CRCANR5L17S2026PO878304N025

— 1 —

La séance est ouverte à seize heures trente-cinq.

M. le président Philippe Latombe. Nous recevons Mme Stéphanie Schaer, directrice interministérielle du numérique, et M. Jérémie Vallet, son adjoint.

La direction interministérielle du numérique (Dinum) a pour mission d’élaborer la stratégie numérique de l’État et de piloter sa mise en œuvre. Elle collabore avec l’ensemble des DSI (directions des systèmes d’information) des ministères. Par ailleurs, elle s’est faite éditrice de logiciels. Dans quelle mesure dispose-t-elle, à ce titre, d’un pouvoir de prescription ?

Avant de vous donner la parole pour un propos liminaire, je vous remercie de nous déclarer tout intérêt public ou privé de nature à influencer vos déclarations.

Je vous rappelle que l’article 6 de l’ordonnance du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires impose aux personnes auditionnées par une commission d’enquête de prêter le serment de dire la vérité, toute la vérité, rien que la vérité.

(Mme Stéphanie Schaer et M. Jérémie Vallet prêtent successivement serment.)

Mme Stéphanie Schaer, directrice interministérielle du numérique. Je vous remercie pour votre invitation et pour l’intérêt que vous portez à l’action de la direction interministérielle du numérique s’agissant des dépendances structurelles dans le secteur du numérique et des risques qu’elles font peser sur l’autonomie stratégique de la France.

La Dinum est un service du Premier ministre, qui exerce ses missions sous l’autorité conjointe de celui-ci et du ministre de l’action et des comptes publics. En tant que « tour de contrôle » du numérique, elle a pour mission d’élaborer la stratégie numérique de l’État et de piloter sa mise en œuvre. Elle exerce aussi les fonctions de Chief Data Officer (CDO) et de DRH du numérique de l’État. Elle tire également sa légitimité des produits interministériels qu’elle opère, comme le réseau interministériel de l’État (RIE) – j’y reviendrai –, FranceConnect, data.gouv.fr ou Tchap, pour citer quelques exemples. Pour mener à bien ces missions, la Dinum peut compter sur ses 250 agents, répartis sur trois sites – Paris, Rennes et Lyon –, et mobilise un budget resserré, de l’ordre de 55 millions d’euros.

La Dinum a défini en mars 2023 un nouveau cap pour le numérique public, qui doit donner lieu à un État plus efficace, plus simple et plus souverain. L’une des priorités de cette stratégie est le renforcement significatif de la maîtrise de l’État sur ses systèmes d’information (SI). Dans un contexte de crises successives, cette maîtrise est de plus en plus une condition de souveraineté et une assurance pour l’avenir.

Notre définition de la souveraineté numérique a été précisée très récemment, le 5 février 2026, dans la circulaire du Premier ministre relative à la commande publique numérique. La souveraineté y est définie comme « la capacité d’une nation à agir de manière autonome dans ses domaines stratégiques, en maîtrisant les dépendances technologiques, opérationnelles et réglementaires envers des acteurs non européens sur l’ensemble de la chaîne technologique : infrastructures, logiciels, services, hébergement et matériels. »

En pratique, cela se traduit par deux notions-clés qui sous-tendent l’action de la Dinum : d’abord la recherche de l’immunité au droit extraterritorial, qui nous conduit à choisir des solutions répondant à cette exigence, notamment le label SecNumCloud lorsqu’il s’agit de données sensibles ; ensuite, la capacité de l’État à remplacer une composante de ses systèmes numériques par une solution alternative afin de prévenir les risques de dépendance technologique ou d’ingérence. Il s’agit, par exemple, d’éviter la dépendance à un fournisseur unique en position de monopole, mais aussi de se prémunir contre la défaillance économique éventuelle d’un prestataire. Cela implique de disposer des compétences nécessaires pour évaluer les choix effectués et de maîtriser les technologies clés en matière de numérique.

Cette volonté assumée de maîtrise et de pérennité du système d’information de l’État, destinée à en assurer la continuité opérationnelle au quotidien, se traduit par des choix structurants en matière d’infrastructures, d’outils collaboratifs, de cloud et d’intelligence artificielle. Elle repose sur deux convictions fortes, qui étaient déjà inscrites dans la stratégie de mars 2023 : le recours aux communs numériques, qui constitue un levier central de maîtrise, de réversibilité et de transparence ; et le développement de partenariats avec des industriels de confiance, couplé à un renforcement de nos compétences internes – qui s’est concrétisé, par exemple, par une vague de réinternalisation opérée en 2024.

Quelques exemples pour illustrer ces propos. Le réseau interministériel de l’État est opéré par la Dinum en partenariat étroit avec plusieurs industriels, comme Thales, et des opérateurs de télécommunications comme SFR, Orange, Free et les opérateurs présents dans les départements et régions d’outre-mer. Dans le domaine du cloud de confiance, notre stratégie a permis de développer une offre diversifiée d’acteurs labellisés SecNumCloud auxquels l’État a recours, comme Outscale ou OVHcloud. En matière de bureautique, je citerai les outils Tchap et Visio, sur lesquels je reviendrai et qui s’appuient sur des communs numériques. Enfin, concernant l’IA (intelligence artificielle), nous avons engagé la construction d’un socle interministériel reposant là aussi sur un partenariat solide avec Outscale, pour les capacités de calcul, et avec Mistral AI.

Je vous propose de faire d’abord le diagnostic de nos dépendances existantes, puis d’évoquer les premiers succès obtenus pour les réduire ainsi que les chantiers en cours. J’aborderai ensuite les communs numériques, qui permettent d’apporter des réponses à ces vulnérabilités, et le recours à la commande publique, indispensable pour stimuler une offre alternative. Je terminerai avec les prochaines étapes de l’action de l’État.

D’abord donc, l’état des lieux que nous pouvons dresser est largement partagé au niveau européen et notamment étayé par le rapport Draghi sur la compétitivité européenne. Nous savons que près de 80 % des infrastructures et technologies numériques européennes sont importées, ce qui engendre des vulnérabilités systémiques. Un travail a été engagé avec la direction des achats de l’État (DAE) afin de mieux identifier nos dépendances à partir de l’analyse des 4,2 milliards que nous dépensons chaque année en matière numérique.

La Dinum vient d’organiser un séminaire interministériel, qui a eu lieu le mercredi 8 avril dans les services du Premier ministre et a réuni de nombreux départements ministériels. Cette rencontre a permis d’amorcer un travail de cartographie et d’identifier les thématiques prioritaires : les outils bureautiques, les systèmes d’exploitation du poste de travail, les couches logicielles de virtualisation pour l’hébergement en nuage, les logiciels d’intelligence artificielle, les bases de données et enfin les infrastructures physiques – ordinateurs, serveurs, cartes graphiques.

Il faut maintenant définir le champ des travaux concernant chacune de ces thématiques, sachant que les solutions alternatives sont d’un degré de maturité variable selon les cas. Une fois ce diagnostic posé, il s’agira de conduire un plan de sortie de ces dépendances. Il est clair que ce sera un travail de longue haleine. Néanmoins, nous pouvons d’ores et déjà nous appuyer sur de premiers succès – c’est mon deuxième point –, mis en avant lors du séminaire dont je viens de parler.

Deux exemples illustrent le fait que la Dinum a su anticiper pour disposer de solutions alternatives, dont s’inspirent d’ailleurs nos homologues étrangers. Le premier est celui de Tchap, la messagerie instantanée professionnelle déployée à large échelle au sein de l’État, qui compte aujourd’hui près de 800 000 comptes et dépasse les 400 000 utilisateurs récurrents. Sur cet exemple, la Belgique et les Pays-Bas ont déployé des solutions équivalentes, sur la base du protocole Matrix, et nous entretenons avec eux des échanges réguliers à ce sujet. Ces résultats sont le fruit d’un renforcement, ces trois dernières années, de nos équipes, qui ont pu contribuer à ce commun numérique, en maîtriser le code et intensifier nos échanges avec des partenaires européens – notamment l’Allemagne et le Luxembourg, qui disposent de messageries instantanées similaires fondées sur le même socle open source.

Le second exemple est celui de Visio, notre système de vidéoconférence à l’état de l’art, également fondé sur des communs numériques. Nous le portons à l’échelle en partenariat avec un hébergeur qualifié SecNumCloud, Outscale – filiale de Dassault Systèmes –, en mobilisant les technologies les plus avancées en matière d’intelligence artificielle grâce à des partenariats industriels et scientifiques avec Pyannote ou Kyutai. Ce déploiement à l’échelle est en cours, soutenu par la circulaire de début d’année du Premier ministre : le nombre de participants sur Visio a été multiplié par quatre en quatre mois, pour atteindre près de 400 000.

La journée du 8 avril a par ailleurs été marquée par les témoignages inspirants de plusieurs DSI ayant réussi à s’affranchir de dépendances pourtant profondément ancrées. Je tiens à citer l’exemple de l’Urssaf, qui mène une stratégie de sortie des dépendances en matière de bases de données. La Caisse nationale de l’assurance maladie (Cnam) conduit un travail analogue concernant la virtualisation pour l’hébergement en nuage. Enfin, dans le secteur de la santé, un partenariat public d’innovation a été lancé afin de développer des alternatives en matière de bureautique collaborative.

S’agissant des dépendances en matière de hardware, je souhaite également mentionner les travaux qui sont en cours au niveau du ministère de la justice et que la Dinum accompagne. Un marché relatif au reconditionné est en passe d’aboutir ; il devrait permettre une meilleure maîtrise du hardware bureautique utilisé au sein de l’État.

Ainsi, si la sortie des dépendances est une montagne à gravir, nous voyons que des chemins sont possibles. Des acteurs sont déjà sur la voie, tirant tout le monde vers le haut et fournissant un indispensable effort de mutualisation.

C’est mon troisième point : cet effort de mutualisation, qui nous apparaît indispensable et que la Dinum anime au niveau interministériel, consiste à investir dans des communs numériques, leviers stratégiques qu’il convient d’ailleurs de consolider à une échelle supranationale – en l’occurrence européenne. En effet, comme l’ont illustré les exemples précédents, de nombreuses alternatives reposent désormais sur des briques open source dont nous devons maintenant garantir la pérennité, le financement et la continuité. Ces briques apportent d’une part une capacité de maîtrise du code et d’exploitation autonome, et d’autre part une capacité accrue de mutualisation, dans le public comme dans le privé ainsi qu’avec les autres États susceptibles de contribuer au financement des communs numériques.

Concrètement, la France s’investit depuis plusieurs années, d’abord avec l’Allemagne puis avec les Pays-Bas, dans le financement de briques de communs numériques. Dès le départ, l’ambition était d’aboutir à une construction plus large au niveau européen. Cela a mené, à la fin de l’année dernière, à la création de l’Edic Digital Commons, le consortium pour une infrastructure numérique européenne (European Digital Infrastructure Consortium), dédié aux communs numériques. Cette entité réunit cinq membres fondateurs – outre ceux que j’ai déjà cités, l’Italie et le Luxembourg – et plusieurs pays observateurs, comme le Danemark, la Pologne et d’autres États en cours d’adhésion. L’objectif est de bâtir, grâce aux investissements réalisés dans chaque pays, des briques numériques ouvertes, interopérables et réutilisables, susceptibles de soutenir l’autonomie stratégique de l’Europe.

L’ambition de l’Edic dépasse largement le cadre des travaux initiaux conduits par la France, l’Allemagne et les Pays-Bas sur les suites bureautiques : elle couvre l’ensemble des thématiques abordées précédemment. Pour 2026, nos travaux dans ce cadre porteront en priorité sur le système d’exploitation du poste de travail et sur la recherche sémantique entre différents outils collaboratifs. Cette ambition européenne repose sur une conviction simple : seule la mutualisation de nos investissements, de nos talents et de nos capacités industrielles nous permettra d’apporter des réponses concrètes et de nous affranchir des dépendances imposées par des acteurs monopolistiques. Elle suscite d’ailleurs l’intérêt d’autres États : la Dinum a récemment signé avec son homologue québécois une déclaration d’intérêt fondée sur ces communs numériques.

La commande publique constitue un autre levier déterminant pour stimuler une offre industrielle française et européenne alternative. En effet, la diversité des solutions permet d’ouvrir la possibilité d’un choix, lequel est crucial pour notre souveraineté, conformément à la définition que j’ai donnée précédemment. Mais cela pose des exigences nouvelles en matière de réversibilité et d’interopérabilité.

Ainsi, s’agissant du cloud, la France dispose désormais d’une offre de confiance, qui a été stimulée par la stratégie déployée depuis 2023. Aujourd’hui, 99 % de la commande publique de l’État est orientée vers sept acteurs européens, majoritairement français, dont les solutions sont qualifiées SecNumCloud. Cette orientation exige, tant pour répondre aux contraintes des marchés publics que pour faire face par exemple à des plans de reprise d’activité, une excellente interopérabilité et réversibilité de l’offre. Des travaux sont menés à cet effet en lien avec les acteurs concernés, dont beaucoup s’appuient sur des briques open source qui favorisent précisément l’interopérabilité.

Autre exemple : les outils collaboratifs. À l’occasion de la sortie de la circulaire sur la commande publique numérique, nous avons clarifié le positionnement des outils proposés par la Dinum par rapport à ce qui est attendu de l’écosystème privé. La Dinum opère et diffuse au sein de l’État ce que nous appelons les outils cœur de suite : la visioconférence, la messagerie instantanée Tchap et FranceTransfert. Ces outils ont vocation à s’articuler avec les solutions de marché. Afin de mieux faire connaître cette offre à l’ensemble des départements ministériels, un événement de matchmaking a été organisé le 27 mars avec Numeum et le CSF (comité stratégique de filière) « Logiciels et solutions numériques de confiance ». En effet, l’achat étant à la main des ministères, il est essentiel que ces derniers disposent d’une visibilité complète sur l’offre. À cette occasion est apparue toute l’importance de l’interopérabilité : les agents publics amenés à travailler avec ces différents outils doivent pouvoir bénéficier d’une ergonomie complète leur permettant de passer facilement de l’un à l’autre. Ces enjeux sont au cœur de l’initiative Open-Interop, lancée par le CSF et à laquelle la Dinum prendra une part active. D’autres travaux sont en cours sur les mêmes thématiques et nous souhaitons également stimuler cette dynamique au niveau de l’Edic.

S’agissant enfin de l’intelligence artificielle, un appel à manifestation d’intérêt (AMI) a été lancé il y a un an afin de faciliter le référencement et l’accès à la commande publique. Cela permet aussi d’identifier les solutions sur étagère disponibles, qui sont répertoriées sur le site de la Dinum.

En complément, la circulaire du 5 février fixe un cap clair pour les administrations mais aussi pour les acteurs privés. La priorité est désormais donnée au recours aux solutions existantes – communs numériques mais aussi services sur étagère –, le développement ad hoc n’intervenant qu’en dernier ressort. Le choix des outils s’opère selon trois critères : la performance métier, la souveraineté numérique et la sécurité. Ce cadre offre aux acheteurs publics de nouveaux leviers de souveraineté qui leur permettent de sécuriser leurs actes d’achat.

J’en viens aux prochaines étapes permettant de structurer, à l’échelle de l’État, un plan de réduction de nos dépendances. Les travaux menés par la Dinum depuis plusieurs années ayant abouti à de premières solutions concrètes, il s’agit désormais de mener un travail en profondeur pour aller plus loin. La Dinum poursuit ses travaux prospectifs : nous avons annoncé la semaine dernière le déploiement, d’ici à la fin de l’année, d’un poste de travail souverain basé sur Linux pour l’ensemble de nos 250 agents. Cela fait l’objet d’un partage d’expérience à l’échelon interministériel.

Au-delà, nous cherchons à structurer les actions de chaque ministère en un plan collectif de sortie des dépendances, annoncé pour la fin de l’année. Le séminaire de la semaine dernière a permis d’identifier les grandes thématiques, de lancer des administrations pilotes pour chacune d’entre elles et de consolider un diagnostic commun. Des rencontres industrielles du numérique seront organisées par la Dinum au début de l’été, qui doivent permettre de concrétiser les premières migrations vers des solutions alternatives sur ces thématiques.

Pour répondre à l’ensemble de ces enjeux, la réinternalisation des compétences est indispensable. Il s’agit de garantir, au sein de l’État et de chaque département ministériel, une connaissance fine des technologies et de leur capacité à répondre aux différents besoins. C’est pourquoi la Dinum accompagne les ministères dans l’analyse de leurs besoins en matière de compétences numériques, en cohérence avec les recommandations formulées en 2023 par l’Inspection générale des finances (IGF) et le Conseil général de l’économie (CGE).

En conclusion, la stratégie que nous déployons depuis trois ans porte ses fruits. Elle repose sur quatre axes directeurs : donner une impulsion à l’ensemble des départements ministériels en fixant un cadre structurant ; identifier des alternatives concrètes, en lien étroit avec l’écosystème industriel français et européen ; mutualiser ce qui peut l’être, au niveau national comme européen ; et réarmer l’État par les compétences, en ne sous-estimant pas le facteur humain, indispensable à la réussite de nos chantiers. La Dinum s’attache ainsi à construire cette méthode pragmatique, constituée d’étapes bien identifiées dont les premières ont déjà connu des réussites, afin de réduire progressivement nos dépendances.

M. le président Philippe Latombe. Ma première question s’appuie sur un exemple récent qui doit permettre d’éclairer le fonctionnement et le positionnement de la Dinum. Nous avons appris que le ministère de l’économie et des finances, souhaitant améliorer la gestion de Tracfin et optimiser le traitement des données par les banques, s’est rapproché de la société Palantir. Comment la Dinum peut-elle intervenir dans le choix d’un tel prestataire, singulièrement lorsqu’il est indirectement le fait d’une de ses autorités de tutelle, puisque le ministère de l’action et des comptes publics est rattaché à celui des finances ? Quel rôle la Dinum peut-elle jouer dans une telle configuration et quelle est votre position sur ce dossier, eu égard à la stratégie que vous venez d’exposer ?

Mme Stéphanie Schaer. Je répondrai en deux temps. Tout d’abord, le cas très spécifique que vous venez de mentionner concerne des systèmes d’information classifiés. Or le décret du 25 octobre 2019 exclut explicitement les SI classifiés du périmètre de compétence de la Dinum ; je ne peux donc m’exprimer sur ce dossier particulier relatif à Tracfin et à Palantir.

De façon générale, hors de ces SI classifiés, la Dinum est amenée à examiner les projets des ministères afin de vérifier leur conformité aux doctrines en vigueur, qu’il s’agisse de la circulaire sur la commande publique numérique, de celle relative à la doctrine d’utilisation de l’informatique en nuage par l’État, dite circulaire cloud, ou des bonnes pratiques en matière de conduite des projets numériques. Dans le cadre de ces missions d’audit, définies à l’article 3 du décret de 2019, un avis conforme de la Dinum est requis pour le lancement de tout projet. Cet avis est émis après consultation de l’Agence nationale de la sécurité des systèmes d’information (Anssi) s’agissant des enjeux de cybersécurité, et de la direction du budget pour ce qui est de la soutenabilité financière. Nous rendons ainsi une vingtaine d’avis par an, lesquels sont publiés sur data.gouv.fr. Nous assurons ensuite le suivi du bon cheminement des projets.

Ces dispositions ont d’ailleurs récemment évolué, après une large concertation interministérielle, afin de s’adapter aux nouvelles pratiques. La Dinum conserve sa mission d’audit au démarrage des projets mais le seuil de saisine est relevé de 9 à 15 millions d’euros, pour s’ajuster à l’évolution du coût des projets numériques. Parallèlement, elle se voit confier de nouvelles missions d’audit spécifiques concernant les achats de logiciels à la demande – en mode SaaS (software as a service) –, pour lesquels le seuil est cette fois abaissé à 2 millions d’euros par an. Cette mesure répond à la généralisation des solutions d’hébergement en nuage et témoigne de notre vigilance accrue quant à l’application de la circulaire cloud mais aussi de l’article 31 de la loi visant à sécuriser et à réguler l’espace numérique (Sren).

Enfin, nous sommes désormais attentifs aux évolutions majeures des projets. Nous sommes passés en mode produit : plutôt que de construire un SI, comme auparavant, puis de le refondre totalement dix ans plus tard – ce qui nécessite une nouvelle saisine –, nous privilégions des investissements continus dans l’amélioration du produit. Cela implique de réévaluer l’impact, la valeur et la conduite des projets à certains moments clés de leur cycle de vie, ce que la Dinum sera amenée à faire dans un dialogue avec les ministères. C’est dans ce cadre que la Dinum est amenée à se prononcer sur l’application des référentiels et doctrines de l’État.

M. le président Philippe Latombe. Pour préciser ma question, même si la Dinum n’est pas compétente sur les SI classifiés, cela ne vous empêche pas d’avoir un avis puisque vous êtes d’une part porteurs d’une vision stratégique – vous l’avez dit –, notamment sur l’enjeu de souveraineté, et d’autre part chargés de l’harmonisation des pratiques. Des questions se sont déjà posées par le passé concernant l’utilisation de Palantir par la DGSI (direction générale de la sécurité intérieure). Il fait partie de la réflexion sur le numérique que de s’interroger sur ce type de cas.

Je prends cet exemple parce qu’il est d’actualité, mais la question se pose pour d’autres projets. S’agissant précisément de la DGSI, nous sommes en train de développer un outil franco-français, OTDH (outil de traitement des données hétérogènes), qui a vocation à remplacer Palantir. Mathieu Weill nous a d’ailleurs indiqué, la semaine dernière, que cet outil pourrait être diffusé à d’autres ministères pour d’autres traitements de données hétérogènes. Mais comment pourriez-vous partager ces outils si vous vous tenez à distance de ce qui est classifié ?

Mme Stéphanie Schaer. Il existe d’autres structures chargées de la mutualisation dans le domaine du classifié, notamment l’Osiic (opérateur des systèmes d’information interministériels classifiés), qui est une agence du secrétariat général de la défense et de la sécurité nationale. Je m’en remettrai donc à ses directives en la matière.

En revanche, concernant la mutualisation des outils dans les autres domaines, la Dinum s’est vue confier une nouvelle mission par la circulaire relative à la commande publique numérique : elle doit dresser un catalogue des communs numériques existants. Nous en comptons plusieurs, au-delà des suites bureautiques que nous avons déjà évoquées. On peut notamment citer le programme d’archivage Vitam, porté par le ministère de la culture, ou encore les clouds interministériels Pi ou Nubo. Ces travaux sont en cours et le catalogue – qui sera évolutif – devrait être publié à l’été, conformément aux exigences de la circulaire. Nous nous attachons à bien identifier les communs numériques susceptibles d’être utilisés à large échelle par différents ministères, afin de réduire au maximum l’ensemble de nos dépendances.

Parallèlement, le CSF élabore un catalogue recensant l’ensemble des solutions souveraines françaises à même de réduire nos dépendances et de répondre aux besoins des acteurs, publics comme privés. Après la première étape du matchmaking, la publication à l’été prochain de ce catalogue, qui viendra compléter l’annuaire des entreprises déjà diffusé, facilitera l’identification des alternatives disponibles et l’ensemble des actes d’achat.

Mme Cyrielle Chatelain, rapporteure. Je voudrais d’abord revenir sur le séminaire que vous avez mentionné à plusieurs reprises. Vous nous dites que l’un de ses objectifs serait d’amorcer un travail de cartographie : faut-il en déduire qu’il n’existe pas, à ce jour, de diagnostic complet du niveau de dépendance numérique des différentes administrations de l’État ? Il y a quelques mois, la ministre déléguée chargée du numérique et le ministre chargé de la fonction publique annonçaient le redéploiement de 4,5 milliards d’euros de commande publique numérique. Ces annonces laissaient supposer l’existence d’un diagnostic préalable. Avez-vous des éléments à partager à ce sujet ?

À la suite de ce séminaire, qui a intéressé d’ailleurs, ce qui est une bonne nouvelle en termes de souveraineté, la place de la Dinum est-elle appelée à évoluer ? Selon vos informations, le cadre réglementaire de la commande publique numérique a-t-il vocation à être révisé, ou bien les équilibres actuels sont-ils sanctuarisés ? Je m’interroge notamment sur votre capacité à diffuser largement les outils que vous développez, notamment le cœur de suite.

Enfin, pour compléter la question du président, j’aimerais mieux appréhender l’évolution de votre positionnement. La Dinum est-elle amenée à être davantage consultée ? Le relèvement des plafonds de saisine pour les projets classiques – certes en partie lié à l’augmentation des coûts – laisse penser que les projets de plus petite taille pourraient désormais échapper à votre examen. En contrepartie, vous étendez votre périmètre d’intervention aux solutions dites SaaS. Pouvez-vous nous donner quelques exemples concrets de ces nouvelles missions et nous préciser ce qu’elles vont changer dans vos relations avec les autres administrations ?

Mme Stéphanie Schaer. S’agissant de la cartographie, nous menons des travaux dans deux directions. Le budget pour 2025, qui est de 4,2 milliards plutôt que de 4,5, recouvre l’ensemble de la dépense publique en matière de numérique, des prestations intellectuelles informatiques aux abonnements aux réseaux.

Un travail en lien étroit a été engagé entre la Dinum, la direction des achats de l’État et l’Ugap (Union des groupements d’achats publics), centrale d’achats qui est fortement mobilisée dans le domaine du numérique, pour regarder plus finement les sujets. Décortiquer les chiffres, ceux de l’Ugap, par exemple, est un travail de longue haleine car un contrat peut être passé avec un acteur qui contracte lui-même avec d’autres, ce qui répercute la dépendance. Nous allons au fond des choses, même si certaines dépendances sont plutôt évidentes. Les montants sont en train d’être consolidés : ils n’ont pas encore été communiqués officiellement, mais notre objectif est de le faire.

Ce travail nous a conduits aussi à définir les thématiques des groupes de travail lors du séminaire de la semaine dernière : les outils bureautiques, les systèmes d’exploitation du poste de travail, les couches logicielles de virtualisation pour l’hébergement en nuage, les logiciels d’intelligence artificielle, les bases de données et tout ce qui est physique, le hardware. Nous sommes assez au clair au sujet des catégories sur lesquelles il faut travailler pour corroborer les dépendances. Pour suivre les choses et voir comment les faire évoluer, il est important de connaître le point de départ, d’avoir une capacité de mesure sur la durée et de voir comment on peut arriver à réduire les dépendances sur ces différentes thématiques. Cela se fait plutôt au niveau interministériel, en s’appuyant sur les chiffres de Chorus et ceux communiqués par l’Ugap et en procédant à une réconciliation de l’ensemble. On demande aussi à chaque ministère, qui connaît bien son périmètre, d’apporter sa propre lecture de la cartographie et de son plan de réduction des dépendances.

Ces travaux ont été stimulés grâce au séminaire du 8 avril et la Dinum va les suivre et les animer dans le temps, forte des chiffres dont je viens de parler. Cet exercice sera mené au cours de l’année dans l’objectif de disposer à la fois d’un plan de sortie et d’une cartographie, les deux allant de pair.

En ce qui concerne la commande publique, la circulaire signée par le Premier ministre fixe des équilibres qu’il ne s’agit pas de faire bouger : ils sont le fruit de très longs échanges interministériels sur toute l’année 2025, et nous avons été très satisfaits, à la Dinum mais aussi dans l’ensemble des ministères, d’avoir la conclusion de ces travaux et de pouvoir les mettre en œuvre. Ils nous donnent de nouveaux leviers pour ce qui est des exigences en matière de sécurité et de souveraineté s’agissant des marchés publics passés dans le domaine du numérique, ce qui assez essentiel au vu du contexte.

Ce qui est attendu de chacun a également été clarifié. Le communiqué de presse accompagnant la circulaire a aussi permis de bien définir ce qui est attendu de la Dinum pour les outils bureautiques, à diffusion exclusive, qui sont en cours de déploiement, comme Tchap, Visio et FranceTransfert, ainsi que pour une offre d’outils qui viennent compléter les précédents sans être à usage exclusif et au sujet desquels la Dinum cherche à stimuler une offre industrielle.

Nous avons stimulé cette offre le 27 mars, mais également grâce aux travaux menés en matière d’interopérabilité. Nous voulons sortir des outils tout en un, sans fonction collaborative, qui sont les plus fréquents aujourd’hui – en matière de bureautique, par exemple, les outils sont la plupart du temps non collaboratifs et hébergés en local – et gagner en efficacité pour les agents publics grâce à davantage d’outils hébergés en cloud et qui permettent une collaboration en interne au sein d’un ministère mais également en interministériel. Il faut donc faire en sorte que les outils des différents acteurs s’articulent bien les uns avec les autres. L’ergonomie des outils pour nos utilisateurs, les agents publics, et le suivi de l’état de l’art font partie de nos exigences. Ce défi est très largement partagé, comme l’ont montré de manière flagrante les échanges du 27 mars, et nous sommes très intéressés par la participation aux travaux sur les connecteurs d’interopérabilité. Il peut s’agir, très concrètement, de mettre de la visio dans des outils de messagerie utilisés par différents ministères lorsqu’une réunion est lancée.

S’agissant de la façon dont évolue le travail de la Dinum en matière d’évaluation des projets, nous avons vraiment souhaité trouver un bon équilibre. Il ne s’agit pas d’être dans le surcontrôle – ajouter encore des couches de contrôle ne serait d’ailleurs pas forcément accepté au niveau interministériel. Pour atteindre cet équilibre, nous avons rehaussé le seuil, l’expérience ayant montré que la tranche allant de 9 à 15 millions d’euros n’était pas forcément celle qui rencontrait le plus de difficultés en matière de conduite des projets – c’est plutôt le cas des projets de plus grande ampleur. Nous avons également souhaité dégager une marge de manœuvre afin de pouvoir travailler sur des points qui nous paraissent critiques, comme l’évolution des projets. Avec le mode produit en effet, on est moins amené à revoir régulièrement les projets puisqu’il s’agit moins de grosses refontes que d’évolutions dans le temps. Nous adoptons ainsi des méthodes que la Dinum préconise elle-même dans le cadre de la stratégie numérique et qui s’inspirent des meilleures pratiques de développement numérique dans le secteur privé – développement agile ou mode produit.

Par ailleurs, le fait d’utiliser de plus en plus de solutions logicielles à la demande réinterroge un certain nombre de risques en matière d’hébergement de données et d’application de notre ensemble normatif. C’est la raison pour laquelle, comme l’avaient souhaité nos autorités politiques en mai dernier, un point de contrôle sur les achats est prévu dès lors qu’ils dépassent un seuil fixé à 2 millions d’euros. Cela se fait, bien sûr, en lien avec la direction des achats de l’État, puisqu’il s’agit d’achats publics. Nous la consultons quand nous sommes amenés, sur la base d’un texte tout récent donc, à émettre un avis. Cela concerne des logiciels hébergés en nuage, comme des logiciels de bureautique. Nous nous posons la question de la façon dont est piloté le projet, mais aussi de l’application du vade-mecum sur les données sensibles, en application de l’article 31 de la loi Sren.

M. le président Philippe Latombe. Vous jouez ce rôle à partir de 2 millions d’euros, mais est-ce pour l’ensemble de l’État ? Comment cela se passe-t-il pour l’enseignement supérieur et la recherche ? Certaines universités optent pour des systèmes américains. Une politique globale sera-t-elle menée au sein du ministère et déployée dans les universités, ou laissera-t-on ces dernières jouir de l’autonomie la plus complète ?

Mme Stéphanie Schaer. Le nouvel alinéa de l’article 3 a pour périmètre le système d’information de l’État. L’ensemble des établissements publics sont concernés, et il revient aux tutelles de s’organiser avec eux à propos des saisines pour s’assurer que la Dinum est sollicitée pour les achats.

Mme Cyrielle Chatelain, rapporteure. J’ai compris que les missions de la Dinum avaient été précisées dans un communiqué de presse accompagnant le décret de février dernier sur la commande publique. Est-ce bien cela ?

Mme Stéphanie Schaer. Ce n’est pas un décret. Le décret d’application de la loi Sren aborde le sujet aussi, mais en l’occurrence il s’agit de la circulaire qui a défini les grands principes. Le communiqué de presse qui a accompagné sa publication, en février 2026, a donné des illustrations de son application dans le cas des suites bureautiques – sachant que la Dinum opère d’autres produits numériques, comme le RIE, qui a un million de bénéficiaires, ProConnect, FranceConnect, data.gouv et différentes briques logicielles et réseau : opérer des briques interministérielles ayant un nombre d’utilisateurs important fait partie des missions historiques de la Dinum.

Le communiqué de presse a donc illustré l’application de la circulaire en partant de ce que fait la Dinum en matière de bureautique pour assurer la continuité de l’action publique et son bon fonctionnement. Par exemple, la visio doit bien fonctionner, en matière d’ouverture de flux, dans tous les ministères et en tout temps. C’est un outil qui joue un rôle clef pour la gestion de crise, un peu comme la messagerie instantanée, qui a été fortement mobilisée par l’Anssi pendant les Jeux olympiques de 2024, avec différents partenaires. Nous souhaitons avoir une pleine maîtrise sur ces outils, ce qui ne veut pas dire que nous ne travaillons pas avec des industriels pour les opérer. Dans le cas de Visio, la Dinum a ainsi un partenariat avec Outscale, et elle a l’habitude d’opérer le RIE en lien très étroit avec les industriels qui infogèrent telle ou telle portion du réseau.

Le communiqué de presse a aussi défini les attentes concernant d’autres briques logicielles pour lesquelles nous allons essayer d’articuler au mieux les offres existantes et de diversifier les choix par rapport aux offres d’ensemble plutôt monopolistiques qui ont été retenues dans un certain nombre de ministères, et qui sont par ailleurs non collaboratives. Nous sommes en train de cheminer du non collaboratif vers le collaboratif pour apporter davantage d’efficacité et d’efficience aux agents publics. C’est tout le fruit des travaux de la démarche de matchmaking, de mise en relation du 27 mars, qui s’inscrivait pleinement dans le cadre du communiqué de presse de février.

Mme Cyrielle Chatelain, rapporteure. Merci pour cette précision, j’avais interverti décret et circulaire.

Globalement, le développement des outils collaboratifs par la Dinum a fait vivement réagir. La Business Software Alliance, qui rassemble Google, Microsoft et Amazon, a peu apprécié, par exemple, les nouvelles orientations définies par les autorités françaises, ce dont on ne peut que se réjouir. Mais on peut aussi se poser la question du niveau de solidité d’une circulaire illustrée par un communiqué de presse. Serait-il utile de compléter la circulaire pour asseoir cette politique ? Il existe déjà, vous l’avez dit, un certain nombre d’utilisateurs. Changer d’habitude étant difficile, j’imagine qu’on ne repassera pas d’un outil à un autre.

Mme Stéphanie Schaer. Ce que fait la Dinum s’inscrit dans le cadre de l’application de la circulaire. Le communiqué de presse l’a illustrée, mais c’est la circulaire qui s’applique pleinement. Cela renforce les choses et il n’y a aucune remise en cause des équilibres retenus.

C’est dans ce cadre que nous consolidons notre action, avec des échéances et des enjeux très opérationnels comme le déploiement de Tchap ou de Visio – des budgets y sont consacrés – et le souhait de réussir à bien articuler l’ensemble des outils proposés par toute la filière. Ces outils ont été financés, par exemple, par France 2030, le but étant de faire avancer chacun dans sa feuille de route mais aussi de les amener au niveau des différents labels de sécurité – plusieurs produits sont ainsi engagés dans une trajectoire SecNumCloud – et ainsi de faciliter les actes d’achat de l’ensemble des administrations.

Un autre point important, et c’était une forte demande de la filière numérique, était de faire en sorte que la Dinum arrête de diffuser un outil unique de partage de fichiers pour l’ensemble des ministères, afin d’ouvrir le marché. Nous achetions auparavant un seul outil, qui était diffusé et utilisé par l’ensemble des ministères. Il a été annoncé le 27 mars que chaque ministère allait pouvoir choisir ce qui lui convient le mieux, et les outils ont été présentés. Cela doit permettre de stimuler par la commande publique les acteurs dont les outils répondent aux besoins des ministères, étant entendu qu’il est nécessaire d’assurer non pas uniquement leur interopérabilité mais aussi sur leur réversibilité. La fluidité qui existe si l’on peut facilement passer d’un outil à l’autre donne confiance à l’acheteur public, qui doit toujours se poser la question, au moment du choix, de la possibilité de passer à un autre acteur par la suite.

Il s’agit d’une nouveauté pour les acheteurs publics du numérique au sein de l’État : auparavant, on faisait plutôt de l’hébergement en interne. Le fait que, depuis quelques années, on commence à confier les données à l’extérieur soulève la question de la possibilité d’un changement d’acteur. La Dinum porte toute son attention à ces enjeux, avec l’ensemble des DSI ministérielles, qui sont plus particulièrement concernées par tel ou tel outil.

M. le président Philippe Latombe. Je rappelle, dans le prolongement de la question posée par la rapporteure, qu’il a fallu l’article 31 de la loi Sren pour qu’un certain nombre de choses bougent – alors que les ministres concernés avaient dit que l’hébergement par exemple du Health Data Hub devait migrer. Une circulaire, donc, est-elle suffisante ? Il y a eu une circulaire dite cloud au centre, devenue cloud de confiance, mais il a fallu que le législateur inscrive le principe dans le dur de la loi pour que les administrations bougent.

Pensez-vous qu’une circulaire et le poids qui est le vôtre suffisent pour faire bouger l’ensemble des administrations ou faut-il s’y prendre autrement ? Nous nous étions posé la question lors de l’examen de la loi Sren. Dans le cas particulier du Health Data Hub, dont nous avons entendu le directeur général par intérim, la Dinum était autour de la table lors de l’évaluation des solutions existantes et n’a pas forcément poussé à l’époque vers du souverain. On est donc reparti vers Microsoft au début 2025 pour les nouveaux projets.

Mme Stéphanie Schaer. Je vous répondrai d’abord sur le Health Data Hub, puis globalement, car bien d’autres projets numériques entrent dans le cadre de la circulaire.

S’agissant du Health Data Hub, renommé Plateforme des données de santé (PDS), le cheminement a été particulier. J’ai récemment été saisie de la « solution intercalaire », au titre de l’article 3 mais par la volonté du ministère, puisqu’on était en dessous du seuil prévu. Notre avis a mis en avant de très nombreuses réserves : compte tenu de l’évolution des technologies et de l’avancée du projet, il nous est apparu qu’un certain nombre de points n’avaient pas été suffisamment approfondis. Cela a déclenché un nouveau cycle de discussions et la mise en place d’une task force, à laquelle la Dinum a participé, qui a abouti à l’abandon de la solution intercalaire et à une bascule accélérée vers une solution d’hébergement de confiance pour la Plateforme.

S’agissant des autres projets et de l’application de la circulaire cloud, on s’aperçoit qu’un équilibre s’est fait. Pour les projets hébergeant des données considérées comme sensibles au titre de la circulaire – définition reprise quasiment à l’identique dans la loi Sren –, l’application a été plutôt stricte. Cela étant dit, tout s’est fait très progressivement ; ou plutôt l’adoption du cloud a été très progressive au sein de l’État, à mon avis parce que les acteurs étaient très attentifs à ne le faire que pour un hébergement de confiance et correspondant aux attentes.

Nous avons voulu apporter notre appui à l’ensemble des directions numériques et des acheteurs publics pour l’analyse de ce qu’est une donnée sensible, sur la base, bien sûr, de la définition donnée par l’article 31 de la loi Sren – qui est cohérente avec les pratiques suivies dans le cadre de la circulaire. Un travail a eu lieu pendant quasiment un an, en interministériel, pour élaborer un vade-mecum qui fige, d’une certaine façon, des équilibres et spécifie ce qui doit être considéré comme une donnée sensible et ce qui ne l’est pas, en donnant des exemples assez précis. Ce vade-mecum a été publié en février 2026, presque en même temps que la circulaire sur la commande publique numérique. La Dinum y a beaucoup travaillé, en lien avec d’autres acteurs : la direction des affaires juridiques du ministère de l’économie et des finances, la direction des achats de l’État, la direction générale des entreprises, mais aussi tout le périmètre interministériel, s’agissant du numérique comme des données.

La loi a très certainement rendu la question plus visible, par rapport à ce qu’avait fait la circulaire, et elle a étendu le champ d’application à certains groupements d’intérêt public (GIP) qui n’étaient pas concernés. Des travaux sont en cours à la Dinum pour mettre à jour la circulaire, qui devra s’adapter au décret d’application de l’article 31 de la loi Sren, dont la publication est imminente. Néanmoins, une circulaire s’applique aux administrations, et celle-ci, je l’ai dit, était bien appliquée dans la plupart des ministères.

Enfin, nous pensons que plus il existe de guides, plus on pourra normaliser et homogénéiser les pratiques des responsables des systèmes d’information et des données de chaque périmètre ministériel en matière de qualification de la sensibilité des données.

M. le président Philippe Latombe. La loi Sren a eu pour avantage, vous l’avez dit, d’avoir étendu l’application de la circulaire à des GIP qui n’étaient pas concernés au départ. C’est d’ailleurs une des raisons pour lesquelles la PDS n’avait pas bougé, et nous avons donc adopté l’article 31 de la loi Sren.

Mme Cyrielle Chatelain, rapporteure. S’agissant du cloud, vous avez dit qu’il y avait plutôt eu un développement interne jusque-là, mais qu’on avait maintenant de plus en plus recours à des acteurs extérieurs. Le développement de cloud interne reste-t-il pertinent ? Si c’est le cas, pour quel type d’administrations et de données ?

La question du « cloud au centre » renvoie à celle des données sensibles, dont la violation serait susceptible d’engendrer une atteinte à l’ordre public, à la sécurité, à la santé, à la vie des personnes ou à la protection de la propriété intellectuelle, ce qui est très large. Avez-vous des échanges avec les administrations sur la lecture de ce qu’est une donnée sensible ? Vous demandent-elles votre avis ? Constatez-vous des divergences d’interprétation ? Les recommandations et les obligations ne sont pas les mêmes en fonction du type de données.

Mme Stéphanie Schaer. La stratégie lancée en 2021 a défini deux clouds interministériels : le cloud Pi, opéré par le ministère de l’intérieur, et le cloud Nubo, opéré par le ministère de l’économie, en l’occurrence par la DGFIP (direction générale des finances publiques). Ces infrastructures internes sont mises au même niveau que l’offre privée labellisée SecNumCloud sur la base d’une évaluation réalisée par l’Anssi. J’ai rappelé tout à l’heure que sept acteurs ont obtenu cette qualification, mais le nombre des offres est plus important puisqu’un acteur peut être qualifié pour différentes offres commerciales.

La stratégie est d’avoir une capacité d’hébergement à la fois interne et externe, ce qui donne de la flexibilité. Elle s’inspire des pratiques d’autres grands ensembles. Dans le secteur bancaire, de très grandes entreprises ont ainsi développé des capacités de cloud interne tout en ayant recours à du cloud externe, qui peut être plus sécurisé ou moins. Notre stratégie s’inspire aussi à la fois des bonnes pratiques du secteur public d’autres pays, comme l’Allemagne, autour d’ITZBund, de celles de nos armées et des échanges que la Dinum a dans le cadre du Cigref, le Club informatique des grandes entreprises françaises.

Aujourd’hui, on reste sur cette trajectoire mais en cherchant le plus possible, s’agissant des clouds internes, une mutualisation, un rapprochement des technologies utilisées et des équipes techniques, pour plus d’efficacité. On se souvient, en effet, du rassemblement des compétences réseau qui a été fait depuis de nombreuses années pour le réseau interministériel de l’État.

La Dinum participe ainsi, avec les équipes de Pi et de Nubo, à des échanges techniques et à des travaux visant à faire progresser l’offre de services de cloud. Des échanges peuvent aussi avoir lieu avec des clouds externes. Il est en effet intéressant, compte tenu du recours à des briques en open source, d’échanger sur les standards utilisés, d’autant qu’on peut être amené – et je pense que ce sera de plus en plus le cas pour des raisons de résilience – à utiliser pour un même service numérique de l’État un cloud interne et un cloud externe, deux clouds SecNum ou que sais-je : toutes les combinaisons devraient être possibles pour garantir le maintien en condition opérationnelle des systèmes d’information, dans un objectif d’extrême résilience qui conduit à regarder aussi la localisation géographique des data centers. Nous y travaillons déjà, mais nous souhaitons une accélération en la matière. Avoir une offre interne bien maîtrisée permet aussi de bien connaître le métier, tandis qu’une offre externe renforce la résilience si on arrive à relever le défi de l’interopérabilité et si on continue à investir dans les feuilles de route en matière de fonctionnalités.

Du côté du privé, l’offre est stimulée par le partage des besoins que peut avoir l’État en matière de projets numériques. L’existence d’un cahier des charges faisant état des fonctionnalités attendues, avec un classement par priorités, a aidé les industriels à améliorer leurs réponses. Les chiffres montrent que cette politique porte ses fruits puisque la commande de cloud aux acteurs privés a augmenté d’un peu plus de 60 % en 2025, selon le bilan de l’hébergement cloud publié à l’occasion de la journée annuelle public-privé « L’État dans le nuage », que la Dinum organise pour rassembler l’offre et la demande, travailler sur les défis de demain mais aussi regarder dans le rétroviseur.

Autre chiffre que j’ai cité tout à l’heure, dans le périmètre strict des administrations centrales, 99 % des commandes publiques sont dirigées vers les acteurs français. Il n’existe pas de règle en matière de préférence européenne dans le code de la commande publique, mais la politique que nous menons dans le domaine du cloud permet de s’appuyer sur une grande variété d’offres souveraines, qui peuvent être SecNum ou non, les ministères choisissant en fonction de la sensibilité des données. La Dinum fait ainsi appel à une offre SecNum pour la bureautique – s’agissant de Visio, il s’agit d’une offre d’Outscale – mais a recours à des offres non SecNum dans d’autres cas.

Pour ce qui est de votre deuxième question, il est clairement nécessaire d’accompagner les administrations dans l’identification des données devant être considérées comme sensibles au titre de l’article 31 de la loi Sren. C’est la raison pour laquelle des travaux ont été réalisés au niveau interministériel pour élaborer un vade-mecum qui définit les grandes catégories de SI relevant de cette définition. Dans la mesure où la plupart des agents peuvent être confrontés à des données sensibles, on y a par exemple inclus les outils de bureautique. Nous continuons de promouvoir ce vade-mecum, en nous appuyant sur les administrateurs ministériels des données, mais aussi au fil des projets : c’est un guide, qui complète l’article 31 de la loi Sren et son décret d’application.

Mme Cyrielle Chatelain, rapporteure. Les services cloud embarqués dans les solutions SaaS sont-ils bien identifiés ? On voit bien que la logique monopolistique des grands opérateurs comme Microsoft consiste à entrer par un outil, comme l’e-mail ou la suite Office, pour élargir ensuite leur offre au cloud. Est-ce un élément d’alerte pris en compte par les administrations ?

Mme Stéphanie Schaer. C’est un point essentiel, qui nous a conduits à faire deux choses. D’abord, nous avons bien identifié le sujet dans le vade-mecum sur les données sensibles : dès lors que les données du système d’information ne sont pas hébergées en local, dans le data center du ministère, nous insistons sur la nécessité de savoir quel acteur derrière l’éditeur de logiciel les hébergera, et si les conditions de sécurité sont suffisantes compte tenu de la sensibilité des données.

Dans le domaine de l’intelligence artificielle par exemple, la plupart des offres sont en SaaS, du fait notamment de la nécessité d’avoir des capacités de calcul externalisées. Lorsque nous avons lancé l’appel à manifestation d’intérêt pour identifier des solutions répondant aux besoins de la sphère publique, nous avons donc souhaité que les acteurs précisent les conditions d’hébergement – sachant que celles-ci peuvent évoluer dans le temps : une solution d’abord hébergée dans un cadre non souverain peut l’être ensuite dans des structures internes ou en SecNumCloud.

Dans le tableau répertoriant l’ensemble de ces solutions d’IA – disponible sur numerique.gouv.fr et sur notre portail dédié, alliance.numerique.gouv.fr –, une colonne précise si la solution est hébergeable en SecNumCloud. À l’époque où nous avons lancé l’appel, il y a un an, c’était le cas de très peu de solutions. Nous avions souhaité montrer la diversité des logiciels français qui existaient, stimulés par la French Tech, mais aussi donner de la visibilité à la capacité d’hébergement en SecNum, qui est quelque chose de très important.

Comme je le rappelais tout à l’heure, l’article 3 du décret de 2019 fixe désormais une obligation de saisine de la Dinum pour les commandes publiques d’un montant supérieur à 2 millions d’euros. Cela va nous permettre de voir les pratiques mais aussi, au travers de nos avis, de mieux jouer notre rôle d’orientation en fonction de ce qui a été fixé dans le cadre de notre dialogue avec l’ensemble des ministères. Les textes sont tout récents et nous devrions avoir des saisines assez rapidement. Je précise que, comme pour l’ensemble des grands projets numériques de l’État, une administration peut aussi recueillir l’avis de la Dinum pour un projet en deçà de 2 millions d’euros si elle le souhaite.

M. le président Philippe Latombe. L’ensemble des e-mails des ministères, en .gouv.fr, passent par le RIE, n’est-ce pas ? Aucun ministère ne passe par des opérateurs extérieurs, de type Microsoft ou autre ?

Mme Stéphanie Schaer. Je précise que le RIE est un réseau de transport qui permet aux différentes entités de l’État d’échanger entre elles. Y sont rattachés les ministères, les data centers, et jusqu’aux préfectures et commissariats de police. Mais en tant que tel, il n’offre pas de service de messagerie.

M. le président Philippe Latombe. Il a été dit à plusieurs reprises, ailleurs que dans cette enceinte, que les e-mails des ministères sociaux par exemple passaient en dehors du RIE. Est-ce le cas ?

Mme Stéphanie Schaer. Le RIE reste un réseau de transport. Les ministères sociaux y sont raccrochés ; ils peuvent ensuite accéder à internet et échanger avec le reste du monde au travers des plateformes qu’offre le RIE. Je confirme que, par dérogation et suite à un projet lancé antérieurement à la circulaire de 2021, ces ministères utilisent encore aujourd’hui Office 365. Cela signifie que le flux passe par la plateforme d’accès à internet pour sortir, et que la messagerie est hébergée par un acteur privé dans un cloud externe.

Le RIE en tant que tel n’offre pas de service de messagerie. La plupart des ministères ont encore des services de messagerie on-premise, c’est-à-dire non en cloud, qui sont hébergés dans leurs propres data centers, à l’intérieur de ce qu’on appelle le RIE.

Il faut bien distinguer les différentes couches. Il y a d’abord celle de l’infrastructure de transport : le RIE est un réseau fermé qui permet à l’ensemble des entités de l’État d’échanger entre elles sans devoir passer par internet. C’est la première promesse du RIE : une extrême résilience. Nous avons d’ailleurs investi, ces trois dernières années, pour la renforcer.

Le RIE communique ensuite avec le reste du monde au travers de plateformes d’accès à internet, ce qui permet d’aller chercher des services en SecNumCloud par exemple – dans ce cas, un travail d’appariement permet d’avoir une zone de confiance entre le RIE et le SecNum – et d’autres services de cloud commerciaux ; c’est le cas, en l’occurrence, pour les ministères sociaux. Si le RIE se referme complètement, il n’y a donc plus d’accès.

Mme Cyrielle Chatelain, rapporteure. Je sais que l’état des lieux est en cours. Pourriez-vous néanmoins nous donner un ordre de grandeur des dépenses engagées par les différentes administrations auprès de Microsoft ?

Mme Stéphanie Schaer. Je ne suis pas en mesure de vous communiquer ce chiffre aujourd’hui car il est en cours de consolidation avec la direction des achats de l’État. Il pourra vous être communiqué dès qu’il sera connu, d’ici quelques semaines je pense : nous sommes proches du but.

Le calcul pourrait paraître évident mais il ne l’est pas tant que cela car nous souhaitons donner un chiffre correct. Si nous avons la chance, grâce au SI de gestion Chorus, d’accéder facilement à certaines dépenses, il se trouve qu’il faut prendre en compte, pour Microsoft, de nombreux intermédiaires en dehors des contrats immédiatement référencés dans Chorus : il y a notamment l’Ugap, parmi d’autres intermédiaires, mais aussi des marchés ad hoc.

Pour pouvoir vous donner une réponse exacte, je suis obligée de réserver ma réponse et d’attendre la consolidation des chiffres. Quoi qu’il en soit, l’identification du point de départ fait bien évidemment partie des travaux que je citais : c’est impératif, quand on parle de réduction des dépendances.

S’agissant de Microsoft, il ne faut pas oublier qu’il y a deux sujets : celui du système d’exploitation et celui de la bureautique. Mais il y a aussi d’autres dépendances à différents outils, en matière de bases de données ou de virtualisation par exemple, pour lesquelles on identifie clairement des lignes.

Quant à la couche hardware – PC, équipements réseau –, elle est sans doute l’une des plus complexes ; là aussi, il y a des lignes.

Nous devons être capables de communiquer sur ces chiffres dans les prochaines semaines, à l’issue du travail très fin que nous menons en lien étroit avec la DAE et sous l’égide de notre ministère de tutelle commun, le ministère de l’action et des comptes publics.

Mme Cyrielle Chatelain, rapporteure. J’entends qu’il faut chercher en profondeur pour être complet, mais différentes DSI de ministères, de grandes universités ou de centres de recherche que nous avons auditionnées ont évoqué des accords-cadres signés en direct avec Microsoft. Quand bien même il ne s’agit que d’une partie de la dépense globale, ne pourriez-vous pas nous communiquer les sommes engagées dans ce cadre, qui sont connues et aisément identifiables ?

Mme Stéphanie Schaer. Je ne dispose pas de ces montants, et je ne suis vraiment pas en capacité de vous communiquer un chiffre exact et consolidé. Mais nous sommes effectivement en train de sommer les marchés ad hoc, qui existent notamment dans le domaine de l’éducation et de l’enseignement supérieur.

Sinon, plus globalement au sein de l’État, l’achat est plutôt mutualisé et passe par l’Ugap. Il y a alors différents intermédiaires et différentes typologies de marchés ; c’est ce que nous sommes en train de consolider avec l’appui de la direction des achats de l’État, qui a la tutelle de l’Ugap.

Nous sommes dépendants de ces acteurs pour obtenir les chiffres mais l’objectif est évidemment de les avoir dans les plus brefs délais, concomitamment avec le chantier d’accompagnement des ministères que nous conduisons. Il sera intéressant de pouvoir éclairer les ministères avec une déclinaison des dépenses par périmètre ministériel, et non pas uniquement avec le chiffre agrégé. Nous allons chercher à faire vivre ce suivi avec une granulométrie qui nous permettra d’en faire un outil de pilotage.

M. le président Philippe Latombe. Allez-vous intégrer les non-coûts à l’évaluation de la dépendance ? Le ministère de l’éducation nationale nous a expliqué que les enseignants s’équipaient la plupart du temps eux-mêmes, et bénéficiaient auprès de Microsoft de tarifs particuliers. Ces dépenses ne sont certes pas payées par l’État mais l’éducation nationale a besoin des outils ainsi acquis pour fonctionner. J’ajoute que ces non-coûts cachés soulèvent des difficultés commerciales vis-à-vis de l’écosystème européen.

Mme Stéphanie Schaer. En première approche, nous visons plutôt les coûts qui pèsent sur le budget de l’État.

Pour mesurer les coûts que vous mentionnez, il faut une connaissance fine et nous sommes dépendants de la cartographie faite par chaque périmètre ministériel sur ses propres dépendances. Ce travail peut être conduit avec Audran Le Baron, directeur du numérique pour l’éducation, qui pourra ainsi compléter, sur son périmètre, notre évaluation globale.

Il peut y avoir aussi d’autres enjeux à prendre en compte dans d’autres périmètres ministériels. C’est la raison pour laquelle il y a une conjonction entre un travail d’exploitation de l’ensemble des chiffres, qui peut être réalisé à la maille interministérielle une fois pour tout le monde et dans la durée, et une cartographie par ministère appuyée sur une connaissance fine et intrinsèque des métiers et des pratiques. Les deux sont complémentaires. C’est ainsi que nous construirons à la fois la cartographie du point du départ et les chemins envisagés, avec les plans de réduction des dépendances numériques et les jalons pour les années à venir.

Mme Cyrielle Chatelain, rapporteure. L’une des annonces du séminaire a été la sortie de Windows de la Dinum, au profit du système d’exploitation Linux. Toutes les administrations ne sont pas dans la même dynamique mais la DGFIP a fait une annonce similaire et d’autres, comme la gendarmerie, ont déjà fait la même démarche.

Comment vous y préparez-vous ? Pourriez-vous nous indiquer au moins ce que coûtent aujourd’hui Windows ou Microsoft à la Dinum ?

Mme Stéphanie Schaer. Après avoir travaillé pendant trois ans sur les outils de bureautique, donc plutôt sur les couches logicielles applicatives, il était important pour la Dinum d’envisager un poste informatique plus souverain. Quand on s’intéresse à la couche bureautique, on pense à la coupure des services en cloud, ce que l’on appelle le kill switch : le risque d’arrêt des services est très prégnant en cas d’interaction avec des acteurs extra-européens ou de soumission à des lois extra-européennes. C’est la raison pour laquelle nous avons développé une stratégie autour du cloud et du SecNumCloud, et souhaitons maîtriser un certain nombre de briques comme Tchap et Visio. Ça, c’est la couche bureautique.

Ensuite, lorsque l’on s’intéresse au poste bureautique, arrive très vite la question de la limitation des dépendances. On est là dans un autre ordre de grandeur : les dépendances peuvent être technologiques – que se passerait-il si nous n’avions plus les mises à jour ? – mais aussi concerner la maîtrise du budget – que se passerait-il si le prix des licences était multiplié par deux, par trois, voire par cinq, comme c’est arrivé récemment ?

C’est ce qui a conduit la Dinum à s’interroger sur sa capacité à avoir un poste totalement souverain. Dans notre démarche d’agilité et d’itération, nous avons souhaité commencer à une échelle expérimentale, certes de grande ampleur, puisque 250 agents sont concernés, mais qui n’est pas engageante : la suite dépendra des résultats. C’est dans ce cadre expérimental que la Dinum déploie ces postes sous Linux dont le système d’exploitation est complètement maîtrisé.

Il faut dire que la Dinum, qui est constituée d’équipes venues de différents ministères, n’avait pas de bureautique unique. Je pense que nous pourrons vous donner le chiffre que vous nous demandez dans notre réponse au questionnaire, mais il faudra pour cela récolter ceux de différentes sources : une partie des postes étaient opérés par le ministère de l’économie et des finances, d’autres étaient gérés en interne à la Dinum et d’autres enfin – qui sont de diffusion restreinte – seront maintenus car ils sont spécifiquement utilisés pour certaines missions de la Dinum relatives à la gestion de crise, et nécessitent un certain niveau de protection.

L’idée, avec Linux, est d’avoir un poste qui serve un peu de vitrine et qui soit totalement maîtrisé. Il s’agit de montrer qu’il peut assurer différentes fonctions : la Dinum est bien sûr très orientée vers les technologies mais, comme toute organisation, elle a aussi des fonctions RH et budgétaires. L’ensemble des agents de la Dinum vont ainsi être amenés à utiliser ces postes. Aujourd’hui, une trentaine ont été diffusés.

Nous l’avons dit la semaine dernière, le projet du poste en Linux pour l’ensemble des agents est aussi né de la réflexion que nous menions déjà depuis de nombreux mois sur les postes plus sécurisés dont on a besoin quand on opère des systèmes d’information critiques. Sur ce sujet, nous avons vu la nécessité de standardiser davantage.

Nous sommes donc dans une approche à la fois de sécurisation et, à base de communs numériques, d’homogénéisation des pratiques – d’abord au niveau des différentes équipes de la Dinum, s’agissant de l’administration, et désormais sur le champ plus large de la bureautique.

L’objectif est de déployer l’ensemble des postes d’ici l’été, par vagues successives, en écoutant attentivement les utilisateurs et en les accompagnant. La plupart ont des habitudes de travail dans d’autres systèmes d’exploitation depuis de très nombreuses années. On sait bien que les premiers testeurs sont plutôt habitués à cet environnement, très présent dans l’informatique : l’enjeu va être de dépasser ce cercle.

Nous sommes forts aussi des expériences des autres administrations, avec lesquelles nous discutons : la gendarmerie, par exemple, qui opère depuis de très nombreuses années avec succès une base d’ordinateurs installés sous Linux, ou nos homologues de la DGFIP. Nous avons aussi créé des ponts avec d’autres pays de l’Union européenne qui mènent à bien des projets de même ampleur, concernant plusieurs centaines d’agents. C’est le cas du Danemark, qui se trouve avoir fait le même choix que les ingénieurs de la Dinum en retenant la distribution X/OS. Il est particulièrement intéressant pour nous de voir comment ils avancent dans leur projet.

Dans le cadre de l’Edic qui vient d’être créé, nous souhaitons élargir ces réflexions sur un système d’exploitation en open source : l’idée de le faire à plus grande échelle nous paraît un très bon sujet d’échange et de consolidation au niveau européen, entre les différents États membres qui s’intéressent aux questions de souveraineté et à l’utilisation de briques en open source pour y répondre.

M. le président Philippe Latombe. Combien le changement va-t-il vous coûter ? Les ministères que nous avons auditionnés la semaine dernière nous ont expliqué qu’avec ce type de projet, on était d’abord perdant, puis que l’on observait un retour sur investissement à partir de la troisième ou de la quatrième année. J’ai l’impression que vous n’avez pas fait ce calcul et que votre choix relève plutôt de la posture. Avez-vous tout de même évalué ce que pourrait faire économiser à l’État une bascule de l’ensemble des postes vers un OS (système d’exploitation) de ce type ?

Les Allemands ont fait un choix très clair, celui de basculer la totalité des postes de l’État sous Linux. Échangez-vous avec vos homologues dans un cadre bilatéral, en dehors de l’Edic, pour partager les noyaux notamment ?

Mme Stéphanie Schaer. Nous avons une évaluation assez fine des coûts des licences, mais celles-ci sont souvent globales – OS et outils bureautiques. On sait donc d’où l’on part.

Le projet étant encore dans ses premières phases expérimentales, les coûts sont réduits, mais il y a aussi des briques d’investissement pour lesquelles nous en sommes encore à une estimation des coûts. C’est le cas pour le VPN (réseau privé virtuel) par exemple, qui est nécessaire pour que les nouveaux postes reliés au RIE puissent accéder à l’ensemble des applicatifs nécessitant un accès sécurisé, au-delà de ce qui est présent en SecNumCloud et avec une identification ProConnect. On voit que ce projet s’intègre dans un tout un peu plus large.

Il s’intègre également dans les travaux que conduit la Dinum au niveau du RIE et de la plateforme d’accès à internet : des services peuvent être mobilisés dans le cadre de l’évolution du réseau.

On en est encore au tout début du projet, avec trente postes concernés. Ceux-ci vont faire l’objet, dans la configuration retenue, d’une homologation de sécurité. La démarche est lancée et les travaux d’audit vont être menés, pour aboutir au déploiement de postes dans lesquels nous pourrons avoir confiance et qui auront, comme aujourd’hui, un plein accès à l’ensemble des fonctionnalités.

Ces sujets sont un peu plus prospectifs que d’autres et sans doute le projet aura-t-il en effet un coût d’entrée. Nous nous efforçons néanmoins de faire en sorte que celui-ci soit mesuré. C’est pourquoi les équipes de la Dinum sont en train d’étudier différentes options technologiques, afin de faire des tests à petite échelle – tout en ayant, dès le départ, un échange interministériel. C’est la raison pour laquelle nous avons mis en place dès le 8 avril un groupe de travail sur les dépendances aux systèmes d’exploitation et échangeons de façon permanente sur les choix retenus par la gendarmerie ou la DGFIP. C’est aussi pour cela que nous accompagnons la transformation : si l’on envisage ensuite un déploiement à plus large échelle, il nécessitera sans doute un effort indéniable.

Nous avons des échanges rapprochés avec notre homologue allemand. Dans le cadre de l’Edic, ce sujet fait partie des challenges identifiés lors de la réunion de La Haye de décembre dernier. Nous sommes amenés à y travailler avec les Allemands mais aussi avec les Pays-Bas ou le Danemark, qui s’intéresse au sujet.

Par ailleurs, la Dinum, qui a signé une déclaration d’intérêt avec l’Allemagne, a avec celle-ci des relations de confiance de plus en plus approfondies dans différents champs. Début juin, mon équipe et moi rendrons visite à Bonn à ITZBund – l’homologue de la Dinum, en charge de la bureautique mais doté d’un périmètre un peu large, s’agissant notamment des opérations de cloud.

Au-delà de nos échanges lors des réunions de l’Edic, la rencontre des équipes sur place nous permettra d’approfondir différentes questions. Lorsque j’ai reçu en début d’année le directeur général d’ITZBund, Alfred Kranstedt, nous avons initié des travaux sur ce sujet, sur le cloud et sur les assistants IA. Il est toujours très intéressant de confronter nos choix technologiques, nos organisations et les défis auxquels nous faisons face, en regardant ce qui fonctionne et ce qui fonctionne moins bien. ITZBund est par exemple très intéressé par ce que nous sommes en train de mettre en place pour la visio, qui n’a pas d’équivalent actuellement en Allemagne. Quant à nous, nous sommes intéressés par la structuration qu’ils ont opérée en matière de cloud interne.

C’est un échange de confiance dans les deux sens. Markus Richter a d’ailleurs été invité à partager cet engagement commun à l’occasion du 8 avril : il avait enregistré une courte vidéo, qui a été diffusée à l’ensemble des participants. Cela montre, en relais du sommet européen sur la souveraineté numérique organisé à Berlin, notre proximité avec l’Allemagne en matière de sortie des dépendances et notre volonté conjointe de construire des solutions communes à l’échelle européenne.

Mme Cyrielle Chatelain, rapporteure. Il existe un document public qui recense, sous forme de tableau, les grands projets numériques suivis par la Dinum. On y trouve leur durée, leur coût, leur objet et le ministère concerné – mais ce qu’on ne voit pas, c’est l’identité du développeur. J’aimerais connaître les différents acteurs privés ou publics impliqués dans ces projets. Le développement se fait-il majoritairement en interne ou y a-t-il contractualisation avec des solutions propriétaires, notamment américaines ? Y a-t-il des opérateurs open source ?

Vous nous avez dit par ailleurs que vous saviez d’où vous partez, s’agissant du paiement des licences Microsoft : peut-être pouvez-vous partager cette information avec nous ?

Mme Stéphanie Schaer. Le tableau dont vous parlez sert au suivi des grands projets numériques.

Rappelons d’abord ce qui a conduit la Dinum à assurer la fonction d’audit et de suivi des grands projets numériques. Il s’agissait avant toute chose de s’assurer que, lorsqu’on investit dans un tel projet, il respecte son budget et son calendrier et qu’il finit par produire le service attendu ab initio. Il y a malheureusement des projets dans l’histoire qui n’ont pas répondu à ces exigences, ce qui a amené à renforcer cette fonction au niveau interministériel. Cela se fait sous l’égide du Premier ministre : c’est lui qui est en responsabilité sur le système d’information de l’État ; il délègue ensuite à ses ministres les systèmes d’information métiers mais garde une capacité d’audit ab initio, avec son bras armé qu’est la Dinum, et peut aussi déclencher des audits en cours de route s’il le souhaite. Cela correspond aux articles 3 et 4 du décret du 25 octobre 2019.

La structuration du tableau obéit donc à des objectifs très précis de suivi des coûts et des délais. Nous avons souhaité le compléter, à l’aune de la stratégie de 2023, par des indicateurs d’impact – pour éviter de développer quelque chose qui, tout en respectant le budget et le calendrier, ne correspond pas nécessairement aux besoins des utilisateurs. Cela peut être le cas notamment si l’utilisateur n’a pas été placé au centre, ou si l’on n’a pas fait preuve d’agilité pour revenir sur les différentes itérations successives en fonction des retours terrain.

Pour tous les nouveaux projets, mais aussi de façon rétroactive pour les projets déjà en cours, nous avons ainsi défini quelques métriques d’impact. Nous l’avons fait en travaillant sur une matrice d’impact, dans le cadre de laquelle nous questionnons la valeur de chaque projet par rapport à son usage et son utilisation. Ce travail, mené en grande partie l’année dernière, s’applique autant aux grands projets qu’à des projets plus innovants tels que ceux du programme beta.gouv.

Je comprends l’intérêt de partager les données que vous évoquez, mais cela n’a pas été prévu dans le cadre du suivi. Je peux néanmoins vous donner de tête quelques éléments sur la vingtaine de projets que nous sommes amenés à évaluer par an. On retrouve dans le tableau les mêmes grands équilibres entre achats de progiciels et achats de prestations intellectuelles que dans l’ensemble des 4,5 milliards d’euros de dépenses publiques sur lequel nous travaillons.

Comme cela est évoqué dans la circulaire sur la commande publique, un ministère qui doit lancer un vaste projet de système d’information en application d’une politique publique – un cas assez générique – a deux options. Il peut choisir un logiciel de marché, un progiciel, potentiellement adapté à des besoins spécifiques. Il faut néanmoins veiller à ce que l’adaptation n’aille pas trop loin, car elle peut se révéler très coûteuse et rendre plus compliquées la maintenabilité, la sécurité et la gestion des maintenances prévues par l’éditeur. Nous savons qu’il y a une limite à ne pas dépasser, et c’est un élément que nous regardons. Un certain nombre de projets de SI d’État, notamment budgétaires, fonctionnent ainsi. Derrière Chorus, il y a SAP ; quant à RenoirRH, le SI mutualisé pour les RH proposé par le Centre interministériel de services informatiques relatifs aux ressources humaines, il est basé sur HR Access.

Mais hors ces grands ensembles, il est aussi possible de choisir un progiciel hébergé on-premise, dans l’hébergement du ministère, comme celui à propos duquel j’ai signé la semaine dernière un avis qui sera prochainement rendu public. Il s’agit d’un progiciel qui répond bien aux besoins du ministère et qui fait l’objet d’adaptations limitées avant son déploiement.

Les dépenses, dans le cadre du ministère, sont souvent liées à l’accompagnement du changement, au déploiement du progiciel ou encore à la reprise de données, lors du passage d’un logiciel à un autre. Ces coûts se combinent avec les achats de licences, qui peuvent d’ailleurs se faire annuellement ou prendre la forme de licences perpétuelles – il y a différentes possibilités.

Il arrive aussi que, dans le cadre de politiques publiques particulières, et parfois de changements de réglementation – qu’il faut savoir prendre en compte dans l’évolution du SI –, des développements spécifiques soient nécessaires. La plupart du temps, cela se fait via un appel d’offres pour l’ensemble de la construction du système d’information ; se pose ensuite la question de l’internalisation ou non de l’exploitation. C’est ce à quoi correspondent les dépenses de prestations intellectuelles informatiques parmi les 4,5 milliards d’euros.

Dans les équipes, un équilibre est recherché entre les capacités techniques internes et externes. Dans le cas du développement d’un projet ad hoc, on estime qu’il faut conserver un certain niveau de maîtrise pour savoir travailler avec les industriels. C’est la raison pour laquelle la circulaire signée en 2023 par la première ministre Élisabeth Borne au sujet des prestations intellectuelles informatiques fixe des ratios : un taux d’externalisation supérieur à 80 % n’est pas envisageable ; entre 60 et 80 %, il faut internaliser des fonctions de pilotage de sorte qu’un agent de l’État donne son avis sur les prestations confiées en externe ; et un taux inférieur à 60 % n’appelle pas d’attention particulière.

Comme le montre le rapport remis à Stanislas Guerini en 2023 par l’Inspection générale des finances et le Conseil général de l’économie, l’État n’emploie que peu de développeurs à proprement parler : les fonctions numériques existantes portent plutôt sur l’architecture, le pilotage et l’accompagnement des utilisateurs. En effet, même quand on achète sur étagère, il faut savoir accompagner et déployer les logiciels. Cela étant, la situation varie selon les ministères, avec une part d’externalisation allant de 50 à 80, voire 90 %.

Parmi les grands projets numériques sur lesquels la Dinum est appelée à donner son avis, on retrouve cet équilibre entre achats de progiciels et développement ad hoc, avec une utilisation croissante du mode produit dans lequel les équipes métiers sont intimement liées aux équipes de développement, ce qui donne de meilleurs résultats. C’est le modèle qui a été retenu, par exemple, pour la procédure pénale numérique. Pour le pilotage de ce projet d’ampleur et de ses différentes itérations, nous avons intimement lié les équipes de développement – qui s’appuient sur des prestataires – et des agents très présents des deux ministères concernés, la justice et l’intérieur.

M. le président Philippe Latombe. Accordez-vous une attention particulière à la répartition des prestations intellectuelles entre les différentes entreprises avec lesquelles vous travaillez ? Disposez-vous d’une cartographie ?

On peut imaginer qu’une entreprise pratique des prix très bas pour remporter le maximum de marchés parmi les appels d’offres, et acquière ainsi un poids particulier dans l’architecture même du SI. Dit autrement, vous préoccupez-vous de ce type de dépendance vis-à-vis de vos fournisseurs, qu’ils soient français ou étrangers ? Je mets ici au même niveau Octo, racheté par Accenture, Atos, Capgemini ou Sopra Steria.

Mme Stéphanie Schaer. Dans les marchés que vous évoquez, la Dinum n’est pas l’acheteur et n’intervient pas non plus directement dans la procédure d’achat. Pour un SI ministériel, l’appel à projets et l’examen des candidatures seront réalisés par le ministère concerné. Nous intervenons en amont, quand il est encore possible d’orienter les choses. L’arrêté précisant l’article 3 du décret relatif à la Dinum indique clairement que nous agissons sur la façon dont le projet s’organise avec les métiers concernés, c’est-à-dire sur la structure d’achat, mais pas sur les acteurs en tant que tels, qui de toute façon ne sont pas encore connus. J’insiste, nous ne donnons pas notre avis sur le choix des attributaires des marchés.

La circulaire sur la commande numérique publique en revanche, à laquelle la Dinum a largement contribué, encadre la capacité à agir des différents acheteurs avec une série de critères visant à renforcer les attendus relatifs aux fonctions confiées à des prestataires. Il s’agit avant tout bien sûr de critères de performance, car quand une administration achète un SI, c’est pour répondre à un besoin, mais les critères de souveraineté, de sécurité, de réversibilité et d’interopérabilité viennent juste après. Ces éléments ont été clarifiés comme jamais auparavant dans le document que vient de signer le Premier ministre.

Pour en revenir aux chiffres, que nous vous communiquerons dès qu’ils seront disponibles, nous regardons bien sûr parmi les 4,5 milliards d’euros l’ampleur de nos dépendances en termes de logiciels et de hardware, mais aussi en termes de prestations intellectuelles informatiques, en détaillant les différents donneurs d’ordres. Nous disposons plutôt de chiffres agrégés, que nous suivons dans le temps. Nous pourrons les décomposer ministère par ministère, mais pas projet par projet.

Mme Cyrielle Chatelain, rapporteure. Pourrez-vous compléter pour nous le tableau en détaillant les progiciels choisis ou les titulaires des prestations ?

Mme Stéphanie Schaer. Nous allons regarder ce que nous pouvons produire car, comme je le disais, si nous suivons l’ensemble des projets, nous ne disposons pas nécessairement de toutes les données pour chacun d’entre eux. Nous intervenons au moment de la définition de l’architecture, alors que le marché n’a pas encore été lancé. Vous nous direz si ce que nous vous aurons fourni répond à vos questionnements.

Mme Cyrielle Chatelain, rapporteure. Je vous remercie. Dans la mesure où certains projets sont à un niveau de maturité élevé, voire sont réalisés, je présume que les données doivent être accessibles, surtout en ce qui concerne les progiciels. Quoi qu’il en soit, même s’il n’est pas complet, ce tableau devrait nous apporter beaucoup de réponses.

Je passe à un autre sujet. Vous en avez déjà parlé, mais pourriez-vous repréciser ce qu’est un commun numérique aux yeux de la Dinum ? Quel est l’intérêt de ces communs en matière de souveraineté ?

Par ailleurs, l’exemple allemand est revenu dans de nombreuses auditions et vous avez dit vous-même avoir une relation d’intérêt avec l’Allemagne. Les Allemands ont développé des briques de bas niveau en open source, et j’ai cru comprendre dans votre propos liminaire que ce travail avait été accompli en collaboration. Pouvez-vous nous en dire plus ?

Avez-vous également des échanges avec leur ZenDiS, le Centre pour la souveraineté numérique de l’administration publique ?

Bref, globalement, que connaissez-vous du modèle allemand ? Y a-t-il des éléments qui vous semblent intéressants, transposables en France ? Pouvez-vous entrer dans le détail des relations que vous entretenez avec l’Allemagne ? De fait, une coopération franco-allemande poussée constitue généralement un pilier intéressant pour conduire des changements au niveau européen.

Mme Stéphanie Schaer. Merci pour ces questions. Dès mon arrivée, j’ai souhaité me rapprocher de certains États membres clés, et en particulier de l’Allemagne. Il se trouve que l’ensemble des directeurs interministériels du numérique, les Chief Information Officers (CIO), se réunissent tous les six mois, sous l’égide du pays présidant le Conseil de l’Union européenne et avec l’appui de la Digit, la direction générale des services numériques de la Commission européenne. C’est ainsi que, dès novembre 2022, j’ai fait la connaissance de Markus Richter, aujourd’hui secrétaire d’État mais à l’époque CIO du ministère allemand de l’intérieur, chargé du numérique. Nous avons constaté notre volonté commune de travailler sur des briques souveraines en open source, afin de répondre aux enjeux d’autonomie stratégique. Nos feuilles de route étaient assez similaires et il nous a paru très utile de rapprocher nos façons de faire et de se comparer.

Nous avons procédé par étapes, car travailler main dans la main avec un autre pays, une autre culture, même très proche et européenne, requiert encore plus d’efforts qu’une mutualisation interministérielle. L’année 2023 a permis d’approfondir les échanges bilatéraux. Markus Richter est venu en France et a été reçu par Stanislas Guerini. Nous avons structuré la manière dont nous pouvions travailler et défini une déclaration d’intérêt, signée début février 2024 et qui a été un véritable déclencheur : il fallait en effet un cadre pour que les équipes de la Dinum et du ZenDiS, récemment créé, travaillent ensemble. Le zenDiS venait d’être créé par Markus Richter pour travailler sur l’open source et les questions de souveraineté.

Ensuite, les hommes et les femmes devaient apprendre à se connaître. C’est la raison pour laquelle, avec l’appui du programme Pace de la Commission européenne, nous avons organisé des séjours d’échange entre nos équipes – jusqu’à une semaine. Cela a permis de briser la glace et de voir quelles étaient nos pratiques respectives, ce qui a été particulièrement stimulant pour la Dinum. Et c’est ce qui nous a conduits à lancer un premier projet commun : nous avions remarqué, au sein de nos équipes respectives, que des logiciels en shadow IT (informatique fantôme) commençaient à être utilisés de façon collaborative et nous voulions un outil ergonomique, facile d’usage et complémentaire de ceux existants ; c’est ce qui a donné la brique Docs, intégralement conçue en franco-allemand.

À l’été 2024, grâce à une veille commune, nous avons identifié les briques logicielles existant en open source. C’était la première fois que nous travaillions ainsi, de façon réellement partagée et non avec les équipes françaises d’un côté et les équipes allemandes de l’autre. Puis nous nous sommes réparti le travail, l’outil devant s’intégrer dans LaSuite côté français et dans OpenDesk côté allemand, avec les questions de sécurité et d’ergonomie que cela suppose. Je précise qu’il s’agit néanmoins du même outil de part et d’autre, raison pour laquelle nous avons articulé nos financements et nos travaux. Nous avons obtenu très rapidement une version bêta – l’échéance était vraiment très courte : l’automne 2024. Nous avons stimulé le tout en réunissant les équipes à Paris en septembre pour un projectathon et un hackathon.

La coopération a été élargie aux Pays-Bas. Avec Art de Blaauw, notre homologue CIO, Markus Richter et moi avons signé, en décembre 2024 à Berlin, un premier état annuel de nos progrès. Ce fut d’ailleurs une autre occasion de réunir les équipes au-delà des seuls directeurs, ce qui est très important, je pense, quand on travaille à l’échelle européenne.

Voilà comment les choses se sont construites, Markus Richter et moi avons d’emblée pensé que notre collaboration pouvait être le moteur d’un ensemble plus vaste. Il ne s’agissait pas de se cantonner à une coopération franco-allemande, même élargie aux Pays-Bas, mais de convaincre la Commission européenne. Cette dernière est un acteur essentiel dans le domaine des communs numériques, qu’elle finance de longue date au travers du Next Generation Internet Forum et dont elle stimule la communauté.

L’année 2025 a été consacrée à convaincre la Commission européenne de structurer l’Edic et de renforcer notre capacité à agir au niveau européen, en cohérence avec sa politique d’Open Internet Stack, qui vise à capter plus facilement les financements et à créer des consortiums public-privé de différents États pour répondre aux appels d’offres européens. C’est ainsi que, l’été dernier, Markus Richer et moi avons rencontré à la Commission Roberto Viola, directeur général de la DG Connect (direction générale des réseaux de communication, du contenu et des technologies), ainsi que le directeur de cabinet d’Henna Virkkunen, afin de présenter le projet de suites collaboratives.

L’Edic est né de cette preuve de concept. Nous avons montré que nous pouvions travailler entre États sur des communs numériques. Les choses vont désormais bien au-delà. Par exemple, nous travaillons avec l’Allemagne sur les messageries instantanées. J’ai évoqué Tchap : l’armée allemande utilise les mêmes bases pour sa messagerie BundesMessenger. De la même manière, nous discutons avec les Pays-Bas, où se déploie un équivalent de Tchap, et avec le Luxembourg au sujet de la messagerie Luxchat.

À titre personnel, cette coopération franco-allemande sur les communs numériques m’a permis de me rendre de nombreuses fois à Berlin et de rencontrer d’autres acteurs. Le ZenDiS, qui est basé à Bochum et où mes équipes sont allées plusieurs fois, est présent à chaque fois mais nous avons aussi eu de nombreux échanges avec le Sovereign Tech Fund, une structure qui finance des briques de base et qui se trouve également au cœur de l’Edic.

Quant aux communs numériques en eux-mêmes, il s’agit, pour la Dinum, de logiciels en open source autour desquels gravite une communauté. Il est possible d’y contribuer, de participer à la feuille de route et de faire en sorte de mutualiser les efforts d’investissement. Les communs numériques sont d’intérêt pour les États, mais aussi pour les acteurs privés, y compris les grandes entreprises, justement en raison de la mutualisation des investissements ; on le voit avec la création de l’association Tosit (The Open Source I Trust). Ce sont des biens communs, aussi n’y a-t-il pas d’enjeu de propriété intellectuelle. C’est d’ailleurs ce qui a permis au projet Docs d’aller si vite, avec une coopération aussi facile avec l’Allemagne. Par ailleurs, les communs numériques peuvent être opérés sous différentes formes et en pleine autonomie, en s’appuyant sur des acteurs privés et en s’adaptant à des exigences plus ou moins fortes en termes de sécurisation.

C’est pourquoi les communs numériques ont été mis en avant à l’occasion du sommet international organisé par la France et l’Allemagne à Berlin. Une table ronde leur était consacrée, car ils sont considérés comme un levier important. Il y en a d’autres, comme la commande publique ou la diversité de l’offre industrielle, mais la capacité à investir en commun sur des briques solides constitue l’une des conditions et l’une des solutions pour renforcer l’autonomie stratégique en Europe. Je le répète, ce fonctionnement permet de globaliser les investissements en vue d’aboutir à des outils alternatifs.

Ce que font les Allemands avec le Sovereign Tech Fund est à cet égard intéressant, car on voit que certaines briques logicielles de très bas niveau ne sont pas toujours suffisamment financées. L’Allemagne a identifié et sanctuarisé un budget pour cela et nous réfléchissons à l’idée que l’Edic naissant puisse également tenir ce rôle.

Nous nous intéressons aussi à d’autres modèles de financement, comme celui de NLnet, aux Pays-Bas, un acteur historique qui obtient des résultats. La structure intervient régulièrement lors des événements organisés par la Commission européenne pour montrer comment ils font vivre leur écosystème.

Côté français, la Caisse des dépôts a récemment fait part de sa volonté d’intervenir sur la question du financement des communs numériques. Elle a réuni l’ensemble de l’écosystème le 19 février.

En définitive, la France et l’Europe se trouvent dans une phase de maturation des modèles économiques et de financement de ces nouveaux modes d’action. Participer à la construction des communs numériques peut se faire de différentes façons. Il peut s’agir de contributions directes, comme la Dinum le fait avec la fondation Matrix : nous soutenons des communs qui nous sont nécessaires, concernant un antivirus par exemple. Nous soutenons aussi des fondations qui hébergent des communs – nous sommes justement partenaire de Matrix. Enfin, nous finançons ce que peu d’acteurs financent, comme les briques très basses que j’évoquais. En fin de compte, je vois plutôt une complémentarité entre les différents acteurs.

Les structures étatiques peuvent être très différentes, mais nous nous rejoignons sur la nécessité de davantage mutualiser nos investissements. C’est l’ensemble qui fait la force et c’est ainsi que nous pourrons tracer une nouvelle voie au niveau européen pour la reprise de notre autonomie, grâce à des communs très structurés, financés et pérennes. Notre rôle, et celui de l’Edic, est aussi d’apporter de la confiance aux acteurs qui s’appuieront sur ces communs.

Mme Cyrielle Chatelain, rapporteure. Je vous remercie pour ces éléments.

Le Sovereign Tech Fund a-t-il un équivalent en France ? Serait-il intéressant, selon vous, de développer un tel outil, ou d’autres ?

Mme Stéphanie Schaer. Le Sovereign Tech Fund a été créé par l’Allemagne pour financer des briques de bas niveau dans les communs numériques, ce qui a, par définition, bénéficié à l’ensemble de la communauté. Très tôt, nous avons eu des échanges, car l’Allemagne n’était pas du tout fermée aux besoins d’autres États. C’est pourquoi le Sovereign Tech Fund est amené à travailler en lien étroit avec l’Edic sur certains de nos questionnements et de nos projets.

D’autres initiatives, comme NLnet aux Pays-Bas, sont bien identifiées. Et nous suivons avec énormément d’intérêt l’initiative toute récente de la Caisse des dépôts : la nouvelle feuille de route numérique annoncée par son directeur général, Olivier Sichel, présente les communs numériques comme une infrastructure d’intérêt général dans laquelle il convient d’investir. Il ne s’agit encore que de travaux préliminaires – une première réunion a eu lieu le 19 février : les choses se sont donc beaucoup moins matérialisées qu’en Allemagne, où le Sovereign Tech Fund existe depuis au moins trois ans.

En tout état de cause, il paraît essentiel de trouver les voies et moyens pour financer les communs numériques, y compris grâce à des financements directs de la part de la Commission européenne. Cette dernière a annoncé une enveloppe à cet effet et nous attendons dans les prochaines semaines la publication de sa stratégie en matière d’open source – une très grande consultation avait été lancée, à laquelle la Dinum a participé.

C’est une question majeure, car si nous voulons nous appuyer sur les communs numériques dans la durée, il faut articuler le financement de l’ensemble des briques, depuis celles de très bas niveau jusqu’aux briques applicatives de plus haut niveau. L’open source concerne tous les sujets évoqués précédemment : les suites bureautiques, le cloud – avec les différentes couches techniques –, les bases de données. La plupart des acteurs privés d’ailleurs se reposent également, pour leur modèle économique et leur SI, sur de très nombreuses briques open source, qu’il s’agit donc de correctement maintenir et financer.

Mme Cyrielle Chatelain, rapporteure. Si j’ai bien compris, le ZenDiS est la structure qui chapeaute la politique numérique allemande au niveau fédéral, et est aussi appelé à travailler avec les Länder. Notre organisation étatique est différente, mais devrions-nous réfléchir à un modèle similaire, ou n’est-ce décidément pas adapté ? Il semble que le ZenDiS ait lancé des marchés avec des acteurs numériques et participe à la structuration de la filière en Allemagne.

Mme Stéphanie Schaer. L’organisation allemande est évidemment très liée à la structure administrative du pays, avec l’État fédéral et les Länder. En réalité, c’est l’ITZBund, qui est l’équivalent de la Dinum. C’est lui qui s’occupe de tout le numérique des ministères – bureautique, SI de gestion, cloud, SI métiers. L’ITZBund regroupe plusieurs milliers d’agents et a un budget de plusieurs centaines de millions d’euros. C’est aussi la raison pour laquelle nous souhaitons nous rapprocher de cet acteur central au niveau fédéral, rattaché au ministère de la digitalisation et de la modernisation, le nouveau BMDS.

Le ZenDiS, avec lequel nous avons effectivement travaillé, est une structure beaucoup plus petite, naissante mais qui a connu plusieurs directeurs. Ses équipes travaillent sur l’open source comme solution souveraine pour la bureautique, au travers du projet OpenDesk. C’est un sujet assez circonscrit et destiné aux Länder.

Ensuite, si je ne me trompe pas, ZenDiS a un statut d’entreprise privée – sous réserve de vérification. En tout cas, elle a un modèle économique, qui consiste à vendre des solutions en tant qu’intermédiaire de l’offre OpenDesk. C’est très éloigné du schéma de la Dinum, qui ne vend rien aux collectivités : elle mutualise certains actifs et opère pour les ministères, mais la commercialisation n’est pas du tout permise par nos textes. La Dinum reçoit des financements pour les services gouvernementaux qu’elle apporte via une solution sécurisée de transport, le RIE – par exemple Tchap – et les ministères peuvent contribuer financièrement s’ils souhaitent qu’elle accélère la feuille de route, mais notre modèle économique ne repose pas sur la refacturation. D’ailleurs, si un acteur d’un autre État avait besoin d’une solution packagée, ZenDiS serait sans doute plus à même de répondre à sa demande. Nous offrons plutôt des briques hétérogènes, qui s’intègrent en fonction des besoins des ministères, ainsi que des briques socles comme ProConnect et FranceConnect.

Nous sommes par ailleurs allés beaucoup moins loin que l’Allemagne dans la structuration de notre offre pour les collectivités. Si nous voulions faire la même chose que ZenDiS, il faudrait une agence qui réponde aux besoins bureautiques des collectivités territoriales à tous les niveaux. Or, en France, on considère que le secteur privé peut s’en charger. Les collectivités s’organisent elles-mêmes, parfois avec l’aide d’opérateurs de services numériques qui interviennent sur le bassin régional ou départemental.

En dépit de ces différences administratives, la Dinum et ZenDiS se retrouvent pour investir dans les mêmes communs numériques. Travailler ensemble nous a permis de rapprocher nos choix. Ainsi, OpenDesk inclut la messagerie e-mail OpenExchange ; nous avons repris cette brique sans investissement supplémentaire en tant que messagerie opérée par la Dinum pour l’État et nous pouvons désormais la déployer auprès de toute administration qui l’estimerait nécessaire.

Nos travaux avec ZenDiS et ITZBund sont inspirants sur la technique plus que sur l’organisation, laquelle demeure avant tout liée aux choix politiques et à l’organisation administrative de chaque pays.

Mme Cyrielle Chatelain, rapporteure. Les DSI que nous avons auditionnés considèrent que nos dépendances principales sont celles envers Oracle, VMware et les outils de cybersécurité. Ils ont utilisé des termes comme « pratiques carnassières sur les prix ». Avez-vous une visibilité ou des échanges sur les augmentations tarifaires ? Le cas échéant, travaillez-vous avec l’administration pour diversifier l’offre ou essayer de changer d’outils ? Avez-vous déjà identifié des outils souverains ou open source susceptibles de les remplacer ?

Je reviens au tableau des grands projets numériques : le fait qu’il ne soit pas consolidé signifie-t-il qu’une fois que vous avez donné votre avis en amont du projet, vous n’êtes plus consultés, y compris lors du choix des opérateurs ? C’est un élément déterminant en termes de souveraineté.

Mme Stéphanie Schaer. Les trois dépendances que vous citez sont clairement identifiées. Lors du séminaire du 8 avril, nous avons organisé une table ronde qui a été très inspirante autour des DSI qui ont conduit ou sont en train d’organiser une sortie de ces outils. Les Urssaf, par exemple, sont passées d’Oracle à une solution à base open source, PostgreSQL. L’Agence pour l’informatique financière de l’État et certains ministères ont également entamé leur sortie d’Oracle. C’est un chantier lourd, mais il montre que le chemin existe. Nous en voyons le résultat dans les chiffres agrégés, qui sont très utiles pour quantifier la trajectoire. L’après-midi, nous avons organisé des groupes de travail sur les bases de données – autre sujet très important.

Ces dépendances étant connues depuis de longues années, nous pouvons être amenés, au titre de l’article 3, à alerter les ministères sur les autres solutions techniques avant que le marché public ne soit passé. C’est typiquement le cas pour Oracle. Forts des transitions qui ont déjà été réalisées, nous souhaitons désormais accompagner plus largement tous ceux qui sont encore concernés par ces dépendances.

S’agissant des pratiques de prix, l’exemple le plus connu est VMware, avec qui les négociations peuvent être très difficiles. Toutefois, plus la masse d’un ministère est importante, plus sa capacité à négocier l’est aussi. Le rachat de VMware par Broadcom a représenté un changement de paradigme pour le prix des licences. La Dinum, dans son rôle d’animation, a alors lancé un travail technique pour identifier les solutions alternatives – car il en existe ; la Cnam par exemple a partagé sa trajectoire. Quand je parlais de virtualisation sur hébergement de nuage, c’est à ce type de logiciel que je faisais référence. Mais tout cela est un travail de longue haleine, qui nous a amenés à opter pour des choix pragmatiques : parfois, une bonne négociation permet de se donner le temps d’envisager la sortie. C’est la direction que prend actuellement ce chantier. Nous serons attentifs à la réduction des dépendances de chaque ministère dans le cadre de notre cartographie.

La dépendance aux outils de cybersécurité est moins marquée, selon les chiffres de la DAE. Nous avons la chance d’avoir des entreprises françaises de plus en plus actives qui parviennent à tirer leur épingle du jeu : il y a un CSF, un pôle d’excellence cyber à Rennes… La Dinum utilise plusieurs de leurs outils, y compris pour son SIEM (système de gestion des informations et des événements de sécurité). Nous avons néanmoins une dépendance plus importante à certaines briques. C’est la raison pour laquelle, le 8 avril, nous avons lancé un groupe de travail sur nos dépendances en matière de cybersécurité, piloté par l’Anssi, qui est le meilleur connaisseur du sujet en tant qu’animateur de cet écosystème industriel.

Par ailleurs, le droit de regard que nous avons sur les grands projets nous amène à discuter technique avec les équipes pour identifier certaines dépendances au niveau des choix d’architecture. Notre avis peut être favorable, mais avec des recommandations ou des réserves qui amènent les structures à revoir leur choix avant la passation du marché et l’engagement des crédits. C’est ce qui a été fait pour la Plateforme des données de santé, et la solution intercalaire initialement envisagée a été abandonnée pour passer directement à une offre de confiance.

Enfin, dans le cadre de l’article 3, la Dinum n’intervient qu’au démarrage du projet. En revanche, nos équipes d’expertise technique peuvent intervenir à la demande en cours de projet. C’est le cas pour l’expertise cloud : pour reprendre le même exemple, lorsque la task force chargée de la PDS a entamé ses travaux, nous avons mis notre expertise à sa disposition. C’est très demandé par les ministères Mais nous faisons en sorte de dissocier nos fonctions d’audit des fonctions de conseil car ce n’est pas la même posture.

Mme Cyrielle Chatelain, rapporteure. Le président ayant dû s’absenter pour un vote, il m’a laissé deux questions.

Vous avez mentionné que la Dinum ne vendait pas d’offre. Toutefois, il semble qu’elle ait sollicité des ministères une participation de 4 millions d’euros pour la maintenance et le développement de sa suite numérique, LaSuite. Confirmez-vous ce chiffre ? Pourquoi ne pas l’avoir intégré dans un budget global ?

Et que répondez-vous aux acteurs privés qui considèrent que la Dinum entre en concurrence avec leurs solutions avec le développement de LaSuite ?

Mme Stéphanie Schaer. LaSuite répond au besoin de maîtriser certaines fonctions essentielles à la continuité de l’État grâce à des outils présents dans tous les ministères, avec un service sans couture adapté aux environnements de gestion de crise que nous avons connus ces dernières années. L’investissement de l’État dans ces outils est complètement assumé. Une clarification a été apportée dans le communiqué de presse que j’évoquais tout à l’heure, concomitamment à la circulaire sur la commande numérique.

Trois outils ont été identifiés, dans la même logique que celle qui gouverne le RIE pour les couches basses. Leur déploiement exclusif est toujours en cours auprès de l’ensemble des agents publics. Le premier est la messagerie instantanée Tchap, qui a donné lieu à une circulaire du Premier ministre en juin dernier. Le deuxième est l’outil de vidéoconférence Visio, qui a été conforté par une circulaire du Premier ministre en janvier dernier. Le troisième, FranceTransfert, est essentiellement un outil de transfert de gros fichiers destiné à lutter contre le shadow IT. L’évolution des dépenses montre que Visio remplace très largement des outils extra-européens. Tchap remplace des outils commerciaux grand public – c’est un outil professionnel intégré à l’environnement de travail. Ces trois outils sont le cœur de suite.

Nous avons eu de nombreux échanges avec la filière pour lever les incompréhensions et les malentendus. Le cœur de suite s’articule avec deux applicatifs, sachant qu’on parle ici d’un ensemble bureautique qui est plutôt on-premise, non collaboratif, et que tous les ministères n’ont pas encore choisi leurs outils de demain. Nous avions jusqu’ici un outil commercial privé acheté par la Dinum, Resana, qui était utilisé assez largement au niveau interministériel. Mais puisque nous avons changé de paradigme et que les achats sont désormais faits au niveau des ministères, un marché différencié va émerger et plusieurs acteurs pourront répondre aux demandes. Nous l’avons répété à l’occasion de la journée de matchmaking du 27 mars.

Au-delà du cœur de suite, la Dinum, en tant que DSI de l’État, a identifié avec l’Anssi le besoin de maîtriser le fonctionnement de la messagerie, pour des questions de résilience, afin de pouvoir l’opérer aussi dans des périmètres plus sécurisés, où il faut savoir instancier dans un périmètre précis. C’est la raison pour laquelle nous avons une brique de partage de fichiers et une brique d’e-mail – la même que celle des Allemands – en open source. Nous avons aussi cherché à innover, pour répondre au besoin qui s’exprime d’éviter le shadow IT, avec une brique de tableur, Grist, et une brique d’édition collaborative, Docs.

Il a été clarifié auprès de la filière qu’il n’y avait pas d’exclusivité : chaque ministère peut acheter une solution de marché, nous n’allons pas imposer nos éléments. Docs et Grist, qui sont encore en phase expérimentale, ne remplacent de toute façon pas les outils bureautiques habituels, ils apportent un complément pour répondre aux usages spécifiques des administrations. Nous voulons simplement tirer l’offre vers le haut, en donnant sa place à chacun : c’est tout l’intérêt des connecteurs et de l’interopérabilité dont je parlais tout à l’heure. Les outils de la filière devront communiquer entre eux, ainsi qu’avec Visio et Tchap. C’est le cœur des travaux actuels.

Il y a eu des incompréhensions sur la façon dont la Dinum avait construit son offre, qui permet à l’État d’avoir davantage de maîtrise sur les outils comme Tchap et Visio qui assurent la continuité de l’action publique grâce à une offre qui soit à la hauteur des enjeux de l’environnement géopolitique actuel. Pour cela, nous opérons des briques qui doivent ensuite s’articuler avec l’ensemble de l’écosystème. On a dit que la Dinum devenait un éditeur de logiciels. Ce n’est pas notre positionnement : la Dinum opère des briques en open source. En revanche, nous nous autorisons à contribuer à ces briques car il n’y a rien de mieux que cela pour maintenir l’expertise des équipes, renforcer l’attractivité du recrutement et garantir la maîtrise des outils et du code.

Dans le cadre de ces contributions, nous travaillons également avec l’écosystème interministériel. Les besoins de chaque ministère n’étant pas forcément les mêmes, nous cherchons à les aligner avec le socle de financement de la Dinum pour ses outils cœur de suite, data.gouv, FranceConnect, ProConnect et le RIE. Notre budget, qui est d’un peu plus de 50 millions, se répartit entre ces différentes briques. Il arrive néanmoins que des périmètres ministériels nous demandent d’accélérer sur une technologie, pour répondre à un besoin urgent, et nous financent pour cela. Dans ce cas, autant le faire dans le cadre du commun. Le ministère finance alors l’équipe avec un bénéfice pour tous, y compris d’ailleurs pour le secteur privé puisque tous les communs numériques auxquels contribue la Dinum sont sous licence permissive. Cela permet aux acteurs privés de réinstancier et même de baser leur modèle économique sur ces communs. Cela se pratique aussi au Pays-Bas, où plusieurs acteurs de taille variable, dont certains intégrateurs, ont annoncé récemment mobiliser des communs. Nous avons créé le club LaSuite pour être à l’écoute des besoins et voir ce qui peut être financé dans le cadre du socle et ce qui peut l’être de façon volontaire par les ministères. Nous avons par exemple signé un accord de partenariat avec les armées, qui opèrent elles-mêmes des communs de la suite numérique dans un environnement plus restreint et plus sécurisé et souhaitent que nous avancions plus vite sur certaines fonctionnalités. La Cnam a elle aussi signé un accord de partenariat avec la Dinum.

Les communs numériques complètent donc une offre privée qui, à son tour, les réutilise. C’est la raison pour laquelle il est impératif d’intensifier les échanges entre le secteur privé et le secteur public sur ces questions. D’une part, les communs numériques peuvent être opérés directement par le secteur public, mais aussi par un acteur privé pour le compte du public, pour le compte du privé ou pour les collectivités territoriales. D’autre part, il faut régler les questions d’interconnexion, de réversibilité et de passage de l’un à l’autre. C’est notre grand défi pour 2026.

Mme Cyrielle Chatelain, rapporteure. Vous dites que les acteurs privés utilisent les briques des communs numériques. Savez-vous s’ils se placent dans une logique open source en mettant ce qu’ils développent dans le commun ou si, à l’inverse, ils prennent le commun pour développer leurs propres solutions sans les rendre transparentes ?

Mme Stéphanie Schaer. Il y a différents modèles. Un acteur privé a toujours la tentation de partir sur une branche du commun, mais cela a ses limites. Il y a également eu des tentatives au sein de l’État. Depuis la stratégie de 2023, nous sommes très au clair : quand nous mobilisons un commun pour les besoins de l’État, si nous investissons, c’est dans le commun. Cela nous permet de bénéficier des investissements qui sont faits par les autres acteurs de la communauté. C’est pour cela que nous allons aussi vite sur Docs, et que nous bénéficions des dernières évolutions pour Tchap. C’est encore un cran supplémentaire que d’arriver à se coordonner entre États, entre acteurs, pour voir qui finance quoi et accélérer la feuille de route en instaurant une gouvernance des communs.

Le club LaSuite permet surtout des contributions au sein de l’État. Pour le reste, il arrive que des acteurs privés financent des communs numériques et il y a des associations, comme le Tosit, qui peuvent être des lieux d’échange public-privé. Nous comptons nous appuyer sur le CSF, créé il y a un an, et sur l’initiative Open-Interop pour mieux articuler nos efforts. Notre espoir est que plus il y aura d’utilisateurs de ces briques communes – au niveau français, en public-privé, et au niveau européen –, plus nous pourrons les renforcer et construire une alternative crédible, à l’échelle européenne, aux acteurs hégémoniques. Nous pensons que ce chemin est possible. Ce travail est à la fois indispensable mais aussi atteignable, au vu des progrès déjà réalisés sur la messagerie instantanée.

Mme Cyrielle Chatelain, rapporteure. Vous dites avoir engagé une discussion avec les administrations pour contribuer financièrement au développement des briques stratégiques. Le chiffre communiqué au président est de 4 millions. Est-il exact ? Vaut-il pour chaque administration ?

Mme Stéphanie Schaer. C’est l’ordre de grandeur : les discussions se poursuivent avec l’ensemble des ministères et les décisions finales seront prises dans les semaines à venir. Nous serons entre 3 et 4 millions. Ce financement se fait dans le cadre de transferts en gestion entre administrations. La contribution est versée sur une base volontaire, en lien direct avec les objectifs que se fixent les administrations. Nous cherchons donc à dégager des priorités de leurs différentes demandes pour faire avancer la feuille de route.

Cela ne vaut pas uniquement pour LaSuite. La Dinum a travaillé de la même manière par le passé sur le réseau interministériel de l’État. L’année dernière, il y a eu besoin d’augmenter le débit en outre-mer : plusieurs administrations étaient concernées, et cela n’avait pas été anticipé dans le cadre de la procédure budgétaire. C’est un accord de ce type qui a permis de répondre au besoin, avant le budget suivant.

Nous l’avons fait aussi en matière d’intelligence artificielle. La Dinum offre un socle interministériel d’IA générative (SIAAG) souverain, pour lequel elle contractualise elle-même avec des acteurs comme Outscale et Mistral AI, car une capacité de calcul qui préserve la sécurité des données est essentielle pour le déploiement de l’IA au sein de l’État. Les dépenses en matière d’IA se sont beaucoup accentuées alors que le budget IA de la Dinum s’est maintenu à son niveau de 2023. Sachant que l’IA implique beaucoup de dépenses d’inférence, nous n’avons pas eu trop de difficulté à convaincre les ministères de financer un socle commun, dont tout le monde pourra bénéficier ensuite.

En outre, notre capacité de mutualisation des investissements pour le passage à l’échelle est importante car tous les ministères ne mobilisent pas l’IA en même temps, que ce soit pour leurs applications métier ou pour leurs agents. Or, si nous voulons réduire la facture pour l’État tout en mobilisant pleinement ces nouvelles technologies qui peuvent apporter énormément en termes d’efficacité, nous avons tout intérêt à globaliser nos achats ou nos locations de cartes graphiques – nous sommes sur un modèle mixte, avec des capacités internes et externes – et à globaliser aussi nos investissements RH d’expertise. Nous avons donc créé pas un pas un socle qui peut répondre aux besoins des ministères, avec un comité des partenaires de l’IA qui suit la même logique partenariale que le club LaSuite. C’est un modèle que nous cherchons à répliquer dans tous les champs d’intervention de la Dinum quand nous voulons accélérer la feuille de route.

Mme Cyrielle Chatelain, rapporteure. Merci d’avoir pris le temps de répondre à toutes nos questions. N’hésitez pas à réagir par écrit si vous le souhaitez à ce qui sera dit dans nos prochaines auditions. Nous vous serons aussi reconnaissants de votre retour sur les grands projets ainsi que sur les dépenses de licences, notamment auprès des grands acteurs américains – soit avec les chiffres consolidés, soit s’ils ne sont pas encore disponibles avec un état à l’instant T.

La séance s’achève à dix-neuf heures dix.

———

Membres présents ou excusés

Présents. – Mme Cyrielle Chatelain, M. Philippe Latombe, M. Stéphane Rambaud