministre de l'économie, des finances et de la souveraineté industrielle et numérique
Le compte rendu sera publié ultérieurement