Compte rendu

Commission d’enquête sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France

 

– Table ronde, ouverte à la presse, réunissant des acheteurs publics ...2

– Présences en réunion................................23

 

Jeudi
9 avril 2026

Séance de 9 heures

Compte rendu n° 23

session ordinaire de 2025-2026

Présidence de
M. Philippe Latombe, Président de la commission

 

La séance est ouverte à neuf heures cinq.

La commission entend, lors de sa table ronde sur les acheteurs publics :

‑ M. Edward Jossa, président de l’Union des groupements d’achats publics (Ugap) ;

‑ M. Thomas Jan, directeur général adjoint en charge de l’innovation et de la stratégie numérique de l’Union des hôpitaux pour les achats (UniHa) ;

‑ MM. Lionel Schweitzer et Jean-Christophe Thorel, administrateurs de la Centrale d’achat du numérique et des télécoms (Canut).

M. le président Philippe Latombe. Nous poursuivons nos auditions avec une table ronde d’acheteurs publics. Comment sont passés les marchés informatiques des administrations ? Recourent-ils souvent à des centrales d’achat comme les vôtres ? Comment est structurée votre offre numérique ? Comment expliquer le large recours des administrations à des solutions américaines ? Estimez-vous que le droit de la commande publique avantage l’offre très intégrée des géants américains ?

Pour répondre à ces questions, nous recevons M. Edward Jossa, président de l’Union des groupements d’achats publics (Ugap), M. Thomas Jan, directeur général adjoint en charge de l’innovation et de la stratégie numérique de l’Union des hôpitaux pour les achats (UniHa), ainsi que MM. Lionel Schweitzer et Jean-Christophe Thorel, membres du conseil d’administration de la Centrale d’achat du numérique et des télécoms (Canut) et directeurs des systèmes d’information (DSI), respectivement du département de Meurthe-et-Moselle et du département de Seine-Maritime.

Je vous prie de déclarer tout intérêt public ou privé qui serait de nature à influencer vos déclarations, et je vous rappelle que l’article 6 de l’ordonnance du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires impose aux personnes auditionnées par une commission d’enquête de prêter serment de dire la vérité, toute la vérité, rien que la vérité.

(MM. Thomas Jan, Edward Jossa, Lionel Schweitzer et Jean-Christophe Thorel prêtent successivement serment.)

M. Thomas Jan, directeur général adjoint de l’Union des hôpitaux pour les achats en charge de l’innovation et de la stratégie numérique. Je représente ici l’Union des hôpitaux pour les achats, qui est le premier acheteur public pour les hôpitaux publics et privés non lucratifs en France. Les hôpitaux l’ont créé sous la forme d’un GCS – un groupement de coopération sanitaire –, gouverné par eux. Il permet de bénéficier d’achats performants grâce à la mutualisation des marchés, une approche non lucrative et un accompagnement expert et sécurisé.

Depuis vingt ans, UniHa et les établissements de santé veillent à ce que la commande publique ne soit pas juste un vecteur logistique d’acquisition mais un véritable levier pour développer les politiques publiques. En 2014, sous l’impulsion de six membres fondateurs – UniHa, la Fédération des établissements hospitaliers et d’aide à la personne (Féhap), l’Établissement français du sang (EFS), Unicancer, le Groupement des achats mutualistes (GAM) et la Fédération hospitalière de France (FHF) –, il a été décidé de créer une structure dédiée aux achats numériques, informatiques et télécoms : la Centrale d’achat informatique hospitalière (CAIH), constituée sous la forme d’une association loi 1901.

Cette création s’est inscrite dans un contexte particulier. Historiquement, l’accord-cadre régissant les licences Microsoft des établissements publics était géré par les hôpitaux publics de Marseille. Suite à un audit juridique, il a été décidé de régulariser ce type de marchés publics. Il a été demandé, via les hôpitaux, de créer une structure – la CAIH – pour gérer ce marché, via UniHa. La CAIH s’est ensuite développée de façon à répondre à l’ensemble des besoins numériques des hôpitaux publics : son ADN s’est très vite développé vers des marchés portant à la fois sur le matériel et les logiciels, couvrant la cybersécurité et l’accompagnement.

L’objectif était de répondre à l’ensemble des besoins et des contraintes qui pèsent sur les établissements de santé, et d’être alignés avec les politiques publiques. Ce dernier aspect s’est développé rapidement, en particulier sur la question de la souveraineté : un manifeste a été signé avec Hexatrust afin de favoriser le référencement dans notre multi-éditeurs – il permet de les référencer plus facilement, nous y reviendrons. A aussi été lancé le marché cybersécurité sur la partie « centre de sécurité opérée » avec le fournisseur historique Advens, avec un ADN très souverain ; ce marché a été le premier à s’appeler SOC (centre d’opérations de sécurité). Nous souhaitons en effet accompagner les établissements dans leurs besoins, mais aussi leur permettre de réduire leurs dépendances technologiques, économiques et extralégales.

M. Edward Jossa, président de l’Union des groupements d’achats publics. Le questionnaire étant assez conséquent, je précise que nous compléterons les réponses orales par une réponse écrite sur l’ensemble des questions. Je m’excuse de ne pas disposer de tous les éléments aujourd’hui : ils vous seront transmis dans les prochains jours.

Je n’insisterai que sur quelques-unes des caractéristiques de l’Ugap. Tout d’abord, nous sommes un établissement public industriel et commercial (Epic). Nous ne sommes financés ni par des cotisations, ni par une subvention pour charge de services publics, ni ne bénéficions d’une mise à disposition de personnel. Nos seules ressources sont notre marge et une contribution sur les fournisseurs, à hauteur d’environ 20 %.

J’insiste sur ce point, car il est souvent dit que l’Ugap est chère. Je serai totalement transparent sur notre taux de marge moyen : tous secteurs et tous clients confondus, il est de 3,8 %. Dans le cadre de ces 3,8 %, nous payons nos salariés et nous finançons nos investissements informatiques internes. Pour les gros clients, nous sommes généralement en dessous de ces 3,8 % : nous faisons des contrats de partenariat, en contrepartie des volumes pour lesquels ils s’engagent. Ce sont la structure des marchés publics et notre capacité de mutualisation qui nous rendent plus ou moins compétitifs.

Comme vous le savez, nous sommes loin d’être la seule solution. Personne n’est obligé de passer par l’Ugap, contrairement à ce qui est parfois dit. La compétitivité-prix est donc un élément extrêmement important pour nous. Si nous sommes passés d’un chiffre d’affaires de l’ordre de 2,50 milliards à 5,98 milliards d’euros depuis 2016, c’est sans doute aussi parce que la performance et la compétitivité-prix de l’Ugap sont reconnues.

L’autre particularité de l’Ugap tient à notre spécificité – nous ne sommes pas les seuls à le faire, mais nous sommes les principaux à fonctionner comme ça : nous exécutons nos marchés. Nous fonctionnons en mode grossiste. Non seulement nous passons les marchés, mais nous gérons le circuit de leur exécution : nous recevons les commandes ; nous les poussons au fournisseur ; le fournisseur livre au client, mais nous facture ; il nous revient de refacturer aux entités clientes.

Ce modèle est très exigeant car il augmente notre responsabilité par rapport aux clients, dont nous sommes, d’une certaine manière, le fournisseur. Il permet toutefois un suivi, une responsabilité, une implication dans l’exécution des marchés bien plus importante ; il offre une capacité à restituer très précisément aux donneurs d’ordre ce qui se passe sur les marchés de l’Ugap.

Le dernier élément – l’une des valeurs de ce modèle – est que nous payons les fournisseurs en moyenne à trente jours, alors que les paiements publics nous arrivent dans un délai bien plus important ; cet écart se traduit par un besoin de fonds de roulement d’environ un mois d’activité. Si l’on y ajoute les retards de paiement, cela représente un besoin de trésorerie permanent entre 700 et 800 millions d’euros. Autrement dit, si les entreprises ne bénéficiaient pas de cet apport de trésorerie, elles devraient prendre cet écart à leur charge dans leurs relations avec l’État. Il s’agit de l’une des principales valeurs que l’Ugap apporte à l’écosystème, notamment pour ses fournisseurs. Nous assumons cette charge de trésorerie grâce à nos fonds propres et à des avances assez importantes de certains ministères clés, en particulier sur les achats de véhicules.

Vous nous avez interrogés sur notre mode d’intervention. Nous procédons par accords-cadres mono-attribués ou multi-attribués, dont la durée est généralement de trois ans, plus une ou deux périodes de reconduction de six mois, soit au maximum quatre ans. Nous travaillons aussi avec des systèmes d’acquisition dynamique : nous en avons notamment un pour les PC de l’État – le marché Odice (ordinateur commandé par l’État) –, coprescrit avec la direction des achats de l’État. Nous avons aussi développé quelques petits dispositifs d’achat sur stock pour garantir des livraisons sur des délais courts.

Je voudrais toutefois insister sur un point clé : dans le domaine informatique, les marchés n’aboutissent que très exceptionnellement à la sélection directe du fournisseur ; ce sont des revendeurs ou des distributeurs qui répondent aux appels d’offres – les « marchés intermédiaires » que vous mentionnez dans votre questionnaire. La dynamique contractuelle de l’Ugap – mes collègues connaissent en grande partie la même situation – consiste en des relations avec des intermédiaires, principalement dans le domaine des logiciels. Ils sont très largement dominés par trois acteurs : SCC, Econocom et Computacenter. Dans le domaine de la cybersécurité, notre titulaire est SFR Business. Dans le domaine du cloud, notre précédent titulaire était Capgemini ; l’actuel est Crayon.

La seule exception à ce modèle intermédiaire est le secteur du conseil, où ce sont de gros opérateurs qui répondent aux appels d’offres. La redistribution s’y fait plutôt par les chaînes de sous-traitance.

Ce modèle a donc des avantages et des inconvénients. Le grand avantage, c’est qu’il permet de travailler avec des constitutions de catalogues – catalogues d’éditeurs, de solutions, de matériels. Cela nous a permis d’avoir l’ampleur d’offre que ne permet pas un marché où vous désignez une ou deux personnes. Cette ampleur d’offre est indispensable dans un domaine qui bouge aussi rapidement que l’informatique. Sans ces marchés de distribution, jamais nous n’aurions pu intégrer autant de solutions innovantes de la tech. Un marché public met six mois à un an pour passer : jamais nous n’aurions l’agilité nécessaire sans ces marchés de distribution. D’ailleurs, si je sors du domaine de l’informatique, jamais nous n’aurions pu répondre aux besoins liés à la crise du covid sans marchés de distribution.

Ils ont toutefois quelques inconvénients. D’abord, les revendeurs sont très concentrés, ce qui modifie le rapport de force entre les acheteurs et les fournisseurs. En France, nous avons par exemple soixante à soixante-dix centrales d’achat publiques. Nous sommes face à un oligopole de deux ou trois grands distributeurs dans le domaine des logiciels. Il faut avoir conscience de ce premier effet. Cet éclatement affaiblit un peu la position des acheteurs par rapport à ces distributeurs. M. Jan a expliqué qu’il fallait regrouper les forces pour constituer la centrale d’achat : il nous faut la taille critique nécessaire.

La deuxième conséquence, c’est que ces revendeurs sont eux-mêmes parfois dans la main de leur propre fournisseur. C’est très frappant dans le domaine du hardware, où ce sont presque les fournisseurs – Lenovo, HP ou d’autres – qui choisissent leur canal de vente : lorsque nous procédons à la mise en concurrence, ça tombe parfois aussi sur celui qui bénéficie des meilleures conditions du vrai fournisseur, s’il s’agit d’un fournisseur puissant et structuré.

Il y a donc des chaînes de dépendance. On le voit bien en ce moment, avec la crise sur les PC. Nos titulaires sont des distributeurs. Or, Lenovo, HP, tous augmentent actuellement considérablement les prix des PC – c’est un vrai problème pour nous – en raison de l’augmentation du prix des mémoires, passées de 15 % à 30 % dans le coût des PC, conséquence directe des achats massifs de composants nécessaires pour faire les puces pour l’intelligence artificielle (IA). Les achats massifs des hyperscalers sont d’ailleurs en train de déséquilibrer complètement le marché des composants informatiques, ce qui est un véritable défi.

Nous pourrons d’ailleurs évoquer les enchaînements de dépendances technologiques que cela engendre. Les composants des puces sont faits principalement à Taïwan, les mémoires en Corée du Sud ; en matière de conception, Nvidia s’est imposée dans la constitution des composants aux États-Unis ; le gravage se fait en partie en Europe et les achats sont très concentrés chez les hyperscalers américains. L’économie des dépendances liées à l’intelligence artificielle est donc sans doute le sujet le plus important sur les questions de dépendance.

Je reviens aux marchés de distribution. S’ils se sont imposés dans ce secteur, c’est parce que les principaux acteurs ne répondent pas aux appels d’offres : le marché s’est organisé comme ça. On l’a bien vu sur la crise des composants, les acheteurs ne peuvent que suivre. En ce moment, les distributeurs nous disent : « les prix des PC ont augmenté de 50 % : soit vous vous alignez, soit j’arrête ». Le code des marchés publics est totalement impuissant face à ce genre de situation – il vit sur une marge, donc il est tout de suite bloqué.

Par ailleurs, comme vous le savez, nous avons été fortement interpellés par la commission d’enquête qui s’est déroulée au Sénat, à peu près à la même période l’année dernière : nous avons été questionnés avec insistance sur notre rôle en matière de souveraineté, à un moment assez critique, où nous commencions à prendre conscience des enjeux de souveraineté. Depuis, nous avons beaucoup évolué. Nous sommes encore plus présents dans le comité stratégique de filière (CSF) « logiciels et solutions numériques de confiance », depuis fin 2024. Nous avons d’ailleurs beaucoup contribué au catalogue de 2 500 éditeurs que le président du comité a évoqué devant vous.

Comme je m’y suis engagé, nous avons formé nos équipes commerciales sur les enjeux de souveraineté numérique. Nous appliquons les lois – la doctrine « cloud au centre », la loi Sren – et nous les expliquons. Nous commençons à sensibiliser nos clients sur la sensibilité des données, les questions de dépendance, de réversibilité – nous avons organisé des webinaires directement avec eux.

Nous avons aussi travaillé sur un certain nombre d’outils : contrairement à ce que l’on peut penser, nous sommes en général face à des acheteurs qui savent très précisément ce qu’ils veulent ; ils regardent la solution, puis le canal par lequel ils peuvent passer pour obtenir ce qu’ils veulent. C’est particulièrement net sur les marchés de logiciels : ils décident du logiciel, puis regardent qui leur propose les solutions les plus favorables. J’en reviens donc au sujet de la multiplicité des centrales d’achat, qui est un élément clé dans ce domaine.

Nous travaillons sur les outils de distribution. Avant même les commissions d’enquête, nous avons créé un arbre de choix numériques qui permet d’identifier les solutions souveraines, notamment sur le marché cloud. Sur les logiciels, nous avons complété des fiches produit de logiciels pour indiquer si les éditeurs sont de nationalité française – au sens de leur présence en France, y compris la maison mère. Nous travaillons actuellement sur un outil d’intelligence artificielle d’aide à la décision pour que les clients puissent voir le logiciel qui correspond le mieux à leurs besoins. Les questions de sensibilité des données et de souveraineté seront bien sûr abordées.

Quels sont les résultats de cette politique ? Sur le marché des multi-éditeurs, nous sommes passés de 2 150 à 2 700 éditeurs français et de 224 à 294 pour les autres éditeurs de l’Union européenne – ils comptent aussi en matière de souveraineté. Ce qui est important, c’est peut-être le volume des ventes : en volume, entre 2024 et 2025, nous sommes passés de 595 millions de ventes à 668 millions, et de 54 millions à 64 millions pour les Européens non français. S’agissant des logiciels, nous vendons des solutions souveraines à hauteur de 723 millions d’euros, soit 55,5 % des ventes totales de logiciels de l’Ugap – Microsoft et Oracle compris. Nous vendons du souverain, mais nous avons une croissance constante et régulière des ventes de logiciels non souverains.

Sur le marché du cloud, environ 70 % des ventes sont faites à des opérateurs français, ce qui est d’autant plus satisfaisant que nous sommes sur un marché de distribution avec quinze cloud providers, des solutions souveraines comme non souveraines. En revanche, à peu près la moitié des opérateurs souverains, généralement français, est en SecNumCloud ; il ne faut pas sous-estimer les solutions non-SecNumCloud vendues par des opérateurs souverains. Ce sont les secteurs où des progrès réels ont été faits.

En toute honnêteté, certains des secteurs sont beaucoup moins convaincants. Dans les solutions d’équipement de cybersécurité, nos ventes avoisinent 41 millions d’euros. Très franchement, les solutions – les firewalls – sont très largement dominées par des acteurs américains et israéliens. Nous avons quand même quelques Français – Stormshield, Efficience-IT –, mais, en termes de ventes, ils sont très minoritaires.

Sur le hardware en général, nous vendons principalement – c’est le marché qui veut ça – des équipements de PC chinois, comme à peu près tout le monde. Dans ce secteur, nous ne sommes ni meilleurs, ni moins bons que les autres en matière d’équipements souverains.

M. Lionel Schweitzer, administrateur de la Centrale d’achat du numérique et des télécoms. La Canut a été fondée fin 2023 à l’initiative des collectivités territoriales. Cette structure a été conçue par et pour les collectivités, afin de répondre spécifiquement aux besoins en matière de numérique et télécoms d’établissements soumis au code de la commande publique – collectivités territoriales, bailleurs sociaux, établissements d’éducation, syndicats, régies, établissements et services sociaux et médico-sociaux (ESMS), services départementaux d’incendie et de secours (Sdis).

Cette association loi de 1901 repose sur un conseil d’administration composé majoritairement de DSI, issus principalement de collectivités territoriales, et de bailleurs sociaux. Cette pluralité garantit une adéquation parfaite entre les accords-cadres proposés et la réalité opérationnelle des acheteurs publics, tout en favorisant une dynamique constante d’innovation.

L’activité de la centrale est tournée essentiellement sur cinq segments d’achat : matériel, logiciels, prestations, télécoms et réseaux, sécurité. L’intégralité de nos procédures est structurée sous forme d’accords-cadres d’une durée de quatre ans, offrant ainsi une visibilité et une sécurité juridique accrues. À ce jour, plus de 3 300 bénéficiaires les utilisent.

La Canut est une centrale d’achat intermédiaire. Son métier est concentré sur la réalisation des accords-cadres, dont l’exécution est laissée aux bénéficiaires. Il n’y a pas d’opérations d’achat-revente. Conformément au principe de la commande publique, nous portons une attention particulière à l’efficience de nos marchés : allotissement rigoureux ; segmentation de nos accords-cadres selon des critères fonctionnels et techniques précis – 28 accords-cadres actifs segmentés en 180 lots ; soutien au tissu économique territorial. Cette segmentation, ou allotissement, est un levier stratégique qui nous permet d’intégrer des acteurs régionaux. Nous concilions ainsi la puissance d’achat d’une centrale nationale avec le maintien d’un ancrage local fort, essentiel à la vitalité économique de nos territoires.

Les avantages sont nombreux pour les bénéficiaires recourant à cette centrale : pour les DSI, répondre dans des délais très courts à des attentes métier de plus en plus variées ; profiter de prix massifiés ; économiser les frais de procédure ; réduire les risques juridiques – pas de procédure à réaliser ; bénéficier de l’expertise des acheteurs spécialisés de la centrale dans le montage des marchés ; avoir le soutien de la centrale dans l’exécution vis-à-vis de fournisseurs de grande taille et pouvoir choisir l’offre la plus pertinente techniquement et économiquement parmi les centrales qui ont des accords-cadres sur un même segment. L’offre numérique est segmentée en cinq grandes thématiques, comme je l’ai dit.

M. le président Philippe Latombe. Avant toute chose, je souhaiterais vous poser une question à tous les quatre, pour ne pas faire de discrimination – même si je sais que l’un d’entre vous m’en voudra : quelle est votre nationalité ? Je fais écho à la commission sénatoriale, qui a convoqué une personne qui n’a pas répondu à la question. Je souhaite que nous disposions de cette information, car les conversations et auditions que nous avons eues ces derniers jours nous conduisent à nous interroger sur l’extraterritorialité du droit américain : nous voudrions savoir si certains d’entre vous peuvent être soumis au droit américain ou pas. Ce n’est pas une critique ; l’objectif est simplement de savoir et de comprendre.

M. Edward Jossa. Je pense que la question s’adresse à moi, bien évidemment. Je vais y répondre. Ce que je sais, c’est que j’ai la nationalité française ; la nationalité américaine, je n’en suis pas sûr. C’est ce que j’ai répondu.

Pourquoi ai-je répondu de cette manière ? J’ai pris la nationalité française en 1980 je crois, pour passer l’ENA, l’École nationale d’administration. À l’époque, entrer dans une fonction publique étrangère équivalait à la renonciation à la nationalité américaine. Depuis, la jurisprudence a évolué, de même que certaines interprétations de doctrine du secrétariat d’État américain. Ces évolutions sont toutefois intervenues beaucoup plus tard dans ma carrière.

L’extraterritorialité a cette particularité d’être définie par celui qui la décide. La situation est aussi compliquée par le fait que la doctrine de l’IRS (Internal Revenue Service), l’administration fiscale américaine, n’est pas totalement alignée sur celle du département d’État.

Pour être tout à fait honnête, je ne me suis jamais posé la question de ma nationalité jusqu’à ce qu’on me la pose, assez récemment dans ma carrière. La question m’a vraiment choqué quand elle m’a été posée au Sénat. Je ne m’attendais pas, après quarante ans de service public au cours desquels mon seul employeur a été l’État, à être interpellé sur mon lieu de naissance. Je vous le dis très franchement. D’ailleurs, j’ai reçu, à la suite de l’interpellation un peu brutale dont j’ai fait l’objet au Sénat, nombre de messages de soutien de mes troupes.

Au surplus, le président d’un établissement public n’intervient pas directement dans toutes les commissions d’appel d’offres. J’étais principalement interpellé sur le sujet de Microsoft. Je précise que le marché de Microsoft date, pour l’Ugap, du tout début des années 2000, soit bien avant mon arrivée.

L’exercice de mon métier n’est absolument pas influencé par mon lieu de naissance. J’ai eu une longue carrière, au cours de laquelle personne n’a jamais mis en doute ma loyauté. J’ai servi des gouvernements très différents avec un engagement total. J’ai même été haut fonctionnaire de défense, pendant quelque temps, du ministère de la justice, sans que cela ne pose le moindre problème de loyauté.

Je n’ai jamais eu de contact avec le gouvernement des États-Unis, sauf quand j’étais à la direction du Trésor, lorsqu’on m’a demandé de prendre contact avec quelques autorités sur un embargo, pendant la première guerre d’Irak si je me souviens bien. Je n’ai jamais fait l’objet de la moindre pression. Je suis un fonctionnaire de l’État français totalement ordinaire. Je ne vous cacherai pas que j’éprouve un certain malaise à être interpellé sur mes origines et sur mon lieu de naissance à ce stade de ma carrière, qui a été longue, au cours de laquelle j’ai été totalement loyal et totalement engagé pour l’État.

M. le président Philippe Latombe. Ma question ne visait pas à vous mettre mal à l’aise, mais à clarifier les choses pour que nous échangions en toute transparence.

M. Edward Jossa. La question de l’extraterritorialité est intéressante. Après l’interpellation au Sénat, l’un de mes syndicalistes m’a dit que j’étais peut-être soumis, à titre personnel, à des règles extraterritoriales. Je me suis donc penché sur la question.

Ce n’est pas parce que vous êtes potentiellement soumis à une législation étrangère que vous n’êtes pas soumis à la législation nationale. Cela vaut pour les particuliers comme pour les entreprises. Le droit français prévoit des obligations de confidentialité ressortissant au droit de la fonction publique et au droit pénal. Il y a ce qu’on appelle une loi de blocage qui s’applique aux particuliers comme aux entreprises.

La situation la plus fréquente, en réalité, est le conflit de droits. On peut être soumis à deux droits distincts. De toute évidence, dans mon cas, pourquoi voudriez-vous que j’applique un autre droit que le droit national ? Ce n’est pas parce que vous êtes potentiellement soumis à un droit étranger – les entreprises connaissent bien ces sujets – que vous n’êtes pas soumis au droit national et au droit européen. D’ailleurs, je tiens à dire que l’Ugap applique totalement la loi Sren, le RGPD (règlement général sur la protection des données) et toutes les lois en vigueur. Quant à ma nationalité, elle n’a jamais eu la moindre influence sur mes décisions.

M. le président Philippe Latombe. Pour être très clair, ce n’était pas une attaque personnelle, mais une question pour que la clarté soit faite, pour que les choses soient dites et pour que nous puissions avoir cet échange. Nos auditions, celles d’hier par exemple, ont mis en lumière le fait que certains établissements bancaires français, soumis à une réglementation française, peuvent appliquer des règlements extraterritoriaux parce que, dans le conflit de droits avec les États-Unis, le droit américain est parfois plus puissant que le droit européen ou que le droit français.

Si la question se pose, c’est parce que le Fisa (Foreign Intelligence Surveillance Act) s’applique à tous les citoyens américains. Ma question visait uniquement à clarifier les choses. J’apprécie votre réponse et ne mets pas en doute un quart de seconde votre loyauté. L’applicabilité du droit américain a changé. Nous l’avons constaté hier en auditionnant le juge Guillou, dont la vie, en raison du refus de certaines sociétés américaines de lui fournir des services, est devenue un enfer. La question de la possibilité de pressions se pose.

M. Edward Jossa. Pour purger complètement le sujet, j’indique que je suis résident français depuis 1966 et que j’ai l’intention de passer le restant de mes jours en France. Je ne vois pas pourquoi je m’amuserais à appliquer un autre droit que le droit français.

M. le président Philippe Latombe. Dont acte. Le sujet est clos, mais il méritait d’être clarifié.

J’ai une question très technique sur les accords-cadres. Vous avez parlé de Crayon et de Capgemini. Quelle est la marge de ces entreprises, qui sont les référents des différents secteurs ? Sur le cloud, par exemple, vous avez dit que votre marge était de 3,8 % en moyenne. Quelle est la marge des distributeurs intermédiaires ? Vos réponses nous permettront de comprendre la chaîne de valeur.

M. Edward Jossa. C’est un sujet délicat, parce que nous sommes tenus au secret des affaires sur les réponses aux appels d’offres. Dans certains cas, notamment dans le domaine des marchés de distribution, les appels d’offres mettent en concurrence les fournisseurs sur le taux de marge. J’ai entendu dire qu’il y a des marges cumulées de l’ordre de 30 % ; je n’en ai pas connaissance.

Sur le cloud, je peux être transparent : nous n’avons pas de marge à proprement parler, mais une ristourne des fournisseurs de l’ordre de 2,5 %. Le cumul des marges des fournisseurs et de l’Ugap est largement inférieur à 10 %.

La limite de ce raisonnement est que nous ne savons pas toujours ce qui se passe, marge mise à part, entre le titulaire et ses propres fournisseurs, dont la relation commerciale peut notamment inclure des ristournes ou des remises liées au volume dont nous n’avons absolument pas connaissance. Tout ce que nous connaissons, ce sont les réponses aux appels d’offres, que nous mettons en concurrence sur la base des marges, par exemple sur le marché multi-éditeurs.

M. Thomas Jan. L’UniHa suit un modèle un peu différent. Comme nous n’exécutons pas les marchés, nous faisons payer nos adhérents, les établissements de santé, sous forme d’une redevance de 0,23 % du volume d’achats global. Cette redevance peut varier. C’est un modèle très frugal conforme à notre engagement dans l’économie sociale et solidaire (ESS) et dans le monde associatif.

Par ailleurs, la marge du distributeur est facturée à nos établissements au moment de l’acquisition du logiciel, par exemple. La dernière marge, aussi couverte par le secret des affaires, est entre l’éditeur et le distributeur ; elle varie de zéro à un certain montant, qui est fonction de leur discussion et du volume d’affaires généré.

M. le président Philippe Latombe. Il n’y a donc pas d’homogénéité.

M. Thomas Jan. Non. Pour l’UniHa et pour la CAIH, la transparence sur ce que l’on paie importe. Les distributeurs apportent un portail de gestion de commandes et de la trésorerie, c’est leur valeur ajoutée intrinsèque. Nous sommes très vigilants sur la transparence pour nos adhérents.

Par ailleurs, nous avons des relations directes avec les éditeurs. C’est une spécificité de la CAIH sur le marché multi-éditeurs. Chaque éditeur étant en contact avec un acheteur, nous pouvons l’interroger pour nous assurer qu’il a de bonnes relations avec le distributeur.

M. Jean-Christophe Thorel, administrateur de la Centrale d’achat du numérique et des télécoms. Concernant la marge du revendeur par rapport au prix de l’éditeur, lors de la mise en concurrence, chaque éditeur négocie avec le revendeur les points et la marge, conformément aux règles de la concurrence. Il lui revient de proposer la meilleure offre lors de la consultation. La Canut perçoit une redevance annuelle sur les marchés. L’exécution a lieu directement sur le marché avec l’adhérent.

M. le président Philippe Latombe. Votre mode de fonctionnement est donc identique à celui de l’UniHa.

M. Jean-Christophe Thorel. À ceci près que deux marchés font l’objet d’un mark up, Microsoft et le multi-éditeurs.

Mme Cyrielle Chatelain, rapporteure. De manière globale, dans vos relations avec vos tutelles, quels objectifs vous sont fixés ? S’agit-il uniquement d’objectifs de prix et de compétitivité ? Est-ce qu’il y a des objectifs en matière de souveraineté, de diversification de l’offre ?

Par ailleurs, quelle est la part des entreprises extra-européennes dans les solutions que vous offrez ? Les modèles économiques étant différents, quel est le taux de marge de l’Ugap, non pas tous secteurs confondus mais sur la part strictement informatique des produits que vous proposez ?

M. Edward Jossa. Nous sommes un établissement public. L’une de nos particularités est d’être placés sous la tutelle des ministères des comptes publics et de l’éducation nationale. La relation avec la tutelle s’inscrit dans le cadre d’un contrat d’objectifs et de performance (COP) précisé par une lettre de mission annuelle qui m’est adressée.

Il est vrai que, jusqu’à un passé récent, les objectifs qui étaient fixés relevaient plutôt de la responsabilité environnementale et sociale (RSE). La question de la souveraineté est apparue plus récemment et est montée en puissance depuis l’année dernière. Le prochain COP, qui couvrira la période 2026-2028, fixera expressément un objectif de souveraineté.

Toutefois, sur un marché public, on ne peut pas dépasser 100 % de critères. Une fois que vous avez mis du critère social, du critère environnemental, des règles techniques, des conditions d’exécution – nous sommes très sensibles à la livraison des services publics dans les délais, c’est un sujet très prégnant –, cela fait beaucoup d’objectifs pour la commande publique, en plus du prix. Dans le domaine du numérique, notamment en raison de l’existence de marchés de distribution, la concurrence sur les prix, y compris entre centrales d’achat, est très forte.

Il faut équilibrer tous ces éléments. Ce n’est pas simple, mais nous nous efforçons d’y arriver. Et nous ne pouvons y arriver que si nous massifions, parce que seule la massification permet d’atteindre le plus grand nombre possible de ces objectifs tout en conservant des prix compétitifs. Je rappelle qu’un débat sur les prix de l’Ugap est ouvert, ce qui nous place, en tant que centrale d’achat, sous une pression assez forte.

M. Thomas Jan. L’UniHa est sous la tutelle de l’agence régionale de santé (ARS) Auvergne-Rhône-Alpes. La CAIH, qui est sa branche associative, ne l’est pas, mais nous répondons très régulièrement au ministère de la santé, notamment à la DGOS, la direction générale de l’offre de soins, qui donne des instructions aux établissements sur la politique d’achat, structurées en quatre axes : l’efficience économique, la résilience des organisations, la sécurisation des approvisionnements et le verdissement de la commande publique.

Le secteur de la santé a toujours été soucieux de souveraineté, compte tenu de la nature des données traitées au sein d’un établissement de santé. Il est régi par des normes spécifiques, notamment la certification HDS (hébergeur de données de santé), dont nous espérons qu’elle convergera avec SecNumCloud.

La souveraineté a toujours été au cœur des politiques publiques. Tel est aussi le cas de la cybersécurité, dans le cadre de la stratégie nationale de cybersécurité des établissements de santé, dont nous sommes partie prenante. Nous décidons de répondre aux offres des marchés publics mis à disposition des établissements pour atteindre les objectifs fixés.

M. le président Philippe Latombe. Le décret d’application de l’article 32 de la loi Sren a été publié hier. La convergence est en cours.

M. Lionel Schweitzer. Nous n’avons pas d’organisme tutelle. Nous nous organisons avec le conseil d’administration et les adhérents. Nous avons toujours travaillé sur l’efficience, la résilience et la souveraineté, laquelle a toujours été dans notre viseur.

La répartition des entreprises par nationalité est très variable dans les logiciels. Les fournisseurs de matériel sont quasi exclusivement étrangers – citons par exemple Dell, HP, Huawei, Cisco. Cela soulève la question d’une souveraineté européenne en matière de microcomposants et du manque d’industriels dans ce domaine en Europe.

Quant aux intégrateurs et aux distributeurs, ils sont quasi exclusivement français. Notre offre cloud est 100 % française. Elle s’inscrit dans un accord-cadre dédié, exclusivement réservé à des offres cloud de confiance, afin de sélectionner uniquement des solutions souveraines. Nous avons retenu Cheops, Cloud Temple, OVHcloud, opéré par SPI, et 3DS Outscale, opéré par Unitel. Il est complété par des offres d’hébergement régional d’acteurs locaux.

Mme Cyrielle Chatelain, rapporteure. Dans ce que vous considérez comme la part d’offre souveraine, faut-il comprendre qu’il s’agit d’entreprises françaises, à capitaux français, dont la maison mère est en France, ou de branches françaises de sociétés dont la maison mère se trouve dans un pays hors de l’Union européenne ? En matière d’application extraterritoriale du droit, ce n’est pas tout à fait la même chose.

Si j’ai bien compris, le cloud est 100 % français et le matériel 100 % extra-européen, ce à quoi, malheureusement, nous sommes nombreux à être confrontés. Concernant le logiciel, il y a une diversité d’acteurs, certains étant européens ou français. J’aimerais que vous évoquiez spécifiquement le domaine du logiciel.

Enfin, vous avez beaucoup parlé des prix. Par exemple, on nous a rapporté de façon unanime que les prix de VMware ont fortement augmenté. J’ai constaté que ce produit est toujours proposé par l’Ugap. Comment parvenez-vous à vous protéger de l’augmentation unilatérale des prix ? Est-ce qu’il y a des éléments au moins d’information quand des personnes souhaitent faire un contrat incluant VMware, pour leur faire part d’une augmentation unilatérale ?

Il s’est passé la même chose avec Microsoft. Le directeur des services informatiques du CEA, le Commissariat à l’énergie atomique et aux énergies alternatives, nous expliquait que, lors du renouvellement de contrat, le prix avait augmenté de 20 %. En matière de prix, il y a un système de verrouillage très fort. Comment, compte tenu de l’importance du prix, travaillez-vous sur ce sujet ? Vous avez parlé de formation, d’alerte, et indiqué que vos commerciaux sont formés. Le sont-ils sur ce point ? Donnent-ils des informations ou des alertes ?

M. Thomas Jan. S’agissant du logiciel, nos données sont similaires à celles de l’Ugap. Les logiciels médicaux sont proposés sur le marché multi-éditeurs Logimed. La part des éditeurs français est de 60 % en volume et de 65 % à 70 % en chiffres d’affaires. La part du reste de l’Europe est à 10 % en volume et à environ 15 % en chiffre d’affaires. Le reste est américain et extra-européen en général.

Le rachat de VMware par Broadcom en octobre 2024 a éveillé les consciences. Dans le secteur des établissements de santé, nous avons eu connaissance d’une proposition faite à un CHU (centre hospitalier universitaire) dont le prix, à besoins constants, avait augmenté non de 20 % mais de 800 %. Cet effet a été ressenti dans tous les secteurs.

L’intérêt d’avoir une fédération d’adhérents dans notre structure est que nous pouvons intervenir rapidement et en masse avec un effet de levier vis-à-vis de l’acteur concerné. Ainsi, j’ai saisi le Conseil du numérique des DSI de CHU, avec lequel nous avons fait front. Nous négocions, nous essayons de faire face. Toutefois, ne nous leurrons pas : nous sommes un petit maillon à l’échelle du monde. Le rachat de VMware, malheureusement pour ainsi dire, a un peu changé la donne en montrant qu’il fallait faire autrement.

Comment faire autrement en tant qu’acheteur public ? En proposant des solutions alternatives et, surtout, en les accompagnant. Pour les établissements de santé, faire du mix produit et migrer vers des solutions alternatives – il en reste sur le marché – a un coût. En outre, ce n’est pas une valeur métier vraiment perçue au sein d’un établissement de santé. Ça fait partie de toute l’ingénierie qu’il faut mettre en place.

Idem pour le contrat avec Microsoft : une augmentation de 20 % est malheureusement ce qu’on peut avoir avec un renouvellement tous les quatre ans. S’il y a une telle progression des prix, c’est à nous de bien faire notre métier d’acheteur. Il faut avoir aussi des leviers de négociation pour les faire céder, notamment en montrant que nous pouvons élaborer des solutions alternatives.

Au sein de la CAIH, nous avons lancé un nouveau marché, un partenariat d’innovation ambitieux intitulé « Alternative », autour de briques en open source. Un partenariat d’innovation, dans la commande publique, c’est la construction d’un produit. Il y a beaucoup de briques en open source. Tout le monde connaît OpenOffice et LibreOffice, mais nous ne pouvons pas les installer tels quels dans un établissement de santé car il y a trop d’interconnexions et de sujets d’interopérabilité avec l’ensemble du système. Il faut quelque chose qui soit un peu plus assemblé et prêt à l’usage au sein d’un établissement.

Ce programme exige beaucoup de financement, parce qu’il faut créer le produit. La CAIH a investi des fonds propres. Nous avons lancé un appel à candidatures. Nous avions décidé de nous lancer si nous en recevions au moins quatre ; douze établissements ont répondu. Nous avons fermé le tuyau et leur avons demandé d’apporter des financements complémentaires à hauteur de 100 000 euros.

Nous avons à peu près 2 millions pour construire ce produit. Nous sommes au début de l’aventure. Nous avons commencé à sélectionner les trois candidats. Le produit sera à disposition à la fin de l’année. Avec une solution alternative crédible, nous pourrons lancer de façon assez massive un mouvement de mix produit qui doit être progressif, parce qu’on ne sortira pas des dépendances rapidement. Par ailleurs, nous aurons un véritable levier de négociation dans le renouvellement des marchés des technologies existantes.

M. Jean-Christophe Thorel. Pour l’acquisition de logiciels, nous répondons tout d’abord aux besoins de nos adhérents. Nous avons plusieurs offres logicielles : une offre multi-éditeurs qui reprend certains des grands outils du marché, construite autour de Microsoft et de ses solutions alternatives, mais nous avons aussi des marchés d’accords-cadres sur la virtualisation, qui fait l’objet d’un accord-cadre spécifique, sur les logiciels d’occasion, sur les logiciels en open source. Par ailleurs, une consultation de la Canut est en cours sur un marché d’environnement collaboratif souverain, offrant une solution alternative aux Gafam et reprenant l’ensemble des grands services, packagés et accompagnés.

En somme, sur les logiciels, nous avons une démarche souveraine, non sans tenir compte avec réalisme des besoins d’achat de logiciels et de transformation de nos adhérents.

M. le président Philippe Latombe. Vos trois centrales adoptent-elles une démarche prospective ? Lorsque vous constatez des augmentations de tarifs telles que celles pratiquées par VMware et Microsoft, que nous avons évoqués, ainsi que par beaucoup d’autres, comme Oracle, préconisez-vous de changer de logiciel ? Se déprendre d’un logiciel demande du temps. Placez-vous vos acheteurs, donc vos équipes, en phase de préparation pour qu’ils passent, par exemple, de Microsoft à Linux ou de VMware à d’autres solutions, en open source ou européennes, sur lesquelles nous avons la main ?

Anticipez-vous ces situations ? Si oui, comment ? Si l’on se contente de répondre à la demande, il se passe ce qui s’est passé à l’éducation nationale, dont nous auditionnerons les représentants après vous : le marché des serveurs était d’un an ferme et de trois ans optionnels ; ils ont pris les trois ans optionnels faute d’avoir fait le boulot la première année pour se passer de Microsoft sur la partie serveur. Vos équipes font-elles ce travail, indissociable des objectifs de souveraineté dans les années à venir ?

M. Edward Jossa. Nous créons des arbres de décisions. La deuxième étape est l’utilisation de l’intelligence artificielle pour orienter les décisions. Nos outils conversationnels intégreront de l’IA et poseront des questions telles que « Êtes-vous soumis à la loi Sren ? », « Souhaitez-vous une solution conforme à la loi Sren ? », « Souhaitez-vous une solution alternative ? ». Nous développons des boutiques de souveraineté sur ugap.fr. Nous allons assez loin dans la présentation des solutions.

Il n’en reste pas moins qu’une centrale d’achat n’est pas là pour prendre des décisions à la place des décideurs finaux. Nous sommes la plupart du temps face à des directions des systèmes d’information (DSI) assez structurées. Dans l’univers informatique, la relation entre les acheteurs, ceux qui passent les marchés et les prescripteurs n’est pas exactement la même que dans d’autres marchés publics. Le poids des DSI est prépondérant, car elles connaissent les solutions, les étudient, consultent les rapports Gartner et Forrester pour évaluer leur performance.

Ces expertises, soit dit en passant, mériteraient que l’on s’y intéresse, parce qu’elles jouent un rôle déterminant, sans doute bien plus déterminant que celui des centrales d’achat, dans les choix de solutions informatiques des DSI publiques et privées. Il faut peut-être regarder comment les DSI acquièrent l’expertise, se forment et font leurs choix, parce que ce sont elles, en réalité, qui choisissent les logiciels.

Plus généralement, le débat entre le prescripteur politique et les DSI mériterait d’être creusé, d’autant qu’il est loin d’être simple compte tenu de l’importance qu’ont prise les responsables de ces sites dans les structures publiques et ailleurs. Il faut mener cette réflexion et aller au fond des choses. Pourquoi les DSI sont-elles parfois un peu conservatrices sur les logiciels de Microsoft, d’Oracle et consorts ? Tout simplement parce que c’est ce avec quoi leurs équipes savent travailler.

Dans une réunion qui s’est tenue hier, les ministres qui la présidaient ont dit qu’il faut agir pour la formation des équipes. Des équipes formées à faire du paramétrage sur Oracle ou sur Microsoft ne sont pas forcément aussi à l’aise dans l’utilisation d’outils souverains ni dans leur construction. Cette observation soulève la question de l’éventuelle réinternalisation de certaines compétences informatiques au sein des DSI.

Il faut regarder le sujet de manière globale. Ce n’est pas simple, même pour les DSI, de garantir la réussite. Ce que les décideurs demandent, c’est le résultat en temps et en heure ; or une migration d’une solution à une autre est une opération longue. Sortir de certains grands logiciels prend, dans une DSI structurée, au moins un an, tout en obligeant à rééchelonner des projets métier qui peuvent être critiques.

Il ne faut pas sous-estimer les difficultés opérationnelles de certaines préconisations, qui semblent faciles à appliquer à l’acheteur pur ou même prescriptif mais ne le sont pas, surtout dans les grosses DSI, qui sont complexes. Les plus grosses peuvent mobiliser des équipes pour organiser les transformations. Les DSI de taille intermédiaire, par exemple celles, le plus souvent, des collectivités territoriales, ont beaucoup de difficultés pour gérer ce genre de modifications.

Il faut donc regarder toute la chaîne, ce que fait la centrale d’achat. Notre travail est plutôt de mettre en avant certaines réalités et d’en faire prendre conscience. Le vrai enjeu se trouve entre les prescripteurs et les services informatiques des décideurs opérationnels.

M. Lionel Schweitzer. La Canut, dont le conseil d’administration compte un peu moins d’une trentaine de DSI de collectivités, de syndicats et de bailleurs sociaux, est très proche de ses adhérents.

Le projet d’environnement collaboratif souverain a été amorcé par la région Occitanie, qui souhaitait sortir de l’environnement Microsoft, puis la consultation a été étendue à l’échelle nationale. Il est complexe de quitter cet environnement. Même nos équipes, IT (technologies de l’information) et métiers, sont au bord du burn-out numérique si on les prive de la suite bureautique à laquelle elles ont été biberonnées depuis des années. Il est donc important que nos enfants et les générations futures soient formés à l’utilisation d’autres outils.

Mme Cyrielle Chatelain, rapporteure. Monsieur Jossa, il me semble que vous n’avez pas répondu aux questions portant sur votre taux de marge dans le secteur informatique, sur votre définition de la souveraineté et sur la manière dont, en tant qu’acheteurs, vous réagissez face à l’augmentation des prix.

M. Thomas Jan. En tant que centrale d’achat, nous avons un devoir de conseil. Un acheteur public se doit de faire du sourcing et de connaître les solutions alternatives aux principaux produits du marché, dans l’hypothèse où une augmentation des prix ou un rachat par un fonds d’investissement interviendrait. Mes acheteurs sont experts de la commande publique et du numérique. Ils doivent donc informer nos adhérents, les préparer – ce fut le cas, par exemple, lors de la fermeture du réseau cuivre –, en leur présentant les solutions alternatives disponibles sur le marché. Quant au prix, il revient à l’acheteur de le verrouiller dans le cadre des marchés. Toutefois, cette action a ses limites car les grands faiseurs adoptent des stratégies de suppression des références. En tout cas, le maître-mot est l’anticipation.

Il a longtemps été plus simple et moins onéreux pour un établissement de développer une seule technologie. Mais l’augmentation des prix est telle que le double run, même s’il implique de former des experts à deux technologies au lieu d’une, s’avère désormais moins coûteux. Nous avons donc changé de paradigme : non seulement le mix produit est plus rentable mais il permet à un acteur d’être plus agile et de se prémunir contre d’éventuelles ruptures géopolitiques, économiques ou légales.

M. Edward Jossa. Pour l’activité informatique, qui inclut les prestations de conseil, notre taux de marge moyen est de 3,63 % ; il est donc légèrement inférieur à celui de l’établissement. Ce chiffre doit toutefois être relativisé dans la mesure où la tarification varie selon que le client est partenaire ou non. Dans un cadre non partenarial, notre tarification de base est, si possible, légèrement inférieure à celle des autres. Dans le cadre d’un partenariat, notre taux de marge est transparent, moyennant quoi le client s’engage sur un volume d’achats. Le taux de marge moyen partenarial est donc sensiblement inférieur à celui de l’ensemble du secteur informatique, sachant que, dans ce secteur, nous avons plutôt de gros clients qui, pour la plupart, ont conclu un partenariat.

La question de la souveraineté est particulièrement complexe dans le domaine informatique en raison du caractère dématérialisé des produits. De manière générale, un produit est considéré comme français par le code des douanes – et peut dès lors bénéficier de certains labels tels que « made in France » – si une part minimale de la valeur ajoutée est produite en France. Dans le domaine des logiciels, les choses sont beaucoup plus complexes : les fournisseurs sont des distributeurs, les fabricants peuvent être des filiales françaises d’entreprises étrangères et les éditeurs peuvent proposer des solutions comportant des degrés de souveraineté différents. Nous nous contentons donc de retenir la nationalité du fournisseur, c’est-à-dire le pays où est implanté son siège social, et de sa maison mère. Cette solution est d’autant plus imparfaite qu’elle repose sur une base déclarative et que le secteur de la tech est en constant mouvement, mais nous n’en avons pas trouvé de meilleure.

M. le président Philippe Latombe. Pour que les choses soient claires, selon vos critères, Azure, Google Cloud ou AWS sont considérés comme non souverains, à la différence de Bleu et de S3NS. Mais qu’en est-il d’AWS European Sovereign Cloud, le cloud dit souverain d’AWS, basé en Allemagne, dont la gouvernance est dite européenne et qui bénéficierait d’une forme d’immunité contre l’extraterritorialité du droit américain ? Je vous pose cette question, qui n’est pas un piège, car j’ai le sentiment qu’on assiste à une sorte de sovereign washing.

M. Edward Jossa. S’agissant de ce cas particulier, je ne suis pas capable de vous répondre. Nous considérons effectivement Bleu et S3NS comme des solutions souveraines dans la mesure où ce sont des filiales de structures européennes. Elles me semblent à peu près protégées contre l’extraterritorialité des données. En revanche, elles présentent une limite : la question du kill switch n’est pas entièrement traitée. Cela dit, il s’agit moins d’un problème de souveraineté des données que de dépendance économique, logicielle et industrielle. Du reste, je pense, à titre personnel, qu’en la matière, la dépendance au hardware est encore plus sensible – mais cela n’engage que moi.

M. Thomas Jan. Nous avons adopté la même définition. La question des critères d’une solution souveraine est en effet complexe ; elle fait d’ailleurs l’objet de longs débats au sein du fameux comité stratégique de filière. Le fait est que des pépites françaises peuvent être hébergées chez des hyperscalers américains. Au-delà de la définition, se pose donc la question du risque – extralégal ou rupture de service – contre lequel on veut se prémunir. Cela fait partie des enjeux importants auxquels nous réfléchissons avec les établissements de santé.

Mme Cyrielle Chatelain, rapporteure. Je souhaite revenir sur l’offre d’UniHa concernant une suite de logiciels libres. Êtes-vous accompagnés par l’État ? Par un cabinet de conseil ? Comment le partenariat d’innovation a-t-il été construit ?

Monsieur Schweitzer, vous avez évoqué la région Occitanie mais de nombreuses communes d’Auvergne-Rhône-Alpes ont également fait le choix du logiciel libre : Échirolles, Chamonix, Grenoble et, bientôt, Lyon. Comment la Canut envisage-t-elle cette évolution et accompagne-t-elle notamment les équipes concernées ?

Le cadre européen, assez strict en matière de marchés publics, interdit de favoriser des offres dites souveraines. En revanche, il est possible d’orienter un marché public vers des offres open source ou libres. Passez-vous ce type de marchés ?

M. le président Philippe Latombe. Comment appréhendez-vous l’arrivée de La Suite territoriale de l’ANCT (Agence nationale de la cohésion des territoires) et de LaSuite de la Dinum (direction interministérielle du numérique) ? Comment allez-vous les intégrer dans vos propositions ?

M. Thomas Jan. Le nouveau président de la CAIH, qui est le DSI de l’AP-HP (Assistance publique-Hôpitaux de Paris), ayant souhaité s’engager dans une démarche offensive en matière de souveraineté, nous avons conclu un partenariat d’innovation dédié aux technologies open source. Nous ne faisons pas de choix technologique en amont ; un industriel nous accompagne dans la conception du produit – c’est-à-dire l’assemblage de briques open source, qui doit tenir compte des spécificités du domaine de la santé, notamment la gestion des comptes HospiConnect –, son déploiement et le support. Nous avons également été accompagnés par un avocat expert des questions de souveraineté numérique qui nous aide à privilégier des industriels français, que ce soit pour les briques de résilience, le déploiement ou la maintenance.

Au terme de ce travail interne de conception qui a duré six mois, nous avons lancé le partenariat d’innovation, qui doit à présent franchir différentes étapes. Après avoir reçu neuf candidatures, nous avons retenu les trois industriels prêts à répondre à l’offre technique. En juin, nous choisirons celui d’entre eux qui nous accompagnera. Celui-ci travaillera ensuite en hackathon, avec les douze établissements candidats, à la construction du produit. L’intérêt de ce type de marché est qu’au terme du processus, le produit sera disponible. Dans quatre ans, nous pourrons le renouveler en chargeant, le cas échéant, un autre industriel de déployer et d’assurer le support de cet outil créé pour la communauté hospitalière. Nous avons tout intérêt à ce que d’autres acteurs saisissent l’opportunité d’utiliser les mêmes briques technologiques que nous, de manière à produire un effet de levier et à faciliter la transformation.

Du côté des pouvoirs publics, la Dinum et la délégation numérique en santé nous soutiennent. Nous cherchons à présent, auprès des ministères qui nous accompagnent, des subventions complémentaires pour inciter les établissements à se lancer en finançant le léger surcoût temporaire qu’ils doivent supporter au moment de la transformation.

M. Jean-Christophe Thorel. La Suite territoriale de l’ANCT est ouverte à de petites communes dans le cadre d’offres cloisonnées, très intéressantes pour ce type de structures. L’environnement collaboratif souverain (ECS) auquel travaille la Canut a vocation à s’adresser à des structures de plus grande taille. J’ai évoqué la région Occitanie, mais la métropole de Lyon et d’autres collectivités importantes s’intéressent à cette démarche, qui consiste à proposer une nouvelle offre packagée susceptible de concurrencer les Gafam. Certes, nos utilisateurs sont très liés à l’environnement Microsoft, mais notre projet est de leur proposer un outil dont l’expérience utilisateur et la cohérence du flux pourraient les séduire.

Cette offre collaborative est un peu plus complète que La Suite territoriale puisqu’elle inclut notamment de la softphonie et la gestion d’agendas – il s’agit d’un véritable parcours utilisateur. En outre, elle a vocation à s’intégrer dans un écosystème structuré. De fait, les régions, les départements, les communes sont équipés de systèmes d’information complexes qui se caractérisent par une forte adhérence entre les outils métiers et les outils bureautiques et collaboratifs. Le choix d’une transformation d’une telle ampleur doit être fait, non pas par le DSI, mais par la collectivité, les métiers. Il est donc important d’y associer la conduite du changement, les interfaces, l’intégration dans un écosystème. C’est tout l’enjeu de la consultation dont fait l’objet notre ECS : il s’agit de trouver le partenaire qui non seulement construira une offre technologique correspondant à un véritable package de services mais assurera aussi l’accompagnement des utilisateurs, qui peuvent inclure jusqu’aux collégiens.

Depuis octobre, la Canut et ses acheteurs mènent donc un dialogue compétitif, qui comporte plusieurs phases. Dans un premier temps, nous avons auditionné différents candidats – l’un d’entre eux a d’ailleurs présenté une offre qui comportait des briques de La Suite territoriale. Au mois d’avril ou de mai, nous seront remises de nouvelles offres packagées en fonction des souhaits des adhérents ; l’objectif est d’être prêts au mois de juillet à proposer à nos adhérents un environnement collaboratif souverain.

S’agissant de la promotion, la Canut participe, un peu partout en France, à des salons et des rencontres qui font connaître nos actions et nos marchés. Des webinaires sont également organisés. Le rôle de nos acheteurs est de mettre les marchés à disposition des adhérents mais aussi de comprendre leurs besoins.

M. Edward Jossa. Notre position est un peu différente. Du fait de notre caractère généraliste, du nombre de nos clients publics, qui est de 22 000, et de notre concentration sur les questions de chaîne d’approvisionnement, nous sommes moins enclins à être en mode projet. Lorsque c’est le cas, nous travaillons principalement avec l’État dans des marchés de coprescription, comme ce fut le cas pour le marché cloud. En l’espèce, l’État s’est adressé à nous car il souhaitait des outils utilisables non seulement par lui-même mais aussi par les collectivités territoriales, pour obtenir des effets de masse.

Il nous est aussi souvent demandé de donner des informations précises sur l’exécution de nos marchés. Si je prends l’exemple des véhicules, on nous demande de sélectionner des modèles qui correspondent à la fois à des critères de poids, d’émission de gaz à effet de serre, de budget… Nous réfléchissons actuellement avec l’État à la définition de seuils, notamment dans les domaines qui ont été évoqués, afin de faciliter son rôle de prescripteur.

Quant à LaSuite de la Dinum, j’ai bien conscience qu’il s’agit d’une question qui fait l’objet d’un débat franc entre la tech et l’État : celui-ci doit-il choisir une solution qu’il aurait lui-même conçue ou en acheter une ? Il ne m’appartient pas de me prononcer sur ce point. L’Ugap n’intervient qu’en l’absence de mise à disposition gratuite ou conventionnelle ; nous achetons et nous revendons des produits qui ont un prix. En revanche, pour les projets de logiciels libres, les prestations d’accompagnement sont importantes. Conscients de l’enjeu du développement de l’open source, nous réfléchissons à la manière dont nous pourrions mettre davantage en évidence les outils logiciels qui peuvent contribuer à la réussite de solutions plus globales en open source. Je vais donc demander à mes équipes de continuer à monter en compétences sur ces combinaisons de solutions marchandes et non marchandes.

Si notre activité doit diminuer du fait du déploiement de LaSuite, c’est ainsi ! Le volume des marchés qui nous sont commandés évolue en permanence, qu’il s’agisse des équipements, dont l’activité n’a cessé de baisser au cours des dernières années, ou des logiciels, dont les ventes ont explosé. Nous prenons acte de ces évolutions.

Mme Cyrielle Chatelain, rapporteure. S’agissant du cloud, le logo de Nuage public, qui est bleu, blanc, rouge, renvoie à une dimension souveraine très forte. Or, participe à ce projet, outre AWS et Google Cloud, un acteur américain comme Kyndryl, qui se prévaut, notamment sur LinkedIn, des solutions cloud qu’il fournit au Nuage public pour se féliciter de contribuer à la souveraineté française. Aussi, je tiens à vous alerter sur la manière dont ces entreprises utilisent vos outils de communication – sans doute élaborés avec l’État – pour faire du sovereign washing.

M. Edward Jossa. Sur le web, nous affichons un logo bleu, blanc, rouge sur tous les produits, numériques et autres, que nous considérons comme français. De même, nous avons équipé notre site de filtres qui permettent d’accéder directement aux solutions souveraines. C’est ainsi que nous travaillons.

Mme Cyrielle Chatelain, rapporteure. La communication vous semble donc adaptée.

M. Edward Jossa. Notre rôle est de présenter nos produits de manière à faciliter l’identification des solutions souveraines ; il n’est pas de contrer la communication d’un acteur, qu’il soit français ou non.

Mme Cyrielle Chatelain, rapporteure. Il me semble qu’à ce stade, sur le site, l’identification rapide de solutions informatiques souveraines n’est pas adéquate. Par ailleurs, il s’agit non pas de contrecarrer la communication d’acteurs avec qui vous avez un marché, mais de ne pas leur permettre d’utiliser vos outils pour réaliser leurs vidéos promotionnelles.

Lors de votre audition au Sénat, vous avez déclaré : « La société SCC – qui est, me semble-t-il, américaine – est très dépendante de l’Ugap, compte tenu du volume considérable que représente le marché multi-éditeurs dont elle est titulaire. » Pourtant, les solutions que SCC propose sur son site sont exclusivement américaines. Dans une situation comme celle que vous avez décrite, quelles sont vos marges de négociation pour inciter cette entreprise à y intégrer également des solutions souveraines ?

M. Edward Jossa. SCC est effectivement le premier fournisseur de l’Ugap, dont il a remporté plusieurs marchés. Cette filiale d’une entreprise britannique joue un rôle essentiel auprès d’autres centrales d’achat, parmi lesquelles figurent sans doute celles qui sont représentées ici. Ainsi, du fait de la diversité des centrales d’achat, nous pouvons avoir SCC comme titulaire dans certains domaines et comme concurrent dans d’autres. D’autant que SCC cherche à réduire sa dépendance à l’Ugap en répondant aux appels d’offres d’autres centrales d’achat. Comme les autres distributeurs – je pense à Computacenter, par exemple –, SCC exerce ainsi une pression sur l’ensemble du système. Sa force est d’avoir réalisé un investissement colossal dans le domaine de la distribution. C’est la raison pour laquelle elle remporte tant de marchés.

Cela dit, SCC, qui regroupe quelque 3 000 éditeurs, s’adapte à la demande et propose, comme d’autres, des produits Microsoft, Oracle ou VMware. Ils achètent ce qui se vend.

M. Thomas Jan. SCC est aussi un de nos plus importants fournisseurs. Vous avez raison, ils dépendent de la commande publique, et nous sommes donc, en tant que centrale d’achat, en droit d’être exigeants quant aux solutions qu’ils mettent en avant – c’est l’un des enjeux du comité stratégique de filière. Du reste, nous réfléchissons avec l’Ugap à une amélioration de la lisibilité de la présentation des solutions souveraines dans le cadre du marché multi-éditeurs. Cela évoluera donc très bientôt dans le bon sens ; il est tout à fait normal que nous demandions cette transformation à nos fournisseurs.

M. Edward Jossa. Nous avons décidé de scinder le prochain marché multi-éditeurs en deux lots mais il est possible que le même titulaire les remporte tous deux.

Mme Cyrielle Chatelain, rapporteure. SCC est en effet une société anglaise. Toujours est-il qu’elle est très dépendante de la commande publique. C’est pourquoi je vous demandais, monsieur Jossa, quelle pression vous exercez sur elle pour la faire changer.

En matière d’intelligence de la donnée, l’acteur de référence semble être Accenture, une société américaine dont les dirigeants sont revenus sur leur politique de diversité et d’inclusion lorsque Donald Trump a été élu. On peut donc présumer qu’ils transmettraient volontiers les données qui pourraient leur être réclamées au titre du Cloud Act. En outre, leur conception de l’intelligence artificielle est très particulière. Envisagez-vous, dans la perspective d’un renouvellement de ce marché, de choisir des opérateurs plus proches de la vision européenne de l’IA ?

M. Edward Jossa. La SCC perd aussi des marchés chez nous. Ils ont même introduit, et gagné, une procédure contentieuse contre nous. La relation avec ce genre de fournisseurs n’est pas simple. Nous avons, jusqu’à un certain point, la volonté de diversifier nos fournisseurs, qui eux-mêmes cherchent aussi à s’autonomiser un peu par rapport à nous.

Nous n’en sommes pas moins en discussion constante avec eux, notamment sur la prise en compte de critères, non seulement de souveraineté, mais aussi environnementaux et sociaux. Sur le marché des help desks, SCC a fait des efforts assez considérables pour, notamment, mobiliser des personnes en réinsertion. L’engagement de l’entreprise dans la prise en compte de certains critères sociaux est reconnu.

Ils sont ouverts à la discussion et très engagés – nous travaillons avec eux – dans la mise en œuvre du dispositif d’IA dont j’ai parlé, permettant – nous ne sommes pas les seuls, je crois savoir que la Canut mène une réflexion similaire – de mettre davantage en avant les solutions souveraines. Nous sommes d’autant plus mobilisés sur ces sujets que nous exécutons nos marchés et sommes donc partie prenante de toute la chaîne d’approvisionnement.

Sur Accenture, il faut que je vérifie, car les titulaires de nos marchés de prestations de conseil changent parfois de périmètre. Je suis un peu moins à l’aise pour vous répondre. Je vous répondrai par écrit.

Ce que je peux dire, c’est que ce sont de très gros cabinets, qui ont des acteurs français, certes parfois contrôlés par des sociétés étrangères, ce qui renvoie au débat sur l’extraterritorialité que nous avons eu au début de l’audition. En tout état de cause, nous ne les avons jamais pris en défaut sur des sujets de loyauté, parce que ce sont des boîtes qui sont là pour faire ce qu’on leur demande. Sur l’IA, je ne suis pas en mesure de préciser leur positionnement, je vérifierai.

M. le président Philippe Latombe. Je souscris aux deux observations de la rapporteure. Sur Nuage public, vous avez dit que l’Ugap a soulevé des questions sur le prix. Il y en a eu, aussi, sur l’écosystème, notamment sur la mise en avant systématique d’entreprises américaines telles que AWS et Google. Je vous engage à regarder vraiment la communication faite via Nuage public.

S’agissant de l’utilisation de certaines entités pour vous référencer – je pense à Crayon et à SCC, nous avons parlé des cabinets de conseil McKinsey et BCG –, leurs politiques de diversité ont fortement changé, ce qui nous ramène au conflit de normes. La France considère qu’il faut une politique de diversité ; c’est inscrit dans notre corpus législatif. Dès son arrivée au pouvoir, Donald Trump a demandé à ces entreprises de changer leur corpus, qui a même changé en France et en Europe. Comment les centrales d’achat intègrent-elles ces changements ?

Ma dernière question appelle peut-être une réponse par oui ou par non. Les États-Unis viennent d’interdire l’acquisition de routeurs non américains parce qu’il y aurait des risques pour la sécurité nationale. La Chine a interdit l’utilisation de solutions de cybersécurité non chinoises ou non européennes, qui sont des solutions américaines, parce qu’il y avait des risques de cybersécurité.

Si le Parlement décidait, du jour au lendemain, parce qu’il y aurait un risque pour la défense nationale, pour la sécurité de la nation, d’interdire certains produits de ce genre, êtes-vous en capacité de vous mobiliser très rapidement pour trouver des solutions ? Par exemple, si demain on interdit les routeurs américains, les routeurs chinois l’étant déjà quoi qu’en ait dit le Conseil d’État, sommes-nous en capacité d’avoir des solutions ? Vos plans stratégiques de résilience prévoient-ils une réflexion de cet ordre ?

M. Edward Jossa. La question est difficile. La résilience, nous l’assurons en ayant des catalogues aussi larges que possible, pour pouvoir traiter sans délai au moins la commande publique. Nous avons à peu près tous les logiciels souverains et des solutions non souveraines.

Le problème n’est pas chez nous. Très vite, nous trouverons des solutions alternatives. C’est le rôle des centrales d’achat. L’aspect opérationnel du passage brutal d’une solution à l’autre dépend du degré de profondeur de la solution dans le système d’information de l’entité cliente. Par ailleurs, nous nous assurons de notre résilience interne.

La résilience varie beaucoup. Nous avons tous en héritage des solutions installées au fur et à mesure, et des sujets de compatibilité entre nos applications. Seul le directeur des systèmes d’information est capable de trouver la solution correspondant à la situation précise de son entreprise. Selon le pourcentage d’applications historiques et le pourcentage de votre activité sur le web, votre degré de dépendance est très variable.

Nous pouvons mettre à disposition le plus rapidement possible – je n’ai pas de doute sur ce point – des solutions alternatives, mais nous ne pouvons pas faire le travail que doit faire chaque directeur des systèmes d’information, qui consiste à mener sa propre analyse de résilience et à identifier les solutions qu’il doit avoir. Tout cela nécessite beaucoup de réflexion prospective. Nous en faisons un peu, mais notre premier travail est d’avoir la disponibilité la plus large.

Ces observations m’amènent à aller un peu plus loin dans la réflexion sur la réforme de la commande publique. Vos questions se résument à celle-ci : la référence nationale fera-t-elle évoluer les situations ? Dans la mesure où nous sommes des catalogueurs, le sujet n’est pas là. La question est de savoir sur quelle base juridique nous pouvons arrêter telle ou telle solution. C’est un sujet un peu différent. Nous avons, les uns et les autres, des centaines et des centaines de solutions. La question est de savoir sur quelle base juridique je peux décider du jour au lendemain d’interdire à mes distributeurs d’utiliser telle ou telle solution. Parce que c’est une mesure discriminatoire, il faut une base juridique pour le faire. C’est là qu’il y a un enjeu.

À l’heure actuelle, nous ne pouvons le faire que si un règlement communautaire le prévoit. Par exemple, le règlement de l’Institut national de la propriété industrielle (Inpi) et le règlement européen pour une industrie « zéro net » (NZIA) permettent d’exclure des solutions. Dans le domaine du numérique, c’est la capacité à exclure une solution qui est déterminante en matière de commande publique. Au reste, notre devoir est d’avoir des catalogues aussi ouverts que possible pour assurer la résilience des solutions cloud et des solutions logicielles, analyser les cas de forte interaction entre le logiciel et l’hébergement et entre le software et le hardware.

Dans ce travail, tout le monde doit monter en compétences, notamment face à la révolution de l’IA, qui déplacera énormément les sujets. Tôt ou tard, le besoin de données sera tel qu’il y aura inévitablement un mouvement assez massif vers l’hébergement en cloud au détriment des solutions traditionnelles. Mais ces réflexions stratégiques dépassent assez largement notre modeste rôle de centrale d’achat, même si nous-mêmes devons être tout à fait conscients et à même d’expliquer ces évolutions.

M. Jean-Christophe Thorel. À la Canut, notre relation avec nos adhérents nous offre une certaine souplesse. Elle nous permet d’évaluer les besoins d’évolution et de tenir compte des transformations. Nous avons suffisamment de souplesse pour revoir nos marchés. Souvent, nous sommes sur des marchés intégrateur-éditeur ou intégrateur-vendeur de matériel. Nous pouvons donc positionner certaines transformations.

Concernant l’IA, nous avons des marchés de formation, d’accompagnement et d’expertise. Nous l’incorporons dans le marché ECS avec une volonté d’orientation vers le SecNumCloud. Cette démarche de souveraineté se met en place. Ce qu’il faut ensuite, c’est une réglementation permettant d’orienter plus facilement notre achat.

M. Thomas Jan. Il y a un précédent : l’Inpi a un règlement de réciprocité sur les dispositifs médicaux, que l’UniHa a pleinement intégré dans ses marchés publics. En cas de restriction dans un pays, l’Union européenne peut adopter un règlement de réciprocité, que nous appliquerons dans nos marchés publics.

M. le président Philippe Latombe. Il me reste à vous remercier de vos réponses, dont nous attendons les compléments écrits que vous avez annoncés. Si vous entendez, au gré de nos auditions, des propos auxquels vous souhaitez réagir, positivement ou négativement, n’hésitez pas à nous en faire part par écrit, nous intégrerons vos observations dans nos travaux.

La séance s’achève à dix heures trente.

———

Membres présents ou excusés

Présents. – Mme Cyrielle Chatelain, M. Philippe Latombe

Excusés. – Mme Isabelle Rauch, M. Alexandre Sabatou